[新产品/新功能] Azure Application Gateway v2 的私有网关功能正式发布

<!-- AI_TASK_START: AI标题翻译 --> [新产品/新功能] Azure Application Gateway v2 的私有网关功能正式发布 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 产品功能分析 ## 新功能/新产品概述 Azure 宣布其 **Application Gateway v2 SKU** 正式推出“私有应用网关” (Private Application Gateway) 功能集。这并非一个独立的新产品，而是对现有 **Application Gateway v2** 的一项重大能力增强，其核心目标是为用户提供一个完全内部、无公共网络暴露的应用交付控制器 (ADC)。 该功能通过允许网关的前端配置*仅使用私有IP地址*，彻底移除了过去版本中强制要求的 **Public IP**，从而实现了纯内网部署。这使得应用网关可以作为一个安全、隔离的内部负载均衡器，服务于虚拟网络 (VNet) 内部或通过 VPN/ExpressRoute 连接的本地网络中的应用，而无需暴露在公共互联网上。 - **目标用户群**：对安全性和合规性有严格要求的企业，如金融、医疗保健和政府机构；以及希望将关键业务应用（LOB）仅限于内部访问，以最小化攻击面的组织。 - **市场定位**：此更新使 Azure Application Gateway v2 成为一个更全面的解决方案，能够直接与 AWS 的内部应用负载均衡器 (Internal ALB) 以及专门用于内部流量管理的第三方网络虚拟设备 (NVA) 竞争，弥补了 Azure 在纯私有化高级应用交付场景中的一个关键空白。 ## 关键客户价值 - **极致的安全与合规性** - 通过消除 **Public IP**，从根本上杜绝了来自公共互联网的直接攻击，显著收缩了应用的安全攻击面。这对于保护内部核心业务系统、数据库接口等敏感服务至关重要。 - 增强的 **Network Security Group (NSG)** 控制能力，特别是支持定义“全部拒绝出站” (Deny All Outbound) 规则，使用户能够实施零信任网络策略，有效防止潜在的数据泄露或网关发起的未授权外部连接。 - **网络架构的灵活性与自主性** - 支持 **Forced Tunneling** (强制隧道) 是一个关键优势。该功能允许企业将所有来自应用网关的出站流量（例如后端健康探测）通过 **BGP** 学习到的 `0.0.0.0/0` 路由，重定向至本地数据中心或指定的安全中心（Hub VNet）进行集中式安全审计和策略执行。 - 用户现在可以将 `0.0.0.0/0` 路由的下一跳指定为 **Network Virtual Appliance (NVA)**，这意味着所有出站流量都必须经过如 Palo Alto、Fortinet 等第三方防火墙或安全设备的深度包检测 (DPI)，实现了安全策略的集中化管理和一致性。 - **简化的网络管理与运维** - 不再需要为 `GatewayManager` 服务标签在 **NSG** 中配置放行规则。过去，这是一项强制性的管理要求，容易造成配置复杂和潜在的错误。现在，Azure 通过更底层的机制处理网关的管理流量，使得 **NSG** 规则可以完全聚焦于业务应用流量，配置更简洁、直观且不易出错。 ## 关键技术洞察 - **前端IP与控制平面的解耦** - _技术核心在于架构上的改变_，允许应用网关的前端配置与 **Public IP** 完全解耦。这表明 Azure 对 Application Gateway 的资源配置和管理平面进行了重构，使其能够作为一个纯粹的VNet原生组件进行部署，而不再依赖于公共网络终结点。 - **隐蔽的管理通道** - 移除 `GatewayManager` 服务标签的依赖，暗示了其管理架构的演进。Azure 很可能采用了类似 **Azure Private Link** 的内部服务通信机制来管理和维护网关实例。这种方式将管理流量完全封装在 Azure 的骨干网络内部，对用户透明且无需用户干预，提升了管理平面的安全性。 - **深度VNet集成与路由策略遵从** - 对 **Forced Tunneling** 和自定义路由到 **NVA** 的支持，体现了 Application Gateway 与 Azure 核心网络服务（如 **Virtual Network**, **Route Table**, **BGP**）的集成达到了新的深度。网关不再是VNet中一个路由策略的“黑盒”，而是能够完全理解并遵从用户定义的复杂路由规则，这对于构建复杂的中心辐射型 (Hub-Spoke) 网络拓扑至关重要。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # 正式可用：Azure Application Gateway v2 上的私有应用程序网关 **发布时间:** 2025-08-08 **厂商:** Azure **类型:** 更新 --- Application Gateway v2 宣布私有应用程序网关 (Private Application Gateway) 正式可用。这是一系列针对 Application Gateway v2 SKU 的新功能，旨在进一步增强对网络暴露的控制。 以下功能现已在 Application Gateway v2 中正式可用： - 仅私有 IP (Private IP) 的前端配置 (无需公共 IP (Public IP)) - 增强对网络安全组 (Network Security Groups) 的控制 - 取消对 GatewayManager 服务标签 (service tag) 的要求 - 支持定义“拒绝所有出站流量”规则 - 增强对路由表 (Route Table) 规则的控制 - 支持强制隧道 (Forced Tunnelling) (通过 BGP 学习 0.0.0.0/0 路由) - 支持将 0.0.0.0/0 路由规则的下一跳设置为虚拟设备 (Virtual Appliance) [了解更多](https://learn.microsoft.com/en-us/azure/application-gateway/application-gateway-private-deployment?tabs=portal) <!-- AI_TASK_END: AI全文翻译 -->