Přehled proxy serveru TCP/TLS služby Application Gateway (Preview)
Kromě stávajících funkcí vrstvy 7 (HTTP, HTTPS, WebSocket a HTTP/2) teď brána Aplikace Azure také podporuje proxy server vrstvy 4 (protokol TCP) a tls (Transport Layer Security). Tato funkce je v současné době ve verzi Public Preview. Pokud chcete zobrazit náhled této funkce, přečtěte si téma Registrace do verze Preview.
Možnosti proxy protokolu TLS/TCP ve službě Application Gateway
Jako služba reverzního proxy serveru fungují operace služby Application Gateway vrstvy 4 podobně jako operace proxy serveru vrstvy 7. Klient vytvoří připojení TCP se službou Application Gateway a služba Application Gateway sama zahájí nové připojení TCP k back-endovému serveru z back-endového fondu. Následující obrázek znázorňuje typickou operaci.
Tok procesu:
- Klient zahájí připojení TCP nebo TLS ke službě Application Gateway pomocí IP adresy a čísla portu front-endového naslouchacího procesu. Tím se vytvoří připojení front-endu. Po navázání připojení klient odešle požadavek pomocí požadovaného protokolu aplikační vrstvy.
- Aplikační brána vytvoří nové připojení s jedním z back-endových cílů z přidruženého back-endového fondu (tvořícím back-endové připojení) a odešle požadavek klienta na tento back-endový server.
- Odpověď z back-endového serveru se odešle zpět klientovi službou Application Gateway.
- Stejné připojení TCP front-endu se používá pro následné požadavky od klienta, pokud časový limit nečinnosti PROTOKOLU TCP toto připojení nezavře.
Porovnání služby Azure Load Balancer s bránou Aplikace Azure:
| Produkt | Typ |
|---|---|
| Azure Load Balancer | Předávací nástroj pro vyrovnávání zatížení, kde klient přímo vytvoří připojení k back-endovému serveru vybranému distribučním algoritmem Load Balanceru. |
| Azure Application Gateway | Ukončování nástroje pro vyrovnávání zatížení, kdy klient přímo vytvoří připojení ke službě Application Gateway a samostatné připojení se zahájí s back-endovým serverem vybraným distribučním algoritmem služby Application Gateway. |
Funkce
- K poskytování úloh HTTP a jiných úloh než HTTP použijte jeden koncový bod (front-endová IP adresa). Stejné nasazení aplikační brány může podporovat protokoly vrstvy 7 a vrstvy 4: HTTP(S), TCP nebo TLS. Všichni vaši klienti se můžou připojit ke stejnému koncovému bodu a přistupovat k různým back-endovým aplikacím.
- Použijte vlastní doménu k front-endové službě. S front-endem skladové položky služby Application Gateway V2 jako veřejnými a privátními IP adresami můžete nakonfigurovat libovolný vlastní název domény tak, aby odkazovala na ip adresu pomocí záznamu adresy (A). Kromě toho můžete s ukončením protokolu TLS a podporou certifikátů od privátní certifikační autority (CA) zajistit zabezpečené připojení k doméně podle vašeho výběru.
- Použijte back-endový server z libovolného umístění (Azure nebo místní). Back-endy pro aplikační bránu můžou být následující:
- Prostředky Azure, jako jsou virtuální počítače IaaS, škálovací sady virtuálních počítačů nebo PaaS (App Services, Event Hubs, SQL)
- Vzdálené prostředky, jako jsou místní servery přístupné přes plně kvalifikovaný název domény nebo IP adresy
- Podporováno pro privátní bránu. S podporou protokolu TLS a proxy serveru TCP pro privátní nasazení služby Application Gateway můžete podporovat klienty HTTP a jiné než HTTP v izolovaném prostředí pro lepší zabezpečení.
Omezení
- Brána skladové položky WAF v2 umožňuje vytvářet naslouchací procesy TLS nebo TCP a back-endy pro podporu provozu HTTP a jiného typu než HTTP prostřednictvím stejného prostředku. Neprovádí ale kontrolu provozu na protokolech TLS a naslouchacích procesech TCP, aby nedošlo k zneužití a ohrožení zabezpečení.
- Výchozí hodnota časového limitu pro back-endové servery je 30 sekund. V současné době není podporována uživatelsky definovaná vyprazdňovací hodnota.
- Zachování IP adres klientů se v současné době nepodporuje.