Gambaran umum proksi TCP/TLS Application Gateway (Pratinjau)
Selain kemampuan Lapisan 7 yang ada (HTTP, HTTPS, WebSocket, dan HTTP/2), Azure Application Gateway sekarang juga mendukung proksi Lapisan 4 (protokol TCP) dan TLS (Keamanan Lapisan Transportasi). Fitur ini masih dalam pratinjau umum. Untuk mempratinjau fitur ini, lihat Mendaftar ke pratinjau.
Kemampuan proksi TLS/TCP di Application Gateway
Sebagai layanan proksi terbalik, operasi Lapisan 4 Application Gateway berfungsi mirip dengan operasi proksi Layer 7-nya. Klien membuat koneksi TCP dengan Application Gateway, dan Application Gateway itu sendiri memulai koneksi TCP baru ke server backend dari kumpulan backend. Gambar berikut menunjukkan operasi umum.
Alur proses:
- Klien memulai koneksi TCP atau TLS dengan gateway aplikasi menggunakan alamat IP dan nomor port pendengar ujung depannya. Ini menetapkan koneksi frontend. Setelah koneksi dibuat, klien mengirim permintaan menggunakan protokol lapisan aplikasi yang diperlukan.
- Gateway aplikasi membuat koneksi baru dengan salah satu target backend dari kumpulan backend terkait (membentuk koneksi backend) dan mengirim permintaan klien ke server backend tersebut.
- Respons dari server backend dikirim kembali ke klien oleh gateway aplikasi.
- Koneksi TCP frontend yang sama digunakan untuk permintaan berikutnya dari klien kecuali batas waktu menganggur TCP menutup koneksi tersebut.
Membandingkan Azure Load Balancer dengan Azure Application Gateway:
| Produk | Jenis |
|---|---|
| Penyeimbang Beban Azure | Load balancer pass-through tempat klien secara langsung membuat koneksi dengan server backend yang dipilih oleh algoritma distribusi Load Balancer. |
| Azure Application Gateway | Mengakhiri load balancer di mana klien secara langsung membuat koneksi dengan Application Gateway dan koneksi terpisah dimulai dengan server backend yang dipilih oleh algoritma distribusi Application Gateway. |
Fitur
- Gunakan satu titik akhir (IP frontend) untuk melayani beban kerja HTTP dan non-HTTP. Penyebaran gateway aplikasi yang sama dapat mendukung protokol Lapisan 7 dan Lapisan 4: HTTP(S), TCP, atau TLS. Semua klien Anda dapat terhubung ke titik akhir yang sama dan mengakses aplikasi backend yang berbeda.
- Gunakan domain kustom untuk memajukan layanan backend apa pun. Dengan frontend untuk SKU Application Gateway V2 sebagai alamat IP publik dan privat, Anda dapat mengonfigurasi nama domain kustom apa pun untuk mengarahkan alamat IP-nya menggunakan catatan alamat (A). Selain itu, dengan penghentian TLS dan dukungan untuk sertifikat dari otoritas sertifikasi privat (CA), Anda dapat memastikan koneksi yang aman pada domain pilihan Anda.
- Gunakan server backend dari lokasi mana pun (Azure atau Lokal). Backend untuk gateway aplikasi dapat berupa:
- Sumber daya Azure seperti komputer virtual IaaS, set skala komputer virtual, atau PaaS (App Services, Event Hubs, SQL)
- Sumber daya jarak jauh seperti server lokal yang dapat diakses melalui FQDN atau alamat IP
- Didukung untuk gateway khusus privat. Dengan dukungan proksi TLS dan TCP untuk penyebaran Application Gateway privat, Anda dapat mendukung klien HTTP dan non-HTTP di lingkungan terisolasi untuk keamanan yang ditingkatkan.
Batasan
- Gateway SKU WAF v2 memungkinkan pembuatan pendengar dan backend TLS atau TCP untuk mendukung lalu lintas HTTP dan non-HTTP melalui sumber daya yang sama. Namun, ini tidak memeriksa lalu lintas pada pendengar TLS dan TCP untuk eksploitasi dan kerentanan.
- Nilai batas waktu pengurasan default untuk server backend adalah 30 detik. Saat ini, nilai pengurasan yang ditentukan pengguna tidak didukung.
- Pelestarian IP klien saat ini tidak didukung.