Omówienie serwera proxy TCP/TLS usługi Application Gateway (wersja zapoznawcza)
Oprócz istniejących funkcji warstwy 7 (HTTP, HTTPS, WebSockets i HTTP/2), brama aplikacja systemu Azure obsługuje teraz również serwery proxy warstwy 4 (TCP) i TLS (Transport Layer Security). Ta funkcja jest obecnie w publicznej wersji zapoznawczej. Aby wyświetlić podgląd tej funkcji, zobacz Rejestrowanie się w wersji zapoznawczej.
Możliwości serwera proxy TLS/TCP w usłudze Application Gateway
Jako usługa zwrotnego serwera proxy operacje warstwy 4 usługi Application Gateway działają podobnie jak w przypadku operacji serwera proxy warstwy 7. Klient ustanawia połączenie TCP z usługą Application Gateway, a sama usługa Application Gateway inicjuje nowe połączenie TCP z serwerem zaplecza z puli zaplecza. Na poniższej ilustracji przedstawiono typową operację.
Przepływ procesu:
- Klient inicjuje połączenie TCP lub TLS z bramą aplikacji przy użyciu adresu IP i numeru portu odbiornika frontonu. Spowoduje to nawiązanie połączenia frontonu. Po nawiązaniu połączenia klient wysyła żądanie przy użyciu wymaganego protokołu warstwy aplikacji.
- Brama aplikacji ustanawia nowe połączenie z jednym z obiektów docelowych zaplecza ze skojarzonej puli zaplecza (tworzącej połączenie zaplecza) i wysyła żądanie klienta do tego serwera zaplecza.
- Odpowiedź z serwera zaplecza jest wysyłana z powrotem do klienta przez bramę aplikacji.
- To samo połączenie TCP frontonu jest używane dla kolejnych żądań od klienta, chyba że limit czasu bezczynności PROTOKOŁU TCP zamyka to połączenie.
Porównanie usługi Azure Load Balancer z usługą aplikacja systemu Azure Gateway:
| Rezultat | Typ |
|---|---|
| Azure Load Balancer | Moduł równoważenia obciążenia przekazywanego, w którym klient nawiązuje bezpośrednie połączenie z serwerem zaplecza wybranym przez algorytm dystrybucji modułu równoważenia obciążenia. |
| Usługa Azure Application Gateway | Zakończenie modułu równoważenia obciążenia, w którym klient nawiązuje bezpośrednie połączenie z usługą Application Gateway, a oddzielne połączenie jest inicjowane z serwerem zaplecza wybranym przez algorytm dystrybucji usługi Application Gateway. |
Funkcje
- Użyj pojedynczego punktu końcowego (adresu IP frontonu) do obsługi obciążeń HTTP i innych niż HTTP. To samo wdrożenie bramy aplikacji może obsługiwać protokoły warstwy 7 i warstwy 4: HTTP,TCP lub TLS. Wszyscy klienci mogą łączyć się z tym samym punktem końcowym i uzyskiwać dostęp do różnych aplikacji zaplecza.
- Użyj domeny niestandardowej do frontonu dowolnej usługi zaplecza. Za pomocą frontonu dla jednostki SKU usługi Application Gateway w wersji 2 jako publicznych i prywatnych adresów IP można skonfigurować dowolną niestandardową nazwę domeny tak, aby wskazywała jej adres IP przy użyciu rekordu adresu (A). Ponadto dzięki zakończeniu protokołu TLS i obsłudze certyfikatów z prywatnego urzędu certyfikacji (CA) można zapewnić bezpieczne połączenie w wybranej domenie.
- Użyj serwera zaplecza z dowolnej lokalizacji (platforma Azure lub lokalna). Zaplecza dla bramy aplikacji mogą być następujące:
- Zasoby platformy Azure, takie jak maszyny wirtualne IaaS, zestawy skalowania maszyn wirtualnych lub PaaS (App Services, Event Hubs, SQL)
- Zasoby zdalne, takie jak serwery lokalne dostępne za pośrednictwem nazwy FQDN lub adresów IP
- Obsługiwane w przypadku bramy tylko do użytku prywatnego. Dzięki obsłudze protokołu TLS i serwera proxy TCP dla wdrożeń usługi Application Gateway można obsługiwać klientów HTTP i innych niż HTTP w izolowanym środowisku w celu zapewnienia zwiększonych zabezpieczeń.
Ograniczenia
- Brama jednostki SKU zapory aplikacji internetowej w wersji 2 umożliwia tworzenie odbiorników TLS lub TCP i zapleczy do obsługi ruchu HTTP i innego niż HTTP za pośrednictwem tego samego zasobu. Jednak nie sprawdza ruchu na odbiornikach TLS i TCP pod kątem luk w zabezpieczeniach i luk w zabezpieczeniach.
- Domyślna wartość limitu czasu opróżniania dla serwerów zaplecza wynosi 30 sekund. Obecnie wartość opróżniania zdefiniowana przez użytkownika nie jest obsługiwana.
- Zachowywanie adresów IP klienta nie jest obecnie obsługiwane.
- Kontroler ruchu przychodzącego usługi Application Gateway (AGIC) nie jest obsługiwany i działa tylko z serwerem proxy L7 za pośrednictwem odbiorników HTTP(S).