Översikt över Application Gateway TCP/TLS-proxy (förhandsversion)
Utöver de befintliga Layer 7-funktionerna (HTTP, HTTPS, WebSockets och HTTP/2) stöder Azure Application Gateway nu även layer 4-proxy (TCP-protokoll) och TLS-proxy (Transport Layer Security). Den här funktionen är för närvarande i allmänt tillgänglig förhandsversion. Information om hur du förhandsgranskar den här funktionen finns i Registrera dig för förhandsversionen.
TLS/TCP-proxyfunktioner på Application Gateway
Som en omvänd proxytjänst fungerar Layer 4-åtgärderna i Application Gateway ungefär som dess Layer 7-proxyåtgärder. En klient upprättar en TCP-anslutning med Application Gateway och Själva Application Gateway initierar en ny TCP-anslutning till en serverdelsserver från serverdelspoolen. Följande bild visar typisk åtgärd.
Processflöde:
- En klient initierar en TCP- eller TLS-anslutning med programgatewayen med hjälp av klientdelslyssnarens IP-adress och portnummer. Detta upprättar klientdelsanslutningen. När anslutningen har upprättats skickar klienten en begäran med hjälp av det nödvändiga protokollet för programskiktet.
- Programgatewayen upprättar en ny anslutning med ett av serverdelsmålen från den associerade serverdelspoolen (som utgör serverdelsanslutningen) och skickar klientbegäran till serverdelsservern.
- Svaret från serverdelsservern skickas tillbaka till klienten av programgatewayen.
- Samma klientdels-TCP-anslutning används för efterföljande begäranden från klienten om inte tidsgränsen för TCP-inaktivitet stänger anslutningen.
Jämföra Azure Load Balancer med Azure Application Gateway:
| Produkt | Type |
|---|---|
| Azure Load Balancer | En direktlastbalanserare där en klient direkt upprättar en anslutning med en serverdelsserver som valts av Lastbalanserarens distributionsalgoritm. |
| Azure Application Gateway | Avsluta lastbalanseraren där en klient direkt upprättar en anslutning till Application Gateway och en separat anslutning initieras med en serverdelsserver som valts av Application Gateways distributionsalgoritm. |
Funktioner
- Använd en enskild slutpunkt (klientdels-IP) för att hantera HTTP- och icke-HTTP-arbetsbelastningar. Samma distribution av programgatewayen har stöd för Layer 7- och Layer 4-protokoll: HTTP(S), TCP eller TLS. Alla dina klienter kan ansluta till samma slutpunkt och komma åt olika serverdelsprogram.
- Använd en anpassad domän för att fronta alla serverdelstjänster. Med klientdelen för Application Gateway V2 SKU som offentliga och privata IP-adresser kan du konfigurera alla anpassade domännamn för att peka dess IP-adress med hjälp av en adresspost (A). Med TLS-avslutning och stöd för certifikat från en privat certifikatutfärdare kan du dessutom säkerställa en säker anslutning på valfri domän.
- Använd en serverdelsserver från valfri plats (Azure eller lokalt). Serverdelarna för programgatewayen kan vara:
- Azure-resurser som virtuella IaaS-datorer, VM-skalningsuppsättningar eller PaaS (App Services, Event Hubs, SQL)
- Fjärrresurser som lokala servrar som är tillgängliga via FQDN eller IP-adresser
- Stöds för en privat gateway. Med TLS- och TCP-proxystöd för privata Application Gateway-distributioner kan du stödja HTTP- och icke-HTTP-klienter i en isolerad miljö för ökad säkerhet.
Begränsningar
- En WAF v2 SKU-gateway gör det möjligt att skapa TLS- eller TCP-lyssnare och serverdelar för att stödja HTTP- och icke-HTTP-trafik via samma resurs. Den inspekterar dock inte trafik på TLS- och TCP-lyssnare efter sårbarheter och sårbarheter.
- Standardvärdet för tömning av timeout för serverdelsservrar är 30 sekunder. För närvarande stöds inte ett användardefinierat tömningsvärde.
- Klient-IP-bevarande stöds för närvarande inte.
- Application Gateway Ingress Controller (AGIC) stöds inte och fungerar endast med L7-proxy via HTTP(S) lyssnare.