Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Kromě stávajících funkcí vrstvy 7 (HTTP, HTTPS, WebSocket a HTTP/2) teď Aplikace Azure lication Gateway také podporuje proxy server vrstvy 4 (protokol TCP) a TLS (Transport Layer Security).
Možnosti proxy protokolu TLS/TCP ve službě Application Gateway
Jako služba reverzního proxy serveru fungují operace služby Application Gateway vrstvy 4 podobně jako operace proxy serveru vrstvy 7. Klient vytvoří připojení TCP se službou Application Gateway a služba Application Gateway sama zahájí nové připojení TCP k back-endovému serveru z back-endového fondu. Následující obrázek znázorňuje typickou operaci.
Tok procesu:
- Klient zahájí připojení TCP nebo TLS ke službě Application Gateway pomocí IP adresy a čísla portu front-endového naslouchacího procesu. Tím se vytvoří připojení front-endu. Po navázání připojení klient odešle požadavek pomocí požadovaného protokolu aplikační vrstvy.
- Aplikační brána vytvoří nové připojení s jedním z back-endových cílů z přidruženého back-endového fondu (tvořícím back-endové připojení) a odešle požadavek klienta na tento back-endový server.
- Odpověď z back-endového serveru se odešle zpět klientovi službou Application Gateway.
- Stejné připojení TCP front-endu se používá pro následné požadavky od klienta, pokud časový limit nečinnosti PROTOKOLU TCP toto připojení nezavře.
Porovnání služby Azure Load Balancer s bránou Aplikace Azure lication Gateway:
| Produkt | Typ |
|---|---|
| Azure Load Balancer | Předávací nástroj pro vyrovnávání zatížení, kde klient přímo vytvoří připojení k back-endovému serveru vybranému distribučním algoritmem Load Balanceru. |
| Azure Application Gateway | Ukončování nástroje pro vyrovnávání zatížení, kdy klient přímo vytvoří připojení ke službě Application Gateway a samostatné připojení se zahájí s back-endovým serverem vybraným distribučním algoritmem služby Application Gateway. |
Azure Application Gateway (proxy TLS/TCP)
- Typ – koncový proxy server pro vrstvu 4.
- Protokoly – podporuje protokoly TCP nebo TLS.
- Všestrannost – k poskytování úloh HTTP a jiných úloh než HTTP použijte jeden koncový bod (front-endová IP adresa).
- Škálování – Nakonfigurujte automatické škálování (až 125 instancí) pro obsluhu provozu TCP a TLS.
- Zabezpečení prostřednictvím ukončení protokolu TLS – Zjednodušte zabezpečení díky centralizovanému ukončení protokolu TLS a správě certifikátů, které zajišťují konzistentní dodržování předpisů ve všech aplikacích, včetně úloh mimo PROTOKOL HTTP. Bezproblémová integrace se službou Azure Key Vault pro zabezpečenou správu certifikátů.
- Typy backendů – Pružně propojte své aplikace s backendy kdekoli; v rámci stejné virtuální sítě, napříč partnerskými virtuálními sítěmi, prostřednictvím vzdálených plně kvalifikovaných názvů domén nebo IP adres, či prostřednictvím hybridního připojení k místním serverům.
Azure Load Balancer
- Typ – průchozí síťové zařízení vrstvy 4.
- Protokoly – podporuje protokoly TCP nebo UDP.
- Výkon – poskytuje nízkou latenci a vysokou propustnost. Vytvořeno pro miliony souběžných připojení s latencí na úrovni mikrosekund.
- Škálování – zpracovává dlouhotrvající připojení a škáluje až miliony toků pro všechny aplikace TCP a UDP.
- Příchozí i odchozí – Azure Load Balancer poskytuje kompletní řízení provozu, jak pro příchozí, tak odchozí toky. Bezproblémově připojte externí klienty k vašim aplikacím a zároveň povolte, aby se vaše back-endové instance bezpečně dostaly k internetu a dalším službám.
- Přímá odpověď serveru – U návratového provozu odešle back-endová instance paket odpovědi přímo zpět na IP adresu klienta, což snižuje latenci a zlepšuje výkon.
Funkce
- K poskytování úloh HTTP a jiných úloh než HTTP použijte jeden koncový bod (front-endová IP adresa). Stejné nasazení aplikační brány může podporovat protokoly vrstvy 7 a vrstvy 4: HTTP(S), TCP nebo TLS. Všichni vaši klienti se můžou připojit ke stejnému koncovému bodu a přistupovat k různým back-endovým aplikacím.
- Použijte vlastní doménu k front-endové službě. S front-endem skladové položky služby Application Gateway V2 jako veřejnými a privátními IP adresami můžete nakonfigurovat libovolný vlastní název domény tak, aby odkazovala na ip adresu pomocí záznamu adresy (A). Kromě toho můžete s ukončením protokolu TLS a podporou certifikátů od privátní certifikační autority (CA) zajistit zabezpečené připojení k doméně podle vašeho výběru.
- Použijte back-endový server z libovolného umístění (Azure nebo místní). Back-endy pro aplikační bránu můžou být následující:
- Prostředky Azure, jako jsou virtuální počítače IaaS, škálovací sady virtuálních počítačů nebo PaaS (App Services, Event Hubs, SQL)
- Vzdálené prostředky, jako jsou místní servery přístupné přes plně kvalifikovaný název domény nebo IP adresy
- Podporováno pro privátní bránu. S podporou protokolu TLS a proxy serveru TCP pro privátní nasazení služby Application Gateway můžete podporovat klienty HTTP a jiné než HTTP v izolovaném prostředí pro lepší zabezpečení.
Omezení
- Brána skladové položky WAF v2 umožňuje vytvářet naslouchací procesy TLS nebo TCP a back-endy pro podporu provozu HTTP a jiného typu než HTTP prostřednictvím stejného prostředku. Neprovádí ale kontrolu provozu na protokolech TLS a naslouchacích procesech TCP, aby nedošlo k zneužití a ohrožení zabezpečení.
- Výchozí hodnota časového limitu pro back-endové servery je 30 sekund. V současné době není podporována uživatelsky definovaná vyprazdňovací hodnota.
- Aktualizace konfigurace (PUT) ve službě Application Gateway ukončí aktivní připojení po uplynutí výchozího časového limitu vyprázdnění.
- Kontroler příchozího přenosu dat služby Application Gateway (AGIC) se nepodporuje a funguje jenom s proxy serverem L7 prostřednictvím naslouchacích procesů HTTP(S).