Introducción al proxy TCP/TLS de Application Gateway (versión preliminar)
Además de las funcionalidades de nivel 7 existentes (HTTP, HTTPS, WebSockets y HTTP/2), Azure Application Gateway ahora también admite proxy TLS (seguridad de la capa de transporte) y TLS (protocolo TCP 4). Esta característica actualmente está en su versión preliminar pública. Para obtener una versión preliminar de esta característica, consulte Registro en la versión preliminar.
Funcionalidades de proxy TLS/TCP en Application Gateway
Como servicio de proxy inverso, las operaciones de nivel 4 de Application Gateway funcionan de forma similar a sus operaciones de proxy de nivel 7. Un cliente establece una conexión TCP con Application Gateway y Application Gateway inicia una nueva conexión TCP a un servidor back-end desde el grupo de back-end. En la ilustración siguiente se muestra una operación típica.
Flujo de proceso:
- Un cliente inicia una conexión TCP o TLS con la puerta de enlace de aplicaciones mediante la dirección IP y el número de puerto del cliente de escucha de front-end. Esto establece la conexión de front-end. Una vez establecida la conexión, el cliente envía una solicitud mediante el protocolo de capa de aplicación necesario.
- La puerta de enlace de aplicaciones establece una nueva conexión con uno de los destinos de backend del grupo de backend asociado (formando la conexión de backend) y envía la solicitud de cliente a ese servidor backend.
- La puerta de enlace de aplicaciones envía la respuesta del servidor backend al cliente.
- La misma conexión TCP de frontend se usa para las solicitudes posteriores del cliente a menos que el tiempo de espera de inactividad de TCP cierre esa conexión.
Comparar Azure Load Balancer con Azure Application Gateway:
Producto | Tipo |
---|---|
Equilibrador de carga de Azure | Equilibrador de carga de tránsito donde un cliente establece directamente una conexión con un servidor back-end seleccionado por el algoritmo de distribución de Load Balancer. |
Introducción a Puerta de enlace de aplicaciones | Finalizar el equilibrador de carga donde un cliente establece directamente una conexión con Application Gateway y se inicia una conexión independiente con un servidor back-end seleccionado por el algoritmo de distribución de Application Gateway. |
Características
- Use un único punto de conexión (IP de frontend) para atender cargas de trabajo HTTP y no HTTP. La misma implementación de puerta de enlace de aplicación puede admitir protocolos de nivel 7 y 4: HTTP(S), TCP o TLS. Todos los clientes pueden conectarse al mismo punto de conexión y acceder a diferentes aplicaciones de backend.
- Use un dominio personalizado para frente a cualquier servicio backend. Con el front-end de la SKU V2 de Application Gateway como direcciones IP públicas y privadas, puede configurar cualquier nombre de dominio personalizado para que apunte su dirección IP mediante un registro de dirección (A). Además, con la terminación TLS y la compatibilidad con certificados de una entidad de certificación privada (CA), puede garantizar una conexión segura en el dominio que prefiera.
- Use un servidor backend desde cualquier ubicación (Azure o local). Los backend para la puerta de enlace de aplicaciones pueden ser:
- Recursos de Azure como máquinas virtuales IaaS, conjuntos de escalado de máquinas virtuales o PaaS (App Services, Event Hubs, SQL)
- Recursos remotos, como servidores locales accesibles a través de FQDN o direcciones IP
- Se admite para una puerta de enlace solo privada. Con la compatibilidad con el proxy TLS y TCP para implementaciones privadas de Application Gateway, puede admitir clientes HTTP y no HTTP en un entorno aislado para mejorar la seguridad.
Limitaciones
- Una puerta de enlace de SKU de WAF v2 permite la creación de agentes de escucha y backend DE TLS o TCP para admitir el tráfico HTTP y no HTTP a través del mismo recurso. Sin embargo, no inspecciona el tráfico en los agentes de escucha TLS y TCP para detectar vulnerabilidades de seguridad y vulnerabilidades.
- El valor de tiempo de espera de purga predeterminado para los servidores back-end es de 30 segundos. En la actualidad, no se admite un valor de purga definido por el usuario.
- Actualmente no se admite la conservación de direcciones IP de cliente.
- El controlador de entrada de Application Gateway (AGIC) no se admite y solo funciona con el proxy L7 a través de agentes de escucha HTTP(S).