Az Application Gateway TCP/TLS-proxyjának áttekintése (előzetes verzió)
A meglévő 7. rétegbeli képességek (HTTP, HTTPS, WebSockets és HTTP/2) mellett az Azure-alkalmazás Gateway mostantól támogatja a 4. réteg (TCP protokoll) és a TLS (Transport Layer Security) proxyzást is. Ez a funkció jelenleg nyilvános előzetes verzióban érhető el. A funkció előzetes verziójának megtekintéséhez tekintse meg a Regisztráció az előzetes verzióra című témakört.
TLS-/TCP-proxyképességek az Application Gatewayen
Fordított proxyszolgáltatásként az Application Gateway 4. rétegbeli műveletei a 7. rétegbeli proxyműveleteihez hasonlóan működnek. Az ügyfél TCP-kapcsolatot létesít az Application Gatewayrel, és maga az Application Gateway kezdeményez egy új TCP-kapcsolatot egy háttérkiszolgálóhoz a háttérkészletből. Az alábbi ábra a tipikus műveletet mutatja be.
Folyamat:
- Az ügyfél TCP- vagy TLS-kapcsolatot kezdeményez az Application Gatewayrel az előtérbeli figyelő IP-címének és portszámának használatával. Ez létrehozza az előtérbeli kapcsolatot. A kapcsolat létrejötte után az ügyfél egy kérést küld a szükséges alkalmazásréteg-protokoll használatával.
- Az Application Gateway új kapcsolatot létesít a társított háttérkészlet egyik háttérpéldányával (a háttérkapcsolatot alkotva), és elküldi az ügyfélkérést a háttérkiszolgálónak.
- A háttérkiszolgáló válaszát az application gateway küldi vissza az ügyfélnek.
- A rendszer ugyanazt az előtérbeli TCP-kapcsolatot használja az ügyfél későbbi kéréseihez, kivéve, ha a TCP üresjárati időtúllépése bezárja a kapcsolatot.
Az Azure Load Balancer és Azure-alkalmazás Gateway összehasonlítása:
| Termék | Típus |
|---|---|
| Azure Load Balancer | Átmenő terheléselosztó, ahol az ügyfél közvetlenül létesít kapcsolatot a Load Balancer terjesztési algoritmusa által kiválasztott háttérkiszolgálóval. |
| Azure Application Gateway | A terheléselosztó megszüntetése, ahol az ügyfél közvetlenül létesít kapcsolatot az Application Gatewayrel, és külön kapcsolatot kezdeményez az Application Gateway terjesztési algoritmusa által kiválasztott háttérkiszolgálóval. |
Funkciók
- Használjon egyetlen végpontot (előtérbeli IP-címet) HTTP- és nem HTTP-számítási feladatok kiszolgálásához. Ugyanez az Application Gateway-telepítés támogatja a 7. és a 4. rétegbeli protokollokat: HTTP(S), TCP vagy TLS. Minden ügyfél ugyanahhoz a végponthoz csatlakozhat, és különböző háttéralkalmazásokhoz férhet hozzá.
- Használjon egyéni tartományt a háttérszolgáltatás előtt. Az Application Gateway V2 termékváltozatának előtere nyilvános és magánhálózati IP-címként konfigurálható úgy, hogy bármely egyéni tartománynév egy címrekorddal (A) mutasson az IP-címére. Emellett a TLS megszüntetésével és a magán hitelesítésszolgáltatótól (CA) származó tanúsítványok támogatásával biztonságos kapcsolatot biztosíthat a választott tartományhoz.
- Használjon háttérkiszolgálót bármilyen helyről (Azure-ból vagy helyszíniről). Az Application Gateway háttérrendszerei a következőek lehetnek:
- Azure-erőforrások, például IaaS virtuális gépek, virtuálisgép-méretezési csoportok vagy PaaS (App Services, Event Hubs, SQL)
- Távoli erőforrások, például a teljes tartománynévvel vagy IP-címekkel elérhető helyszíni kiszolgálók
- Csak privát átjárók esetén támogatott. A privát Application Gateway-környezetek TLS- és TCP-proxytámogatásával a http- és nem HTTP-ügyfeleket elszigetelt környezetben is támogathatja a fokozott biztonság érdekében.
Korlátozások
- A WAF v2 termékváltozat-átjáró lehetővé teszi TLS- vagy TCP-figyelők és háttérrendszerek létrehozását, amelyek támogatják a HTTP- és nem HTTP-forgalmat ugyanazon az erőforráson keresztül. Azonban nem vizsgálja meg a TLS- és TCP-figyelők forgalmát a biztonsági rések és a biztonsági rések szempontjából.
- A háttérkiszolgálók alapértelmezett kiürítési időtúllépési értéke 30 másodperc. Jelenleg a felhasználó által definiált ürítési érték nem támogatott.
- Az ügyfél IP-címének megőrzése jelenleg nem támogatott.
Következő lépések
- Azure-alkalmazás Átjáró TCP/TLS-proxyjának konfigurálása
- Gyakori kérdések (gyakori kérdések) megtekintése