Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A meglévő 7. rétegbeli képességek (HTTP, HTTPS, WebSockets és HTTP/2) mellett az Azure-alkalmazás Gateway mostantól támogatja a 4. réteg (TCP protokoll) és a TLS (Transport Layer Security) proxyzást is.
TLS-/TCP-proxyképességek az Application Gatewayen
Fordított proxyszolgáltatásként az Application Gateway 4. rétegbeli műveletei a 7. rétegbeli proxyműveleteihez hasonlóan működnek. Az ügyfél TCP-kapcsolatot létesít az Application Gatewayrel, és maga az Application Gateway kezdeményez egy új TCP-kapcsolatot egy háttérkiszolgálóhoz a háttérkészletből. Az alábbi ábra a tipikus műveletet mutatja be.
Folyamat:
- Az ügyfél TCP- vagy TLS-kapcsolatot kezdeményez az Application Gatewayrel az előtérbeli figyelő IP-címének és portszámának használatával. Ez létrehozza a frontend kapcsolatot. A kapcsolat létrejötte után az ügyfél egy kérést küld a szükséges alkalmazásréteg-protokoll használatával.
- Az Application Gateway új kapcsolatot létesít a kapcsolódó háttérkészlet egyik háttércéljával (ami a háttérkapcsolatot képezi), és elküldi az ügyfélkérést a háttér szerverre.
- A háttérkiszolgáló válaszát az application gateway küldi vissza az ügyfélnek.
- A rendszer ugyanazt az előtérbeli TCP-kapcsolatot használja az ügyfél későbbi kéréseihez, kivéve, ha a TCP üresjárati időtúllépése bezárja a kapcsolatot.
Az Azure Load Balancer és Azure-alkalmazás Gateway összehasonlítása:
| Termék | Típus |
|---|---|
| Azure Load Balancer | Átmenő terheléselosztó, ahol az ügyfél közvetlenül létesít kapcsolatot a Load Balancer terjesztési algoritmusa által kiválasztott háttérkiszolgálóval. |
| Azure Application Gateway | A terheléselosztó megszüntetése, ahol az ügyfél közvetlenül létesít kapcsolatot az Application Gatewayrel, és külön kapcsolatot kezdeményez az Application Gateway terjesztési algoritmusa által kiválasztott háttérkiszolgálóval. |
Azure Application Gateway (TLS/TCP-proxy)
- Típus – 4. rétegbeli végződő proxy.
- Protokollok – Támogatja a TCP- vagy TLS-protokollokat.
- Sokoldalúság – Egyetlen végpont (előtérbeli IP) használata HTTP- és nem HTTP-számítási feladatok kiszolgálásához.
- Skálázás – Automatikus skálázás (legfeljebb 125 példány) konfigurálása a TCP- és TLS-forgalom kiszolgálásához.
- Biztonság TLS-leállításon keresztül – Egyszerűsítse a biztonságot a központosított TLS-lezárással és a tanúsítványkezeléssel, amely egységes megfelelőséget biztosít minden alkalmazásnak, beleértve a nem HTTP-alapú számítási feladatokat is. Zökkenőmentesen integrálható az Azure Key Vaulttal a biztonságos tanúsítványkezelés érdekében.
- Háttértípusok – Rugalmasan csatlakoztathatja az alkalmazásokat a háttérrendszerekhez bárhol; ugyanazon a virtuális hálózaton belül, a társhálózatokon, távoli teljes tartományneveken vagy IP-címeken keresztül, vagy akár a helyszíni kiszolgálókhoz való hibrid kapcsolaton keresztül.
Azure Load Balancer
- Típus – 4. rétegbeli átmenő hálózati eszköz.
- Protokollok – Támogatja a TCP- vagy UDP-protokollokat.
- Teljesítmény – Alacsony késést és nagy átviteli sebességet biztosít. Több millió egyidejű kapcsolathoz készült, mikroszekundumszintű késéssel.
- Skálázás – Kezeli a hosszú élettartamú kapcsolatokat, és akár több millió folyamatot is skáláz az összes TCP- és UDP-alkalmazáshoz.
- Bejövő és kimenő – Az Azure Load Balancer teljes forgalomvezérlést biztosít bejövő és kimenő funkciókkal. Zökkenőmentesen csatlakoztathat külső ügyfeleket az alkalmazásokhoz, miközben a háttérpéldányok biztonságosan elérhetik az internetet és más szolgáltatásokat.
- Közvetlen kiszolgáló visszatérése – A visszaküldött forgalom esetében a háttérpéldány közvetlenül az ügyfél IP-címére küldi vissza a válaszcsomagot, csökkentve a késést és a teljesítmény javítását.
Funkciók
- Használjon egyetlen végpontot (előtérbeli IP-címet) HTTP- és nem HTTP-számítási feladatok kiszolgálásához. Ugyanez az Application Gateway-telepítés támogatja a 7. és a 4. rétegbeli protokollokat: HTTP(S), TCP vagy TLS. Minden ügyfél ugyanahhoz a végponthoz csatlakozhat, és különböző háttéralkalmazásokhoz férhet hozzá.
- Használjon egyéni domaint bármely háttérszolgáltatás használatához. Az Application Gateway V2 SKU elülső része nyilvános és magánhálózati IP-címekkel rendelkezik, így bármely egyéni tartománynév IP-címét egy címrekorddal (A) is rá lehet irányítani. Emellett a TLS megszüntetésével és a magán hitelesítésszolgáltatótól (CA) származó tanúsítványok támogatásával biztonságos kapcsolatot biztosíthat a választott tartományhoz.
- Használjon háttérkiszolgálót bármilyen helyről (Azure-ból vagy helyszíniről). Az Application Gateway háttérrendszerei a következőek lehetnek:
- Azure-erőforrások, például IaaS virtuális gépek, virtuálisgép-méretezési csoportok vagy PaaS (App Services, Event Hubs, SQL)
- Távoli erőforrások, például a teljes tartománynévvel vagy IP-címekkel elérhető helyszíni kiszolgálók
- Csak privát átjárók esetén támogatott. A privát Application Gateway-környezetek TLS- és TCP-proxytámogatásával a http- és nem HTTP-ügyfeleket elszigetelt környezetben is támogathatja a fokozott biztonság érdekében.
Korlátozások
- A WAF v2 termékváltozat-átjáró lehetővé teszi TLS- vagy TCP-figyelők és háttérrendszerek létrehozását, amelyek támogatják a HTTP- és nem HTTP-forgalmat ugyanazon az erőforráson keresztül. Azonban nem vizsgálja meg a TLS- és TCP-hallgatók forgalmát kihasználások és sebezhetőségek szempontjából.
- A háttérkiszolgálók alapértelmezett kijelentkezési időkorlát értéke 30 másodperc. Jelenleg a felhasználó által definiált ürítési érték nem támogatott.
- Az Application Gateway konfigurációs frissítése (PUT) az alapértelmezett ürítési időtúllépési időszak után véget vet az aktív kapcsolatoknak.
- Az Application Gateway Bejövőforgalom-vezérlő (AGIC) nem támogatott, és csak L7-proxyval működik HTTP(S) figyelőkkel.
Következő lépések
- Azure-alkalmazás Átjáró TCP/TLS-proxyjának konfigurálása
- Gyakran Ismételt Kérdések (GYIK) megtekintése