panoramica del proxy TCP/TLS gateway applicazione (anteprima)
Oltre alle funzionalità esistenti di livello 7 (HTTP, HTTPS, WebSockets e HTTP/2), app Azure lication Gateway supporta ora anche il proxy TLS (protocollo TCP) e TLS (Transport Layer Security). Questa funzionalità è attualmente in anteprima pubblica. Per visualizzare in anteprima questa funzionalità, vedere Registrarsi all'anteprima.
Funzionalità proxy TLS/TCP in gateway applicazione
Come servizio proxy inverso, le operazioni di livello 4 di gateway applicazione funzionano in modo simile alle operazioni proxy di livello 7. Un client stabilisce una connessione TCP con gateway applicazione e gateway applicazione stessa avvia una nuova connessione TCP a un server back-end dal pool back-end. La figura seguente mostra un'operazione tipica.
Flusso di processo:
- Un client avvia una connessione TCP o TLS con il gateway applicazione usando l'indirizzo IP e il numero di porta del listener front-end. In questo modo viene stabilita la connessione front-end. Una volta stabilita la connessione, il client invia una richiesta usando il protocollo del livello applicazione richiesto.
- Il gateway applicazione stabilisce una nuova connessione con una delle destinazioni back-end dal pool back-end associato (formando la connessione back-end) e invia la richiesta client a tale server back-end.
- La risposta dal server back-end viene inviata al client dal gateway applicazione.
- La stessa connessione TCP front-end viene usata per le richieste successive dal client, a meno che il timeout di inattività TCP non chiuda tale connessione.
Confronto tra Azure Load Balancer e app Azure lication Gateway:
Prodotto | Type |
---|---|
Azure Load Balancer | Un servizio di bilanciamento del carico pass-through in cui un client stabilisce direttamente una connessione con un server back-end selezionato dall'algoritmo di distribuzione di Load Balancer. |
Gateway applicazione di Azure | Terminazione del servizio di bilanciamento del carico in cui un client stabilisce direttamente una connessione con gateway applicazione e viene avviata una connessione separata con un server back-end selezionato dall'algoritmo di distribuzione di gateway applicazione. |
Funzionalità
- Usare un singolo endpoint (IP front-end) per gestire carichi di lavoro HTTP e non HTTP. La stessa distribuzione del gateway applicazione può supportare protocolli di livello 7 e livello 4: HTTP(S), TCP o TLS. Tutti i client possono connettersi allo stesso endpoint e accedere a applicazioni back-end diverse.
- Usare un dominio personalizzato per far fronte a qualsiasi servizio back-end. Con il front-end per lo SKU gateway applicazione V2 come indirizzi IP pubblici e privati, è possibile configurare qualsiasi nome di dominio personalizzato in modo che punti al relativo indirizzo IP usando un record di indirizzo (A). Inoltre, con la terminazione TLS e il supporto per i certificati di un'autorità di certificazione privata (CA), è possibile garantire una connessione sicura nel dominio preferito.
- Usare un server back-end da qualsiasi posizione (Azure o locale). I back-end per il gateway applicazione possono essere:
- Risorse di Azure, ad esempio macchine virtuali IaaS, set di scalabilità di macchine virtuali o PaaS (servizio app, Hub eventi, SQL)
- Risorse remote, ad esempio server locali accessibili tramite FQDN o indirizzi IP
- Supportato per un gateway solo privato. Con il supporto del proxy TLS e TCP per distribuzioni di gateway applicazione private, è possibile supportare client HTTP e non HTTP in un ambiente isolato per una maggiore sicurezza.
Limiti
- Un gateway SKU WAF v2 consente la creazione di listener TLS o TCP e back-end per supportare il traffico HTTP e non HTTP attraverso la stessa risorsa. Tuttavia, non controlla il traffico nei listener TLS e TCP per individuare exploit e vulnerabilità.
- Il valore di timeout di svuotamento predefinito per i server back-end è 30 secondi. Attualmente, un valore di svuotamento definito dall'utente non è supportato.
- La conservazione ip client non è attualmente supportata.