Overzicht van TCP/TLS-proxy voor Application Gateway (preview)

Naast de bestaande laag 7-mogelijkheden (HTTP, HTTPS, WebSockets en HTTP/2) biedt Azure-toepassing Gateway nu ook ondersteuning voor layer 4-proxy's (TCP-protocol) en TLS (Transport Layer Security). Deze functie is momenteel beschikbaar als openbare preview-versie. Zie Registreren voor de preview als u een voorbeeld van deze functie wilt bekijken.

Mogelijkheden van TLS/TCP-proxy in Application Gateway

Als omgekeerde proxyservice werken de laag 4-bewerkingen van Application Gateway op dezelfde manier als de proxybewerkingen van Laag 7. Een client brengt een TCP-verbinding met Application Gateway tot stand en Application Gateway initieert zelf een nieuwe TCP-verbinding met een back-endserver vanuit de back-endpool. In de volgende afbeelding ziet u een typische bewerking.

Processtroom:

1. Een client initieert een TCP- of TLS-verbinding met de toepassingsgateway met behulp van het IP-adres en poortnummer van de front-endlist. Hiermee wordt de front-endverbinding tot stand gebracht. Zodra de verbinding tot stand is gebracht, verzendt de client een aanvraag met behulp van het vereiste protocol voor de toepassingslaag.
2. De toepassingsgateway brengt een nieuwe verbinding tot stand met een van de back-enddoelen van de gekoppelde back-endpool (die de back-endverbinding vormt) en verzendt de clientaanvraag naar die back-endserver.
3. Het antwoord van de back-endserver wordt door de toepassingsgateway teruggestuurd naar de client.
4. Dezelfde front-end-TCP-verbinding wordt gebruikt voor volgende aanvragen van de client, tenzij de time-out voor inactiviteit van TCP die verbinding sluit.

Azure Load Balancer vergelijken met Azure-toepassing Gateway:

Product	Type
Azure-belastingsverdeling	Een passthrough-load balancer waarbij een client rechtstreeks een verbinding tot stand brengt met een back-endserver die is geselecteerd door het distributie-algoritme van de Load Balancer.
Azure Application Gateway	Het beëindigen van de load balancer waarbij een client rechtstreeks een verbinding tot stand brengt met Application Gateway en een afzonderlijke verbinding wordt gestart met een back-endserver die is geselecteerd door het distributie-algoritme van Application Gateway.

Functies

• Gebruik één eindpunt (front-end-IP) voor HTTP- en niet-HTTP-workloads. Dezelfde implementatie van de toepassingsgateway kan ondersteuning bieden voor laag 7- en laag 4-protocollen: HTTP(S), TCP of TLS. Al uw clients kunnen verbinding maken met hetzelfde eindpunt en toegang krijgen tot verschillende back-endtoepassingen.
• Gebruik een aangepast domein om een back-endservice voor te stellen. Met de front-end voor de Application Gateway V2-SKU als openbare en privé-IP-adressen kunt u elke aangepaste domeinnaam configureren om het IP-adres te laten verwijzen met behulp van een adresrecord (A). Daarnaast kunt u met TLS-beëindiging en ondersteuning voor certificaten van een particuliere certificeringsinstantie (CA) een beveiligde verbinding garanderen op het domein van uw keuze.
• Gebruik een back-endserver vanaf elke locatie (Azure of on-premises). De back-ends voor de toepassingsgateway kunnen het volgende zijn:
  • Azure-resources zoals virtuele IaaS-machines, virtuele-machineschaalsets of PaaS (App Services, Event Hubs, SQL)
  • Externe resources, zoals on-premises servers die toegankelijk zijn via FQDN of IP-adressen
• Ondersteund voor een privégateway. Met TLS- en TCP-proxyondersteuning voor privétoepassingsgateway-implementaties kunt u HTTP- en niet-HTTP-clients ondersteunen in een geïsoleerde omgeving voor verbeterde beveiliging.

Beperkingen

• Met een WAF v2-SKU-gateway kan TLS- of TCP-listeners en back-ends worden gemaakt ter ondersteuning van HTTP- en niet-HTTP-verkeer via dezelfde resource. Het inspecteert echter geen verkeer op TLS- en TCP-listeners op aanvallen en beveiligingsproblemen.
• De standaard time-outwaarde voor het leegmaken van back-endservers is 30 seconden. Op dit moment wordt een door de gebruiker gedefinieerde leegloopwaarde niet ondersteund.
• Behoud van client-IP wordt momenteel niet ondersteund.
• Application Gateway Ingress Controller (AGIC) wordt niet ondersteund en werkt alleen met L7-proxy via HTTP(S)-listeners.

Volgende stappen

• Azure-toepassing-gateway-TCP/TLS-proxy configureren
• Ga naar veelgestelde vragen (veelgestelde vragen)