Overzicht van TCP/TLS-proxy voor Application Gateway (preview)
Naast de bestaande laag 7-mogelijkheden (HTTP, HTTPS, WebSockets en HTTP/2) biedt Azure-toepassing Gateway nu ook ondersteuning voor layer 4-proxy's (TCP-protocol) en TLS (Transport Layer Security). Deze functie is momenteel beschikbaar als openbare preview-versie. Zie Registreren voor de preview als u een voorbeeld van deze functie wilt bekijken.
Mogelijkheden van TLS/TCP-proxy in Application Gateway
Als omgekeerde proxyservice werken de laag 4-bewerkingen van Application Gateway op dezelfde manier als de proxybewerkingen van Laag 7. Een client brengt een TCP-verbinding met Application Gateway tot stand en Application Gateway initieert zelf een nieuwe TCP-verbinding met een back-endserver vanuit de back-endpool. In de volgende afbeelding ziet u een typische bewerking.
Processtroom:
- Een client initieert een TCP- of TLS-verbinding met de toepassingsgateway met behulp van het IP-adres en poortnummer van de front-endlist. Hiermee wordt de front-endverbinding tot stand gebracht. Zodra de verbinding tot stand is gebracht, verzendt de client een aanvraag met behulp van het vereiste protocol voor de toepassingslaag.
- De toepassingsgateway brengt een nieuwe verbinding tot stand met een van de back-enddoelen van de gekoppelde back-endpool (die de back-endverbinding vormt) en verzendt de clientaanvraag naar die back-endserver.
- Het antwoord van de back-endserver wordt door de toepassingsgateway teruggestuurd naar de client.
- Dezelfde front-end-TCP-verbinding wordt gebruikt voor volgende aanvragen van de client, tenzij de time-out voor inactiviteit van TCP die verbinding sluit.
Azure Load Balancer vergelijken met Azure-toepassing Gateway:
| Product | Type |
|---|---|
| Azure-belastingsverdeling | Een passthrough-load balancer waarbij een client rechtstreeks een verbinding tot stand brengt met een back-endserver die is geselecteerd door het distributie-algoritme van de Load Balancer. |
| Azure Application Gateway | Het beëindigen van de load balancer waarbij een client rechtstreeks een verbinding tot stand brengt met Application Gateway en een afzonderlijke verbinding wordt gestart met een back-endserver die is geselecteerd door het distributie-algoritme van Application Gateway. |
Functies
- Gebruik één eindpunt (front-end-IP) voor HTTP- en niet-HTTP-workloads. Dezelfde implementatie van de toepassingsgateway kan ondersteuning bieden voor laag 7- en laag 4-protocollen: HTTP(S), TCP of TLS. Al uw clients kunnen verbinding maken met hetzelfde eindpunt en toegang krijgen tot verschillende back-endtoepassingen.
- Gebruik een aangepast domein om een back-endservice voor te stellen. Met de front-end voor de Application Gateway V2-SKU als openbare en privé-IP-adressen kunt u elke aangepaste domeinnaam configureren om het IP-adres te laten verwijzen met behulp van een adresrecord (A). Daarnaast kunt u met TLS-beëindiging en ondersteuning voor certificaten van een particuliere certificeringsinstantie (CA) een beveiligde verbinding garanderen op het domein van uw keuze.
- Gebruik een back-endserver vanaf elke locatie (Azure of on-premises). De back-ends voor de toepassingsgateway kunnen het volgende zijn:
- Azure-resources zoals virtuele IaaS-machines, virtuele-machineschaalsets of PaaS (App Services, Event Hubs, SQL)
- Externe resources, zoals on-premises servers die toegankelijk zijn via FQDN of IP-adressen
- Ondersteund voor een privégateway. Met TLS- en TCP-proxyondersteuning voor privétoepassingsgateway-implementaties kunt u HTTP- en niet-HTTP-clients ondersteunen in een geïsoleerde omgeving voor verbeterde beveiliging.
Beperkingen
- Met een WAF v2-SKU-gateway kan TLS- of TCP-listeners en back-ends worden gemaakt ter ondersteuning van HTTP- en niet-HTTP-verkeer via dezelfde resource. Het inspecteert echter geen verkeer op TLS- en TCP-listeners op aanvallen en beveiligingsproblemen.
- De standaard time-outwaarde voor het leegmaken van back-endservers is 30 seconden. Op dit moment wordt een door de gebruiker gedefinieerde leegloopwaarde niet ondersteund.
- Behoud van client-IP wordt momenteel niet ondersteund.