Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Oprócz istniejących funkcji warstwy 7 (HTTP, HTTPS, WebSockets i HTTP/2), usługa Azure Application Gateway obsługuje teraz również serwery proxy warstwy 4 (TCP) i TLS (Transport Layer Security). Ta funkcja jest obecnie w publicznej wersji zapoznawczej. Aby wyświetlić podgląd tej funkcji, zobacz Rejestrowanie się w wersji zapoznawczej.
Możliwości serwera proxy TLS/TCP w usłudze Application Gateway
Jako usługa proxy typu reverse, operacje warstwy 4 w Application Gateway działają podobnie do operacji proxy na warstwie 7. Klient ustanawia połączenie TCP z usługą Application Gateway, a sama usługa Application Gateway inicjuje nowe połączenie TCP z serwerem zaplecza z puli zaplecza. Na poniższej ilustracji przedstawiono typową operację.
Przepływ procesu:
- Klient inicjuje połączenie TCP lub TLS z bramą aplikacyjną, używając adresu IP i numeru portu jej słuchacza frontowego. To ustanawia połączenie z frontendem. Po nawiązaniu połączenia klient wysyła żądanie przy użyciu wymaganego protokołu warstwy aplikacji.
- Brama aplikacji ustanawia nowe połączenie z jednym z obiektów docelowych zaplecza ze skojarzonej puli zaplecza (tworzącej połączenie zaplecza) i wysyła żądanie klienta do tego serwera zaplecza.
- Odpowiedź z serwera zaplecza jest wysyłana z powrotem do klienta przez bramę aplikacji.
- To samo przednie połączenie TCP jest używane dla kolejnych żądań od klienta, chyba że limit czasu bezczynności TCP zamyka to połączenie.
Porównanie usługi Azure Load Balancer z usługą Azure Application Gateway:
| Produkt | Typ |
|---|---|
| Azure Load Balancer | Równoważnik obciążenia typu pass-through, w którym klient nawiązuje bezpośrednie połączenie z serwerem backendowym wybranym przez algorytm rozdziału obciążenia. |
| Azure Application Gateway | Zakończenie modułu równoważenia obciążenia, w którym klient nawiązuje bezpośrednie połączenie z usługą Application Gateway, a oddzielne połączenie jest inicjowane z serwerem zaplecza wybranym przez algorytm dystrybucji usługi Application Gateway. |
Funkcje
- Użyj pojedynczego punktu końcowego (adresu IP frontonu) do obsługi obciążeń HTTP i innych niż HTTP. To samo wdrożenie bramy aplikacji może obsługiwać protokoły warstwy 7 i warstwy 4: HTTP,TCP lub TLS. Wszyscy klienci mogą łączyć się z tym samym punktem końcowym i uzyskiwać dostęp do różnych aplikacji zaplecza.
- Użyj domeny niestandardowej do kierowania ruchu do dowolnej usługi backendowej. Za pomocą frontonu dla jednostki SKU usługi Application Gateway w wersji 2 jako publicznych i prywatnych adresów IP można skonfigurować dowolną niestandardową nazwę domeny tak, aby wskazywała jej adres IP przy użyciu rekordu adresu (A). Ponadto dzięki zakończeniu protokołu TLS i obsłudze certyfikatów z prywatnego urzędu certyfikacji (CA) można zapewnić bezpieczne połączenie w wybranej domenie.
- Użyj serwera zaplecza z dowolnej lokalizacji (platforma Azure lub lokalna). Zaplecza dla bramy aplikacji mogą być następujące:
- Zasoby platformy Azure, takie jak maszyny wirtualne IaaS, zestawy skalowania maszyn wirtualnych lub PaaS (App Services, Event Hubs, SQL)
- Zasoby zdalne, takie jak serwery w siedzibie firmy dostępne za pośrednictwem nazwy FQDN lub adresów IP
- Obsługiwane w przypadku bramy prywatnej. Dzięki wsparciu dla TLS oraz proxy TCP dla prywatnych wdrożeń usługi Application Gateway możesz obsługiwać klientów HTTP i nie-HTTP w izolowanym środowisku, co zwiększa poziom bezpieczeństwa.
Ograniczenia
- Brama WAF v2 SKU umożliwia tworzenie odbiorników TLS lub TCP oraz zaplecza do obsługi ruchu HTTP oraz ruchu innego niż HTTP za pośrednictwem tego samego zasobu. Jednak nie sprawdza ruchu na odbiornikach TLS i TCP pod kątem exploitów i luk w zabezpieczeniach.
- Domyślna wartość limitu czasu opróżniania dla serwerów zaplecza wynosi 30 sekund. Obecnie wartość opróżniania zdefiniowana przez użytkownika nie jest obsługiwana.
- Aktualizacja konfiguracji (PUT) w usłudze Application Gateway kończy aktywne połączenia po domyślnym okresie opróżniania.
- Zachowywanie adresów IP klienta nie jest obecnie obsługiwane.
- Kontroler ruchu przychodzącego usługi Application Gateway (AGIC) nie jest obsługiwany i działa tylko z serwerem proxy L7 za pośrednictwem odbiorników HTTP(S).