應用程式閘道 TCP/TLS Proxy 概觀 (預覽)
除了現有的第 7 層功能(HTTP、HTTPS、WebSocket 和 HTTP/2),Azure 應用程式閘道 現在也支援第 4 層 (TCP 通訊協定) 和 TLS (傳輸層安全性) Proxy。 此功能目前處於公開預覽。 若要預覽這項功能,請參閱 註冊預覽。
應用程式閘道 上的 TLS/TCP Proxy 功能
作為反向 Proxy 服務,應用程式閘道 的第 4 層作業的運作方式與第 7 層 Proxy 作業類似。 用戶端會建立與 應用程式閘道 的 TCP 連線,應用程式閘道 本身會從後端集區起始與後端伺服器的新 TCP 連線。 下圖顯示一般作業。
流程:
- 用戶端會使用前端接聽程式的IP位址和埠號碼,來起始與應用程式閘道的TCP或TLS連線。 這會建立前端連線。 建立連線之後,用戶端會使用必要的應用層通訊協議來傳送要求。
- 應用程式閘道會從相關聯的後端集區與其中一個後端目標建立新的連線(形成後端連線),並將用戶端要求傳送至該後端伺服器。
- 來自後端伺服器的回應會由應用程式閘道傳回用戶端。
- 除非 TCP 閒置逾時關閉該連線,否則相同的前端 TCP 聯機會用於客戶端的後續要求。
比較 Azure Load Balancer 與 Azure 應用程式閘道:
| Products | 類型 |
|---|---|
| Azure Load Balancer | 傳遞負載平衡器,用戶端會直接建立與Load Balancer散發演算法所選取之後端伺服器的連線。 |
| Azure 應用程式閘道 | 終止負載平衡器,其中用戶端會直接建立與 應用程式閘道 的連線,並使用 應用程式閘道 散發演算法所選取的後端伺服器來起始個別連線。 |
功能
- 使用單一端點 (前端 IP) 來提供 HTTP 和非 HTTP 工作負載。 相同的應用程式閘道部署可以支援第7層和第4層通訊協定:HTTP(S)、TCP或TLS。 您的所有用戶端都可以連線到相同的端點,並存取不同的後端應用程式。
- 使用自訂網域來前端任何後端服務。 使用 應用程式閘道 V2 SKU 的前端作為公用和私人 IP 位址,您可以設定任何自訂功能變數名稱,以使用位址 (A) 記錄來指向其 IP 位址。 此外,透過 TLS 終止和支援私人證書頒發機構單位 (CA) 的憑證,您可以確保所選網域上的安全連線。
- 使用來自任何位置的後端伺服器(Azure 或內部部署)。 應用程式閘道的後端可以是:
- Azure 資源,例如 IaaS 虛擬機、虛擬機擴展集或 PaaS(App Services、事件中樞、SQL)
- 遠端資源,例如透過 FQDN 或 IP 位址存取的內部部署伺服器
- 支援僅限私人閘道。 透過私人 應用程式閘道 部署的 TLS 和 TCP Proxy 支援,您可以在隔離的環境中支援 HTTP 和非 HTTP 用戶端,以提高安全性。
限制
- WAF v2 SKU 閘道允許建立 TLS 或 TCP 接聽程式和後端,以支援透過相同資源的 HTTP 和非 HTTP 流量。 不過,它不會檢查 TLS 和 TCP 接聽程式上的流量是否有惡意探索和弱點。
- 後端伺服器的預設 清空逾時 值為30秒。 目前不支援使用者定義的清空值。
- 目前不支援用戶端 IP 保留。