Omówienie serwera proxy TCP/TLS usługi Application Gateway (wersja zapoznawcza)

Oprócz istniejących funkcji warstwy 7 (HTTP, HTTPS, WebSockets i HTTP/2), brama aplikacja systemu Azure obsługuje teraz również serwery proxy warstwy 4 (TCP) i TLS (Transport Layer Security). Ta funkcja jest obecnie w publicznej wersji zapoznawczej. Aby wyświetlić podgląd tej funkcji, zobacz Rejestrowanie się w wersji zapoznawczej.

Możliwości serwera proxy TLS/TCP w usłudze Application Gateway

Jako usługa zwrotnego serwera proxy operacje warstwy 4 usługi Application Gateway działają podobnie jak w przypadku operacji serwera proxy warstwy 7. Klient ustanawia połączenie TCP z usługą Application Gateway, a sama usługa Application Gateway inicjuje nowe połączenie TCP z serwerem zaplecza z puli zaplecza. Na poniższej ilustracji przedstawiono typową operację.

Przepływ procesu:

1. Klient inicjuje połączenie TCP lub TLS z bramą aplikacji przy użyciu adresu IP i numeru portu odbiornika frontonu. Spowoduje to nawiązanie połączenia frontonu. Po nawiązaniu połączenia klient wysyła żądanie przy użyciu wymaganego protokołu warstwy aplikacji.
2. Brama aplikacji ustanawia nowe połączenie z jednym z obiektów docelowych zaplecza ze skojarzonej puli zaplecza (tworzącej połączenie zaplecza) i wysyła żądanie klienta do tego serwera zaplecza.
3. Odpowiedź z serwera zaplecza jest wysyłana z powrotem do klienta przez bramę aplikacji.
4. To samo połączenie TCP frontonu jest używane dla kolejnych żądań od klienta, chyba że limit czasu bezczynności PROTOKOŁU TCP zamyka to połączenie.

Porównanie usługi Azure Load Balancer z usługą aplikacja systemu Azure Gateway:

Funkcje

• Użyj pojedynczego punktu końcowego (adresu IP frontonu) do obsługi obciążeń HTTP i innych niż HTTP. To samo wdrożenie bramy aplikacji może obsługiwać protokoły warstwy 7 i warstwy 4: HTTP,TCP lub TLS. Wszyscy klienci mogą łączyć się z tym samym punktem końcowym i uzyskiwać dostęp do różnych aplikacji zaplecza.
• Użyj domeny niestandardowej do frontonu dowolnej usługi zaplecza. Za pomocą frontonu dla jednostki SKU usługi Application Gateway w wersji 2 jako publicznych i prywatnych adresów IP można skonfigurować dowolną niestandardową nazwę domeny tak, aby wskazywała jej adres IP przy użyciu rekordu adresu (A). Ponadto dzięki zakończeniu protokołu TLS i obsłudze certyfikatów z prywatnego urzędu certyfikacji (CA) można zapewnić bezpieczne połączenie w wybranej domenie.
• Użyj serwera zaplecza z dowolnej lokalizacji (platforma Azure lub lokalna). Zaplecza dla bramy aplikacji mogą być następujące:
  • Zasoby platformy Azure, takie jak maszyny wirtualne IaaS, zestawy skalowania maszyn wirtualnych lub PaaS (App Services, Event Hubs, SQL)
  • Zasoby zdalne, takie jak serwery lokalne dostępne za pośrednictwem nazwy FQDN lub adresów IP
• Obsługiwane w przypadku bramy tylko do użytku prywatnego. Dzięki obsłudze protokołu TLS i serwera proxy TCP dla wdrożeń usługi Application Gateway można obsługiwać klientów HTTP i innych niż HTTP w izolowanym środowisku w celu zapewnienia zwiększonych zabezpieczeń.

Ograniczenia

• Brama jednostki SKU zapory aplikacji internetowej w wersji 2 umożliwia tworzenie odbiorników TLS lub TCP i zapleczy do obsługi ruchu HTTP i innego niż HTTP za pośrednictwem tego samego zasobu. Jednak nie sprawdza ruchu na odbiornikach TLS i TCP pod kątem luk w zabezpieczeniach i luk w zabezpieczeniach.
• Domyślna wartość limitu czasu opróżniania dla serwerów zaplecza wynosi 30 sekund. Obecnie wartość opróżniania zdefiniowana przez użytkownika nie jest obsługiwana.
• Zachowywanie adresów IP klienta nie jest obecnie obsługiwane.

Następne kroki

• Konfigurowanie serwera proxy TCP/TLS bramy aplikacja systemu Azure
• Odwiedź stronę często zadawanych pytań (często zadawane pytania)