Az Application Gateway TCP/TLS-proxyjának áttekintése (előzetes verzió)

A meglévő 7. rétegbeli képességek (HTTP, HTTPS, WebSockets és HTTP/2) mellett az Azure-alkalmazás Gateway mostantól támogatja a 4. réteg (TCP protokoll) és a TLS (Transport Layer Security) proxyzást is. Ez a funkció jelenleg nyilvános előzetes verzióban érhető el. A funkció előzetes verziójának megtekintéséhez tekintse meg a Regisztráció az előzetes verzióra című témakört.

TLS-/TCP-proxyképességek az Application Gatewayen

Fordított proxyszolgáltatásként az Application Gateway 4. rétegbeli műveletei a 7. rétegbeli proxyműveleteihez hasonlóan működnek. Az ügyfél TCP-kapcsolatot létesít az Application Gatewayrel, és maga az Application Gateway kezdeményez egy új TCP-kapcsolatot egy háttérkiszolgálóhoz a háttérkészletből. Az alábbi ábra a tipikus műveletet mutatja be.

Folyamat:

1. Az ügyfél TCP- vagy TLS-kapcsolatot kezdeményez az Application Gatewayrel az előtérbeli figyelő IP-címének és portszámának használatával. Ez létrehozza az előtérbeli kapcsolatot. A kapcsolat létrejötte után az ügyfél egy kérést küld a szükséges alkalmazásréteg-protokoll használatával.
2. Az Application Gateway új kapcsolatot létesít a társított háttérkészlet egyik háttérpéldányával (a háttérkapcsolatot alkotva), és elküldi az ügyfélkérést a háttérkiszolgálónak.
3. A háttérkiszolgáló válaszát az application gateway küldi vissza az ügyfélnek.
4. A rendszer ugyanazt az előtérbeli TCP-kapcsolatot használja az ügyfél későbbi kéréseihez, kivéve, ha a TCP üresjárati időtúllépése bezárja a kapcsolatot.

Az Azure Load Balancer és Azure-alkalmazás Gateway összehasonlítása:

Funkciók

• Használjon egyetlen végpontot (előtérbeli IP-címet) HTTP- és nem HTTP-számítási feladatok kiszolgálásához. Ugyanez az Application Gateway-telepítés támogatja a 7. és a 4. rétegbeli protokollokat: HTTP(S), TCP vagy TLS. Minden ügyfél ugyanahhoz a végponthoz csatlakozhat, és különböző háttéralkalmazásokhoz férhet hozzá.
• Használjon egyéni tartományt a háttérszolgáltatás előtt. Az Application Gateway V2 termékváltozatának előtere nyilvános és magánhálózati IP-címként konfigurálható úgy, hogy bármely egyéni tartománynév egy címrekorddal (A) mutasson az IP-címére. Emellett a TLS megszüntetésével és a magán hitelesítésszolgáltatótól (CA) származó tanúsítványok támogatásával biztonságos kapcsolatot biztosíthat a választott tartományhoz.
• Használjon háttérkiszolgálót bármilyen helyről (Azure-ból vagy helyszíniről). Az Application Gateway háttérrendszerei a következőek lehetnek:
  • Azure-erőforrások, például IaaS virtuális gépek, virtuálisgép-méretezési csoportok vagy PaaS (App Services, Event Hubs, SQL)
  • Távoli erőforrások, például a teljes tartománynévvel vagy IP-címekkel elérhető helyszíni kiszolgálók
• Csak privát átjárók esetén támogatott. A privát Application Gateway-környezetek TLS- és TCP-proxytámogatásával a http- és nem HTTP-ügyfeleket elszigetelt környezetben is támogathatja a fokozott biztonság érdekében.

Korlátozások

• A WAF v2 termékváltozat-átjáró lehetővé teszi TLS- vagy TCP-figyelők és háttérrendszerek létrehozását, amelyek támogatják a HTTP- és nem HTTP-forgalmat ugyanazon az erőforráson keresztül. Azonban nem vizsgálja meg a TLS- és TCP-figyelők forgalmát a biztonsági rések és a biztonsági rések szempontjából.
• A háttérkiszolgálók alapértelmezett kiürítési időtúllépési értéke 30 másodperc. Jelenleg a felhasználó által definiált ürítési érték nem támogatott.
• Az ügyfél IP-címének megőrzése jelenleg nem támogatott.
• Az Application Gateway Bejövőforgalom-vezérlő (AGIC) nem támogatott, és csak L7-proxyval működik HTTP(S) figyelőkkel.

Következő lépések

• Azure-alkalmazás Átjáró TCP/TLS-proxyjának konfigurálása
• Gyakori kérdések (gyakori kérdések) megtekintése