Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Utöver de befintliga Layer 7-funktionerna (HTTP, HTTPS, WebSockets och HTTP/2) stöder Azure Application Gateway nu även layer 4-proxy (TCP-protokoll) och TLS-proxy (Transport Layer Security). Den här funktionen är för närvarande i offentlig förhandsversion. Information om hur du förhandsgranskar den här funktionen finns i Registrera dig för förhandsversionen.
TLS/TCP-proxyfunktioner på Application Gateway
Som en omvänd proxytjänst fungerar Layer 4-åtgärderna i Application Gateway ungefär som dess Layer 7-proxyåtgärder. En klient upprättar en TCP-anslutning med Application Gateway och själva Application Gateway initierar en ny TCP-anslutning till en backendserver från backendpoolen. Följande bild visar typisk åtgärd.
Processflöde:
- En klient initierar en TCP- eller TLS-anslutning med programgatewayen med hjälp av klientdelslyssnarens IP-adress och portnummer. Detta upprättar frontendanslutningen. När anslutningen har upprättats skickar klienten en begäran med hjälp av det nödvändiga protokollet för programskiktet.
- Applikationsgatewayen upprättar en ny anslutning med ett av bakgrundsmålen från den associerade bakgrundspoolen (som utgör bakgrundsanslutningen) och skickar klientbegäran till servern.
- Svaret från backend-servern skickas tillbaka till klienten av applikationsgatewayn.
- Samma klientdels-TCP-anslutning används för efterföljande begäranden från klienten om inte tidsgränsen för TCP-inaktivitet stänger anslutningen.
Jämföra Azure Load Balancer med Azure Application Gateway:
| Produkt | Typ |
|---|---|
| Azure Load Balancer | En genomkopplingslastbalanserare där en klient direkt upprättar en anslutning med en bakomliggande server som valts av lastbalanserarens distributionsalgoritm. |
| Azure Application Gateway | Avsluta lastbalanseraren där en klient direkt upprättar en anslutning till Application Gateway och en separat anslutning initieras med en serverdelsserver som valts av Application Gateways distributionsalgoritm. |
Azure Application Gateway (TLS/TCP-proxy)
- Typ – Terminerande proxy för lager-4.
- Protokoll – stöder TCP- eller TLS-protokoll.
- Mångsidighet – Använd en enskild slutpunkt (klientdels-IP) för att hantera HTTP- och icke-HTTP-arbetsbelastningar.
- Skalning – Konfigurera automatisk skalning (upp till 125 instanser) för att hantera din TCP- och TLS-trafik.
- Säkerhet via TLS-avslutning – Förenkla säkerheten med centraliserad TLS-avslutning och certifikathantering som säkerställer konsekvent efterlevnad i alla program, inklusive icke-HTTP-arbetsbelastningar. Integreras sömlöst med Azure Key Vault för säker certifikathantering.
- Serverdelstyper – Anslut dina program flexibelt till serverdelar var som helst. inom samma virtuella nätverk, mellan peerkopplade virtuella nätverk, via fjärranslutna FQDN eller IP-adresser, eller till och med via hybridanslutning till dina lokala servrar.
Azure Load Balancer (belastningsutjämnare)
- Typ – Layer-4-direktnätverksenhet.
- Protokoll – stöder TCP- eller UDP-protokoll.
- Prestanda – ger låg svarstid och högt dataflöde. Skapad för miljontals samtidiga anslutningar med svarstid på mikrosekunder.
- Skalning – Hanterar långvariga anslutningar och skalar upp till miljontals flöden för alla TCP- och UDP-program.
- Inkommande och utgående – Azure Load Balancer ger fullständig trafikkontroll med både inkommande och utgående funktioner. Anslut sömlöst externa klienter till dina program, samtidigt som dina serverdelsinstanser kan nå Internet och andra tjänster på ett säkert sätt.
- Direkt serverretur – För returtrafiken skickar serverdelsinstansen svarspaketet direkt tillbaka till klientens IP-adress, vilket minskar svarstiden och förbättrar prestandan.
Egenskaper
- Använd en enskild slutpunkt (klientdels-IP) för att hantera HTTP- och icke-HTTP-arbetsbelastningar. Samma distribution av programgatewayen har stöd för Layer 7- och Layer 4-protokoll: HTTP(S), TCP eller TLS. Alla dina klienter kan ansluta till samma slutpunkt och komma åt olika serverdelsprogram.
- Använd en anpassad domän för att fronta alla serverdelstjänster. Med klientdelen för Application Gateway V2 SKU som offentliga och privata IP-adresser kan du konfigurera alla anpassade domännamn för att peka dess IP-adress med hjälp av en adresspost (A). Med TLS-avslutning och stöd för certifikat från en privat certifikatutfärdare kan du dessutom säkerställa en säker anslutning på valfri domän.
- Använd en backendserver från valfri plats (Azure eller lokal server). Backend-servrarna för applikationsgatewayen kan vara:
- Azure-resurser som virtuella IaaS-datorer, VM-skalningsuppsättningar eller PaaS (App Services, Event Hubs, SQL)
- Fjärrresurser som lokala servrar som är tillgängliga via FQDN eller IP-adresser
- Stöds för en privat gateway. Med TLS- och TCP-proxystöd för privata Application Gateway-distributioner kan du stödja HTTP- och icke-HTTP-klienter i en isolerad miljö för ökad säkerhet.
Begränsningar
- En WAF v2 SKU-gateway gör det möjligt att skapa TLS- eller TCP-lyssnare och serverdelar för att stödja HTTP- och icke-HTTP-trafik via samma resurs. Den inspekterar dock inte trafiken på TLS- och TCP-lyssnare för exploateringar och sårbarheter.
- Standardvärdet för dräneringstidsgräns för bakåtdelsservrar är 30 sekunder. För närvarande stöds inte ett användardefinierat tömningsvärde.
- En konfigurationsuppdatering (PUT) på Application Gateway avslutar de aktiva anslutningarna efter den förvalda tidsgränsen för tömning.
- Klient-IP-bevarande stöds för närvarande inte.
- Application Gateway Ingress Controller (AGIC) stöds inte och fungerar endast med L7-proxy via HTTP(S) lyssnare.