Panoramica del proxy TCP/TLS del gateway applicazione (anteprima)

Oltre alle funzionalità di livello 7 esistenti (HTTP, HTTPS, WebSockets e HTTP/2), il gateway applicazione di Azure supporta ora anche il proxy di livello 4 (protocollo TCP) e TLS (Transport Layer Security). Questa funzionalità è attualmente in anteprima pubblica. Per visualizzare in anteprima questa funzionalità, vedere Registrarsi all'anteprima.

Funzionalità proxy TLS/TCP nel gateway applicazione

Come servizio di proxy inverso, le operazioni di livello 4 del gateway applicazione funzionano in modo simile alle operazioni proxy del livello 7. Un client stabilisce una connessione TCP con il gateway applicazione e il gateway applicazione stesso avvia una nuova connessione TCP a un server back-end dal pool back-end. La figura seguente mostra il funzionamento tipico.

Flusso del processo:

1. Un client avvia una connessione TCP o TLS con il gateway applicazione usando l'indirizzo IP e il numero di porta del listener front-end. In questo modo viene stabilita la connessione front-end. Una volta stabilita la connessione, il client invia una richiesta usando il protocollo di livello applicazione richiesto.
2. Il gateway applicazione stabilisce una nuova connessione con una delle destinazioni di back-end dal pool back-end associato (formando la connessione di back-end) e invia la richiesta del client a tale server back-end.
3. La risposta del server back-end viene inviata al client dal gateway applicazione.
4. La stessa connessione TCP del front-end viene usata per le richieste successive del client, a meno che il timeout di inattività TCP non chiuda tale connessione.

Confronto tra Azure Load Balancer e il gateway applicazione di Azure:

Funzionalità

• Usare un singolo endpoint (IP front-end) per gestire carichi di lavoro HTTP e non HTTP. La stessa distribuzione di gateway applicazione può supportare protocolli di livello 7 e di livello 4: HTTP(S), TCP o TLS. Tutti i clienti possono connettersi allo stesso endpoint e accedere ad applicazioni back-end diverse.
• Usare un dominio personalizzato per gestire qualsiasi servizio back-end. Con il front-end per lo SKU V2 del gateway applicazione come indirizzi IP pubblici e privati, è possibile configurare qualsiasi nome di dominio personalizzato in modo che punti al relativo indirizzo IP usando un record di indirizzo (A). Inoltre, con la terminazione TLS e il supporto per i certificati di un'autorità di certificazione (CA) privata, è possibile garantire una connessione sicura nel dominio preferito.
• Usare un server back-end da qualsiasi posizione (Azure o locale). I back-end per il gateway applicazione possono essere:
  • Risorse di Azure come macchine virtuali IaaS, set di scalabilità di macchine virtuali o PaaS (Servizi app, Hub eventi, SQL)
  • Risorse remote, ad esempio server locali accessibili tramite FQDN o indirizzi IP
• Supportato per un gateway solo privato. Con il supporto del proxy TLS e TCP per le distribuzioni del gateway applicazione privato, è possibile supportare client HTTP e non HTTP in un ambiente isolato per una maggiore sicurezza.

Limiti

• Un gateway SKU WAF v2 consente la creazione di listener TLS o TCP e back-end per supportare il traffico HTTP e non HTTP attraverso la stessa risorsa. Tuttavia, non controlla il traffico nei listener TLS e TCP per individuare exploit e vulnerabilità.
• Il valore predefinito del timeout di svuotamento per i server back-end è di 30 secondi. Attualmente non è supportato un valore di svuotamento definito dall'utente.
• La conservazione IP client non è al momento supportata.
• Il controller in ingresso del gateway applicazione (AGIC) non è supportato e funziona solo con il proxy L7 tramite listener HTTP(S).

Passaggi successivi

• Configurare il proxy TCP/TLS del gateway applicazione di Azure
• Visitare le Domande frequenti