Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Além dos recursos existentes da Camada 7 (HTTP, HTTPS, WebSockets e HTTP/2), o Gateway de Aplicativo do Azure agora também dá suporte ao proxy de Camada 4 (protocolo TCP e protocolo TLS).
Recursos de proxy TLS/TCP no Gateway de Aplicativo
Como um serviço de proxy reverso, as operações de Camada 4 do Gateway de Aplicativo funcionam de forma semelhante às operações de proxy de Camada 7. Um cliente estabelece uma conexão TCP com o Gateway de Aplicativo, e o próprio Gateway de Aplicativo inicia uma nova conexão TCP com um servidor de back-end do pool de back-end. A figura a seguir mostra a operação típica.
Fluxo do processo:
- Um cliente inicia uma conexão TCP ou TLS com o gateway de aplicativo usando o endereço IP e o número da porta do ouvinte de front-end. Isso estabelece a conexão de front-end. Depois que a conexão é estabelecida, o cliente envia uma solicitação usando o protocolo de camada de aplicativo necessário.
- O gateway de aplicativo estabelece uma nova conexão com um dos destinos de back-end do pool de back-end associado (formando a conexão de back-end) e envia a solicitação do cliente para esse servidor de back-end.
- A resposta do servidor de back-end é enviada de volta ao cliente pelo gateway de aplicativo.
- A mesma conexão TCP de front-end é utilizada para solicitações seguintes do cliente, a menos que o tempo limite de inatividade TCP feche essa conexão.
Comparação do Azure Load Balancer com o Gateway de Aplicativo do Azure:
| Produto | Tipo |
|---|---|
| Azure Load Balancer | Um balanceador de carga de passagem em que um cliente estabelece diretamente uma conexão com um servidor de back-end selecionado pelo algoritmo de distribuição do Load Balancer. |
| Gateway de Aplicativo do Azure | Encerrando o balanceador de carga em que um cliente estabelece diretamente uma conexão com o Gateway de Aplicativo e uma conexão separada é iniciada com um servidor de back-end selecionado pelo algoritmo de distribuição do Gateway de Aplicativo. |
Azure Application Gateway (proxy TLS/TCP)
- Tipo – Proxy de terminação de camada 4.
- Protocolos – dá suporte a protocolos TCP ou TLS.
- Versatilidade – Use um único ponto de extremidade (IP frontend) para suportar cargas de trabalho HTTP e não HTTP.
- Dimensionamento – configurar o dimensionamento automático (até 125 instâncias) para atender ao tráfego TCP e TLS.
- Segurança por meio da terminação TLS – Simplifique a segurança com o gerenciamento de certificados e terminação do TLS centralizado, garantindo a conformidade consistente em todos os aplicativos, incluindo cargas de trabalho não HTTP. Integra-se perfeitamente ao Azure Key Vault para gerenciamento seguro de certificados.
- Tipos de back-end - Conecte seus aplicativos de maneira flexível a back-ends em qualquer lugar; na mesma Rede Virtual, entre redes virtuais emparelhadas, por FQDNs ou IPs remotos ou até mesmo pela conectividade híbrida aos seus servidores locais.
Azure Load Balancer
- Tipo – dispositivo de rede transpassável de camada 4.
- Protocolos – dá suporte a protocolos TCP ou UDP.
- Desempenho – Fornece baixa latência e alta taxa de transferência. Criado para milhões de conexões simultâneas com latência de nível de microssegundos.
- Dimensionamento - Lida com conexões de longa duração e escala até milhões de fluxos para todas os aplicativos TCP e UDP.
- Entrada e saída – o Azure Load Balancer fornece controle de tráfego completo com recursos de entrada e saída. Conecte perfeitamente clientes externos aos seus aplicativos, ao mesmo tempo em que permite que suas instâncias de back-end acessem com segurança a Internet e outros serviços.
- Retorno direto do servidor – para o tráfego de retorno, a instância de back-end envia o pacote de resposta diretamente de volta para o endereço IP do cliente, reduzindo a latência e melhorando o desempenho.
Recursos
- Use um único ponto de extremidade (IP de front-end) para atender cargas de trabalho HTTP e não HTTP. A mesma implantação de gateway de aplicativo pode dar suporte a protocolos de Camada 7 e Camada 4: HTTP(S), TCP ou TLS. Todos os clientes podem se conectar ao mesmo ponto de extremidade e acessar diferentes aplicativos de back-end.
- Use um domínio personalizado para fazer frente a qualquer serviço de back-end. Com o front-end do SKU do Gateway de Aplicativo V2 como endereços IP públicos e privados, é possível configurar qualquer nome de domínio personalizado para apontar seu endereço IP usando um registro de endereço (A). Além disso, com a terminação TLS e o suporte a certificados de uma AC (autoridade de certificação) privada, você pode garantir uma conexão segura no domínio de sua escolha.
- Use um servidor back-end de qualquer local (Azure ou Local). Os back-ends do gateway de aplicativo podem ser:
- Recursos do Azure, como máquinas virtuais IaaS, conjuntos de dimensionamento de máquinas virtuais ou PaaS (Serviços de Aplicativos, Hubs de Eventos, SQL)
- Recursos remotos, como servidores locais acessíveis por meio de FQDN ou endereços IP
- Com suporte para um gateway somente privado. Com o suporte a proxy TLS e TCP para implantações privadas do Gateway de Aplicativo, você pode dar suporte a clientes HTTP e não HTTP em um ambiente isolado para aumentar a segurança.
Limitações
- Um gateway de SKU WAF v2 permite a criação de ouvintes e back-ends TLS ou TCP para dar suporte ao tráfego HTTP e não HTTP por meio do mesmo recurso. No entanto, ele não inspeciona o tráfego em ouvintes TLS e TCP em busca de explorações e vulnerabilidades.
- O valor de tempo limite de drenagem padrão para servidores de back-end é de 30 segundos. No momento, não há suporte para um valor de drenagem definido pelo usuário.
- Uma atualização de configuração (PUT) no Gateway de Aplicativo encerra as conexões ativas após o período de tempo limite de esvaziamento padrão.
- O AGIC (Controlador de Entrada do Gateway de Aplicativo) não tem suporte e funciona somente com proxy L7 por meio de ouvintes HTTP(S).