[新产品/新功能] Azure Application Gateway 正式支持 TLS 和 TCP 协议终止

**发布时间:** 2025-11-19 **厂商:** Azure **类型:** Updates ---  [新产品/新功能] Azure Application Gateway 正式支持 TLS 和 TCP 协议终止   # 产品功能分析 ## 新功能/新产品概述 Azure Application Gateway 正式发布了对 **TLS** 和 **TCP** 协议终止的全面支持。此功能标志着 Application Gateway 从一个纯粹的 **HTTP(S)** 七层负载均衡器，演进为一个能够处理 **L4** (传输层) 和 **L7** (应用层) 流量的统一代理网关。其核心工作原理是，网关作为客户端和后端服务器之间的代理，会终止（Terminate）客户端发起的 **TCP** 或 **TLS** 连接，并与后端服务器建立一个新的连接。对于 **TLS** 流量，网关会负责处理 **TLS握手**、解密流量，然后将数据转发给后端。 - **产品背景**：此前，Azure 用户需要为 **HTTP(S)** 流量使用 Application Gateway，而为 **TCP** 等非HTTP流量使用 Azure Load Balancer (L4) 或第三方解决方案。此次更新旨在简化云上网络架构，提供一个统一的流量入口。 - **目标用户群**：需要同时处理 Web 流量和非 Web (如数据库、消息队列、SSH/SFTP) 流量的企业。特别是那些希望在网关层集中执行安全策略、证书管理和负载均衡的开发与运维团队。 - **市场定位**：此功能使 Azure Application Gateway 的能力与 AWS 的 Application Load Balancer (ALB) + Network Load Balancer (NLB) 组合或 Google Cloud 的多协议负载均衡器对齐，旨在成为 Azure 平台上功能更全面的托管入口网关解决方案。 ## 关键客户价值 - **统一流量管理与架构简化** - **业务价值**：客户不再需要为不同类型的协议部署和维护多个负载均衡器。通过在单一 Application Gateway 实例上同时配置 **HTTP(S)**、**TLS** 和 **TCP** 监听器，可以显著降低架构复杂性、管理开销和运营成本。 - **差异化优势**：与仅提供 L4 转发的传统负载均衡器不同，Application Gateway 在处理 **TCP/TLS** 流量时，依然可以利用其平台优势，如集成的监控、诊断和高可用性。 - **集中式 TLS 证书管理** - **业务价值**：将 **TLS** 证书的管理从成百上千的后端服务器卸载到网关层。运维团队只需在 Application Gateway 上管理一套证书，即可为所有后端服务提供加密，极大地简化了证书的部署、续订和轮换流程，降低了安全风险。 - **实现机制**：Application Gateway 作为一个统一的客户端入口点，集中处理所有 **TLS** 握手和加解密操作。这被称为 **TLS 卸载 (TLS Offloading)**，可以有效降低后端服务器的计算负载。 - **保留后端服务的可观测性** - **业务价值**：通过支持 **PROXY协议**，后端应用能够获取到真实的客户端IP地址，而非网关的IP。这对于日志记录、安全审计、访问控制策略以及基于地理位置的业务逻辑至关重要。 - **差异化优势**：在传统的代理模式下，源IP丢失是一个常见痛点。对 **PROXY协议** 的原生支持解决了这个问题，使得 Application Gateway 在作为 **TCP/TLS** 代理时，依然能为后端应用提供完整的客户端上下文信息，这是许多简单代理或负载均衡器不具备的关键能力。 - **扩展应用场景支持** - **业务价值**：新增对端口22的监听支持，意味着 Application Gateway 现在可以用于负载均衡和保护 **SFTP** 或 **SSH** 等管理协议的流量。这为需要统一管理堡垒机、Git 服务器或安全文件传输服务的场景提供了便利。 ## 关键技术洞察 - **从纯 L7 到 L4/L7 混合代理的演进** - **技术独特性**：Application Gateway 的底层架构已扩展，使其能够基于监听器配置，智能地区分并处理不同协议的流量。它不再仅仅是一个 **HTTP反向代理**，而是一个能够同时执行 **TCP流代理** 和 **HTTP请求处理** 的混合模式网关。 - **工作原理**：当流量进入配置为 **TCP/TLS** 协议的监听器时，网关会启动 L4 代理逻辑，进行连接终止和转发。当流量进入 **HTTP(S)** 监听器时，则沿用其成熟的 L7 代理引擎，进行URL路由、Header重写等操作。 - **客户端IP保留的实现方式** - **技术独特性**：_通过支持 **PROXY协议 v2** 来保留客户端源IP_。 - **工作原理**：**PROXY协议** 是一种标准化的协议，它允许代理在转发TCP连接时，在TCP数据流的开头插入一个包含原始连接信息（如源/目标IP和端口）的头部。当 Application Gateway 与后端服务器建立新连接时，它会注入这个头部。后端服务（如 Nginx、HAProxy 或自定义应用）只需启用对 **PROXY协议** 的解析，即可透明地获取到真实的客户端IP地址。 - **TLS 卸载与性能优化** - **技术独特性**：在网关层面集中进行 **TLS** 加解密处理。 - **影响**：**TLS** 握手和数据加解密是计算密集型操作。将这部分负载从后端服务器转移到专用的网关硬件/软件上，可以显著降低后端服务器的CPU消耗，使其能够专注于核心业务逻辑，从而提升应用的整体吞吐量和响应性能。 ## 其他信息 - **SKU 依赖性**：该功能仅在 Application Gateway Standard v2 和 WAF v2 SKU 上可用。这表明其实现依赖于 v2 SKU 更现代化和高性能的软件定义网络（SDN）底层架构，旧的 v1 SKU 无法支持。这也成为推动客户从 v1 迁移到 v2 的一个重要驱动力。   # 正式发布：Azure Application Gateway 支持 TLS 和 TCP 协议终止 **发布时间:** 2025-11-19 **厂商:** Azure **类型:** 产品更新 --- Azure Application Gateway 现已正式支持传输层安全性 (TLS) 和传输控制协议 (TCP) 协议终止。此项增强功能使您能够为依赖 TCP 或 TLS 协议的应用程序进行负载均衡并安全地处理非 HTTP(S) 流量。该网关在代理处终止传入连接，并与后端服务器建立新连接。单个资源上可同时为 HTTPS 和 TLS 协议提供 TLS 证书管理，从而简化证书操作并为客户端提供统一的端点。在此次发布中，TLS/TCP 代理还支持通过 PROXY 协议头实现 [客户端 IP 保留 (Client IP preservation)](https://learn.microsoft.com/azure/application-gateway/proxy-protocol-header) ，并支持在侦听器上使用 22 端口。该功能适用于 Application Gateway Standard v2 和 WAF v2 SKU。 [了解更多](https://learn.microsoft.com/azure/application-gateway/tcp-tls-proxy-overview) 。