TCP Passthrough, también conocido como 'TCP Proxy' o 'Layer 4 Load Balancing', es un método de reenvío de tráfico donde un dispositivo intermedio (como un balanceador de carga, firewall o proxy) reenvía paquetes TCP directamente entre un cliente y un servidor sin terminar la conexión TCP en el intermediario ni inspeccionar el contenido de la capa de aplicación (Capa 7). El intermediario solo modifica las direcciones IP de origen y/o destino en los encabezados de los paquetes IP para dirigir el tráfico al servidor backend adecuado, manteniendo la conexión TCP de extremo a extremo entre el cliente y el servidor real. Esto significa que el intermediario no realiza SSL/TLS termination, HTTP parsing, o cualquier otra lógica de aplicación.
En el mundo real, TCP Passthrough es ampliamente utilizado en escenarios donde la latencia es crítica, el cifrado de extremo a extremo es esencial, o cuando el balanceador de carga no necesita entender el protocolo de la capa de aplicación. Ejemplos concretos incluyen: AWS Network Load Balancer (NLB), que opera exclusivamente en la Capa 4 y ofrece TCP Passthrough de alto rendimiento; Google Cloud's Network TCP/UDP Load Balancing; y soluciones on-premise como HAProxy en modo 'tcp' o F5 BIG-IP LTM con Virtual Servers configurados para 'FastL4' o 'Performance (Layer 4)'. También es común en entornos de microservicios para balancear tráfico a bases de datos (ej. PostgreSQL, MySQL) o servicios gRPC que utilizan sus propios protocolos sobre TCP.
Para un arquitecto, TCP Passthrough es crucial por su eficiencia y transparencia. Ofrece menor latencia y mayor rendimiento al evitar la sobrecarga de procesamiento de la Capa 7. Es ideal para tráfico cifrado (como TLS/SSL) donde la terminación en el balanceador de carga no es deseada o posible, manteniendo la seguridad de extremo a extremo. Sin embargo, los trade-offs incluyen la falta de visibilidad a nivel de aplicación (no se pueden aplicar reglas basadas en HTTP headers o URL paths) y la imposibilidad de realizar funciones avanzadas como reescritura de URL, caching de contenido o Web Application Firewall (WAF) en el intermediario. La elección de TCP Passthrough frente a un balanceador de carga de Capa 7 depende de los requisitos específicos de rendimiento, seguridad, observabilidad y funcionalidad de la aplicación.