NSX Advanced Load Balancer 支持终止 SSL 和 TLS 加密的 HTTPS 流量。除非另有说明,否则,可以在整个文档中互换使用 SSL 和 TLS 名称。
通过将 NSX Advanced Load Balancer 作为 SSL 端点,它可以保持对流量的完全可见性,并且还可以应用高级流量转向、安全性和加速功能。SSL 支持以下部署架构:
无:SSL 流量作为直通流量(第 4 层)进行处理,即,流经 NSX Advanced Load Balancer 而不终止加密的流量。
客户端:从客户端到 NSX Advanced Load Balancer 的流量是加密的,并使用未加密的 HTTP 传送到后端服务器。
服务器端:从客户端到 NSX Advanced Load Balancer 的流量是未加密的 HTTP,并使用加密的 HTTPS 传送到后端服务器。
两者:从客户端到 NSX Advanced Load Balancer 的流量经过加密并在 NSX Advanced Load Balancer 中终止,然后重新加密流量以传送到后端服务器。
拦截:终止客户端 SSL 流量,以未加密形式通过线路发送流量以进行拦截,然后加密流量以传送到目标服务器。
配置 SSL/TLS 终止
NSX Advanced Load Balancer 支持多种架构以终止 SSL 流量。对于客户端到 NSX Advanced Load Balancer 的 SSL,配置是在虚拟服务页面上完成的。对于 NSX Advanced Load Balancer 到服务器的 SSL 加密,可以编辑池以进行配置。无论哪种情况,都必须为虚拟服务或池配置 SSL 配置文件和 SSL 证书,如下一节所述。
虚拟服务配置
SSL 配置文件
配置文件包含 SSL 终止的连接的设置。这包括支持的密码及其优先级、支持的 SSL/TLS 版本以及一些其他选项的列表。
配置较高的 SSL 密码强度
SSL 证书
SSL 证书提供给客户端以对应用程序进行身份验证。可以同时为虚拟服务配置两个证书,RSA 和椭圆曲线加密 (Elliptic Curve Cryptography, ECC) 各一个证书。还可以使用证书对 NSX Advanced Load Balancer 到后端服务器的流量进行身份验证。
SSL 性能
SSL 终止的流量性能取决于分配给 NSX Advanced Load Balancer SE 的底层硬件、可用于处理虚拟服务的 SE 数量以及协商的证书和密码设置。通常,每个 vCPU 内核每秒可以处理大约 1000 个 RSA 2k 事务 (TPS) 或 2500 个 ECC SSL TPS。vCPU 内核可以实现大约 1gb/s 的 SSL 吞吐量。SSL 终止的并发连接的成本比直接 HTTP 或第 4 层连接高,并且可能需要使用更多内存以保持高并发性。
请参见:
