要终止客户端 SSL 连接,必须将 SSL 配置文件和 SSL 证书分配给虚拟服务。通过将多个 SSL 配置文件与单个虚拟服务相关联,NSX Advanced Load Balancer 可以满足客户端社区中更广泛的安全需求,并且它可以允许服务引擎根据客户端的 IP 地址进行选择。

有关设置 SSL/TLS 配置文件的基础知识的更多信息,请参见 SSL/TLS 配置文件一节。

配置 SSL/TLS 虚拟服务

必须为 SSL/TLS 虚拟服务配置某种基本 SSL 配置文件。该配置文件可能与每个 NSX Advanced Load Balancer 版本映像或定义的自定义映像附带的系统默认配置文件相同。不过,关键是该配置文件必须存在。(可选)要以自定义方式处理一些客户端社区,授权的用户可以定义一个或多个配置文件选择器并将其与虚拟服务相关联。它们的存在将在 NSX Advanced Load Balancer 中触发一种基于客户端 IP 地址的算法,并且可能会导致服务引擎采用基本 SSL 配置文件中定义的配置文件参数之外的参数。



配置文件选择器剖析

给定的虚拟服务可能具有多个配置文件选择器。不过,下图仅描述一个配置文件选择器。

  1. 客户端 IP 列表包含:

    1. IP 组引用:指向一个或多个 IP 组,并统一标识适用于 SSL 配置文件选择器的所有客户端。

    2. 匹配条件:控制在列表中是否存在,这会导致客户端采用选择器的 SSL 配置文件参数。

  2. SSL 配置文件引用(每个选择器恰好一个)是具有参数(例如 SSL/TLS 版本、SSL 超时、密码等)的 SSL 配置文件。



算法

  • 如果一个或多个配置文件选择器与虚拟服务相关联,NSX Advanced Load Balancer 将检查每个选择器,并尝试与客户端的 IP 地址进行匹配。由于选择器列表是按顺序排列的,因此,它可能会根据顺序生成不同的结果。

  • 在检查选择器时,如果没有将任何 SSL 配置文件分配给客户端,则应用基本 SSL 配置文件。