本节介绍了使用 NSX Advanced Load Balancer CLI 的配置过程。
下面的示例将一个 SSL 配置文件选择器添加到名为 vs-1 的已有 VS 中。
客户端 IP 列表是名为 Internal 和 Ip-grp-2 的已有 IP 组的组合。必须根据流量流和 SSL 算法要求提前预配置这两个组和 ssl_profile_ref(在该示例中命名为 sslprofile-2)。
注:
为简洁起见,移除了一些输出行。
<pre><code>[admin:10-160-3-76]: > configure virtualservice vs-1
Updating an existing object. Currently, the object is:
+------------------------------------+-----------------------------------------------------+
| Field | Value |
+------------------------------------+-----------------------------------------------------+
| uuid | virtualservice-08ba76c3-faab-430d-86db-a4d9703effa4 |
| name | vs-1 |
| enabled | True |
| services[1] | |
| port | 80 |
| enable_ssl | False |
| port_range_end | 80 |
| services[2] | |
| port | 443 |
| enable_ssl | True |
| port_range_end | 443 |
| application_profile_ref | System-HTTP |
| network_profile_ref | System-TCP-Proxy |
| pool_ref | vs-1-pool |
| se_group_ref | Default-Group |
| network_security_policy_ref | vs-vs-1-Default-Cloud-ns |
| http_policies[1] | |
| index | 11 |
| http_policy_set_ref | vs-1-Default-Cloud-HTTP-Policy-Set-0 |
| ssl_key_and_certificate_refs[1] | System-Default-Cert |
| ssl_profile_ref | System-Standard |
.
.
.
| vip[1] | |
| vip_id | 1 |
| ip_address | 10.160.221.250 |
| enabled | True |
| auto_allocate_ip | False |
| auto_allocate_floating_ip | False |
| avi_allocated_vip | False |
| avi_allocated_fip | False |
| auto_allocate_ip_type | V4_ONLY |
| vsvip_ref | vsvip-vs-1-Default-Cloud |
| use_vip_as_snat | False |
| traffic_enabled | True |
| allow_invalid_client_cert | False |
+------------------------------------+-----------------------------------------------------+
[admin:10-160-3-76]: virtualservice> ssl_profile_selectors
New object being created
[admin:10-160-3-76]: virtualservice:ssl_profile_selectors> client_ip_list
[admin:10-160-3-76]: virtualservice:ssl_profile_selectors:client_ip_list> match_criteria is_in
[admin:10-160-3-76]: virtualservice:ssl_profile_selectors:client_ip_list> group_refs Internal
[admin:10-160-3-76]: virtualservice:ssl_profile_selectors:client_ip_list> group_refs Ip-grp-2
[admin:10-160-3-76]: virtualservice:ssl_profile_selectors:client_ip_list> save
[admin:10-160-3-76]: virtualservice:ssl_profile_selectors> ssl_profile_ref sslprofile-2
[admin:10-160-3-76]: virtualservice:ssl_profile_selectors> save
[admin:10-160-3-76]: virtualservice> save
+------------------------------------+-----------------------------------------------------+
| Field | Value |
+------------------------------------+-----------------------------------------------------+
| uuid | virtualservice-08ba76c3-faab-430d-86db-a4d9703effa4 |
| name | vs-1 |
| enabled | True |
| services[1] | |
| port | 80 |
| enable_ssl | False |
| port_range_end | 80 |
| services[2] | |
| port | 443 |
| enable_ssl | True |
| port_range_end | 443 |
| application_profile_ref | System-HTTP |
| network_profile_ref | System-TCP-Proxy |
| pool_ref | vs-1-pool |
| se_group_ref | Default-Group |
| network_security_policy_ref | vs-vs-1-Default-Cloud-ns |
| http_policies[1] | |
| index | 11 |
| http_policy_set_ref | vs-1-Default-Cloud-HTTP-Policy-Set-0 |
| ssl_key_and_certificate_refs[1] | System-Default-Cert |
| ssl_profile_ref | System-Standard |
.
.
.
| vip[1] | |
| vip_id | 1 |
| ip_address | 10.160.221.250 |
| enabled | True |
| auto_allocate_ip | False |
| auto_allocate_floating_ip | False |
| avi_allocated_vip | False |
| avi_allocated_fip | False |
| auto_allocate_ip_type | V4_ONLY |
| vsvip_ref | vsvip-vs-1-Default-Cloud |
| use_vip_as_snat | False |
| traffic_enabled | True |
| allow_invalid_client_cert | False |
| ssl_profile_selectors[1] | |
| client_ip_list | |
| match_criteria | IS_IN |
| group_refs[1] | Internal |
| group_refs[2] | Ip-grp-2 |
| ssl_profile_ref | sslprofile-2 |
+------------------------------------+-----------------------------------------------------+
[admin:10-160-3-76]: ></code></pre>
注:
虚拟服务的 SSL 配置文件选择器客户端 IP 列表(尚)不支持隐式 IP 配置。请使用组 UUID。
SSL 配置文件选择器配置要求虚拟服务至少具有一个启用了 SSL 的服务端口。否则,它必须是一个子虚拟服务。
子虚拟服务不会继承父虚拟服务的 SSL 配置文件选择器,仅继承父虚拟服务的默认 SSL 配置文件。
