出于合规性和审核目的,在需要进行深度流量检查时,可以在协议级别将入站 HTTP(S) 流量复制到日志记录/边带服务器。一个示例可能是,Web 应用程序防火墙 (WAF) 设备监控 HTTP 负载是否存在任何异常。
虚拟服务边带配置文件的工作方式
在下图中,客户端流量通过前端 VIP 网络(颜色编码为绿色)进入 VS-1。边带服务器要求通过 SE 与其自身之间的单独安全连接接收一部分入站流量(绿色虚线)。边带服务器可能位于远程网络上,与源 SE 相隔一个或多个路由器。将丢弃来自边带服务器(颜色编码为橙色虚线)的任何响应。
如果配置了一组边带服务器,则 SE 以循环方式将流量分配给这些服务器,而与从虚拟服务后端池中选择服务器的算法无关。
出于性能考虑,一部分客户端 POST 负载发送到边带服务器。默认情况下,负载限制为 1 kB,但最多可以将其配置为 16 kB。SE 和后端服务器之间的流量正常传输。
注:
不要将边带配置文件功能与 NSX Advanced Load Balancer 的流量克隆功能相混淆。这两个功能都将应用程序流量复制到辅助服务器或一组服务器,但在很多重要方面有所不同。
有关更多信息,请参见流量克隆和 NSX Advanced Load Balancer 中的流量复制选项。
配置
该功能是通过为虚拟服务配置边带配置文件激活的,可以为该配置文件配置边带服务器的 IP 地址。可以配置多个边带服务器,在这种情况下,将在这些服务器之间拆分流量(循环)。
[admin:10-10-22-34]: > configure virtualservice vs-1 [admin:10-10-22-34]: virtualservice> sideband_profile [admin:10-10-22-34]: virtualservice:sideband_profile> [admin:10-10-22-34]: virtualservice:sideband_profile> ip 1.1.1.1 [admin:10-10-22-34]: virtualservice:sideband_profile> ip 2.2.2.2 [admin:10-10-22-34]: virtualservice:sideband_profile> sideband_max_request_body_size 2048 [admin:10-10-22-34]: virtualservice:sideband_profile> save [admin:10-10-22-34]: virtualservice> save
