在创建虚拟服务时,步骤 4:高级为虚拟服务提供高级和可选配置。

过程

  1. 性能限制设置下面,单击性能限制并定义虚拟服务的性能限制。应用的限制仅适用于该虚拟服务,并基于所有客户端的汇总值。请参见《VMware NSX Advanced Load Balancer 监控和可操作性指南》中的速率调整和限制选项

    可以使用应用程序配置文件的 DDoS 选项卡配置每个客户端的限制。请使用策略或 DataScript 为每个客户端实施更多限制。

  2. 要限制到该虚拟服务的入站连接,请使用要限制速率的新 TCP 连接数要限制速率的新 HTTP 请求数。配置以下字段:
    选项 描述

    阈值

    设置在配置的时间段内为该虚拟服务创建的所有客户端允许的新连接、请求或数据包的最大阈值(在 1-1000000000 范围内)。

    时间段

    输入阈值的有效时间(在 1-1000000000 范围内),以秒为单位。可以输入 0 以使阈值永久有效。

    操作

    选择操作NSX Advanced Load Balancer 在限制速率时执行该操作。
  3. 使用最大吞吐量为每个 SE 的虚拟服务输入最大带宽量(以 Mbps 为单位)。
  4. 使用最大并发连接数指定最大并发打开连接数。超过此数量的连接尝试将被重置 (TCP) 或丢弃 (UDP),直到并发连接总数低于阈值为止。
  5. 服务质量部分下面,配置以下内容:
    选项 描述

    权重

    带宽是每秒通过 SE Hypervisor 的数据包数、主机服务器物理接口的饱和度或类似的网络限制。根据您分配的权重,NSX Advanced Load Balancer 为该虚拟服务发送的流量分配带宽。

    与共享相同服务引擎的其他虚拟服务相比,较高的权重将优先处理流量。

    该设置仅在发生网络拥塞时适用,并且仅适用于从服务引擎发送的数据包。

    公平性

    公平性确定一种算法,在服务引擎遇到网络拥塞时,NSX Advanced Load Balancer 使用该算法确保每个虚拟服务都可以发送流量。

    吞吐量公平性算法考虑为虚拟服务定义的权重以实现该目的。

    吞吐量和延迟公平性是完成相同任务的更全面算法。在具有较大数量的虚拟服务时,它在服务引擎上消耗更多的 CPU。

    仅建议对延迟敏感的协议使用该选项。
  6. 其他设置下面,配置以下内容:
    1. 启用自动网关以将到客户端的响应流量发回到连接的源 MAC 地址,而不是静态发送到 NSX Advanced Load Balancer 的默认网关。如果 NSX Advanced Load Balancer 具有错误的默认网关,未配置网关或具有多个网关,仍会正确传输客户端启动的返回流量。NSX Advanced Load Balancer 默认网关仍会用于管理流量和启动的出站流量。
    2. 启用将 VIP 作为 SNAT IP 地址以进行运行状况监控,并将流量发送到后端服务器而不是 SE 接口 IP。在启用该选项时,不能将虚拟服务配置为活动-活动高可用性模式。例如,在防火墙将客户端与服务分开的环境(例如 AWS)中,该功能为发送到源服务器的流量提供一致的源 IP。在捕获数据包期间,您可以对 VIP 进行筛选,并捕获 NSX Advanced Load Balancer 两端的流量,从而消除无关的流量。
    3. 选择通过 BGP 通告 VIP,以便在 VRF 上下文中使用 BGP 配置启用路由运行状况注入
    4. 选择通过 BGP 通告 SNAT IP 地址,以便在 VRF 上下文中使用 BGP 配置为源网络地址转换 (Network Address Translation, NAT) 浮动 IP 地址启用路由运行状况注入
    5. 输入到服务器的上游连接的网络地址转换 (NAT) 浮动源 IP 地址以作为 SNAT IP 地址
    6. 流量克隆配置文件中输入用于克隆流量的服务器网络或服务器列表。
    7. 如果客户端 HTTP 请求中的主机标头名称与该字段不同,或者它是一个 IP 地址,在将请求发送到服务器之前,NSX Advanced Load Balancer 将主机标头转换为该名称。如果服务器使用转换的名称或自己的 IP 地址发出重定向,重定向的位置标头将替换为客户端请求的原始主机名。主机名转换不会重写可能在 HTML 页面中嵌入的 Cookie 域或绝对链接。该选项仅适用于 HTTP 虚拟服务。可以使用 HTTP 请求和响应策略手动创建该功能。
    8. 选择所需的服务引擎组。将虚拟服务放置在特定的服务引擎组用于保证资源预留和数据平面隔离,例如将生产环境与测试环境分开。可以根据配置的角色或租户选项隐藏该字段。
    9. 启用在 VS 关闭时移除侦听端口,以便在虚拟服务关闭时服务引擎使用 RST (TCP) 或“无法访问 ICMP 端口”(UDP) 响应对 VIP 和服务端口的请求。请参见在 VS 关闭时移除侦听端口
    10. 如果网络本身在 GCP 等环境中对 ECMP 执行流哈希处理,请选择扩展 ECMP。停用在服务引擎之间为虚拟服务重新分配流。
  7. 使用标记为虚拟服务配置基于角色的访问控制 (RBAC)。请参见《VMware NSX Advanced Load Balancer 管理指南》中的基于角色的精细访问控制
    1. 单击添加
    2. 输入密钥和相应的
  8. 单击保存以完成虚拟服务配置。