配置虚拟服务的基本设置,例如 VIP 地址、池、配置文件和策略,等等。
过程
- 输入虚拟服务的唯一名称。
- 默认情况下,已启用? 切换图标为绿色。这意味着,虚拟服务正常接受和处理流量。要停用虚拟服务,请单击切换按钮。将终止现有的并发连接,并将虚拟服务与所有服务引擎取消关联。不会为停用的虚拟服务执行运行状况监控。
- 默认情况下,将选择已启用流量? 选项。可以单击该选项以在分配的服务引擎上停止虚拟服务流量。只有在启用了虚拟服务时,该选项才有效。
- 如果该虚拟服务通过 SSL 的服务器名称指示 (Server Name Indication, SNI) 参与虚拟托管,请选择虚拟托管 VS。这允许单个 SSL 解密虚拟服务 IP:端口,以根据客户端请求的站点名称将流量转发到不同的内部虚拟服务。虚拟托管虚拟服务必须为父虚拟服务或子虚拟服务。
选项 描述 父项
父虚拟服务面向外部,并拥有侦听器 IP 地址、服务端口、网络配置文件和 SSL 配置文件。为父虚拟服务指定池是可选的,仅在没有与客户端请求匹配的子虚拟服务时才会使用。SSL 证书可以是通配符证书,也可以是特定的域名。只有在客户端的请求与子虚拟服务域不匹配时,才会使用父虚拟服务的 SSL 证书。父虚拟服务将接收所有新的客户端 TCP 连接,这会反映在统计信息中。连接在内部切换到子虚拟服务,因此,后续衡量指标(例如,并发连接、吞吐量、请求、日志和其他统计信息)仅显示在子虚拟服务上。
子项
子虚拟服务没有 IP 地址或服务端口,而是指向父虚拟服务,必须先创建父虚拟服务。域名是启用了 SNI 的客户端在 SSL 握手中请求的完全限定名称。父虚拟服务将客户端请求与子虚拟服务的域名进行匹配。它不会与配置的 SSL 证书进行匹配。如果没有与客户端请求匹配的子虚拟服务,则使用父虚拟服务的 SSL 证书和池。
- 选择增强虚拟托管或 SNI(服务器名称指示)作为虚拟托管类型,以指定该虚拟服务是启用了 SNI 的虚拟托管虚拟服务的父虚拟服务还是子虚拟服务。
- 输入虚拟服务的 DNS 可解析名称或 IP 地址以作为 VS VIP 地址。在使用 DNS 名称时,NSX Advanced Load Balancer 尝试解析该名称并填充 IP 地址字段(如果成功)。如果该名称解析为多个 IP 地址,请从显示的列表中选择要使用的地址。如果无法解析该名称,它将显示为红色。不支持通过 DHCP 分配 VIP。
- 在配置文件下面,选择以下内容。
- TCP/UDP 配置文件,用于确定网络设置,例如,协议(TCP 或 UDP)以及协议的相关选项。
- 应用程序配置文件,用于为虚拟服务启用应用程序层特定的功能。
- 虚拟服务的 WAF 策略。
- 虚拟服务的机器人程序检测策略。
- ICAP 配置文件,用于在检查 HTTP 请求时配置 ICAP 服务器。
- 用于该虚拟服务的错误页面配置文件。该配置文件用于将代理生成的自定义错误页面发送到客户端。
- 在服务端口部分下面,输入服务,虚拟服务将在这些服务端口中侦听入站流量。单击添加端口以添加多个端口。
- 单击切换到高级以输入一组服务端口。
- 对于 Horizon 部署,请选择用作 Horizon 主/隧道协议端口。该选项用于 L7 重定向。
- 在覆盖应用程序配置文件下面选择一个应用程序配置文件,以便为该特定服务启用应用程序层特定的功能。
- 启用覆盖 TCP/UDP,然后根据每个服务端口选择所需的配置文件以覆盖虚拟服务的默认 TCP/UDP 配置文件。
- 单击添加端口以添加另一组服务端口,并配置相同的设置。
- 在池部分下面,选择一个池或池组。通过使用池下拉菜单,选择包含目标服务器和相关属性(例如负载均衡和持久性)的所需池。
- 如果需要,选择忽略服务器池的网络可访问性限制。如果池包含网络中 NSX Advanced Load Balancer 未知或无法访问的服务器,则控制器无法将新虚拟服务放置在 SE 上,因为它不知道哪个 SE 具有最佳可访问性。这要求您手动选择虚拟服务的放置位置。该选项允许控制器放置虚拟服务,即使可能无法访问池中的部分或全部服务器。例如,您可以在创建虚拟服务时选择该选项,并稍后配置静态路由以访问这些服务器。
- 在 SSL 设置下面,选择将为 SSL/TLS 终止的连接提供的所需 SSL 配置文件和 SSL 证书。
