可以使用策略选项卡为虚拟服务定义策略或 DataScript。DataScript 和策略由一个或多个规则组成,这些规则控制通过虚拟服务的连接或请求流,以控制安全性、客户端请求属性或服务器响应属性。每个规则是一个使用 if/then 逻辑的匹配/操作对:如果为 true,它与规则匹配并执行相应的操作。策略是基于 GUI 的简单向导驱动逻辑,而 DataScript 允许使用 NSX Advanced Load Balancer 的基于 Lua 的脚本语言进行更强大的处理。
过程
- 配置网络安全以根据网络 (TCP/UDP) 信息明确允许或阻止流量。
- 选择 IP 信誉数据库。
- 选择地理数据库。
- 单击 + 以查看添加网络安全规则子屏幕。
- 选中日志记录复选框,以使 NSX Advanced Load Balancer 在调用操作时记录日志。
- 在匹配规则下面,从添加新匹配项下拉菜单中选择网络安全匹配条件。例如,服务端口为 80。
- 在操作下面,选择一个在满足匹配条件时实施的可配置操作。有关更多信息,请参见虚拟服务策略中的网络安全一节。
- 在基于角色的访问控制 (RBAC) 部分中,单击添加并配置键和相应的值,以提供控制、管理和监控应用程序的精细访问权限。有关更多信息,请参见《VMware NSX Advanced Load Balancer 管理指南》中的每个应用程序的基于角色的精细访问控制。
- 单击。
- 同样,根据需要配置 HTTP 安全、HTTP 请求和 HTTP 响应规则。
- 在 DataScript 下面,单击添加 DataScript。
- 从下拉菜单中选择要执行的脚本或创建 DataScript。
- 单击保存 DataScript。
- 编写自定义身份验证策略,并将这些策略附加到身份提供程序 (IdP)。在访问下面,选择并配置以下选项之一:
选项 描述 SAML
安全断言标记语言 (Security Assertion Markup Language, SAML) 是一种基于 XML 的标记语言,用于在身份提供程序 (Identity Provider, IdP) 和服务提供程序 (Service Provider, SP) 之间交换身份验证和授权信息。要了解如何为应用程序配置基于 SAML 的身份验证,创建 SSO 策略并将其绑定到虚拟服务,请参见“在 NSX Advanced Load Balancer 上配置 SAML”。
PingAccess
可以使用 Ping Identity 的 PingAccess 代理控制客户端对虚拟服务的访问。要了解如何创建 PingAccess 代理配置文件,请创建一个 PingAccess 类型的 SSO 策略,并将其与虚拟服务相关联。
JWT
支持将 JWT 验证作为通过 NSX Advanced Load Balancer 的安全通信的访问策略之一,它基于授权服务器颁发的 JWT。要了解更多信息,请参见《VMware NSX Advanced Load Balancer 管理指南》中的为 NSX Advanced Load Balancer 配置 JSON Web 令牌 (JWT) 验证一节。
LDAP
LDAP 是基本身份验证策略的扩展,其中,提供的用户名和密码将根据目标 LDAP 服务器进行身份验证。LDAP 是一种访问目录服务的常用协议。目录服务是身份验证系统的面向对象的分层数据库视图。NSX Advanced Load Balancer 支持对虚拟服务进行 LDAP 身份验证。要了解更多信息,请参见《VMware NSX Advanced Load Balancer 管理指南》中的基本身份验证一节。
- 单击下一步。
