此方法是用于配置 NSX Advanced Load Balancer 的旧方法。建议使用具有两个虚拟服务的单个 VIP(使用 307 重定向)。

以下是配置具有两个虚拟服务的单个 VIP 的步骤。

过程

  1. 创建将 UAG 作为成员的 IP 组:

    IP 组是配置文件、策略和日志可引用的以逗号分隔的 IP 地址列表。由于在两个不同池中可使用相同的 UAG 服务器作为池成员,因此可以将 IP 组连接到该池,而不是直接将服务器连接到该池。对池成员所做的任何配置更改(如添加或移除服务器)都需要在 IP 组级别进行。

    要创建 IP 组,请执行以下操作:

    1. NSX Advanced Load Balancer UI 中,导航到模板 > > IP 组
    2. 单击创建 IP 组
    3. IP 信息下,输入要添加的 IP 地址,然后单击添加服务器
    4. 单击保存
  2. 为 UAG 创建自定义运行状况监控器 - 要创建自定义运行状况监控器,请执行以下操作:
    1. NSX Advanced Load Balancer UI 中,导航到模板 > 配置文件 > 运行状况监控器
    2. 单击创建
    3. 选择为 Horizon 创建的 vCenter 云
    4. 新建运行状况监控器屏幕中输入以下详细信息。

      字段

      发送间隔

      30

      接收超时

      10

      客户端请求的数据

      GET /favicon.ico HTTP/1.0

      响应代码

      2xx
    5. 单击保存
  3. 为池创建 SSL 配置文件 - 使用下面给出的配置为 UAG 池创建 SSL 配置文件:

    接受的版本:1.2

    密码列表:

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    1. 导航到模板 > SSL/TLS 配置文件 > 创建
    2. 选择应用程序配置文件
    3. 常规选项卡中输入所需的详细信息,如下所示:


    4. 单击密码选项卡,然后选择以下密码

      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    5. 单击保存
  4. 创建池:

    池保留为其分配的服务器列表,并执行运行状况监控、负载均衡、持久性和涉及 NSX Advanced Load Balancer 到服务器交互的功能。一个虚拟服务通常指向一个池。

    池包括 UAG 服务器(即 UAG server01 和 UAG server02)的 IP 地址。

    创建两个池:

    • 对 L7 (HTTPS),即Horizon-L7-pool

    • 对于辅助协议,命名为 Horizon-L4-pool

    需要这两个池才能连接到将创建的两个虚拟服务。必须将一致哈希(将源 IP 地址作为密钥)配置为哈希算法以保持源 IP 关联性。

    要创建 Horizon L7 池,请执行以下操作:

    1. 导航到应用程序 >
    2. 选择云子屏幕中选择 vCenter 云,然后单击下一步
    3. 单击创建池
    4. 新建池屏幕中,更新详细信息,如下所示:


    5. 要绑定监控器,请单击添加主动监控器,然后选择创建的 HTTPS 监控器。
    6. 单击下一步
    7. 单击启用 SSL,然后选择为池创建的 SSL 配置文件,如下所示:


    8. 单击下一步
    9. 步骤 2: 服务器选项卡中,添加之前创建的 UAG 服务器的 IP 组。
    10. 单击下一步
    11. 导航到步骤 3: 高级选项卡 > 步骤 4: 检查
    12. 单击保存

      要创建 Horizon L4 池,请执行以下操作:

      创建名为 Horizon-l4-pool 的池。确保池配置(端口、UAG 服务器 IP、负载均衡算法、运行状况监控器等)与 Horizon L7 池的相同。

    1. 将默认服务器端口配置为 443,并将负载均衡算法配置为“具有源 IP 地址的一致哈希”。
    2. 附加端口设置为从不
    3. 单击启用 SSL,然后选择为池创建的 SSL 配置文件。
    4. 步骤 2: 服务器选项卡下,添加之前创建的 UAG 服务器的 IP 组
    5. 选择禁用端口转换,然后单击保存
  5. 安装 L7 VIP 所需的 SSL 证书

    SSL 连接将会在 NSX Advanced Load Balancer 虚拟服务中被终止。因此,必须将 SSL 证书分配给虚拟服务。建议安装由有效证书颁发机构签名的证书,而不要使用自签名证书。

    NSX Advanced Load Balancer 中安装证书,并确保导入并链接 CA 证书。有关说明,请参阅VMware NSX Advanced Load Balancer 配置指南》中的“SSL 证书”主题。

    注:

    对于此设置,已安装一个名为 Horizon_Certificate 的证书。

  6. 禁用连接多路复用

    在 UAG 负载均衡中,为 System-Secure-HTTP-VDI 配置文件停用连接多路复用。

    要停用连接多路复用,请执行以下操作:

    1. 导航到模板 > 配置文件 > 应用程序 > System-Secure-HTTP-VDI
    2. 单击编辑图标。
    3. 禁用连接多路复用选项。
    4. 单击保存
  7. 创建 L7 虚拟服务

    L7 虚拟服务需要 SSL 配置文件。创建上述步骤中显示的 SSL 配置文件并创建虚拟服务。

    要创建新的 L7 虚拟服务,请执行以下操作:

    1. 从 UI 中,导航到应用程序 > 虚拟服务
    2. 单击创建虚拟服务 > 高级设置
    3. 使用 System-Secure-HTTP-VDI 作为应用程序配置文件
    4. 下拉菜单中,选择在步骤 3 中创建的 Horizon-L7-pool
    5. 选择为虚拟服务创建的 SSL 配置文件
    6. 单击下一步,然后单击保存
  8. 创建 L4 虚拟服务

    创建另一个虚拟服务,该虚拟服务将与 L7 VIP 的虚拟服务共享同一个 IP 地址。这将确保只需为主协议和辅助协议提供一个虚拟 IP 地址。L7 虚拟服务将处理主协议和隧道,而 L4 虚拟服务将处理其他辅助协议。

    要创建 L4 虚拟服务,请执行以下操作:

    1. 单击创建虚拟服务 > 高级设置
    2. 新建虚拟服务屏幕中,单击“VIP 地址”下的切换到高级
    3. 选择作为用于共享 VIP 的虚拟服务创建的 L7 虚拟服务。
    4. 选择在前面的步骤中创建的应用程序配置文件
    5. 服务端口 > 服务下,单击切换到高级
    6. 为辅助协议添加以下端口号:

      • 添加 443 UDP 以覆盖 TCP/UDP,并使用 System-UDP-Fast-Path-VDI 作为配置文件

      • 为 Blast 添加 8443

      • 添加 8443 UDP 以覆盖 TCP/UDP,并使用 System-UDP-Fast-Path-VDI 作为配置文件

      • 为 PCoIP 添加 4172

      • 添加 4172 UDP 以覆盖 TCP/UDP,并使用 System-UDP-Fast-Path-VDI 作为配置文件



    7. 选择为虚拟服务创建的 SSL 配置文件。
    8. 单击下一步,然后单击保存

    这样,配置就完成了,可以对 Horizon 使用 NSX Advanced Load Balancer 了。

    注:

    确保满足以下条件:

    • L4 和 L7 池具有相同的配置。

    • 在 L4 池的高级设置下启用选项禁用端口转换