可以使用应用程序配置文件提高对网络流量管理的控制能力,并轻松高效地完成流量管理任务。

通过创建应用程序配置文件可以定义特定类型的网络流量的行为。设置配置文件后,可以将此配置文件与虚拟服务器关联。然后,该虚拟服务器会根据配置文件中指定的值处理流量。

过程

  1. 登录到 vSphere Web Client。
  2. 单击网络和安全 (Networking & Security),然后单击 NSX Edge (NSX Edges)
  3. 双击一个 NSX Edge。
  4. 单击管理 (Manage),然后单击负载平衡器 (Load Balancer)选项卡。
  5. 在左侧导航面板中,单击应用程序配置文件 (Application Profiles)
  6. 单击添加 (Add) (“添加”图标) 图标。
  7. 键入配置文件的名称,然后从下拉菜单中选择要创建配置文件的流量类型。

    流量类型

    支持的持久性方法

    TCP

    源 IP、MSRDP

    HTTP

    cookie、源 IP

    HTTPS

    cookie、SSL 会话 ID(已启用 SSL 直通)、源 IP

    UDP

    源 IP

  8. 输入要将 HTTP 流量重定向到的 URL。

    例如,可以将流量从 http://myweb.com 定向到 https://myweb.com

  9. 从下拉菜单中为配置文件指定持久性类型。

    持久性配置文件可跟踪和存储会话数据,例如服务于客户端请求的特定池成员。通过使用持久性,客户端请求在整个会话期间或后续会话期间定向到同一个池成员。

    • 选择 Cookie 持久性以插入唯一的 cookie,以便在客户端首次访问站点时标识会话。

      将在后续请求中引用该 cookie,以永久保留到相应服务器的连接。

    • 选择源 IP (Source IP) 持久性以根据源 IP 地址跟踪会话。

      客户端请求连接到支持源地址关联性持久性的虚拟服务器时,负载平衡器将检查该客户端之前是否曾建立连接;如果是,则将客户端返回给同一个池成员。

    • 选择 Microsoft 远程桌面协议 (MSRDP) 持久性以在运行 Microsoft 远程桌面协议 (RDP) 服务的 Windows 客户端和服务器之间保持持久性会话。

      启用 MSRDP 持久性的推荐场景是创建由运行 Windows Server 2003 或 Windows Server 2008 的成员所组成的负载平衡池,其中所有成员均属于一个 Windows 群集并加入 Windows 会话目录。

  10. 输入 cookie 名称并选择插入 cookie 应采用的模式。

    选项

    说明

    插入

    NSX Edge 发送一个 cookie。

    如果服务器发送一个或多个 cookie,客户端将收到一个额外的 cookie(服务器 cookie + Edge cookie)。如果服务器不发送 cookie,客户端将收到 Edge cookie。

    前缀

    如果客户端不支持多个 cookie,则选择该选项。

    注:

    所有浏览器均接受多个 cookie。如果具有的专用应用程序使用仅支持一个 cookie 的专用客户端,Web 服务器正常发送其 cookie。NSX Edge 在服务器 cookie 值中注入(作为前缀)其 cookie。此添加了 cookie 的信息在 NSX Edge 将其发送到服务器时删除。

    App 会话

    服务器不发送 cookie,而是将用户会话信息作为 URL 发送。

    例如,http://mysite.com/admin/UpdateUserServlet;jsessionid=OI24B9ASD7BSSD,其中 jsessionid 是用户会话信息并用于持久性。无法查看 App 会话持久性表进行故障排除。

  11. 输入持久性到期时间(秒)。持久性默认值为 300 秒(5 分钟)。请注意,持久性表的大小有限。如果流量很大,则较大的超时值可能会导致持久性表快速填满。当持久性表填满时,会删除最早的条目以接受最新条目。

    负载平衡器持久性表维护用来记录客户端请求被定向到同一池成员的条目。

    • 如果在超时期限内没有收到来自同一客户端的新连接请求,持久性条目将过期并被删除。

    • 如果在超时期限内收到来自同一客户端的新连接请求,则会重置定时器,并将客户端请求发送到粘滞池成员。

    • 超时期限到期后,新连接请求将被发送到由负载平衡算法分配的池成员。

    对于 L7 负载平衡 TCP 源 IP 持久性场景,如果在一段时间内未建立新的 TCP 连接,持久性条目将超时,即使现有的连接仍处于活动状态。

  12. (可选) 为 HTTPS 流量创建一个应用程序配置文件。

    支持的 HTTPS 流量模式:

    • SSL 卸载 -> 客户端 -> HTTPS -> LB (终止 SSL) -> HTTP -> 服务器

    • SSL 代理 -> 客户端 -> HTTPS -> LB (终止 SSL) -> HTTPS -> 服务器

    • SSL 直通 -> 客户端 -> HTTPS -> LB (SSL 直通) -> HTTPS -> 服务器

    • 客户端 -> HTTP-> LB -> HTTP -> 服务器

    1. (可选) 选中插入 X-Forwarded-For HTTP 标头 (Insert X-Forwarded-For HTTP header),以标识通过负载平衡器连接到 Web 服务器的客户端的源 IP 地址。
    2. 选中配置服务证书 (Configure Service Certificate),以便在虚拟服务器证书 (Virtual Server Certificates)选项卡中选择适用的服务证书、CA 证书和 CRL 以用于在负载平衡器上终止客户端的 HTTPS 流量。

      仅当“客户端 -> LB”连接为 HTTPS 连接时,才需要执行此操作。

    3. (可选) 选中启用池端 SSL (Enable Pool Side SSL) 以在负载平衡器和后端服务器之间启用 HTTPS 通信。

      您可以使用池端 SSL 配置端到端 SSL。

    4. (可选) 选中配置服务证书 (Configure Service Certificate),以便在池证书 (Pool Certificates)选项卡中选择适用的服务证书、CA 证书和 CRL 以用于验证服务器端的负载平衡器。

      仅当模式为“客户端 -> HTTPS -> LB -> HTTPS -> 服务器”时,才需要执行此操作。

      如果 NSX Edge 负载平衡器已配置 CA 证书和 CRL,并且需要从后端服务器中验证服务证书,您可以配置服务证书。如果后端服务器需要验证负载平衡器端服务证书,也可以使用该选项为后端服务器提供负载平衡器证书。

  13. 输入在 SSL/TLS 握手期间协商的密码算法(或密码套件)。可以添加多个以冒号 (:) 分隔的密码。 请确保批准的密码套件包含大于或等于 1024 位的 DH 密钥长度。

    您可以使用如下批准的密码套件:

    密码值

    密码名称

    DEFAULT

    DEFAULT

    ECDHE-RSA-AES128-GCM-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    ECDHE-RSA-AES256-GCM-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    ECDHE-RSA-AES256-SHA

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    ECDHE-ECDSA-AES256-SHA

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

    ECDH-ECDSA-AES256-SHA

    TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

    ECDH-RSA-AES256-SHA

    TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

    AES256-SHA

    TLS_RSA_WITH_AES_256_CBC_SHA

    AES128-SHA

    TLS_RSA_WITH_AES_128_CBC_SHA

    DES-CBC3-SHA

    TLS_RSA_WITH_3DES_EDE_CBC_SHA

  14. 从下拉菜单中指定是忽略还是要求使用客户端身份验证。

    如果选择“要求”,则客户端必须在请求或握手中止后提供证书。

  15. 单击确定 (OK)