虚拟服务器接收所有客户端连接并在服务器之间进行分发。虚拟服务器具有 IP 地址、端口和协议 TCP。

如果虚拟服务器状态为已禁用,则会通过发送 TCP RST(对于 TCP 连接)或 ICMP 错误消息(对于 UDP)拒绝对虚拟服务器的任何新连接尝试。即使新连接存在匹配的持久性条目,也会拒绝这些连接。活动连接将继续进行处理。如果虚拟服务器从负载均衡器中删除或与负载均衡器解除关联,则到该虚拟服务器的活动连接将失败。

注: SSL 配置文件在 NSX-T Data Center Limited Export 版本中不受支持。

如果在虚拟服务器上配置了客户端 SSL 配置文件绑定,而不是服务器端 SSL 配置文件绑定,则虚拟服务器在 SSL 终止模式下运行,该模式与客户端和服务器分别具有加密连接和明文连接。如果同时配置了客户端和服务器端 SSL 配置文件绑定,则虚拟服务器在 SSL 代理模式下运行,该模式与客户端和服务器具有加密连接。

目前不支持在不关联客户端 SSL 配置文件绑定的情况下关联服务器端 SSL 配置文件绑定。如果客户端和服务器端 SSL 配置文件绑定不与虚拟服务器相关联且应用程序基于 SSL,则虚拟服务器在 SSL 非感知模式下运行。在这种情况下,必须为第 4 层配置虚拟服务器。例如,虚拟服务器可与 Fast TCP 配置文件相关联。

前提条件

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择网络 > 负载均衡 > 虚拟服务器 > 添加虚拟服务器
  3. 从下拉列表中选择 L7 HTTP,然后输入协议详细信息。
    第 7 层虚拟服务器支持 HTTP 和 HTTPS 协议。
    选项 说明
    名称和说明 输入第 7 层虚拟服务器的名称和说明。
    IP 地址 输入虚拟服务器的 IP 地址。支持 IPv4 和 IPv6 地址。
    端口 输入虚拟服务器的端口号。
    负载均衡器 从下拉菜单中选择要附加到该第 4 层虚拟服务器的现有负载均衡器。
    服务器池 从下拉菜单中选择现有服务器池。

    服务器池包含一个或多个配置类似并运行相同应用程序的服务器(也称为池成员)。

    您可以单击垂直省略号创建服务器池。
    应用程序配置文件 根据协议类型,将自动填充现有应用程序配置文件。

    您可以单击垂直省略号创建应用程序配置文件。

    持久性 从下拉菜单中选择现有持久性配置文件。

    可以在虚拟服务器上启用持久性配置文件,从而允许将源 IP 和 Cookie 相关客户端连接发送到相同服务器。

  4. 单击配置以设置第 7 层虚拟服务器 SSL。
    您可以配置客户端 SSL 和服务器 SSL。
  5. 配置客户端 SSL。
    选项 说明
    客户端 SSL 切换按钮以启用配置文件。

    客户端 SSL 配置文件绑定允许对要与同一虚拟服务器相关联的不同主机名使用多个证书。

    默认证书 从下拉菜单中选择一个默认证书。

    如果服务器不将多个主机名托管在同一 IP 地址上或客户端不支持服务器名称指示 (SNI) 扩展,则会使用此证书。

    要使用 2k/3k/4k 证书/密钥,请使用 NSX Manager 创建自签名证书创建证书签名请求文件

    要使用 8k 证书/密钥,请使用导入和替换证书导入 8k 证书密钥。

    客户端 SSL 配置文件 从下拉菜单中选择客户端 SSL 配置文件。
    SNI 证书 从下拉菜单中选择可用 SNI 证书。
    受信任的 CA 证书 选择可用 CA 证书。
    强制客户端身份验证 切换按钮以启用此菜单项。
    证书链深度 设置证书链深度以验证服务器证书链深度。
    证书吊销列表 选择可用 CRL 以禁止使用损坏的服务器证书。
  6. 配置服务器 SSL。
    选项 说明
    服务器 SSL 切换按钮以启用配置文件。
    客户端证书 从下拉菜单中选择一个客户端证书。

    如果服务器不将多个主机名托管在同一 IP 地址上或客户端不支持服务器名称指示 (SNI) 扩展,则会使用此证书。

    服务器 SSL 配置文件 从下拉菜单中选择服务器端 SSL 配置文件。
    受信任的 CA 证书 选择可用 CA 证书。
    强制服务器身份验证 切换按钮以启用此菜单项。

    服务器端 SSL 配置文件绑定指定是否必须验证在 SSL 握手期间提供给负载均衡器的服务器证书。启用验证后,服务器证书必须由其中一个可信 CA 签名,这些 CA 的自签名证书在同一服务器端 SSL 配置文件绑定中指定。

    证书链深度 设置证书链深度以验证服务器证书链深度。
    证书吊销列表 选择可用 CRL 以禁止使用损坏的服务器证书。

    服务器端上不支持 OCSP 和 OCSP 装订 (OCSP stapling)。

  7. 单击其他属性以配置其他第 7 层虚拟服务器属性。
    选项 说明
    最大并发连接数 设置允许与虚拟服务器建立的最大并发连接,这样虚拟服务器就不会耗尽托管在同一负载均衡器上的其他应用程序的资源。
    最大新连接速率 设置与服务器池成员的最大新连接,这样虚拟服务器就不会耗尽资源。
    Sorry Server 池 从下拉菜单中选择现有 Sorry Server 池。

    负载均衡器无法从默认池选择后端服务器来处理请求时,Sorry Server 池将处理请求。

    您可以单击垂直省略号创建服务器池。

    默认池成员端口 如果未定义虚拟服务器的池成员端口,请输入默认池成员端口。

    例如,如果虚拟服务器通过端口范围 2000-2999 定义,并且默认池成员端口范围设置为 8000-8999,则将虚拟服务器端口 2500 的入站客户端连接发送到目标端口设置为 8500 的池成员。

    管理状态 切换按钮以禁用第 7 层虚拟服务器的管理状态。
    访问日志 切换按钮以启用第 7 层虚拟服务器的日志记录。
    仅记录重大事件 仅当已启用访问日志时,才能配置此字段。HTTP 响应状态码等于或大于 400 的请求将被视为重大事件。
    标记 从下拉列表中选择一个标记。

    可以指定一个标记以设置标记的范围。

  8. 单击保存