Der Lastausgleichsdienst verteilt eingehende Dienstanforderungen an mehrere Server und sorgt dabei dafür, dass die Lastverteilung für den Benutzer erkennbar ist. Der Lastausgleich ermöglicht eine optimale Ressourcennutzung, maximalen Durchsatz und minimale Antwortzeiten und verhindert gleichzeitig eine Überlastung.

Der NSX-Lastausgleichsdienst unterstützt zwei Lastausgleichsmodule. Der Ebene-4-Lastausgleich ist paketbasiert und bietet Fast-Path-Verarbeitung. Der Ebene-7-Lastausgleich ist Socket-basiert und unterstützt erweiterte Strategien zur Verwaltung des Datenverkehrs und die DDOS-Minimierung für Back-End-Dienste.

Der Lastausgleich für ein NSX Data Center for vSphere-Edge-Gateway wird in der externen Schnittstelle konfiguriert, da das Edge-Gateway den Lastausgleich für den eingehenden Datenverkehr vom externen Netzwerk durchführt. Wenn Sie virtuelle Server für den Lastausgleich konfigurieren, geben Sie eine der verfügbaren IP-Adressen an, über die Sie in Ihrem Organisations-VDC verfügen.

Strategien und Konzepte für den Lastausgleich

Eine paketbasierte Lastausgleichsstrategie wird auf der TCP- und der UDP-Ebene implementiert. Paketbasierter Lastausgleich hält die Verbindung weder an noch puffert er die gesamte Anforderung. Stattdessen sendet er das geänderte Paket direkt an den ausgewählten Server. TCP- und UDP-Sitzungen werden im Lastausgleichsdienst beibehalten, sodass Pakete für eine einzelne Sitzung an denselben Server geleitet werden. Sie können „Beschleunigung aktiviert“ sowohl in der globalen Konfiguration als auch in der entsprechenden Konfiguration des virtuellen Servers auswählen, um den paketbasierten Lastausgleich zu aktivieren.

Eine Socket-basierte Lastausgleichsstrategie wird zusätzlich zu der Socket-Schnittstelle implementiert. Es werden zwei Verbindungen für eine einzelne Anforderung eingerichtet, nämlich eine clientseitige und eine serverseitige Verbindung. Die serverseitige Verbindung wird nach der Serverauswahl eingerichtet. Bei der HTTP-Socket-basierten Implementierung wird die gesamte Anforderung vor dem Senden an den ausgewählten Server mit optionaler L7-Verarbeitung empfangen. Bei der HTTPS-Socket-Implementierung werden die Authentifizierungsinformationen entweder über die clientseitige Verbindung oder über die serverseitige Verbindung ausgetauscht. Der Socket-basierte Lastausgleich ist der Standardmodus für virtuelle TCP-, HTTP- und HTTPS-Server.

Die grundlegenden Konzepte des NSX-Lastausgleichs sind virtueller Server, Serverpool, Serverpoolmitglied und Dienstüberwachung.

Virtueller Server
Zusammenfassender Begriff für einen Anwendungsdienst, der durch eine eindeutige Kombination aus IP, Port, Protokoll und Anwendungsprofil wie TCP oder UDP dargestellt wird.
Serverpool
Gruppe von Back-End-Servern.
Serverpoolmitglied
Stellt den Back-End-Server als Mitglied in einem Pool dar.
Dienstüberwachung
Definiert, wie der Systemzustand eines Back-End-Servers untersucht wird.
Anwendungsprofil
Stellt die TCP-, UDP-, Persistenz- und Zertifikatkonfiguration für eine bestimmte Anwendung dar.

Übersicht über die Einrichtung

Zunächst legen Sie globale Optionen für den Lastausgleichsdienst fest. Sie erstellen nun einen Serverpool, der aus Back-End-Server-Mitgliedern besteht, und ordnen dem Pool eine Dienstüberwachung zu, damit die Back-End-Server effizient verwaltet und gemeinsam genutzt werden können.

Anschließend erstellen Sie ein Anwendungsprofil, um das allgemeine Anwendungsverhalten in einem Lastausgleichsdienst – Client-SSL, Server-SSL, X-Forwarded-For oder Persistenz – zu definieren. Bei Wahl von Persistenz werden nachfolgende Anforderungen mit ähnlichen Merkmalen gesendet – beispielsweise dass Quell-IP oder Cookie an dasselbe Poolmitglied gesendet werden müssen, ohne dass der Lastausgleichsalgorithmus ausgeführt wird. Das Anwendungsprofil kann auf allen virtuellen Servern wiederverwendet werden.

Anschließend erstellen Sie eine optionale Anwendungsregel, um anwendungsspezifische Einstellungen für die Manipulation von Datenverkehr zu konfigurieren: beispielsweise das Abgleichen eines bestimmten URL- oder Hostnamens, sodass verschiedene Anforderungen von verschiedenen Pools verarbeitet werden können. Anschließend erstellen Sie eine Dienstüberwachung speziell für Ihre Anwendung oder verwenden eine bereits vorhandene Dienstüberwachung, falls diese Ihre Anforderungen erfüllt.

Optional können Sie eine Anwendungsregel zur Unterstützung von erweiterten Funktionen virtueller L7-Server erstellen. Einige Anwendungsfälle für Anwendungsregeln beinhalten das Wechseln von Inhalten, die Kopfzeilenmanipulation, Sicherheitsregeln und DOS-Schutz.

Abschließend erstellen Sie einen virtuellen Server, der Ihren Serverpool, das Anwendungsprofil und potenzielle Anwendungsregeln miteinander verbindet.

Wenn der virtuelle Server eine Anforderung erhält, berücksichtigt der Lastausgleichsalgorithmus die Poolmitgliedskonfiguration und den Laufzeitstatus. Der Algorithmus berechnet dann den entsprechenden Pool für die Verteilung des Datenverkehrs für ein oder mehrere Mitglieder. Zur Poolmitgliedskonfiguration gehören Einstellungen wie Gewichtung, maximale Verbindung und Bedingungsstatus. Der Laufzeitstatus beinhaltet die aktuellen Verbindungen, die Antwortzeit und Informationen über den Systemstatus. Die Berechnungsmethoden können Round-Robin, gewichtetes Round-Robin, schwächste Verbindung, Quell-IP-Hash, gewichtete schwächste Verbindungen, URL, URI oder HTTP-Header sein.

Jeder Pool wird von der zugehörigen Dienstüberwachung überwacht. Wenn der Lastausgleichsdienst ein Problem bei einem Poolmitglied erkennt, wird das Mitglied als „Nicht erreichbar“ markiert. Beim Auswählen eines Poolmitglieds aus dem Serverpool wird nur ein Server ausgewählt, der als „Erreichbar“ gekennzeichnet ist. Wenn der Serverpool nicht mit einer Dienstüberwachung konfiguriert ist, werden alle Poolmitglieder als „Erreichbar“ betrachtet.

Konfigurieren des Lastausgleichs auf dem NSX Data Center for vSphere-Edge-Gateway mit dem VMware Cloud Director Tenant Portal

Zu den globalen Konfigurationsparametern des Lastausgleichsdiensts zählen die allgemeine Aktivierung, die Auswahl der Engine für Layer 4 oder Layer 7 und die Angabe der zu protokollierenden Ereignistypen.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Navigieren Sie zu Lastausgleichsdienst > Globale Konfiguration.
  3. Wählen Sie die Optionen, die Sie aktivieren möchten:
    Option Aktion
    Status Aktivieren Sie den Lastausgleichsdienst durch Klicken auf das Symbol zum Umschalten.

    Aktivieren Sie Beschleunigung aktiviert, um den Lastausgleichsdienst so zu konfigurieren, dass die schnellere L4-Engine anstelle der L7-Engine verwendet wird. L4 TCP VIP wird vor der Edge-Gateway-Firewall verarbeitet, daher ist keine Regel zum Zulassen der Firewall erforderlich.

    Hinweis:

    L7-VIPs für HTTP und HTTP werden nach der Firewall verarbeitet. Wenn Sie die Beschleunigung also nicht aktivieren, muss eine Firewallregel für das Edge-Gateway vorhanden sein, um Zugriff auf L7-VIP für diese Protokolle zuzulassen. Wenn Sie die Beschleunigung aktiviert haben und der Serverpool sich im nicht transparenten Modus befindet, wird eine SNAT-Regel hinzugefügt. Daher müssen Sie sicherstellen, dass die Firewall für das Edge-Gateway aktiviert ist.

    Protokollierung aktivieren Aktivieren Sie die Protokollierung, damit der Lastausgleichsdienst des Edge-Gateways Datenverkehrsprotokolle erfasst.
    Protokollierungsebene Wählen Sie den Schweregrad der Ereignisse aus, die in den Protokollen erfasst werden sollen.
  4. Klicken Sie auf Änderungen speichern.

Nächste Maßnahme

Konfigurieren Sie Anwendungsprofile für den Lastausgleichsdienst. Weitere Informationen finden Sie unter Erstellen eines Anwendungsprofils auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.

Erstellen eines Anwendungsprofils auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal

Ein Anwendungsprofil definiert das Verhalten des Lastausgleichsdiensts für einen bestimmten Typ des Netzwerkdatenverkehrs. Nach der Profilkonfiguration können Sie es einem virtuellen Server zuordnen. Der virtuelle Server verarbeitet dann den Datenverkehr gemäß den im Profil angegebenen Werten. Durch die Verwendung von Profilen wird Ihre Kontrolle über die Verwaltung des Netzwerkdatenverkehrs verbessert, und die Aufgaben für die Verwaltung des Datenverkehrs werden einfacher und effizienter.

Wenn Sie ein Profil für HTTPS-Datenverkehr erstellen, sind die folgenden HTTPS-Datenverkehrsmuster zulässig:
  • Client -> HTTPS -> LB (SSL beenden) -> HTTP -> Server
  • Client -> HTTPS -> LB (SSL beenden) -> HTTPS -> Server
  • Client -> HTTPS -> LB (SSL-Passthrough) -> HTTPS -> Server
  • Client -> HTTP -> LB -> HTTP -> Server

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Navigieren Sie zu Lastausgleichsdienst > Anwendungsprofile.
  3. Klicken Sie auf die Schaltfläche Erstellen (Schaltfläche „Erstellen“).
  4. Geben Sie einen Namen für das Profil ein.
  5. Konfigurieren Sie das Anwendungsprofil.
    Option Beschreibung
    Typ Wählen Sie den Protokolltyp aus, der zum Senden von Anforderungen an den Server verwendet wird. Die Liste der erforderlichen Parameter hängt vom ausgewählten Protokoll ab. Parameter, die nicht für das von Ihnen ausgewählte Protokoll gelten, können nicht eingegeben werden. Alle anderen Parameter sind erforderlich.
    SSL-Passthrough aktivieren Klicken Sie, um die Weitergabe der SSL-Authentifizierung an den virtuellen Server zu aktivieren.

    Andernfalls wird die SSL-Authentifizierung an der Zieladresse ausgeführt.

    HTTP-Umleitungs-URL (HTTP und HTTPS) Geben Sie die URL ein, an die der Datenverkehr, der an der Zieladresse ankommt, umgeleitet werden soll.
    Persistenz Geben Sie einen Persistenzmechanismus für das Profil an.

    Persistenz verfolgt und speichert Sitzungsdaten, wie z. B. das spezifische Poolmitglied, das eine Clientanforderung bearbeitet hat. Dadurch wird sichergestellt, dass die Clientanforderungen während des Lebenszyklus einer Sitzung oder während nachfolgender Sitzungen demselben Poolmitglied zugeordnet werden. Zu den Optionen gehören:

    • Quell-IP

      Quell-IP-Persistenz verfolgt Sitzungen basierend auf der IP-Quelladresse. Wenn ein Client eine Verbindung zu einem virtuellen Server anfordert, der die Persistenz der Quelladressen-Affinität unterstützt, überprüft der Lastausgleichsdienst, ob dieser Client zuvor eine Verbindung hergestellt hat, und wenn ja, gibt er den Client an dasselbe Poolmitglied zurück.

    • MSRDP

      (Nur TCP) MSRDP-Persistenz (Microsoft Remote Desktop Protocol) behält persistente Sitzungen zwischen Windows-Clients und -Servern bei, die den RDP-Dienst (Remote Desktop Protocol) von Microsoft ausführen. Das empfohlene Szenario für die Aktivierung der MSRDP-Persistenz ist die Erstellung eines Lastausgleichspools, der aus Mitgliedern besteht, die ein Windows Server-Gastbetriebssystem ausführen, wobei alle Mitglieder zu einem Windows-Cluster gehören und an einem Windows-Sitzungsverzeichnis teilnehmen.

    • SSL-Sitzungs-ID

      Persistenz der SSL-Sitzungs-ID ist verfügbar, wenn Sie SSL-Passthrough aktivieren. Persistenz der SSL-Sitzungs-ID stellt sicher, dass wiederholte Verbindungen vom selben Client an denselben Server gesendet werden. Persistenz der SSL-Sitzungs-ID ermöglicht die Wiederaufnahme der SSL-Sitzung, wodurch die Verarbeitungszeit sowohl für den Client als auch für den Server gespeichert wird.
    Cookiename (HTTP und HTTPS) Wenn Sie Cookie als Mechanismus für die Persistenz angegeben haben, geben Sie den Cookienamen ein. Die Cookiepersistenz verwendet ein Cookie, um die Sitzung eindeutig zu identifizieren, wenn ein Client zum ersten Mal auf die Site zugreift. Der Lastausgleichsdienst verweist auf dieses Cookie, wenn die Verbindung nachfolgender Anforderungen in der Sitzung hergestellt wird, sodass sie alle an den gleichen virtuellen Server weitergeleitet werden.
    Modus Wählen Sie den Modus aus, mit dem das Cookie eingefügt werden soll. Die folgenden Modi werden unterstützt:
    • Einfügen

      Das Edge-Gateway sendet ein Cookie. Wenn der Server ein oder mehrere Cookies sendet, empfängt der Client ein zusätzliches Cookie (Server-Cookies und Edge-Gateway-Cookie). Wenn der Server keine Cookies sendet, empfängt der Client nur das Edge-Gateway-Cookie.

    • Präfix
      Wählen Sie diese Option aus, wenn Ihr Client nur ein Cookie unterstützt.
      Hinweis: Alle Browser akzeptieren mehrere Cookies. Möglicherweise verfügen Sie jedoch über eine proprietäre Anwendung mit einem proprietären Client, der nur ein Cookie unterstützt. Der Webserver sendet wie üblich sein Cookie. Das Edge-Gateway fügt seine Cookieinformationen in den Server-Cookiewert ein (als Präfix). Diese hinzugefügten Cookieinformationen werden entfernt, wenn das Edge-Gateway sie an den Server sendet.
    • App-Sitzung Für diese Option sendet der Server kein Cookie. Stattdessen sendet er die Informationen zur Benutzersitzung als URL. Beispiel: http://example.com/admin/UpdateUserServlet;jsessionid=OI24B9ASD7BSSD, wobei jsessionid die Benutzersitzungsinformationen bezeichnet und für die Persistenz verwendet wird. Es ist nicht möglich, die Persistenztabelle der App-Sitzung zur Fehlerbehebung anzuzeigen.
    Läuft ab in (Sekunden) Geben Sie eine Zeitdauer in Sekunden ein, für die die Persistenz wirksam bleibt. Dies muss eine positive Ganzzahl im Bereich von 1-86400 sein.
    Hinweis: Beim L7-Lastausgleich mit TCP-Quell-IP-Persistenz kommt es zu einer Zeitüberschreitung des Persistenzeintrags, wenn in einem bestimmten Zeitraum keine neuen TCP-Verbindungen hergestellt werden, selbst wenn die bestehenden Verbindungen noch aktiv sind.
    HTTP-Header 'X-Forwarded-For' einfügen (HTTP und HTTPS) Wählen Sie HTTP-Header 'X-Forwarded-For' einfügen für das Identifizieren der Ursprungs-IP-Adresse eines Clients aus, der eine Verbindung zu einem Webserver über den Lastausgleichsdienst herstellt.
    Hinweis: Die Verwendung dieses Headers wird nicht unterstützt, wenn Sie SSL-Passthrough aktiviert haben.
    Pool-seitiges SSL aktivieren (Nur HTTPS) Wählen Sie Pool-seitiges SSL aktivieren aus, um das Zertifikat, die Zertifizierungsstellen oder die CRLs zu definieren, die zur Authentifizierung des Lastausgleichsdiensts über die Serverseite auf der Registerkarte „Pool-Zertifikate“ verwendet werden.
  6. (Nur HTTPS) Konfigurieren Sie die Zertifikate, die mit dem Anwendungsprofil verwendet werden. Wenn die benötigten Zertifikate nicht vorhanden sind, können Sie diese über die Registerkarte Zertifikate erstellen.
    Option Beschreibung
    Zertifikate für den virtuellen Server Wählen Sie das Zertifikat, die Zertifizierungsstellen oder CRLs aus, die zum Entschlüsseln des HTTPS-Datenverkehrs verwendet werden.
    Pool-Zertifikate Definieren Sie das Zertifikat, die Zertifizierungsstellen oder CRLs, die zur Authentifizierung des Lastausgleichsdiensts über die Serverseite verwendet werden.
    Hinweis: Wählen Sie Pool-seitiges SSL aktivieren aus, um diese Registerkarte zu aktivieren.
    Schlüssel Wählen Sie die Schlüsselalgorithmen (oder Verschlüsselungs-Suite) aus, die während des SSL/TLS-Handshakes ausgehandelt wurden.
    Clientauthentifizierung Geben Sie an, ob die Clientauthentifizierung ignoriert werden soll oder erforderlich ist.
    Hinweis: Wenn Erforderlich festgelegt ist, muss der Client nach der Anforderung ein Zertifikat bereitstellen, oder der Handshake wird abgebrochen.
  7. Klicken Sie zum Beibehalten Ihrer Änderungen auf Behalten.

Nächste Maßnahme

Fügen Sie eine Dienstüberwachung für den Lastausgleichsdienst hinzu, um Systemdiagnosen für verschiedene Arten von Netzwerkdatenverkehr zu definieren. Weitere Informationen finden Sie unter Erstellen einer Dienstüberwachung auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.

Erstellen einer Dienstüberwachung auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal

Sie können eine Dienstüberwachung erstellen, um Systemdiagnoseparameter für einen bestimmten Typ des Netzwerkdatenverkehrs zu definieren. Wenn Sie eine Dienstüberwachung einem Pool zuweisen, werden die Poolmitglieder gemäß den Dienstüberwachungsparametern überwacht.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Navigieren Sie zu Lastausgleichsdienst > Dienstüberwachung.
  3. Klicken Sie auf die Schaltfläche Erstellen (Schaltfläche „Erstellen“).
  4. Geben Sie einen Namen für die Dienstüberwachung ein.
  5. (Optional) Konfigurieren Sie die folgenden Optionen für die Dienstüberwachung:
    Option Beschreibung
    Intervall Geben Sie das Intervall ein, in dem ein Server unter Verwendung der angegebenen Methode zu überwachen ist.
    Zeitüberschreitung Geben Sie die maximale Zeit in Sekunden ein, in der eine Antwort vom Server empfangen werden muss.
    Max. Wiederholungen Geben Sie an, wie oft die angegebene Methode für die Überwachung hintereinander fehlschlagen muss, bevor der Server als ausgefallen erklärt wird.
    Typ Wählen Sie aus, wie die Systemdiagnoseanforderung an den Server gesendet werden soll: HTTP, HTTPS, TCP, ICMP oder UDP.

    Je nach ausgewähltem Typ werden die übrigen Optionen im Dialogfeld Neue Dienstüberwachung aktiviert oder deaktiviert.

    Erwartet (HTTP und HTTPS) Geben Sie die Zeichenfolge, deren Übereinstimmung die Überwachung erwartet, in die Statuszeile der HTTP- oder HTTPS-Antwort ein (z. B. HTTP/1.1).
    Methode (HTTP und HTTPS) Wählen Sie die Methode aus, die zum Erkennen des Serverstatus zu verwenden ist.
    URL (HTTP und HTTPS) Geben Sie die URL ein, die in der Serverstatusanforderung zu verwenden ist.
    Hinweis: Wenn Sie die POST-Methode auswählen, müssen Sie einen Wert für Senden angeben.
    Senden (HTTP, HTTPS und UDP) Geben Sie die zu sendenden Daten ein.
    Empfangen (HTTP, HTTPS und UDP) Geben Sie die Zeichenfolge ein, die im Antwortinhalt abgeglichen werden soll.
    Hinweis: Wenn Erwartet nicht übereinstimmt, versucht die Überwachung nicht, den Inhalt von Empfangen abzugleichen.
    Erweiterung (ALLE) Geben Sie erweiterte Überwachungsparameter als Schlüssel=Wert-Paare ein. Beispielsweise bedeutet „warning=10“, dass der Status eines Servers als Warnung festgelegt wird, wenn er nicht innerhalb von 10 Sekunden antwortet. Alle Erweiterungselemente müssen mit einem Wagenrücklaufzeichen getrennt werden. Beispiel: 
    <extension>delay=2
critical=3
escape</extension>
  6. Klicken Sie zum Beibehalten Ihrer Änderungen auf Behalten.

Beispiel: Erweiterungen unterstützt für jedes Protokoll

Tabelle 1. Erweiterungen für HTTP/HTTPS-Protokolle
Überwachungserweiterung Beschreibung
no-body Wartet nicht auf ein Dokumenthauptteil und beendet Lesevorgang nach dem HTTP/HTTPS-Header.
Hinweis: HTTP GET oder HTTP POST wird weiterhin gesendet, und keine HEAD-Methode.
max-age=SECONDS Warnt, wenn ein Dokument älter als SEKUNDEN ist. Die Anzahl kann in der Form „10m“ für Minuten, „10h“ für Stunden oder „10d“ für Tage angegeben werden.
content-type=STRING Gibt einen Header-Medientyp „Content-Type“ in POST-Aufrufen an.
linespan Lässt zu, dass regex Zeilenvorschübe überbrückt (muss vor „-r“ oder „-R“ stehen).
regex=STRING oder ereg=STRING Durchsucht die Seite nach regex-ZEICHENFOLGE.
eregi=STRING Durchsucht die Seite nach regex-ZEICHENFOLGE, bei der nicht zwischen Groß- und Kleinschreibung unterschieden wird.
invert-regex Gibt CRITICAL zurück, wenn gefunden, und OK, wenn nicht gefunden.
proxy-authorization=AUTH_PAIR Gibt Benutzernamen:Kennwort auf Proxyservern mit Standardauthentifizierung an.
useragent=STRING Sendet die Zeichenfolge im HTTP-Header als User Agent.
header=STRING Sendet alle anderen Tags in den HTTP-Header. Mehrmalige Verwendung für zusätzliche Header.
onredirect=ok|warning|critical|follow|sticky|stickyport Gibt an, wie umgeleitete Seiten verarbeitet werden.

sticky ist wie follow, aber ist an die angegebene IP-Adresse gebunden. stickyport stellt sicher, dass sich der Port nicht ändert.

pagesize=INTEGER:INTEGER Gibt die erforderlichen minimalen und maximalen Seitengrößen in Bytes an.
warning=DOUBLE Gibt die Antwortzeit in Sekunden an, nach der ein Warnstatus gemeldet wird.
critical=DOUBLE Gibt die Antwortzeit in Sekunden an, nach der ein kritischer Status gemeldet wird.
Tabelle 2. Erweiterungen nur für HTTPS-Protokoll
Überwachungserweiterung Beschreibung
sni Aktiviert die Unterstützung für die SSL/TLS-Hostnamenerweiterung (SNI).
certificate=INTEGER Gibt an, wie viele Tage ein Zertifikat mindestens gültig sein muss. Der Port ist standardmäßig auf 443 gesetzt. Wenn diese Option verwendet wird, wird die URL nicht überprüft.
authorization=AUTH_PAIR Gibt Benutzernamen:Kennwort auf Sites mit Standardauthentifizierung an.
Tabelle 3. Erweiterungen für TCP-Protokoll
Überwachungserweiterung Beschreibung
escape Ermöglicht die Verwendung von \n, \r, \t oder \ in einer send- oder quit-Zeichenfolge. Muss einer send- oder quit-Option vorangestellt werden. Standardmäßig wird nichts an „send“ angefügt, und \r\n wird ans Ende von „quit“ angefügt.
alle Gibt an, dass alle erwarteten Zeichenfolgen in einer Serverantwort auftreten müssen. Standardmäßig wird any verwendet.
quit=STRING Sendet eine Zeichenfolge an den Server, um die Verbindung ordnungsgemäß zu schließen.
refuse=ok|warn|crit Akzeptiert TCP-Zurückweisungen mit dem Status ok, warn oder criti. Verwendet standardmäßig den Status crit.
mismatch=ok|warn|crit Akzeptiert erwartete Zeichenfolgenkonflikte mit dem Status ok, warn oder crit. Verwendet standardmäßig den Status warn.
jail Blendet die Ausgabe im TCP-Socket aus.
maxbytes=INTEGER Schließt die Verbindung, wenn mehr als die angegebene Anzahl an Byte empfangen werden.
delay=INTEGER Wartet die angegebene Anzahl von Sekunden zwischen dem Senden der Zeichenfolge und dem Abrufen einer Antwort.
certificate=INTEGER[,INTEGER] Gibt an, wie viele Tage ein Zertifikat mindestens gültig sein muss. Der erste Wert ist #days für „warning“, und der zweite Wert ist „critical“ (wenn nicht angegeben, -0).
ssl Verwendet SSL für die Verbindung.
warning=DOUBLE Gibt die Antwortzeit in Sekunden an, nach der ein Warnstatus gemeldet wird.
critical=DOUBLE Gibt die Antwortzeit in Sekunden an, nach der ein kritischer Status gemeldet wird.

Nächste Maßnahme

Fügen Sie Serverpools für Ihren Lastausgleichsdienst hinzu. Weitere Informationen finden Sie unter Hinzufügen eines Serverpools für den Lastausgleich auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.

Hinzufügen eines Serverpools für den Lastausgleich auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal

Sie können einen Serverpool hinzufügen, um Back-End-Server flexibel und effizient zu verwalten und freizugeben. Ein Pool dient zur Verwaltung von Lastausgleichs-Verteilungsmethoden und ist mit einer Dienstüberwachung für Integritätsprüfungsparameter verbunden.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Navigieren Sie zu Lastausgleichsdienst > Pools.
  3. Klicken Sie auf die Schaltfläche Erstellen (Schaltfläche „Erstellen“).
  4. Geben Sie einen Namen und optional eine Beschreibung für den Lastausgleichspool ein.
  5. Wählen Sie im Dropdown-Menü Algorithmus eine Ausgleichsmethode für den Dienst aus:
    Option Beschreibung
    ROUND_ROBIN Alle Server werden der Reihe nach entsprechend der zugewiesenen Gewichtung verwendet. Dies ist der ausgewogenste und reibungsloseste Algorithmus, wenn die Verarbeitungszeit des Servers gleichmäßig verteilt bleibt.
    IP_HASH Wählt einen Server auf Grundlage eines Hashs der Quell- und Ziel-IP-Adresse jedes Pakets aus.
    LEASTCONN Verteilt Clientanforderungen entsprechend der Anzahl der bereits geöffneten Serververbindungen auf mehrere Server. Neue Verbindungen werden an den Server mit den wenigsten geöffneten Verbindungen gesendet.
    URI Der linke Teil des URI (vor dem Fragezeichen) wird gehasht und durch die Gesamtgewichtung der ausgeführten Server geteilt. Das Ergebnis bestimmt, welcher Server die Anforderung erhält. Durch diese Option wird sichergestellt, dass ein URI immer an denselben Server weitergeleitet wird, solange der Server nicht heruntergefahren wird.
    HTTPHEADER

    Der Name des HTTP-Headers wird bei jeder HTTP-Anforderung gesucht. Beim in Klammern angegebenen Header-Namen wird – ähnlich wie bei der ACL-Funktion „hdr()“ – nicht zwischen Groß- und Kleinschreibung unterschieden. Wenn der Header nicht vorhanden ist oder keinen Wert enthält, wird der Round-Robin-Algorithmus angewendet. Der HTTP HEADER-Algorithmusparameter verfügt über eine Option headerName=<name>. Sie können z. B. host als HTTP HEADER-Algorithmusparameter verwenden.

    URL

    Der im Argument angegebene URL-Parameter wird in der Abfragezeichenfolge jeder HTTP GET-Anforderung gesucht. Wenn hinter dem Parameter ein Gleichheitszeichen (=) und ein Wert stehen, wird der Wert gehasht und durch die Gesamtgewichtung der ausgeführten Server geteilt. Das Ergebnis bestimmt, welcher Server die Anforderung erhält. Dieses Verfahren wird verwendet, um Benutzerbezeichner in Anforderungen zu verfolgen und sicherzustellen, dass immer dieselbe Benutzer-ID an denselben Server gesendet wird, solange kein Server hoch- oder heruntergefahren wird. Wenn kein Wert oder Parameter gefunden wird, wird ein Round-Robin-Algorithmus angewendet. Der URL-Algorithmusparameter verfügt über eine Option urlParam=<url>.

  6. Fügen Sie dem Pool Mitglieder hinzu.
    1. Klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“).
    2. Geben Sie den Namen für das Poolmitglied ein.
    3. Geben Sie die IP-Adresse des Poolmitglieds ein.
    4. Geben Sie den Port ein, an dem das Mitglied den Datenverkehr vom Lastausgleichsdienst empfangen soll.
    5. Geben Sie den Überwachungsport ein, an dem das Mitglied Integritätsüberwachungsanforderungen erhalten soll.
    6. Geben Sie im Textfeld Gewichtung den Anteil des Datenverkehrs ein, der von diesem Mitglied verarbeitet werden soll. Hierbei muss es sich um eine Ganzzahl im Bereich von 1–256 handeln.
    7. (Optional) Geben Sie im Textfeld Höchstanzahl an Verbindungen die maximale Anzahl gleichzeitiger Verbindungen ein, die das Mitglied verarbeiten kann.
      Wenn die Anzahl der eingehenden Anforderungen den Maximalwert übersteigt, werden Anforderungen in die Warteschlange gestellt, und der Lastausgleichsdienst wartet, bis eine Verbindung freigegeben wird.
    8. (Optional) Geben Sie im Textfeld Mindestanzahl an Verbindungen die minimale Anzahl gleichzeitiger Verbindungen ein, die ein Mitglied immer akzeptieren muss.
    9. Klicken Sie auf Behalten, um dem Pool das neue Mitglied hinzuzufügen.
      Der Vorgang kann eine Minute dauern.
  7. (Optional) Wählen Sie Transparent aus, damit die Client-IP-Adressen für die Back-End-Server sichtbar sind.
    Wenn Transparent (Standardeinstellung) nicht ausgewählt ist, wird die IP-Adresse der Quelle des Datenverkehrs den Back-End-Servern als interne IP-Adresse des Lastausgleichsdiensts angezeigt.

    Ist Transparent ausgewählt, so ist die Quell-IP-Adresse die tatsächliche IP-Adresse des Clients. Das Edge-Gateway muss dann als Standard-Gateway festgelegt werden, um sicherzustellen, dass Rückpakete über das Edge-Gateway geleitet werden.

  8. Klicken Sie zum Beibehalten Ihrer Änderungen auf Behalten.

Nächste Maßnahme

Fügen Sie virtuelle Server für den Lastausgleichsdienst hinzu. Ein virtueller Server hat eine öffentliche IP-Adresse und bedient alle eingehenden Clientanforderungen. Weitere Informationen finden Sie unter Hinzufügen eines virtuellen Servers auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.

Hinzufügen einer Anwendungsregel auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal

Sie können eine Anwendungsregel schreiben, mit der der IP-Anwendungsdatenverkehr direkt gesteuert und verwaltet werden kann.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Navigieren Sie zu Lastausgleichsdienst > Anwendungsregeln.
  3. Klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“).
  4. Geben Sie den Namen für die Anwendungsregel ein.
  5. Geben Sie das Skript für die Anwendungsregel ein.
    Informationen über die Syntax der Anwendungsregel finden Sie unter http://cbonte.github.io/haproxy-dconv/2.2/configuration.html.
  6. Klicken Sie zum Beibehalten Ihrer Änderungen auf Behalten.

Nächste Maßnahme

Ordnen Sie die neue Anwendungsregel einem virtuellen Server für den Lastausgleichsdienst hinzu. Weitere Informationen finden Sie unter Hinzufügen eines virtuellen Servers auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.

Hinzufügen eines virtuellen Servers auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal

Fügen Sie eine interne oder Uplink-Schnittstelle des NSX Data Center for vSphere-Edge-Gateways als virtuellen Server in VMware Cloud Director hinzu. Ein virtueller Server hat eine öffentliche IP-Adresse und bedient alle eingehenden Clientanforderungen.

Der Lastausgleichsdienst schließt die TCP-Verbindung des Servers standardmäßig nach jeder Clientanforderung.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Wählen Sie im primären linken Navigationsbereich Netzwerk und wählen Sie dann in der oberen Navigationsleiste der Seite die Option Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Navigieren Sie zu Lastausgleichsdienst > Virtuelle Server.
  3. Klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“).
  4. Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Optionen für den virtuellen Server:
    Option Beschreibung
    Virtuellen Server aktivieren Klicken Sie auf diese Option, um den virtuellen Server zu aktivieren.
    Beschleunigung aktivieren Klicken Sie auf diese Option, um die Beschleunigung zu aktivieren.
    Anwendungsprofil Wählen Sie ein Anwendungsprofil aus, das dem virtuellen Server zugeordnet werden soll.
    Name Geben Sie einen Namen für den virtuellen Server ein.
    Beschreibung Geben Sie eine optionale Beschreibung für den virtuellen Server ein.
    IP-Adresse Geben Sie die vom Lastausgleichsdienst überwachte IP-Adresse ein oder suchen Sie nach der Adresse.
    Protokoll Wählen Sie das vom virtuellen Server akzeptierte Protokoll aus. Sie müssen dasselbe Protokoll auswählen, das vom ausgewählten Anwendungsprofil verwendet wird.
    Port Geben Sie die vom Lastausgleichsdienst überwachte Portnummer ein.
    Standardpool Wählen Sie den Serverpool aus, der vom Lastausgleichsdienst verwendet wird.
    Verbindungsgrenzwert (Optional) Geben Sie die maximale Anzahl an gleichzeitigen Verbindungen ein, die der virtuelle Server verarbeiten kann.
    Grenzwert für Verbindungsrate (CPS) (Optional) Geben Sie die maximale Anzahl an eingehenden neuen Verbindungsanforderungen pro Sekunde ein.
  5. (Optional) Wenn Sie dem virtuellen Server Anwendungsregeln zuordnen möchten, klicken Sie auf die Registerkarte Erweitert und führen Sie folgende Schritte aus:
    1. Klicken Sie auf die Schaltfläche Hinzufügen (Schaltfläche „Erstellen“).
      Die für den Lastausgleichsdienst erstellten Anwendungsregeln werden angezeigt. Fügen Sie ggf. Anwendungsregeln für den Lastausgleichsdienst hinzu. Weitere Informationen finden Sie unter Hinzufügen einer Anwendungsregel auf einem NSX Data Center for vSphere-Edge-Gateway mithilfe des VMware Cloud Director Tenant Portal.
  6. Klicken Sie zum Beibehalten Ihrer Änderungen auf Behalten.

Nächste Maßnahme

Erstellen Sie eine Edge-Gateway-Firewallregel, um Datenverkehr zum neuen virtuellen Server (Ziel-IP-Adresse) zuzulassen. Weitere Informationen finden Sie unter Hinzufügen einer NSX Data Center for vSphere-Edge-Gateway-Firewallregel im VMware Cloud Director Tenant Portal