Anwendungsprofile sind mit virtuellen Servern verknüpft, um das Load Balancing im Netzwerkverkehr zu verbessern und Aufgaben zur Verwaltung des Datenverkehrs zu vereinfachen.

Mit Anwendungsprofilen definieren Sie das Verhalten eines bestimmten Netzwerkverkehrstyps. Der verknüpfte virtuelle Server verarbeitet den Datenverkehr gemäß den im Anwendungsprofil angegebenen Werten. Fast TCP-, Fast UDP- und HTTP- Anwendungsprofile sind die unterstützten Profiltypen.

Das Anwendungsprofil TCP wird verwendet, wenn standardmäßig kein Anwendungsprofil mit einem virtuellen Server verknüpft ist. TCP- und UDP-Anwendungsprofile werden verwendet, wenn eine Anwendung auf einem TCP- oder UDP-Protokoll ausgeführt wird und kein Load Balancing auf Anwendungsebene benötigt, wie z. B. HTTP-URL-Load Balancing. Diese Profile werden auch verwendet, wenn Sie nur Load Balancing der Schicht 4 benötigen, der leistungsfähiger ist und Verbindungsspiegelung unterstützt.

Das HTTP-Anwendungsprofil wird für HTTP- und HTTPS-Anwendungen verwendet, wenn der Load Balancer Aktionen auf Grundlage von Schicht 7 durchführen muss, wie z. B. das Durchführen von Load Balancing für alle Bildanforderungen auf einem bestimmten Serverpoolmitglied oder das Beenden von HTTPS zum Auslagern von SSL aus Poolmitgliedern. Im Gegensatz zum TCP-Anwendungsprofil schließt das HTTP-Anwendungsprofil die TCP-Verbindung des Clients vor der Auswahl des Serverpoolmitglieds.

Abbildung 1. TCP- und UDP-Anwendungsprofil der Schicht 4
Abbildung 2. HTTPS-Anwendungsprofil der Schicht 7

Voraussetzungen

Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren von Benutzeroberflächeneinstellungen.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie Netzwerk > Load Balancing > Profile > Anwendungsprofile aus.
  3. Erstellen Sie ein Fast TCP-Anwendungsprofil.
    1. Wählen Sie im Dropdown-Menü die Option Hinzufügen > Fast TCP-Profil aus.
    2. Geben Sie einen Namen und eine Beschreibung für das Fast TCP-Anwendungsprofil ein.
    3. Vervollständigen Sie die Details des Anwendungsprofils.
      Sie können auch die Standardprofileinstellungen für FAST TCP übernehmen.
      Option Beschreibung
      Leerlaufzeitlimit für Verbindung Geben Sie den Zeitraum in Sekunden ein, während dem ein Server im Leerlauf ausgeführt werden kann, nachdem eine TCP-Verbindung eingerichtet wurde.

      Legen Sie die Leerlaufzeit auf die Leerlaufzeit der tatsächlichen Anwendung fest und fügen Sie ein paar Sekunden hinzu, damit der Load Balancer seine Verbindungen nicht vor der Anwendung schließt.

      Zeitlimit vor Schließen der Verbindung Geben Sie den Zeitraum in Sekunden ein, während dem eine TCP-Verbindung (FIN und RST) für eine Anwendung bestehen bleiben muss, bevor die Verbindung geschlossen wird.

      Ein kurzes Zeitlimit ist unter Umständen erforderlich, um schnelle Verbindungsraten zu unterstützen.

      HA-Flow-Mirroring Schalten Sie die Schaltfläche um, um alle Flows zum zugehörigen virtuellen Server auf den HA-Standby-Knoten zu spiegeln.
    4. Klicken Sie auf OK.
  4. Erstellen Sie ein Fast UDP-Anwendungsprofil.
    Sie können auch die Standardprofileinstellungen für UDP übernehmen.
    1. Wählen Sie im Dropdown-Menü die Option Hinzufügen > Fast UDP-Profil aus.
    2. Geben Sie einen Namen und eine Beschreibung für das Fast UDP-Anwendungsprofil ein.
    3. Vervollständigen Sie die Details des Anwendungsprofils.
      Option Beschreibung
      Leerlaufzeitlimit Geben Sie den Zeitraum in Sekunden ein, während dem ein Server im Leerlauf ausgeführt werden kann, nachdem eine UDP-Verbindung eingerichtet wurde.

      UDP ist ein verbindungsloses Protokoll. Zu Load Balancing-Zwecken wird davon ausgegangen, dass alle UDP-Pakete mit derselben Flow-Signatur (wie z. B. IP-Quell- und IP-Zieladresse oder -ports) und IP-Protokolle, die während des Leerlaufzeitlimits empfangen wurden, zur selben Verbindung gehören und an denselben Server gesendet werden.

      Werden während des Leerlaufzeitlimits keine Pakete empfangen, wird die Verbindung, die als Verknüpfung zwischen der Flow-Signatur und dem ausgewählten Server fungiert, getrennt.

      HA-Flow-Mirroring Schalten Sie die Schaltfläche um, um alle Flows zum zugehörigen virtuellen Server auf den HA-Standby-Knoten zu spiegeln.
    4. Klicken Sie auf OK.
  5. Erstellen Sie ein HTTP-Anwendungsprofil.
    Sie können auch die Standardprofileinstellungen für HTTP übernehmen.

    Das HTTP-Anwendungsprofil wird für HTTP- und HTTPS-Anwendungen verwendet.

    1. Wählen Sie im Dropdown-Menü die Option Hinzufügen > Fast HTTP-Profil aus.
    2. Geben Sie einen Namen und eine Beschreibung für das HTTP-Anwendungsprofil ein.
    3. Vervollständigen Sie die Details des Anwendungsprofils.
      Option Beschreibung
      Umleitung
      • Keine – Wenn eine Website vorübergehend nicht verfügbar ist, erhält der Benutzer eine Meldung mit dem Hinweis, dass die Seite nicht gefunden werden konnte.
      • HTTP-Umleitung – Wenn eine Website vorübergehend nicht verfügbar ist oder verschoben wurde, können eingehende Anfragen für diesen virtuellen Server vorübergehend an eine hier angegebene URL umgeleitet werden. Nur eine statische Umleitung wird unterstützt.

        Wenn „HTTP-Umleitung“ beispielsweise auf http://sitedown.abc.com/sorry.html gesetzt ist, werden ungeachtet der tatsächlichen Anfrage (z. B. http://original_app.site.com/home.html oder http://original_app.site.com/somepage.html) eingehende Anfragen an die angegebene URL umgeleitet, wenn die ursprüngliche Website nicht erreichbar ist.

      • HTTP an HTTPS umleiten – Bestimmte sichere Anwendungen möchten unter Umständen Kommunikation über SSL erzwingen, aber statt Nicht-SSL-Verbindungen abzulehnen, können sie die Clientanfrage zur Verwendung von SSL umleiten. Mithilfe von „HTTP an HTTPS umleiten“ können Sie den Host und die URI-Pfade beibehalten und die Clientanfrage zur Verwendung von SSL umleiten.

        Zur Verwendung von „HTTP an HTTPS umleiten“ muss der virtuelle HTTPS-Server Port 443 aufweisen und dieselbe IP-Adresse des virtuellen Servers muss auf demselben Load Balancer konfiguriert sein.

        Eine Clientanfrage für http://app.com/path/page.html wird beispielsweise an https://app.com/path/page.html umgeleitet. Wenn entweder der Hostname oder die URI während der Umleitung geändert werden muss, z. B. Umleitung an https://secure.app.com/path/page.html, müssen Load Balancing-Regeln verwendet werden.

      XFF (X-Forwarded-For)
      • Einfügen – Wenn der XFF-HTTP-Header nicht in der eingehenden Anfrage enthalten ist, fügt der Load Balancer einen neuen XFF-Header mit der IP-Adresse des Clients ein. Wenn der XFF-HTTP-Header in der eingehenden Anfrage enthalten ist, hängt der Load Balancer den XFF-Header mit der IP-Adresse des Clients an.
      • Ersetzen – Wenn der XFF-HTTP-Header in der eingehenden Anfrage enthalten ist, ersetzt der Load Balancer den Header.

      Webserver protokollieren jede Anfrage, die sie verarbeiten, mit der IP-Adresse des anfragenden Clients. Diese Protokolle werden zur Fehlerbehebung und Analyse verwendet. Wenn die Bereitstellungstopologie SNAT auf dem Load Balancer erfordert, verwendet der Server die IP-Adresse der Client-SNAT, was dem Zweck der Protokollierung widerspricht.

      Zur Umgehung dieses Problems kann der Load Balancer so konfiguriert werden, dass der XFF-HTTP-Header mit der IP-Adresse des ursprünglichen Clients eingefügt wird. Server können so konfiguriert werden, dass anstelle der IP-Quelladresse der Verbindung die IP-Adresse im XFF-Header aufgezeichnet wird.

      Leerlaufzeitlimit für Verbindung Geben Sie anstelle der TCP-Socket-Einstellung, die im TCP-Anwendungsprofil konfiguriert werden muss, den Zeitraum in Sekunden an, während dem eine HTTP-Anwendung im Leerlauf ausgeführt werden kann.
      Größe des Anforderungsheaders Geben Sie die maximale Puffergröße in Byte an, die zum Speichern von HTTP-Anforderungsheadern verwendet wird.
      NTLM-Authentifizierung Schalten Sie die Schaltfläche für den Load Balancer um, um TCP-Multiplexing zu deaktivieren und HTTP-Keep-Alive zu aktivieren.

      NTLM ist ein Authentifizierungsprotokoll, das über HTTP verwendet werden kann. Für Load Balancing mit NTLM-Authentifizierung muss TCP-Multiplexing für die Serverpools deaktiviert werden, die NTLM-basierte Anwendungen hosten. Andernfalls kann eine mit den Anmeldedaten eines Clients eingerichtete serverseitige Verbindung möglicherweise dazu verwendet werden, die Anfragen eines anderen Clients zu beantworten.

      Wenn NTLM im Profil aktiviert ist und einem virtuellen Server zugeordnet wurde und TCP-Multiplexing im Serverpool aktiviert ist, hat NTLM Vorrang. TCP-Multiplexing wird für diesen virtuellen Server nicht durchgeführt. Wenn derselbe Pool jedoch einem anderen virtuellen Server ohne NTLM zugeordnet wird, steht TCP-Multiplexing für Verbindungen mit diesem virtuellen Server zur Verfügung.

      Wenn der Client HTTP/1.0 verwendet, führt der Load Balancer ein Upgrade auf das HTTP/1.1-Protokoll durch und HTTP-Keep-Alive wird eingerichtet. Alle HTTP-Anforderungen, die über dieselbe clientseitigen TCP-Verbindung empfangen wurden, werden über eine einzige TCP-Verbindung an denselben Server gesendet, um sicherzustellen, dass keine erneute Autorisierung erforderlich ist.

    4. Klicken Sie auf OK.