Virtuelle Server empfangen alle Clientverbindungen und verteilen diese an die Server. Ein virtueller Server verfügt über eine IP-Adresse, einen Port und ein TCP-Protokoll.

Wenn der Status eines virtuellen Servers „Deaktiviert“ lautet, werden alle neuen Verbindungsversuche mit dem virtuellen Server abgelehnt, indem entweder ein TCP RST für die TCP-Verbindung oder eine ICMP-Fehlermeldung für UDP gesendet wird. Neue Verbindungen werden abgelehnt, selbst wenn passende Persistenzeinträge für sie vorhanden sind. Aktive Verbindungen werden weiterhin verarbeitet. Wenn ein virtueller Server gelöscht oder von einem Load Balancer getrennt wird, schlagen aktive Verbindungen mit diesem virtuellen Server fehl.

Hinweis: SSL-Profile werden in der Version NSX-T Data Center Limited Export nicht unterstützt.

Wenn eine clientseitige, nicht aber eine serverseitige SSL-Profilbindung auf einem virtuellen Server konfiguriert wurde, wird der virtuelle Server im SSL-Terminate-Modus ausgeführt, der eine verschlüsselte Verbindung zum Client und eine Klartextverbindung zum Server aufweist. Wenn sowohl die clientseitigen als auch die serverseitigen SSL-Profilbindungen konfiguriert sind, wird der virtuelle Server im SSL-Proxy-Modus ausgeführt, der eine verschlüsselte Verbindung zum Client und Server aufweist.

Das Zuordnen einer serverseitigen SSL-Profilbindung ohne Zuordnung einer clientseitigen SSL-Profilbindung wird aktuell nicht unterstützt. Wenn weder eine clientseitige noch eine serverseitige SSL-Profilbindung mit einem virtuellen Server verknüpft und die Anwendung SSL-basiert ist, wird der virtuelle Server im SSL-Unaware-Modus ausgeführt. In diesem Fall muss der virtuelle Server für Schicht 4 konfiguriert werden. Der virtuelle Server kann beispielsweise einem Fast TCP-Profil zugeordnet werden.

Voraussetzungen

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie Netzwerk > Load Balancing > Virtuelle Server > Virtuellen Server hinzufügen aus.
  3. Wählen Sie L7-HTTP aus der Dropdown-Liste aus und geben Sie die Protokolldetails ein.
    Virtuelle Server der Schicht 7 unterstützen das HTTP- und HTTPS-Protokoll.
    Option Beschreibung
    Name und Beschreibung Geben Sie einen Namen und eine Beschreibung für den virtuellen Server der Schicht ein.
    IP-Adresse Geben Sie die IP-Adresse des virtuellen Servers ein. Sowohl IPv4- als auch IPv6-Adressen werden unterstützt.
    Ports Geben Sie die Portnummer des virtuellen Servers ein.
    Load Balancer Wählen Sie im Dropdown-Menü einen vorhandenen Load Balancer aus, der an diesen virtuellen Server der Schicht 4 angehängt werden soll.
    Serverpool Wählen Sie im Dropdown-Menü einen vorhandenen Serverpool aus.

    Der Serverpool besteht aus einem oder mehreren auch als Poolmitglieder bezeichneten Servern mit ähnlicher Konfiguration, auf denen dieselbe Anwendung ausgeführt wird.

    Sie können auf die vertikalen Punkte klicken, um einen Serverpool zu erstellen.
    Anwendungsprofil Je nach Protokolltyp wird das vorhandene Anwendungsprofil automatisch befüllt.

    Sie können auf die vertikalen Punkte klicken, um ein Anwendungsprofil zu erstellen.

    Persistenz Wählen Sie im Dropdown-Menü ein vorhandenes Persistenzprofil aus.

    Das Persistenzprofil kann auf einem virtuellen Server aktiviert werden, damit auf die Quell-IP und auf Cookies bezogene Clientverbindungen an denselben Server gesendet werden können.

  4. Klicken Sie auf Konfigurieren, um SSL für den virtuellen Server der Schicht 7 festzulegen.
    Sie können Client-SSL und Server-SSL konfigurieren.
  5. Konfigurieren Sie Client-SSL.
    Option Beschreibung
    Client-SSL Klicken Sie auf den Schalter, um das Profil zu aktivieren.

    Clientseitige SSL-Profilbindung ermöglicht mehrere Zertifikate, damit verschiedene Hostnamen mit demselben virtuellen Server verbunden werden können.

    Standardzertifikat Wählen Sie im Dropdown-Menü ein Standardzertifikat aus.

    Dieses Zertifikat wird verwendet, wenn der Server nicht mehrere Hostnamen auf derselben IP-Adresse hostet oder wenn der Client keine Unterstützung für SNI-Erweiterungen (Server Name Indication) bietet.

    Um ein(en) 2k/3k/4k-Zertifikat/Schlüssel zu verwenden, verwenden Sie NSX Manager zum Erstellen eines selbstsignierten Zertifikats oder zum Erstellen einer Datei für die Zertifikatsignieranforderung.

    Um ein(en) 8k-Zertifikat/Schlüssel zu verwenden, importieren Sie den 8k-Zertifikatsschlüssel mithilfe von Importieren und Ersetzen von Zertifikaten.

    SSL-Profil des Clients Wählen Sie das clientseitige SSL-Profil im Dropdown-Menü aus.
    SNI-Zertifikate Wählen Sie das verfügbare SNI-Zertifikat im Dropdown-Menü aus.
    Vertrauenswürdige CA-Zertifikate Wählen Sie das verfügbare CA-Zertifikat aus.
    Obligatorische Clientauthentifizierung Klicken Sie auf den Schalter, um dieses Menüelement zu aktivieren.
    Tiefe der Zertifikatskette Legen Sie die Tiefe der Zertifikatskette fest, um die Tiefe in der Serverzertifikatskette zu überprüfen.
    Zertifikatswiderrufsliste Wählen Sie die verfügbare Zertifikatswiderrufsliste (CRL) aus, um gefährdete Serverzertifikate zu deaktivieren.
  6. Konfigurieren Sie Server-SSL.
    Option Beschreibung
    Server-SSL Klicken Sie auf den Schalter, um das Profil zu aktivieren.
    Clientzertifikat Wählen Sie im Dropdown-Menü ein Clientzertifikat aus.

    Dieses Zertifikat wird verwendet, wenn der Server nicht mehrere Hostnamen auf derselben IP-Adresse hostet oder wenn der Client keine Unterstützung für SNI-Erweiterungen (Server Name Indication) bietet.

    SSL-Profil des Servers Wählen Sie das serverseitige SSL-Profil im Dropdown-Menü aus.
    Vertrauenswürdige CA-Zertifikate Wählen Sie das verfügbare CA-Zertifikat aus.
    Obligatorische Serverauthentifizierung Klicken Sie auf den Schalter, um dieses Menüelement zu aktivieren.

    Eine serverseitige SSL-Profilbindung gibt an, ob das dem Load Balancer während des SSL-Handshakes präsentierte Serverzertifikat validiert werden muss. Bei aktivierter Validierung muss das Serverzertifikat von einer der vertrauenswürdigen Zertifizierungsstellen signiert sein, deren selbstsignierte Zertifikate in derselben serverseitigen SSL-Profilbindung angegeben sind.

    Tiefe der Zertifikatskette Legen Sie die Tiefe der Zertifikatskette fest, um die Tiefe in der Serverzertifikatskette zu überprüfen.
    Zertifikatswiderrufsliste Wählen Sie die verfügbare Zertifikatswiderrufsliste (CRL) aus, um gefährdete Serverzertifikate zu deaktivieren.

    OCSP und OCSP-Heftung werden serverseitig nicht unterstützt.

  7. Klicken Sie auf Zusätzliche Eigenschaften, um zusätzliche virtuelle Servereigenschaften für Layer 7 zu konfigurieren.
    Option Beschreibung
    Max. Anzahl gleichzeitiger Verbindungen Legen Sie die maximale Anzahl gleichzeitiger Verbindungen fest, die für einen virtuellen Server zulässig sind, damit der virtuelle Server nicht die Ressourcen anderer Anwendung verbraucht, die vom selben Load Balancer gehostet werden.
    Max. Anzahl neuer Verbindungen Legen Sie die maximale Anzahl neuer Verbindungen für ein Serverpoolmitglied fest, damit ein virtueller Server die Ressourcen nicht überlastet.
    Sorry-Serverpool Wählen Sie im Dropdown-Menü einen vorhandenen Sorry-Serverpool aus.

    Der Sorry-Serverpool stellt die Anforderung zu, wenn ein Load Balancer keinen Backend-Server auswählen kann, um die Anforderung aus dem Standardpool zuzustellen.

    Sie können auf die vertikalen Punkte klicken, um einen Serverpool zu erstellen.

    Standardport des Poolmitglieds Geben Sie den Standardport eines Poolmitglieds ein, wenn der Port des Poolmitglieds für einen virtuellen Server nicht definiert ist.

    Wenn ein virtueller Server beispielsweise mit dem Portbereich 2000-2999 definiert ist und der Standardportbereich des Poolmitglieds auf 8000-8999 festgelegt ist, wird eine eingehende Clientverbindung für Port 2500 des virtuellen Servers an ein Poolmitglied mit einem auf 8500 gesetzten Zielport gesendet.

    Administrativer Zustand Klicken Sie auf den Schalter, um den administrativen Zustand des virtuellen Servers der Schicht 7 zu deaktivieren.
    Zugriffsprotokoll Klicken Sie auf den Schalter, um die Protokollierung für den virtuellen Server der Schicht 7 zu aktivieren.
    Log significant event only Dieses Feld kann nur konfiguriert werden, wenn Zugriffsprotokolle aktiviert sind. Anforderungen mit einem HTTP-Antwortstatus >=400 werden als wichtiges Ereignis behandelt.
    Tags Wählen Sie in der Dropdown-Liste ein Tag aus.

    Sie können ein Tag angeben, um einen Geltungsbereich des Tags festzulegen.

  8. Klicken Sie auf Speichern.