Hinzufügen von virtuellen HTTP-Servern der Schicht 7

Virtuelle Server empfangen alle Clientverbindungen und verteilen diese an die Server. Ein virtueller Server verfügt über eine IP-Adresse, einen Port und ein TCP-Protokoll.

Wenn der Status eines virtuellen Servers „Deaktiviert“ lautet, werden alle neuen Verbindungsversuche mit dem virtuellen Server abgelehnt, indem entweder ein TCP RST für die TCP-Verbindung oder eine ICMP-Fehlermeldung für UDP gesendet wird. Neue Verbindungen werden abgelehnt, selbst wenn passende Persistenzeinträge für sie vorhanden sind. Aktive Verbindungen werden weiterhin verarbeitet. Wenn ein virtueller Server gelöscht oder von einem Load Balancer getrennt wird, schlagen aktive Verbindungen mit diesem virtuellen Server fehl.

Hinweis: SSL-Profile werden in der Version NSX-T Data Center Limited Export nicht unterstützt.

Wenn eine clientseitige, nicht aber eine serverseitige SSL-Profilbindung auf einem virtuellen Server konfiguriert wurde, wird der virtuelle Server im SSL-Terminate-Modus ausgeführt, der eine verschlüsselte Verbindung zum Client und eine Klartextverbindung zum Server aufweist. Wenn sowohl die clientseitigen als auch die serverseitigen SSL-Profilbindungen konfiguriert sind, wird der virtuelle Server im SSL-Proxy-Modus ausgeführt, der eine verschlüsselte Verbindung zum Client und Server aufweist.

Das Zuordnen einer serverseitigen SSL-Profilbindung ohne Zuordnung einer clientseitigen SSL-Profilbindung wird aktuell nicht unterstützt. Wenn weder eine clientseitige noch eine serverseitige SSL-Profilbindung mit einem virtuellen Server verknüpft und die Anwendung SSL-basiert ist, wird der virtuelle Server im SSL-Unaware-Modus ausgeführt. In diesem Fall muss der virtuelle Server für Schicht 4 konfiguriert werden. Der virtuelle Server kann beispielsweise einem Fast TCP-Profil zugeordnet werden.

Voraussetzungen

Stellen Sie sicher, dass Anwendungsprofile verfügbar sind. Siehe Hinzufügen eines Anwendungsprofils.
Stellen Sie sicher, dass persistente Profile verfügbar sind. Siehe Hinzufügen eines Persistenzprofils.
Stellen Sie sicher, dass SSL-Profile für Client und Server verfügbar sind. Siehe Hinzufügen eines SSL-Profils.
Stellen Sie sicher, dass Serverpools verfügbar sind. Siehe Hinzufügen eines Serverpools.
Stellen Sie sicher, dass Zertifizierungsstelle und Clientzertifikat verfügbar sind. Siehe Zertifikate.
Stellen Sie sicher, dass eine Zertifikatssperrliste (CRL) verfügbar ist. Siehe Importieren einer Zertifikatswiderrufsliste.
Stellen Sie sicher, dass der Load Balancer verfügbar ist. Siehe Hinzufügen von Load Balancers.

Prozedur

Melden Sie sich mit Administratorrechten bei NSX Manager an.
Wählen Sie Netzwerk > Load Balancing > Virtuelle Server > Virtuellen Server hinzufügen aus.

Wählen Sie L7-HTTP aus der Dropdown-Liste aus und geben Sie die Protokolldetails ein.

Virtuelle Server der Schicht 7 unterstützen das HTTP- und HTTPS-Protokoll.

Option	Beschreibung
Name und Beschreibung	Geben Sie einen Namen und eine Beschreibung für den virtuellen Server der Schicht ein.
IP-Adresse	Geben Sie die IP-Adresse des virtuellen Servers ein. Sowohl IPv4- als auch IPv6-Adressen werden unterstützt.
Ports	Geben Sie die Portnummer des virtuellen Servers ein.
Load Balancer	Wählen Sie im Dropdown-Menü einen vorhandenen Load Balancer aus, der an diesen virtuellen Server der Schicht 4 angehängt werden soll.
Serverpool	Wählen Sie im Dropdown-Menü einen vorhandenen Serverpool aus. Der Serverpool besteht aus einem oder mehreren auch als Poolmitglieder bezeichneten Servern mit ähnlicher Konfiguration, auf denen dieselbe Anwendung ausgeführt wird. Sie können auf die vertikalen Punkte klicken, um einen Serverpool zu erstellen.
Anwendungsprofil	Je nach Protokolltyp wird das vorhandene Anwendungsprofil automatisch befüllt. Sie können auf die vertikalen Punkte klicken, um ein Anwendungsprofil zu erstellen.
Persistenz	Wählen Sie im Dropdown-Menü ein vorhandenes Persistenzprofil aus. Das Persistenzprofil kann auf einem virtuellen Server aktiviert werden, damit auf die Quell-IP und auf Cookies bezogene Clientverbindungen an denselben Server gesendet werden können.

Klicken Sie auf Konfigurieren, um SSL für den virtuellen Server der Schicht 7 festzulegen.
Sie können Client-SSL und Server-SSL konfigurieren.

Konfigurieren Sie Client-SSL.

Option	Beschreibung
Client-SSL	Klicken Sie auf den Schalter, um das Profil zu aktivieren. Clientseitige SSL-Profilbindung ermöglicht mehrere Zertifikate, damit verschiedene Hostnamen mit demselben virtuellen Server verbunden werden können.
Standardzertifikat	Wählen Sie im Dropdown-Menü ein Standardzertifikat aus. Dieses Zertifikat wird verwendet, wenn der Server nicht mehrere Hostnamen auf derselben IP-Adresse hostet oder wenn der Client keine Unterstützung für SNI-Erweiterungen (Server Name Indication) bietet. Um ein(en) 2k/3k/4k-Zertifikat/Schlüssel zu verwenden, verwenden Sie NSX Manager zum Erstellen eines selbstsignierten Zertifikats oder zum Erstellen einer Datei für die Zertifikatsignieranforderung. Um ein(en) 8k-Zertifikat/Schlüssel zu verwenden, importieren Sie den 8k-Zertifikatsschlüssel mithilfe von Importieren und Ersetzen von Zertifikaten.
SSL-Profil des Clients	Wählen Sie das clientseitige SSL-Profil im Dropdown-Menü aus.
SNI-Zertifikate	Wählen Sie das verfügbare SNI-Zertifikat im Dropdown-Menü aus.
Vertrauenswürdige CA-Zertifikate	Wählen Sie das verfügbare CA-Zertifikat aus.
Obligatorische Clientauthentifizierung	Klicken Sie auf den Schalter, um dieses Menüelement zu aktivieren.
Tiefe der Zertifikatskette	Legen Sie die Tiefe der Zertifikatskette fest, um die Tiefe in der Serverzertifikatskette zu überprüfen.
Zertifikatswiderrufsliste	Wählen Sie die verfügbare Zertifikatswiderrufsliste (CRL) aus, um gefährdete Serverzertifikate zu deaktivieren.

Konfigurieren Sie Server-SSL.

Option	Beschreibung
Server-SSL	Klicken Sie auf den Schalter, um das Profil zu aktivieren.
Clientzertifikat	Wählen Sie im Dropdown-Menü ein Clientzertifikat aus. Dieses Zertifikat wird verwendet, wenn der Server nicht mehrere Hostnamen auf derselben IP-Adresse hostet oder wenn der Client keine Unterstützung für SNI-Erweiterungen (Server Name Indication) bietet.
SSL-Profil des Servers	Wählen Sie das serverseitige SSL-Profil im Dropdown-Menü aus.
Vertrauenswürdige CA-Zertifikate	Wählen Sie das verfügbare CA-Zertifikat aus.
Obligatorische Serverauthentifizierung	Klicken Sie auf den Schalter, um dieses Menüelement zu aktivieren. Eine serverseitige SSL-Profilbindung gibt an, ob das dem Load Balancer während des SSL-Handshakes präsentierte Serverzertifikat validiert werden muss. Bei aktivierter Validierung muss das Serverzertifikat von einer der vertrauenswürdigen Zertifizierungsstellen signiert sein, deren selbstsignierte Zertifikate in derselben serverseitigen SSL-Profilbindung angegeben sind.
Tiefe der Zertifikatskette	Legen Sie die Tiefe der Zertifikatskette fest, um die Tiefe in der Serverzertifikatskette zu überprüfen.
Zertifikatswiderrufsliste	Wählen Sie die verfügbare Zertifikatswiderrufsliste (CRL) aus, um gefährdete Serverzertifikate zu deaktivieren. OCSP und OCSP-Heftung werden serverseitig nicht unterstützt.

Klicken Sie auf Zusätzliche Eigenschaften, um zusätzliche virtuelle Servereigenschaften für Layer 7 zu konfigurieren.

Option	Beschreibung
Max. Anzahl gleichzeitiger Verbindungen	Legen Sie die maximale Anzahl gleichzeitiger Verbindungen fest, die für einen virtuellen Server zulässig sind, damit der virtuelle Server nicht die Ressourcen anderer Anwendung verbraucht, die vom selben Load Balancer gehostet werden.
Max. Anzahl neuer Verbindungen	Legen Sie die maximale Anzahl neuer Verbindungen für ein Serverpoolmitglied fest, damit ein virtueller Server die Ressourcen nicht überlastet.
Sorry-Serverpool	Wählen Sie im Dropdown-Menü einen vorhandenen Sorry-Serverpool aus. Der Sorry-Serverpool stellt die Anforderung zu, wenn ein Load Balancer keinen Backend-Server auswählen kann, um die Anforderung aus dem Standardpool zuzustellen. Sie können auf die vertikalen Punkte klicken, um einen Serverpool zu erstellen.
Standardport des Poolmitglieds	Geben Sie den Standardport eines Poolmitglieds ein, wenn der Port des Poolmitglieds für einen virtuellen Server nicht definiert ist. Wenn ein virtueller Server beispielsweise mit dem Portbereich 2000-2999 definiert ist und der Standardportbereich des Poolmitglieds auf 8000-8999 festgelegt ist, wird eine eingehende Clientverbindung für Port 2500 des virtuellen Servers an ein Poolmitglied mit einem auf 8500 gesetzten Zielport gesendet.
Administrativer Zustand	Klicken Sie auf den Schalter, um den administrativen Zustand des virtuellen Servers der Schicht 7 zu deaktivieren.
Zugriffsprotokoll	Klicken Sie auf den Schalter, um die Protokollierung für den virtuellen Server der Schicht 7 zu aktivieren.
Log significant event only	Dieses Feld kann nur konfiguriert werden, wenn Zugriffsprotokolle aktiviert sind. Anforderungen mit einem HTTP-Antwortstatus >=400 werden als wichtiges Ereignis behandelt.
Tags	Wählen Sie in der Dropdown-Liste ein Tag aus. Sie können ein Tag angeben, um einen Geltungsbereich des Tags festzulegen.

Klicken Sie auf Speichern.