Die Transportphase ist die erste Phase einer Client-HTTP-Anforderung.

Die SSL-Konfiguration des virtuellen Servers für Load Balancer befindet sich unter SSL-Konfiguration. Es gibt zwei mögliche Konfigurationen. In beiden Modi sieht der Load Balancer den Datenverkehr und wendet Load Balancer-Regeln basierend auf dem Client-HTTP-Datenverkehr an.
  • SSL-Offload, wobei nur der SSL-Client konfiguriert wird. In diesem Modus wird der Datenverkehr vom Client zur VIP verschlüsselt (HTTPS) und der Load Balancer entschlüsselt ihn. Der Datenverkehr zwischen VIP und Poolmitglied ist unverschlüsselt (HTTP).
  • SSL-End-to-End, wobei sowohl Client-SSL als auch Server-SSL konfiguriert werden. In diesem Modus wird der Datenverkehr vom Client zur VIP verschlüsselt (HTTPS) und dann vom Load Balancer entschlüsselt und wieder verschlüsselt. Der Datenverkehr zwischen VIP und Poolmitglied ist verschlüsselt (HTTPS).

Die Transportphase ist abgeschlossen, wenn der virtuelle Server die SSL-Hello-Nachricht vom Client an den virtuellen Server empfängt. Dies geschieht vor dem Ende von SSL und vor dem HTTP-Datenverkehr.

Die Transportphase ermöglicht es Administratoren, den SSL-Modus und den spezifischen Serverpool basierend auf der SSL-Hello-Nachricht des Clients auszuwählen. Für den SSL-Modus des virtuellen Servers stehen drei Optionen zur Verfügung:
  • SSL-Offload
  • End-to-End
  • SSL-Passthrough (der Load Balancer beendet SSL nicht)

Load Balancer-Regeln unterstützen die Verwendung von regulären Ausdrücken (Regex) für Übereinstimmungstypen. Regex-Muster nach PCRE-Art werden mit einigen Einschränkungen für anspruchsvollere Anwendungsfälle unterstützt. Wenn Regex in Übereinstimmungsbedingungen verwendet wird, werden benannte erfassende Gruppierungskonstrukte unterstützt. Siehe Reguläre Ausdrücke in Load Balancer-Regeln.

Voraussetzungen

Stellen Sie sicher, dass ein virtueller HTTP-Server von Layer 7 verfügbar ist. Siehe Hinzufügen von virtuellen HTTP-Servern der Schicht 7.

Prozedur

  1. Öffnen Sie den virtuellen HTTP-Server der Schicht 7.
  2. Klicken Sie im Abschnitt „Load Balancer-Regeln“ neben der Transportphase auf Festlegen > Regel hinzufügen, um die Load Balancer-Regeln für die Transportphase zu konfigurieren.
  3. SSL SNI ist die einzige unterstützte Übereinstimmungsbedingung. Übereinstimmungsbedingungen werden verwendet, um den Anwendungsdatenverkehr durch die Load Balancer zuzuordnen.
  4. Wählen Sie in der Dropdown-Liste einen Übereinstimmungstyp aus: beginnt mit, endet mit, gleich, enthält, entspricht Regex.
  5. Geben Sie unter SNI-Name einen Namen ein.
  6. Klicken Sie auf die Schaltfläche Groß-/Kleinschreibung beachten, um für den Vergleich des HTTP-Header-Werts ein Flag mit Beachtung von Groß- und Kleinschreibung festzulegen.
  7. Klicken Sie auf die Schaltfläche Ablehnen, um sie zu aktivieren.
  8. Wählen Sie in der Dropdown-Liste eine Übereinstimmungsstrategie aus:
    Übereinstimmungsstrategie Beschreibung
    Beliebig Entweder der Host oder der Pfad kann übereinstimmen, damit diese Regel als Übereinstimmung betrachtet wird.
    Alle

    Sowohl der Host als auch der Pfad müssen übereinstimmen, damit diese Regel als Übereinstimmung betrachtet wird.

  9. Wählen Sie im Dropdown-Menü die Option Auswahl des SSL-Modus aus.
    SSL-Modus Beschreibung
    SSL-Passthrough

    SSL-Passthrough übergibt HTTPS-Datenverkehr an einen Backendserver, ohne den Datenverkehr auf dem Load Balancer zu entschlüsseln. Die Daten werden während der Übertragung durch den Load Balancer verschlüsselt gehalten.

    Hinweis: Die VIP-Client-SSL-Konfiguration wird nicht für Datenverkehr verwendet, der einer Load Balancer-Transportregel mit Aktion „SSL-Passthrough“ entspricht. Da dieselbe VIP andere Load Balancer-Transportregeln mit der Aktion „SSL-Auslagerung“ oder „SSL End-to-End“ aufweisen kann, ist die Client-SSL-Konfiguration in der VIP erforderlich.

    Wenn SSL-Passthrough ausgewählt ist, kann ein Serverpool ausgewählt werden. Siehe Hinzufügen eines Serverpools für das Load Balancing im Manager-Modus.
    SSL-Auslagerung

    Die SSL-Auslagerung entschlüsselt den gesamten HTTPS-Datenverkehr auf dem Load Balancer und stellt mithilfe von HTTP eine Verbindung zum ausgewählten Backend-Server bereit. Die SSL-Auslagerung ermöglicht die Inspektion von Daten, während sie sich zwischen dem Load Balancer und dem Server befinden. Wenn NTLM und Multiplexing nicht konfiguriert sind, stellt der Load Balancer für jede HTTP-Anfrage eine neue Verbindung zum ausgewählten Backendserver her.
    SSL-End-to End

    SSL-End-to-End entschlüsselt den gesamten HTTPS-Datenverkehr auf dem Load Balancer und stellt mithilfe von HTTPS eine Verbindung zum ausgewählten Backend-Server bereit. Wenn NTLM und Multiplexing nicht konfiguriert sind, stellt der Load Balancer für jede HTTP-Anfrage eine neue Verbindung zum ausgewählten Backendserver her.
  10. Klicken Sie auf SPEICHERN und ANWENDEN.