Verwenden Sie Anwendungsprofile, um Ihre Kontrolle über die Verwaltung von Netzwerkverkehr zu verbessern, und gestalten Sie Aufgaben zur Verwaltung des Datenverkehrs einfacher und effizienter.

Warum und wann dieser Vorgang ausgeführt wird

Erstellen Sie ein Anwendungsprofil, um das Verhalten eines bestimmten Netzwerkverkehrstyps zu definieren. Ordnen Sie das Profil nach der Konfiguration des Profils einem virtuellen Server zu. Der virtuelle Server verarbeitet den Datenverkehr anschließend gemäß den im Profil angegebenen Werten.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Networking & Security und anschließend auf NSX Edges.
  3. Doppelklicken Sie auf eine NSX Edge-Instanz.
  4. Klicken Sie auf Verwalten (Manage) und dann auf die Registerkarte Load Balancer.
  5. Klicken Sie im linken Navigationsfenster auf Anwendungsprofile (Application Profiles).
  6. Klicken Sie auf das Symbol Hinzufügen (Add) (Symbol „Hinzufügen“).
  7. Geben Sie einen Namen für das Profil ein und wählen Sie aus dem Dropdown-Menü den Datenverkehrstyp aus, für den Sie das Profil erstellen.

    Datenverkehrstyp

    Unterstützte Persistenzmethode

    TCP

    Quell-IP, MSRDP

    HTTP

    Cookie, Quell-IP

    HTTPS

    Cookie, SSL-Sitzungs-ID (mit SSL-Passthrough aktiviert), Quell-IP

    UDP

    Quell-IP-Adresse

  8. Geben Sie die URL ein, zu der Sie den HTTP-Datenverkehr umleiten möchten.

    Sie können den Datenverkehr beispielsweise von http://myweb.com zu https://myweb.com zuweisen.

  9. Legen Sie den Persistenztyp für das Profil im Dropdown-Menü fest.

    Die Persistenz verfolgt und speichert Sitzungsdaten wie das spezifische Poolmitglied, das eine Client-Anforderung verarbeitet hat. Die Persistenz stellt sicher, dass die Client-Anforderungen in einer gesamten Sitzung oder während nachfolgender Sitzungen demselben Poolmitglied zugeordnet werden.

    • Wählen Sie die Persistenz Cookie, um ein eindeutiges Cookie zur Identifizierung der Sitzung beim ersten Zugriff eines Client auf die Site einzufügen.

      Auf das Cookie wird in den folgenden Anforderungen zur Aufrechterhaltung der Verbindung mit dem jeweiligen Server Bezug genommen.

    • Wählen Sie die Persistenz Quell-IP (Source IP) aus, um Sitzungen auf der Basis der Quell-IP-Adresse nachzuverfolgen.

      Wenn ein Client eine Verbindung zu einem virtuellen Server anfordert, der die Affinitätspersistenz der Quelladresse unterstützt, überprüft der Load Balancer, ob der Client sich zuvor verbunden hat, und wenn dies der Fall ist, gibt er den Client zu demselben Poolmitglied zurück.

    • Wählen Sie die Microsoft Remote Desktop Protocol (MSRDP)-Persistenz aus, um die persistenten Sitzungen zwischen Windows-Clients und -Servern, die in dem Microsoft Remote Desktop Protocol (RDP)-Dienst ausgeführt werden, beizubehalten.

      Das empfohlene Szenario für die Aktivierung der MSRDP-Persistenz ist das Erstellen eines Load-Balancing-Pools, der aus Mitgliedern besteht, die Windows Server 2003 oder Windows Server 2008 ausführen, wobei alle Mitglieder zu einem Windows-Cluster gehören und an einem Windows-Sitzungsverzeichnis teilnehmen.

  10. Geben Sie einen Cookie-Namen ein und wählen Sie den Modus aus, nach dem das Cookie eingefügt werden soll.

    Option

    Beschreibung

    Einfügen

    NSX Edge sendet ein Cookie.

    Sendet der Server eines oder mehrere Cookies, dann erhält der Client ein zusätzliches Cookie (Server-Cookie(s) + Edge-Cookie). Sendet der Server keine Cookies, dann erhält der Client nur das Edge-Cookie.

    Präfix

    Diese Option wird ausgewählt, wenn Ihr Client nur ein Cookie unterstützt.

    Anmerkung:

    Alle Browser akzeptieren mehrere Cookies. Bei Ihrer Anwendung kann es sich auch um eine proprietäre Anwendung mit einem proprietären Client handeln, der nur ein Cookie unterstützt. Der Webserver sendet wie üblich sein Cookie. NSX Edge fügt seine Cookie-Information (als Präfix) in den Server-Cookiewert ein. Diese hinzugefügte Cookie-Information wird entfernt, wenn NSX Edge dieses an den Server sendet.

    App-Sitzung

    Der Server sendet kein Cookie. Stattdessen sendet er die Informationen zur Benutzersitzung als eine URL.

    Beispiel: http://mysite.com/admin/UpdateUserServlet;jsessionid=OI24B9ASD7BSSD, wobei jsessionid die Informationen zur Benutzersitzung darstellen und für die Persistenz verwendet werden. Die Persistenztabelle für die App-Sitzung kann zwecks Problembehebung nicht eingesehen werden.

  11. Geben Sie den Zeitraum für die Persistenz bis zum Ablauf in Sekunden ein. Der Standardwert für die Persistenz beträgt 300 Sekunden (fünf Minuten). Beachten Sie, dass die Größe der Persistenztabelle begrenzt ist. Ein hoher Wert für die Zeitüberschreitung führt möglicherweise dazu, dass die Persistenztabelle sich schnell füllt, wenn der Datenverkehr hoch ist. Wenn die Persistenztabelle voll ist, wird für den aktuellen Eintrag der älteste Eintrag gelöscht.

    Die Persistenztabelle des Load Balancer enthält Einträge, die die Weiterleitung von Clientanforderungen zum selben Poolmitglied aufzeichnen.

    • Wenn vom selben Client keine neuen Verbindungsanforderungen innerhalb des festgelegten Zeitraums empfangen werden, verfällt der Persistenzeintrag und wird gelöscht.

    • Wenn vom selben Client eine neue Verbindungsanforderung innerhalb des festgelegten Zeitraums eingeht, wird der Timer zurückgesetzt und die Clientanforderung an ein verfügbares Poolmitglied gesendet.

    • Nach Ablauf des festgelegten Zeitraums wird eine Verbindungsanforderung an ein über den Load-Balancing-Algorithmus bestimmtes Poolmitglied gesendet.

    Für den Fall einer TCP-Quell-IP-Persistenz mit dem L7-Load-Balancer legt der Persistenzeintrag den Zeitpunkt fest, ab dem keine neuen TCP-Verbindungen für einen bestimmten Zeitraum erstellt werden, auch wenn die vorhandenen Verbindungen weiterhin aktiv sind.

  12. (Optional) : Erstellen Sie ein Anwendungsprofil für den HTTPS-Datenverkehr.

    Unterstützte HTTPS-Datenverkehrsmuster:

    • SSL-Offloading – Client -> HTTPS -> LB (mit SSL-Beendigung) -> HTTP -> Server

    • SSL-Proxy – Client -> HTTPS -> LB (mit SSL-Beendigung) -> HTTPS -> Server

    • SSL-Passthrough – Client -> HTTPS-> LB (mit SSL-Passthrough) -> HTTPS -> Server

    • Client -> HTTP-> LB -> HTTP -> Server

    1. (Optional) : Aktivieren Sie HTTP-Header 'X-Forwarded-For' einfügen (Insert X-Forwarded-For HTTP header) für das Identifizieren der Ursprungs-IP-Adresse eines Clients aus, der über den Load Balancer eine Verbindung zu einem Webserver herstellt.
    2. Aktivieren Sie Dienstzertifikat konfigurieren (Configure Service Certificate) in der Registerkarte Zertifikate für den virtuellen Server (Virtual Server Certificates) für die Auswahl des anwendbaren Serverzertifikats, der CA-Zertifikate und CRLs zur Beendigung des HTTPS-Datenverkehrs vom Client zum Load Balancer.

      Dies ist nur dann erforderlich, wenn zwischen Client und LB eine HTTPS-Verbindung verwendet wird.

    3. (Optional) : Aktivieren Sie Pool Side SSL aktivieren (Enable Pool Side SSL) zur Aktivierung der HTTPS-Kommunikation zwischen dem Load Balancer und den Backend-Servern.

      Sie können mit dem Pool-seitigen SSL ein End-to-End-SSL konfigurieren.

    4. (Optional) : Aktivieren Sie Dienstzertifikat konfigurieren (Configure Service Certificate) in der Registerkarte Poolzertifikate (Pool Certificates) für die Auswahl des anwendbaren Serverzertifikats, der CA-Zertifikate und CRLs zur Authentifizierung des Load Balancer auf der Serverseite.

      Dies ist nur für das Muster Client -> HTTPS -> LB -> HTTPS -> Server erforderlich.

      Sie können ein Dienstzertifikat konfigurieren, wenn der NSX Edge-Load Balancer über ein CA-Zertifikat verfügt und CRL bereits konfiguriert ist, und der Load Balancer ein Dienstzertifikat von Backend-Servern verifizieren muss. Diese Option kann auch für die Bereitstellung eines Load-Balancer-Zertifikats für Backend-Server verwendet werden, wenn der Backend-Server das Dienstzertifikat auf der Load-Balancer-Seite verifizieren muss.

  13. Geben Sie die Verschlüsselungsalgorithmen oder die Verschlüsselungssammlung ein, die während des SSL/TLS-Handshakes ausgehandelt wurden. Mehrere Verschlüsselungen können durch Doppelpunkt (:) getrennt hinzugefügt werden.

    Sie können die genehmigte Verschlüsselungs-Suite verwenden, siehe unten:

    Verschlüsselungswert

    Verschlüsselungsname

    DEFAULT

    DEFAULT

    ECDHE-RSA-AES128-GCM-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    ECDHE-RSA-AES256-GCM-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    ECDHE-RSA-AES256-SHA

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    ECDHE-ECDSA-AES256-SHA

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

    ECDH-ECDSA-AES256-SHA

    TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

    ECDH-RSA-AES256-SHA

    TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

    AES256-SHA

    TLS_RSA_WITH_AES_256_CBC_SHA

    AES128-SHA

    TLS_RSA_WITH_AES_128_CBC_SHA

    DES-CBC3-SHA

    TLS_RSA_WITH_3DES_EDE_CBC_SHA

  14. Geben Sie im Dropdown-Menü an, ob die Client-Authentifizierung ignoriert werden soll oder erforderlich ist.

    Wenn Sie „Erforderlich“ auswählen, muss der Client nach der Anforderung ein Zertifikat liefern oder der Handshake wird abgebrochen.

  15. Klicken Sie auf OK.