La puerta de enlace de servicios Edge (ESG) se puede considerar como un proxy dirigido al tráfico cliente entrante.

En modo proxy, el equilibrador de carga utiliza su propia dirección IP como dirección de origen para enviar solicitudes a un servidor back-end. El servidor back-end ve todo el tráfico que se envía desde el equilibrador de carga y responde directamente al equilibrador de carga. Este modo también se conoce como modo SNAT o modo no transparente. Para obtener más información, consulte la Guía de administración de NSX.

Se implementa un equilibrador de carga one-armed de NSX en la misma subred con sus servidores back-end, aparte del enrutador lógico. El servidor virtual del equilibrador de carga de NSX escucha una IP virtual para las solicitudes entrantes del cliente y envía las solicitudes a los servidores back-end. Para el tráfico de retorno, es necesario que la NAT inversa cambie la dirección IP de origen del servidor back-end a una dirección IP virtual (Virtual IP, VIP) y que, a continuación, envíe la dirección IP virtual al cliente. Sin esta operación, la conexión con el cliente puede sufrir interrupciones.

Después de que la ESG reciba el tráfico, realiza las dos operaciones siguientes:
  • La traducción de direcciones de red de destino (Destination Network Address Translation, DNAT) para cambiar la dirección de VIP a la dirección IP de una de las máquinas del equilibrador de carga
  • La traducción de direcciones de red de origen (Source Network Address Translation, SNAT) para intercambiar la dirección IP del cliente con la dirección IP de la ESG

A continuación, el servidor de ESG envía el tráfico al servidor del equilibrador de carga y este envía la respuesta de nuevo a la ESG y de ahí de vuelta al cliente. Esta opción es más sencilla de configurar que el modo en línea, pero debe tener en cuenta dos posibles limitaciones. La primera es que este modo necesita un servidor ESG dedicado y la segunda es que el servidor del equilibrador de carga no conoce la dirección IP del cliente original. Una solución alternativa para las aplicaciones de HTTP o HTTPS es habilitar la opción Insertar X-Forwarded-For (Insert X-Forwarded-For) en el perfil de la aplicación de HTTP para que transmita la dirección IP del cliente en el encabezado "X-Forwarded-For HTTP" de la solicitud que se envía al servidor back-end.

Si el servidor back-end necesita ver la dirección IP del cliente para otras aplicaciones que no sean de HTTP o HTTPS, puede configurar el grupo de direcciones IP para que sea transparente. Si los clientes no están en la misma subred que el servidor back-end, se recomienda utilizar el modo en línea. En caso contrario, deberá usar la dirección IP del equilibrador de carga como la puerta de enlace predeterminada del servidor back-end.

Nota:
Normalmente, existen tres métodos para garantizar la integridad de la conexión:
  • Modo en línea/transparente
  • SNAT/proxy/modo no transparente (mencionado anteriormente)
  • Direct Server Return (DSR): no compatible actualmente
En el modo DSR, el servidor back-end responde directamente al cliente. Actualmente, el equilibrador de carga de NSX no admite DSR.

El procedimiento siguiente explica cómo configurar un equilibrador de carga one-armed con el tipo de perfil de aplicación de descarga de HTTPS (descarga de SSL).

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) > NSX Edge.
  3. Haga doble clic en un dispositivo NSX Edge.
  4. Haga clic en Administrar (Manage) > Configuración (Settings) > Certificado (Certificate).
    Para este escenario, agregue un certificado autofirmado.
  5. Habilite el servicio del equilibrador de carga.
    1. Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Configuración global (Global Configuration).
    2. Haga clic en Editar (Edit) y habilite el equilibrador de carga.
  6. Crear un perfil de aplicación de HTTPS.
    1. Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Perfiles de aplicación (Application Profiles).
    2. Haga clic en Agregar (Add) y especifique los parámetros de perfil de aplicación.
      Versión Procedimiento
      NSX 6.4.5 y posteriores
      1. En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione Descarga de HTTPS (HTTPS Offloading).
      2. En el cuadro de texto Nombre (Name), introduzca el nombre del perfil. Por ejemplo, introduzca Web-SSL-Profile.
      3. Haga clic en SSL cliente (Client SSL) > Certificados de servicio (Service Certificates).
      4. Seleccione el certificado autofirmado que agregó anteriormente.
      NSX 6.4.4 y anteriores
      1. En el menú desplegable Tipo (Type), seleccione HTTPS.
      2. En el cuadro de texto Nombre (Name), introduzca el nombre del perfil. Por ejemplo, introduzca Web-SSL-Profile.
      3. Seleccione la casilla de verificación Configurar certificados de servicio (Configure Service Certificates).
      4. Seleccione el certificado autofirmado que agregó anteriormente.
  7. (opcional) Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Supervisión del servicio (Service Monitoring). Edite la supervisión del servicio predeterminada y cambiéla de HTTP o HTTPS básica a una URL o varios URI específicos, según sea necesario.
  8. Cree un grupo de servidores.
    1. Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Grupos (Pools) y, a continuación, en Agregar (Add).
    2. En el cuadro de texto Nombre (Name), introduzca el nombre del grupo de servidores. Por ejemplo, introduzca Web-Tier-Pool-01.
    3. En el menú desplegable Algoritmo (Algorithm), seleccione Ejecutar por turnos (round-robin) (Round-Robin).
    4. En el menú desplegable Monitores (Monitors), seleccione default_https_monitor.
    5. Agregue dos miembros al grupo.
      Por ejemplo, especifique los siguientes ajustes de configuración.
      Estado (State) Nombre Dirección IP (IP Address) Weight Puerto de supervisión (Monitor Port) Puerto Conexiones máx. (Max Connections) Conexiones mín. (Min Connections)
      Enabled web-01a 172.16.10.11 1 443 443 0 0
      Enabled web-02a 172.16.10.12 1 443 443 0 0
    6. Para usar el modo SNAT, asegúrese de que no esté habilitada la opción Transparente (Transparent).
  9. Haga clic en Mostrar estado (Show Status) o en Mostrar estadísticas de grupo (Show Pool Statistics) y compruebe que el estado del grupo Web-Tier-Pool-01 sea ACTIVO (UP).
    Seleccione el grupo y asegúrese de que el estado de ambos miembros de este grupo sea ACTIVO (UP).
  10. Cree un servidor virtual.
    1. Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidores virtuales (Virtual Servers) y, a continuación, en Agregar (Add).
    2. Introduzca los parámetros del servidor virtual.

      Por ejemplo, especifique los siguientes ajustes de configuración.

      Opción Descripción
      Servidor virtual Habilite el servidor virtual.
      Aceleración (Acceleration) Si quiere utilizar el equilibrador de carga de Capa 4 para UDP o un rendimiento mayor de TCP, habilite la aceleración. Si habilita esta opción, asegúrese de que el estado del firewall esté habilitado en el equilibrador de carga de NSX Edge, ya que se requiere un firewall para el modo SNAT de Capa 4.
      Perfil de aplicación Introduzca OneArmWeb-01.
      Dirección IP (IP Address) Seleccione 172.16.10.110.
      Protocolo (Protocol) Seleccione HTTPS.
      Puerto Introduzca 443.
      Grupo predeterminado (Default Pool) Seleccione el grupo de servidores Web-Tier-Pool-01 que creó anteriormente.
      Límite de conexión (Connection Limit) Introduzca 0.
      Límite de velocidad de conexión (Connection Rate Limit) Introduzca 0.
    3. (opcional) Haga clic en la pestaña Avanzado (Advanced) y asocie una regla de aplicación con el servidor virtual.
      Para ejemplos compatibles, consulte https://communities.vmware.com/docs/DOC-31772.

    En el modo no transparente, el servidor back-end no puede ver la IP del cliente, pero la dirección IP interna del equilibrador de carga sí es visible. Como solución alternativa para el tráfico HTTP o HTTPS, seleccione Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header) en el perfil de aplicación. Al seleccionar esta opción, el equilibrador de carga de Edge agrega el encabezado "X-Forwarded-For" con el valor de la dirección IP de origen del cliente.