Utilice perfiles de aplicación para mejorar el control sobre la administración del tráfico de red y así hará que las tareas de administración de tráfico sean más sencillas y eficientes.

Por qué y cuándo se efectúa esta tarea

Puede crear un perfil de aplicación para definir el comportamiento de un tipo de tráfico de red en particular. Después de configurar un perfil, este debe asociarse con un servidor virtual. A continuación, el servidor virtual procesa el tráfico según los valores especificados en el perfil.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSX Edge (NSX Edges).
  3. Haga doble clic en una instancia de NSX Edge.
  4. Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
  5. En el panel de navegación izquierdo, haga clic en Perfiles de aplicación (Application Profiles).
  6. Haga clic en el icono Agregar (Add) (icono agregar).
  7. Escriba un nombre para el perfil y seleccione en el menú desplegable el tipo de tráfico para el que se está creando el perfil.

    Tipo de tráfico

    Método de persistencia admitido

    TCP

    IP de origen, MSRDP

    HTTP

    Cookie, IP de origen

    HTTPS

    Cookie, ID de sesión SSL (SSL Passthrough habilitado), IP de origen

    UDP

    IP de origen

  8. Introduzca la URL a la que quiere redireccionar el tráfico HTTP.

    Por ejemplo, puede redirigir el tráfico de http://myweb.com a https://myweb.com.

  9. Especifique el tipo de persistencia para el perfil en el menú desplegable.

    La persistencia realiza un seguimiento de los datos de la sesión, como el miembro del grupo específico que procesó una solicitud de cliente, y los almacena. Con la persistencia, las solicitudes del cliente se dirigen al mismo miembro del grupo durante toda una sesión o durante las sesiones posteriores.

    • Seleccione la persistencia de la Cookie para insertar una única cookie que identifique la sesión la primera vez que un cliente acceda al sitio.

      En las solicitudes posteriores se acude a la cookie para persistir en la conexión al servidor apropiado.

    • Seleccione la persistencia de la IP de origen para hacer un seguimiento de las sesiones basado en la dirección IP de origen.

      Cuando un cliente solicita una conexión a un servidor virtual que admite la persistencia de afinidad de una dirección de origen, el equilibrador de carga comprueba si ese cliente se conectó anteriormente y, si lo hizo, devuelve el cliente al mismo miembro del grupo.

    • Seleccione la persistencia del protocolo del escritorio remoto de Microsoft MSRDP para mantener sesiones persistentes entre los clientes de Windows y los servidores que se están ejecutando en el servicio del protocolo del escritorio remoto de Microsoft (RDP).

      El escenario recomendado para habilitar la persistencia de MSRDP es crear un grupo de equilibrio de carga que cuente con miembros que ejecuten Windows Server 2003 o Windows Server 2008, en el que todos los miembros pertenezcan a un clúster de Windows y participen en un directorio de sesiones de Windows.

  10. Introduzca el nombre de una cookie y seleccione el modo en el que debe insertarse.

    Opción

    Descripción

    Insertar (Insert)

    NSX Edge envía una cookie.

    Si el servidor envía una o varias cookies, el cliente recibe una cookie extra (la o las cookies del servidor + la cookie de Edge). Si el servidor no envía ninguna cookie, el cliente recibe la cookie de Edge.

    Prefijo (Prefix)

    Se selecciona esta opción si el cliente no admite más de una cookie.

    Nota:

    Todos los navegadores aceptan varias cookies. Si cuenta con una aplicación propia que utilice un cliente propio que sea compatible con una sola cookie. El servidor web envía la cookie de la forma habitual. NSX Edge inyecta (a modo de prefijo) la información de su cookie en el valor de la cookie del servidor. Esta información agregada de la cookie se elimina cuando NSX Edge la envía al servidor.

    Sesión de la aplicación

    El servidor no envía una cookie. En su lugar, envía información de sesión del usuario como una URL.

    Por ejemplo, http://mysite.com/admin/UpdateUserServlet;jsessionid=OI24B9ASD7BSSD, donde jsessionid es la información de la sesión del usuario y se utiliza para la persistencia. No es posible ver la tabla de persistencia de Sesión de aplicación (App Session) para la solución de problemas.

  11. Introduzca el tiempo de caducidad de la persistencia en segundos. El valor predeterminado de la persistencia es de 300 segundos (cinco minutos). Tenga en cuenta que la tabla de persistencia es de tamaño limitado. Un valor de tiempo de espera de gran tamaño puede hacer que la tabla de persistencia se llene rápidamente si el tráfico es denso. Cuando se llena la tabla de persistencia, se elimina la entrada más antigua para aceptar la entrada más reciente.

    La tabla de persistencia del equilibrador de carga mantiene las entradas para registrar que las solicitudes de los clientes se dirigen al mismo miembro del grupo.

    • Si no se reciben nuevas solicitudes de conexión del mismo cliente dentro del tiempo de espera, la entrada de persistencia caducará y se eliminará.

    • Si se recibe una nueva solicitud de conexión del mismo cliente dentro del tiempo de espera, se restablecerá el temporizador y se enviará la solicitud de cliente a un miembro estable del grupo.

    • Una vez transcurrido el tiempo de espera, se enviarán nuevas solicitudes de conexión a un miembro del grupo asignado por el algoritmo de equilibrio de carga.

    En el escenario de persistencia de la IP de origen de la TCP del equilibrio de carga de Capa 7, el tiempo de espera de la entrada de persistencia se agota si no se producen nuevas conexiones TCP durante un periodo de tiempo, aunque las conexiones existentes aún estén activas.

  12. (Opcional) : Crear un perfil de aplicación para el tráfico HTTPS.

    Patrones de tráfico HTTPS compatibles:

    • Descarga SSL - Cliente > HTTPS -> LB (finalizar SSL) -> HTTP -> servidor

    • Proxy SSL - Cliente > HTTPS -> LB (finalizar SSL) -> HTTPS -> servidor

    • Passthrough SSL - Cliente > HTTPS -> LB (passthrough SSL) -> HTTPS -> servidor

    • Cliente -> HTTP-> LB -> HTTP -> servidores

    1. (Opcional) : Seleccione el encabezado Insertar HTTP X-Forwarded-For (Insert X-Forwarded-For HTTP) para identificar la dirección IP originaria de un cliente que se conecte a un servidor web a través del equilibrador de carga.
    2. Seleccione Configurar certificado de servicio (Configure Service Certificate) para seleccionar el certificado de servicio, los certificados de CA y las listas CLR pertinentes que se utilizan para finalizar el tráfico HTTPS desde el cliente en el equilibrador de carga en la pestaña Certificados de servidor virtual (Virtual Server Certificates).

      Esto es necesario solo si la conexión Cliente -> LB es HTTPS.

    3. (Opcional) : Seleccione Habilitar SSL del grupo (Enable Pool Side SSL) para habilitar la comunicación HTTPS entre el equilibrador de carga y los servidores backend.

      Se puede usar el SSL del grupo para configurar el SSL de un extremo a otro.

    4. (Opcional) : Seleccione Configurar certificado de servicio (Configure Service Certificate) para seleccionar el certificado de servicio, los certificados de CA y las listas CLR pertinentes que se utilizan para autenticar el equilibrador de carga desde el servidor en la pestaña Certificados grupo (Pool Certificates).

      Esto es necesario solo para el patrón Cliente -> HTTPS -> LB -> HTTPS -> servidores.

      Puede configurar el certificado de servicio si el equilibrador de carga de NSX Edge tiene un certificado de CA y de CRL ya configurado y necesita comprobar el certificado de servicio de los servidores backend. Esta opción también se puede utilizar para proporcionar el certificado del equilibrador de carga al servidor backend si dicho servidor necesita comprobar el certificado de servicio del equilibrador de carga.

  13. Introduzca los algoritmos de cifrado o el conjunto de claves de cifrado negociado durante el protocolo de enlace SSL/TLS Se pueden agregar varios cifrados separados por dos puntos (:).

    Puede utilizar conjunto de cifrado aprobados como se indica debajo:

    Valor de cifrado

    Nombre de cifrado

    DEFAULT

    DEFAULT

    ECDHE-RSA-AES128-GCM-SHA256

    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    ECDHE-RSA-AES256-GCM-SHA384

    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    ECDHE-RSA-AES256-SHA

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    ECDHE-ECDSA-AES256-SHA

    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

    ECDH-ECDSA-AES256-SHA

    TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

    ECDH-RSA-AES256-SHA

    TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

    AES256-SHA

    TLS_RSA_WITH_AES_256_CBC_SHA

    AES128-SHA

    TLS_RSA_WITH_AES_128_CBC_SHA

    DES-CBC3-SHA

    TLS_RSA_WITH_3DES_EDE_CBC_SHA

  14. Especifique en el menú desplegable si la autenticación del cliente se ignora o es necesaria.

    Si selecciona que es necesaria, el cliente debe proporcionar un certificado tras la interrupción de la solicitud o del protocolo de enlace.

  15. Haga clic en Aceptar (OK).