La puerta de enlace de servicio de Edge (ESG) puede estar concebida como un proxy para el tráfico de cliente entrante.

Por qué y cuándo se efectúa esta tarea

En modo proxy, el equilibrador de carga utiliza su propia dirección IP como dirección de origen para enviar solicitudes a un servidor backend. El servidor backend ve todo el tráfico que se envía desde el equilibrador de carga y responde directamente al equilibrador de carga. Este modo también se conoce como modo SNAT o modo no transparente. Para obtener más información, consulte la Guía de administración de NSX.

Se implementa un equilibrador de carga one-armed de NSX en la misma subred con sus servidores backend, aparte del enrutador lógico. El servidor virtual del equilibrador de carga de NSX atiende a una IP virtual para las solicitudes entrantes del cliente y distribuye las solicitudes a los servidores backend. Para el tráfico de retorno, es necesario que el NAT inverso cambie la dirección IP de origen desde el servidor backend a una dirección IP virtual (VIP) y que luego envíe la dirección IP virtual al cliente. Sin esta operación, se interrumpirá la conexión con el cliente.

Después de que la ESG reciba el tráfico, realiza dos operaciones: Traducción de operaciones de red de destino, DNAT (Destination Network Address Translation), para cambiar la dirección VIP de la dirección IP en una de las máquinas de equilibrador de carga y Traducción de direcciones de red de origen, SNAT (Source Network Address Translation), para intercambiar la dirección IP del cliente con la dirección IP de ESG.

A continuación, el servidor de ESG envía el tráfico al equilibrador de carga y el servidor de este último envía la respuesta de vuelta a ESG y luego de vuelta al cliente. Es más sencillo configurar esta opción que configurar el modo en línea, pero tiene dos advertencias potenciales. La primera es que este modo necesita un servidor ESG dedicado y la segunda es que el servidor del equilibrador de carga no conoce la dirección IP del cliente original. Una solución alternativa para las aplicaciones HTTP/HTTPS es habilitar Insertar el reenvío de X (Insert X-Forwarded-For) en el perfil de la aplicación de HTTP para que lleve la dirección IP del cliente en el encabezado del reenvío de X (X-Forwarded-For) en la solicitud enviada al servidor backend.

Si es necesaria la visibilidad de la dirección IP del cliente en el servidor backend para aplicaciones que no sean HTTP/HTTPS, puede configurar el grupo de IP para que sean transparentes. En caso de que los clientes no estén en la misma subred que el servidor backend, se recomienda el modo en línea. De lo contrario, debe usar la dirección IP del equilibrador de carga como puerta de enlace predeterminada del servidor backend.

Nota:

Normalmente, existen tres métodos para garantizar la integridad de la conexión:

  • Modo en línea/transparente

  • SNAT/proxy/modo no transparente (mencionado anteriormente)

  • Direct Server Return (DSR): no compatible actualmente

En el modo DSR, el servidor backend responde directamente al cliente. Actualmente, el equilibrador de carga de NSX no admite DSR.

Procedimiento

  1. Como ejemplo, puede configurar un servidor virtual one-armed con descarga de SSL. Haga doble clic en Edge para crear un certificado y, a continuación, seleccione Administrar > Configuración > Certificado (Manage > Settings > Certificate).
  2. Habilite el servicio de equilibrador de carga mediante la selección de Administrar > Equilibrador de carga > Configuración global > Editar (Manage > Load Balancer > Global Configuration > Edit).

  3. Cree un perfil de aplicación HTTPS mediante la selección de Administrar > Equilibrador de carga > Perfiles de aplicación (Manage > Load Balancer > Application Profiles).

    Nota:

    La captura de pantalla anterior utiliza certificados autofirmados solo para documentación.

  4. De forma opcional, haga clic en Administrar > Equilibrador de carga > Supervisión del servicio (Manage > Load Balancer > Service Monitoring) y edite la supervisión del servicio por defecto para cambiarla de HTTP/HTTPS básicos a URL/URIs específicas, según sea necesario.
  5. Cree grupos de servidores mediante la selección de Administrar > Equilibrador de carga > Grupos (Manage > Load Balancer > Pools).

    Para usar el modo SNAT, deje la casilla Transparente (Transparent) sin marcar en la configuración del grupo.

    Compruebe que todas las máquinas virtuales están en la lista y habilitadas.

  6. De forma opcional, haga clic en Administrar > Equilibrador de carga > Grupos > Mostrar estadísticas de grupo (Manage > Load Balancer > Pools > Show Pool Statistics) para revisar el estado.

    Asegúrese de que el estado de miembro es LISTO (UP).

  7. Cree un servidor virtual mediante la selección de Administrar > Equilibrador de carga > Servidores virtuales (Manage > Load Balancer > Virtual Servers).

    Si quisiera utilizar el equilibrador de carga de Capa 4 para UDP o un rendimiento mayor de TCP, active Habilitar aceleración (Enable Acceleration). Si activa Habilitar aceleración (Enable Acceleration), asegúrese de que el estado del firewall es Habilitado (Enabled) en el equilibrador de carga de NSX Edge, porque se necesita un firewall para el SNAT de Capa 4.

    Compruebe que la dirección IP está unida al grupo de servidores.

  8. De forma opcional, si utiliza una regla de aplicaciones, compruebe la configuración en Administrar > Equilibrador de carga > Reglas de aplicaciones (Manage > Load Balancer > Application Rules).

  9. SI utiliza una regla de aplicaciones, asegúrese de que dicha regla está asociada con el servidor virtual en Administrar > Equilibrador de carga > Servidores virtuales > Avanzado (Manage > Load Balancer > Virtual Servers > Advanced).

    Para ejemplos compatibles, consulte https://communities.vmware.com/docs/DOC-31772.

    En el modo no transparente, el servidor backend no puede consultar la IP del cliente, pero sí puede ver el equilibrador de carga de la dirección IP interna. Como solución alternativa al tráfico de HTTP/HTTPS, active el encabezado Insertar X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP). Con esta opción activa, el equilibrador de carga de Edge agrega el encabezado "X-Forwarded-For" con el valor de la dirección IP de origen del cliente.