Agregar servidores virtuales HTTP de Capa 7

Los servidores virtuales reciben todas las conexiones de cliente y las distribuyen entre los servidores. Un servidor virtual tiene una dirección IP, un puerto y un protocolo TCP.

Si se deshabilita el estado de un servidor virtual, se rechazarán los nuevos intentos de conexión al servidor virtual mediante el envío de un TCP RST para la conexión TCP o un mensaje de error ICMP para UDP. Se rechazarán las nuevas conexiones incluso si hay entradas de persistencia coincidentes para ellas. Se seguirán procesando las conexiones activas. Si un servidor virtual se elimina o desasocia de un equilibrador de carga, las conexiones activas con ese servidor virtual generan un error.

Nota: El perfil de SSL no se admite en la versión NSX Limited Export.

Si se configura un enlace de perfil SSL del lado cliente en un servidor virtual, pero no un enlace de perfil SSL del lado servidor, el servidor virtual funciona en un modo de finalización de SSL, que tiene una conexión cifrada con el cliente y una conexión de texto sin formato con el servidor. Si se configuran enlaces de perfil SSL del lado cliente y el lado servidor, el servidor virtual funciona en modo de servidor proxy SSL, que tiene una conexión cifrada con el cliente y el servidor.

Actualmente no se permite asociar un enlace de perfil SSL del lado servidor sin asociar un enlace de perfil SSL del lado cliente. Si un enlace de perfil SSL del lado cliente y del lado servidor no está asociado a un servidor virtual y la aplicación está basada en SSL, el servidor virtual funciona en un modo que no es compatible con SSL. En este caso, el servidor virtual debe configurarse para la capa 4. Por ejemplo, el servidor virtual puede asociarse a un perfil FAST TCP.

Requisitos previos

Compruebe que los perfiles de aplicaciones estén disponibles. Consulte Agregar un perfil de aplicación.
Compruebe que los perfiles persistentes estén disponibles. Consulte Agregar un perfil de persistencia.
Compruebe que los perfiles de SSL para el cliente y el servidor estén disponibles. Consulte Agregar un perfil de SSL.
Compruebe que los grupos de servidores estén disponibles. Consulte Agregar un grupo de servidores.
Compruebe que el certificado de CA y de cliente estén disponibles. Consulte Certificados.
Compruebe que exista una lista de revocación de certificación (Certification Revocation List, CRL). Consulte Importar una lista de revocación de certificados.
Compruebe que haya disponible un equilibrador de carga. Consulte Agregar equilibradores de carga.

Procedimiento

Con privilegios de administrador, inicie sesión en NSX Manager.
Seleccione Redes > Equilibrio de carga > Servidores virtuales > Agregar servidor virtual.

Seleccione HTTP de capa 7 en la lista desplegable e introduzca los detalles del protocolo.

Los servidores virtuales de capa 7 admiten los protocolos HTTP y HTTPS.

Opción	Descripción
Nombre y descripción	Introduzca un nombre y una descripción para el servidor virtual de capa 7.
Dirección IP	Introduzca la dirección IP del servidor virtual. Se admiten las direcciones tanto IPv4 como IPv6.
Puertos	Introduzca el número de puerto del servidor virtual.
Equilibrador de carga	Seleccione un equilibrador de carga existente que vaya a asociar a este servidor virtual de Capa 4 en el menú desplegable.
Grupo de servidores	Seleccione un grupo de servidores existente en el menú desplegable. El grupo de servidores consta de uno o varios servidores, también denominados miembros de grupo, que están configurados de manera similar y ejecutan la misma aplicación. Puede hacer clic en los puntos suspensivos verticales para crear un grupo de servidores.
Perfil de aplicación	En base al tipo de protocolo, se rellenará automáticamente el perfil de aplicación existente. Puede hacer clic en los puntos suspensivos verticales para crear un perfil de aplicación.
Persistencia	Seleccione un perfil de persistencia existente en el menú desplegable. El perfil de persistencia se puede habilitar en un servidor virtual para permitir que las conexiones de cliente relacionadas con la IP de origen y las cookies se envíen al mismo servidor.

Haga clic en Configurar para establecer el protocolo SSL de servidor virtual de Capa 7.
Puede configurar el SSL de cliente y el SSL de servidor.

Configure el SSL de cliente.

Opción	Descripción
SSL de cliente	Active el botón para habilitar el perfil. El enlace de perfil SSL del lado cliente permite que haya varios certificados, de modo que los nombres de host se asocien con el mismo servidor virtual.
Certificado predeterminado	Seleccione un certificado predeterminado en el menú desplegable. Este certificado se usa si el servidor no aloja varios nombres de host en la misma dirección IP o si el cliente no admite la extensión de Indicación de nombre de servidor (Server Name Indication, SNI). Para utilizar un certificado/clave 2k/3k/4k, utilice NSX Manager para Crear certificados autofirmados o Crear un archivo de solicitud de firma del certificado. Para utilizar un certificado o una clave de 8k, importe la clave de certificado de 8k mediante Importar y reemplazar certificados.
Perfil SSL de cliente	Seleccione el perfil SSL del lado cliente en el menú desplegable.
Certificados SNI	Seleccione el certificado de SNI disponible en el menú desplegable.
Certificados de CA de confianza	Seleccione el certificado de CA disponible.
Autenticación de cliente obligatoria	Active el botón para habilitar este elemento de menú.
Profundidad de cadena de certificados	Establezca la profundidad de la cadena de certificados para comprobar la profundidad de la cadena de certificados de servidor.
Lista de revocación de certificados	Seleccione la CRL disponible para no permitir certificados de servidor comprometidos.

Configure el SSL de servidor.

Opción	Descripción
SSL de servidor	Active el botón para habilitar el perfil.
Certificado de cliente	Seleccione un certificado de cliente en el menú desplegable. Este certificado se usa si el servidor no aloja varios nombres de host en la misma dirección IP o si el cliente no admite la extensión de Indicación de nombre de servidor (Server Name Indication, SNI).
Perfil SSL de servidor	Seleccione el perfil SSL del lado servidor en el menú desplegable.
Certificados de CA de confianza	Seleccione el certificado de CA disponible.
Autenticación del servidor obligatoria	Active el botón para habilitar este elemento de menú. El enlace de perfil SSL del lado servidor especifica si se debe validar o no el certificado de servidor presentado al equilibrador de carga durante el protocolo de enlace SSL. Cuando se habilita la validación, el certificado de servidor debe estar firmado por una de las CA de confianza cuyos certificados autofirmados se especifican en el mismo enlace de perfil SSL del lado servidor.
Profundidad de cadena de certificados	Establezca la profundidad de la cadena de certificados para comprobar la profundidad de la cadena de certificados de servidor.
Lista de revocación de certificados	Seleccione la CRL disponible para no permitir certificados de servidor comprometidos. OCSP y la asociación de OCSP no se admiten en el lado servidor.

Haga clic en Propiedades adicionales para configurar propiedades adicionales del servidor virtual de capa 7.

Opción	Descripción
Máximo de conexiones simultáneas	Establezca la cantidad máxima de conexiones simultáneas permitidas con un servidor virtual de modo que el servidor virtual no consuma recursos de otras aplicaciones alojadas en el mismo equilibrador de carga.
Velocidad máxima de conexión nueva	Establezca el máximo para la nueva conexión con un miembro del grupo de servidores de modo que un servidor virtual no consuma recursos.
Grupo de servidores Sorry	Seleccione un grupo de servidores de respaldo existente en el menú desplegable. El grupo de servidores de respaldo atiende la solicitud cuando un equilibrador de carga no puede seleccionar un servidor de back-end para atender la solicitud del grupo predeterminado. Puede hacer clic en los puntos suspensivos verticales para crear un grupo de servidores.
Puerto de miembro de grupo predeterminado	Introduzca un puerto de miembro de grupo predeterminado si el puerto de miembro de grupo de un servidor virtual no está definido. Por ejemplo, si se define un servidor virtual con el rango de puertos 2000-2999 y el rango de puertos del miembro de grupo predeterminado se establece en 8000-8999, se envía una conexión de cliente entrante con el puerto de servidor virtual 2500 a un miembro del grupo con un puerto de destino establecido en 8500.
Estado del usuario admin	Active el botón para deshabilitar el estado de usuario admin del servidor virtual de Capa 7.
Registro de acceso	Active el botón para habilitar el registro del servidor virtual de Capa 7.
Registrar solo eventos significativos	Este campo solo se puede configurar si los registros de acceso están habilitados. Las solicitudes con un estado de respuesta HTTP >=400 se tratan como un evento significativo.
Etiquetas	Seleccione una etiqueta en la lista desplegable. Puede especificar una etiqueta para establecer un ámbito para la etiqueta.

Haga clic en Guardar.