Los servidores virtuales reciben todas las conexiones de cliente y las distribuyen entre los servidores. Un servidor virtual tiene una dirección IP, un puerto y un protocolo TCP.

Si se deshabilita el estado de un servidor virtual, se rechazarán los nuevos intentos de conexión al servidor virtual mediante el envío de un TCP RST para la conexión TCP o un mensaje de error ICMP para UDP. Se rechazarán las nuevas conexiones incluso si hay entradas de persistencia coincidentes para ellas. Se seguirán procesando las conexiones activas. Si un servidor virtual se elimina o desasocia de un equilibrador de carga, las conexiones activas con ese servidor virtual generan un error.

Nota: El perfil de SSL no se admite en la versión NSX Limited Export.

Si se configura un enlace de perfil SSL del lado cliente en un servidor virtual, pero no un enlace de perfil SSL del lado servidor, el servidor virtual funciona en un modo de finalización de SSL, que tiene una conexión cifrada con el cliente y una conexión de texto sin formato con el servidor. Si se configuran enlaces de perfil SSL del lado cliente y el lado servidor, el servidor virtual funciona en modo de servidor proxy SSL, que tiene una conexión cifrada con el cliente y el servidor.

Actualmente no se permite asociar un enlace de perfil SSL del lado servidor sin asociar un enlace de perfil SSL del lado cliente. Si un enlace de perfil SSL del lado cliente y del lado servidor no está asociado a un servidor virtual y la aplicación está basada en SSL, el servidor virtual funciona en un modo que no es compatible con SSL. En este caso, el servidor virtual debe configurarse para la capa 4. Por ejemplo, el servidor virtual puede asociarse a un perfil FAST TCP.

Requisitos previos

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Redes > Equilibrio de carga > Servidores virtuales > Agregar servidor virtual.
  3. Seleccione HTTP de capa 7 en la lista desplegable e introduzca los detalles del protocolo.
    Los servidores virtuales de capa 7 admiten los protocolos HTTP y HTTPS.
    Opción Descripción
    Nombre y descripción Introduzca un nombre y una descripción para el servidor virtual de capa 7.
    Dirección IP Introduzca la dirección IP del servidor virtual. Se admiten las direcciones tanto IPv4 como IPv6.
    Puertos Introduzca el número de puerto del servidor virtual.
    Equilibrador de carga Seleccione un equilibrador de carga existente que vaya a asociar a este servidor virtual de Capa 4 en el menú desplegable.
    Grupo de servidores Seleccione un grupo de servidores existente en el menú desplegable.

    El grupo de servidores consta de uno o varios servidores, también denominados miembros de grupo, que están configurados de manera similar y ejecutan la misma aplicación.

    Puede hacer clic en los puntos suspensivos verticales para crear un grupo de servidores.
    Perfil de aplicación En base al tipo de protocolo, se rellenará automáticamente el perfil de aplicación existente.

    Puede hacer clic en los puntos suspensivos verticales para crear un perfil de aplicación.

    Persistencia Seleccione un perfil de persistencia existente en el menú desplegable.

    El perfil de persistencia se puede habilitar en un servidor virtual para permitir que las conexiones de cliente relacionadas con la IP de origen y las cookies se envíen al mismo servidor.

  4. Haga clic en Configurar para establecer el protocolo SSL de servidor virtual de Capa 7.
    Puede configurar el SSL de cliente y el SSL de servidor.
  5. Configure el SSL de cliente.
    Opción Descripción
    SSL de cliente Active el botón para habilitar el perfil.

    El enlace de perfil SSL del lado cliente permite que haya varios certificados, de modo que los nombres de host se asocien con el mismo servidor virtual.

    Certificado predeterminado Seleccione un certificado predeterminado en el menú desplegable.

    Este certificado se usa si el servidor no aloja varios nombres de host en la misma dirección IP o si el cliente no admite la extensión de Indicación de nombre de servidor (Server Name Indication, SNI).

    Para utilizar un certificado/clave 2k/3k/4k, utilice NSX Manager para Crear certificados autofirmados o Crear un archivo de solicitud de firma del certificado.

    Para utilizar un certificado o una clave de 8k, importe la clave de certificado de 8k mediante Importar certificados.

    Perfil SSL de cliente Seleccione el perfil SSL del lado cliente en el menú desplegable.
    Certificados SNI Seleccione el certificado de SNI disponible en el menú desplegable.
    Certificados de CA de confianza Seleccione el certificado de CA disponible.
    Autenticación de cliente obligatoria Active el botón para habilitar este elemento de menú.
    Profundidad de cadena de certificados Establezca la profundidad de la cadena de certificados para comprobar la profundidad de la cadena de certificados de servidor.
    Lista de revocación de certificados Seleccione la CRL disponible para no permitir certificados de servidor comprometidos.
  6. Configure el SSL de servidor.
    Opción Descripción
    SSL de servidor Active el botón para habilitar el perfil.
    Certificado de cliente Seleccione un certificado de cliente en el menú desplegable.

    Este certificado se usa si el servidor no aloja varios nombres de host en la misma dirección IP o si el cliente no admite la extensión de Indicación de nombre de servidor (Server Name Indication, SNI).

    Perfil SSL de servidor Seleccione el perfil SSL del lado servidor en el menú desplegable.
    Certificados de CA de confianza Seleccione el certificado de CA disponible.
    Autenticación del servidor obligatoria Active el botón para habilitar este elemento de menú.

    El enlace de perfil SSL del lado servidor especifica si se debe validar o no el certificado de servidor presentado al equilibrador de carga durante el protocolo de enlace SSL. Cuando se habilita la validación, el certificado de servidor debe estar firmado por una de las CA de confianza cuyos certificados autofirmados se especifican en el mismo enlace de perfil SSL del lado servidor.

    Profundidad de cadena de certificados Establezca la profundidad de la cadena de certificados para comprobar la profundidad de la cadena de certificados de servidor.
    Lista de revocación de certificados Seleccione la CRL disponible para no permitir certificados de servidor comprometidos.

    OCSP y la asociación de OCSP no se admiten en el lado servidor.

  7. Haga clic en Propiedades adicionales para configurar propiedades adicionales del servidor virtual de capa 7.
    Opción Descripción
    Máximo de conexiones simultáneas Establezca la cantidad máxima de conexiones simultáneas permitidas con un servidor virtual de modo que el servidor virtual no consuma recursos de otras aplicaciones alojadas en el mismo equilibrador de carga.
    Velocidad máxima de conexión nueva Establezca el máximo para la nueva conexión con un miembro del grupo de servidores de modo que un servidor virtual no consuma recursos.
    Grupo de servidores Sorry Seleccione un grupo de servidores de respaldo existente en el menú desplegable.

    El grupo de servidores de respaldo atiende la solicitud cuando un equilibrador de carga no puede seleccionar un servidor de back-end para atender la solicitud del grupo predeterminado.

    Puede hacer clic en los puntos suspensivos verticales para crear un grupo de servidores.

    Puerto de miembro de grupo predeterminado Introduzca un puerto de miembro de grupo predeterminado si el puerto de miembro de grupo de un servidor virtual no está definido.

    Por ejemplo, si se define un servidor virtual con el rango de puertos 2000-2999 y el rango de puertos del miembro de grupo predeterminado se establece en 8000-8999, se envía una conexión de cliente entrante con el puerto de servidor virtual 2500 a un miembro del grupo con un puerto de destino establecido en 8500.

    Estado del usuario admin Active el botón para deshabilitar el estado de usuario admin del servidor virtual de Capa 7.
    Registro de acceso Active el botón para habilitar el registro del servidor virtual de Capa 7.
    Registrar solo eventos significativos Este campo solo se puede configurar si los registros de acceso están habilitados. Las solicitudes con un estado de respuesta HTTP >=400 se tratan como un evento significativo.
    Etiquetas Seleccione una etiqueta en la lista desplegable.

    Puede especificar una etiqueta para establecer un ámbito para la etiqueta.

  8. Haga clic en Guardar.