La passerelle ESG (Edge Services Gateway) peut être considérée comme un proxy pour le trafic client entrant.

En mode proxy, l'équilibrage de charge utilise sa propre adresse IP comme adresse source pour envoyer des demandes à un serveur principal. Le serveur principal affiche tout le trafic provenant de l'équilibrage de charge et répond directement à l'équilibrage de charge. Ce mode est également appelé mode SNAT ou mode non transparent. Pour plus d'informations, consultez le Guide d'administration de NSX.

Un équilibrage de charge manchot NSX classique est déployé sur le même sous-réseau avec ses serveurs principaux, excepté le routeur logique. Le serveur virtuel de l'équilibrage de charge NSX écoute sur une adresse IP virtuelle les demandes entrantes du client et les envoie aux serveurs principaux. Pour le trafic de retour, un NAT inverse est requis pour transformer l'adresse IP source du serveur principal en adresse IP virtuelle (VIP), puis pour envoyer l'adresse IP virtuelle au client. Sans cette opération, la connexion au client est interrompue.

Une fois que la passerelle ESG reçoit le trafic, elle effectue deux opérations : DNAT (Destination Network Address Translation, traduction de l'adresse réseau de destination) pour transformer l'adresse IP virtuelle en adresse IP de l'une des machines à équilibrage de charge et SNAT (Source Network Address Translation, traduction de l'adresse réseau source) pour échanger l'adresse IP du client avec celle de la passerelle ESG.

Ensuite, le serveur ESG envoie le trafic au serveur d'équilibrage de charge et ce dernier renvoie la réponse à la passerelle ESG, puis au client. Cette option est beaucoup plus facile à configurer que le mode En ligne, mais elle présente deux mises en garde potentielles. La première est que ce mode requiert un serveur ESG dédié et la seconde est que les serveurs d'équilibrage de charge ne connaissent pas l'adresse IP d'origine du client. Une solution pour les applications HTTP/HTTPS consiste à activer Insérer X-transféré-pour dans le profil d'application HTTP pour que l'adresse IP du client soit transportée dans l'en-tête HTTP X-transféré-pour dans la demande envoyée au serveur principal.

Si l'adresse IP du client doit être visible sur le serveur principal pour des applications autres que HTTP/HTTPS, vous pouvez configurer le pool d'adresses IP pour qu'il soit transparent. Si les clients ne se trouvent pas sur le même sous-réseau que le serveur principal, le mode en ligne est recommandé. Sinon, vous devez utiliser l'adresse IP de l'équilibrage de charge comme passerelle par défaut du serveur principal.

Note :
En général, il existe trois méthodes pour garantir l'intégrité de la connexion :
  • Mode en ligne/transparent
  • Mode SNAT/proxy/non transparent (abordé ci-dessus)
  • Retour au serveur direct (DSR) : actuellement non pris en charge
En mode DSR, le serveur principal répond directement au client. Actuellement, l'équilibrage de charge NSX ne prend pas en charge le mode DSR.

Procédure

  1. Par exemple, configurons un serveur virtuel manchot avec le déchargement SSL. Créez un certificat en double-cliquant sur le dispositif Edge et en sélectionnant Gérer > Paramètres > Certificat (Manage > Settings > Certificate).
  2. Activez l'équilibrage de charge en sélectionnant Gérer > Équilibrage de charge > Configuration globale > Modifier (Manage > Load Balancer > Global Configuration > Edit).
  3. Créez un profil d'application HTTPS en sélectionnant Gérer > Équilibrage de charge > Profils d'application (Manage > Load Balancer > Application Profiles).
    Note : La capture d'écran ci-dessus utilise des certificats auto-signés à des fins de documentation uniquement.
  4. Facultativement, cliquez sur Gérer > Équilibrage de charge > Surveillance des services (Manage > Load Balancer > Service Monitoring) et modifiez la surveillance des services par défaut pour la passer de HTTP/HTTPS de base à des URL/URI spécifiques, selon les besoins.
  5. Créez des pools de serveurs en sélectionnant Gérer > Équilibrage de charge > Pools (Manage > Load Balancer > Pools).
    Pour utiliser le mode SNAT, ne cochez pas la case Transparent dans la configuration de pool.
    Vérifiez que les VM sont répertoriées et activées.
  6. Facultativement, cliquez sur Gérer > Équilibrage de charge > Pools > Afficher les statistiques du pool (Manage > Load Balancer > Pools > Show Pool Statistics) pour vérifier l'état.
    Vérifiez que l'état du membre est Actif.
  7. Créez un serveur virtuel en sélectionnant Gérer > Équilibrage de charge > Serveurs virtuels (Manage > Load Balancer > Virtual Servers).
    Si vous voulez utiliser l'équilibrage de charge de niveau 4 pour UDP ou TCP performances supérieures, cochez Activer l'accélération (Enable Acceleration). Si vous cochez Activer l'accélération (Enable Acceleration), assurez-vous que l'état du pare-feu est Activé (Enabled) sur l'équilibrage de charge NSX Edge, car un pare-feu est requis pour SNAT L4.
    Vérifiez que l'adresse IP est liée au pool de serveurs.
  8. Facultativement, si vous utilisez une règle d'application, vérifiez la configuration dans Gérer > Équilibrage de charge > Règles d'application (Manage > Load Balancer > Application Rules).
  9. Si vous utilisez une règle d'application, vérifiez qu'elle est associée au serveur virtuel dans Gérer > Équilibrage de charge > Serveurs virtuels > Avancé (Manage > Load Balancer > Virtual Servers > Advanced).
    Pour voir des exemples pris en charge, consultez : https://communities.vmware.com/docs/DOC-31772.

    En mode non transparent, le serveur principal ne peut pas voir l'adresse IP du client, mais il peut voir l'adresse IP interne de l'équilibrage de charge. Comme solution pour le trafic HTTP/HTTPS, cochez Insérer l'en-tête HTTP X-transféré-pour (Insert X-Forwarded-For HTTP header). Avec cette option cochée, l'équilibrage de charge Edge ajoute l'en-tête « X-transféré-pour » avec la valeur de l'adresse IP source du client.