La passerelle ESG (Edge Services Gateway) peut être considérée comme un proxy pour le trafic client entrant.

L'image est décrite dans le texte qui s'y rapporte.

En mode proxy, l'équilibrage de charge utilise sa propre adresse IP comme adresse source pour envoyer des demandes à un serveur principal. Le serveur principal affiche tout le trafic provenant de l'équilibrage de charge et répond directement à l'équilibrage de charge. Ce mode est également appelé mode SNAT ou mode non transparent. Pour plus d'informations, consultez le Guide d'administration de NSX.

Un équilibrage de charge manchot NSX classique est déployé sur le même sous-réseau avec ses serveurs principaux, excepté le routeur logique. Le serveur virtuel de l'équilibrage de charge NSX écoute sur une adresse IP virtuelle les demandes entrantes du client et les envoie aux serveurs principaux. Pour le trafic de retour, un NAT inverse est requis pour transformer l'adresse IP source du serveur principal en adresse IP virtuelle (VIP), puis pour envoyer l'adresse IP virtuelle au client. Sans cette opération, la connexion au client peut être interrompue.

Lorsque la passerelle ESG reçoit le trafic, elle effectue les deux opérations suivantes :
  • Traduction d'adresse réseau de destination (DNAT) pour modifier l'adresse VIP en adresse IP de l'une des machines à équilibrage de charge.
  • Traduction d'adresse réseau source (SNAT) pour échanger l'adresse IP du client avec l'adresse IP d'ESG.

Ensuite, le serveur ESG envoie le trafic au serveur d'équilibrage de charge et ce dernier renvoie la réponse à la passerelle ESG, puis au client. Cette option est beaucoup plus facile à configurer que le mode en ligne, mais elle présente deux mises en garde potentielles. La première est que ce mode requiert un serveur ESG dédié et la seconde est que les serveurs d'équilibrage de charge ne connaissent pas l'adresse IP d'origine du client. Une solution pour les applications HTTP ou HTTPS consiste à activer l'option Insérer X-transféré-pour (Insert X-Forwarded-For) dans le profil d'application HTTP pour que l'adresse IP du client soit transportée dans l'en-tête HTTP X-transféré-pour dans la demande envoyée au serveur principal.

Si l'adresse IP du client doit être visible sur le serveur principal pour des applications autres que HTTP ou HTTPS, vous pouvez configurer le pool d'adresses IP pour qu'il soit transparent. Si les clients ne se trouvent pas sur le même sous-réseau que le serveur principal, le mode en ligne est recommandé. Sinon, vous devez utiliser l'adresse IP de l'équilibrage de charge comme passerelle par défaut du serveur principal.

Note :
En général, il existe trois méthodes pour garantir l'intégrité de la connexion :
  • Mode en ligne/transparent
  • Mode SNAT/proxy/non transparent (abordé ci-dessus)
  • Retour au serveur direct (DSR) : actuellement non pris en charge
En mode DSR, le serveur principal répond directement au client. Actuellement, l'équilibrage de charge NSX ne prend pas en charge le mode DSR.

La procédure suivante explique la configuration d'un équilibrage de charge manchot avec le type de profil d'application de déchargement HTTPS (déchargement SSL).

Procédure

  1. Connectez-vous à vSphere Web Client.
  2. Cliquez sur Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).
  3. Double-cliquez sur une instance de NSX Edge.
  4. Cliquez sur Gérer (Manage) > Paramètres (Settings) > Certificat (Certificate).
    Pour ce scénario, ajoutez un certificat auto-signé.
  5. Activez le service d'équilibrage de charge.
    1. Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Configuration globale (Global Configuration).
    2. Cliquez sur Modifier (Edit) et activez l'équilibrage de charge.
  6. Créez un profil d'application HTTPS.
    1. Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Profils d'application (Application Profiles).
    2. Cliquez sur Ajouter (Add) et spécifiez les paramètres de profil d'application.
      Version Procédure
      NSX 6.4.5 et versions ultérieures
      1. Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Déchargement HTTPS (HTTPS Offloading).
      2. Dans la zone de texte Nom (Name), entrez le nom du profil. Par exemple, entrez Web-SSL-Profile.
      3. Cliquez sur SSL de client (Client SSL) > Certificats de service (Service Certificates).
      4. Sélectionnez le certificat auto-signé que vous avez ajouté précédemment.
      NSX 6.4.4 et versions antérieures
      1. Dans le menu déroulant Type, sélectionnez HTTPS.
      2. Dans la zone de texte Nom (Name), entrez le nom du profil. Par exemple, Web-SSL-Profile.
      3. Cochez la case Configurer le certificat de service (Configure Service Certificate).
      4. Sélectionnez le certificat auto-signé que vous avez ajouté précédemment.
  7. (Facultatif) Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Surveillance des services (Service Monitoring). Modifiez la surveillance des services par défaut pour la passer de HTTP ou HTTPS de base à une URL ou des URI spécifiques, au besoin.
  8. Créez un pool de serveurs.
    1. Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Pools, puis cliquez sur Ajouter (Add).
    2. Dans le champ Nom (Name), entrez un nom pour le pool de serveurs. Par exemple, entrez Web-Tier-Pool-01.
    3. Dans le menu déroulant Algorithme (Algorithm), sélectionnez Permutation circulaire (Round-Robin).
    4. Dans le menu déroulant Moniteurs (Monitors), sélectionnez default_https_monitor.
    5. Ajoutez deux membres au pool.
      Par exemple, spécifiez les paramètres de configuration suivants.
      État Nom Adresse IP Poids Port du moniteur Port Connexions max. Connexions min.
      Activé web-01a 172.16.10.11 1 443 443 0 0
      Activé web-02a 172.16.10.12 1 443 443 0 0
    6. Pour utiliser le mode SNAT, vérifiez que l'option Transparent n'est pas activée.
  9. Cliquez sur Afficher le statut (Show Status) ou Afficher les statistiques du pool (Show Pool Statistics) et vérifiez que l'état du pool Web-Tier-Pool-01 est actif.
    Sélectionnez le pool et vérifiez que l'état des deux membres dans ce pool est actif.
  10. Créez un serveur virtuel.
    1. Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Serveurs virtuels (Virtual Servers), puis cliquez sur Ajouter (Add).
    2. Spécifiez les paramètres du serveur virtuel.

      Par exemple, spécifiez les paramètres de configuration suivants.

      Option Description
      Serveur virtuel Activez le serveur virtuel.
      Accélération Si vous voulez utiliser l'équilibrage de charge de niveau 4 pour UDP ou TCP performances supérieures, activez l'accélération. Si vous activez cette option, vérifiez que l'état du pare-feu est activé sur l'équilibrage de charge NSX Edge, car un pare-feu est requis pour SNAT L4.
      Profil d'application Entrez OneArmWeb-01.
      Adresse IP Sélectionnez 172.16.10.110.
      Protocole Sélectionnez HTTPS.
      Port Entrez 443.
      Pool par défaut Sélectionnez le pool de serveurs Web-Tier-Pool-01 que vous avez créé précédemment.
      Limite de connexion Entrez 0.
      Limite de vitesse de connexion Entrez 0.
    3. (Facultatif) Cliquez sur l'onglet Avancé (Advanced) et associez une règle d'application au serveur virtuel.
      Pour voir des exemples pris en charge, consultez : https://communities.vmware.com/docs/DOC-31772.

    En mode non transparent, le serveur principal ne peut pas voir l'adresse IP du client, mais il peut voir l'adresse IP interne de l'équilibrage de charge. Comme solution pour le trafic HTTP ou HTTPS, sélectionnez Insérer l'en-tête HTTP X-transféré-pour (Insert X-Forwarded-For HTTP header) dans le profil d'application. Lorsque cette option est sélectionnée, l'équilibrage de charge Edge ajoute l'en-tête « X-transféré-pour » avec la valeur de l'adresse IP source du client.