Les serveurs virtuels reçoivent toutes les connexions client et les distribuent entre les serveurs. Un serveur virtuel dispose d'une adresse IP, d'un port et d'un protocole TCP.

Si l'état d'un serveur virtuel est Désactivé, toute tentative de nouvelle connexion au serveur virtuel est refusée via l'envoi d'un RST TCP pour une connexion TCP ou d'un message d'erreur ICMP pour la connexion UDP. Les nouvelles connexions sont refusées, même si des entrées de persistance correspondent. Le traitement des connexions actives se poursuit. Si un serveur virtuel est supprimé ou dissocié d'un équilibreur de charge, les connexions actives à ce serveur échouent.

Note : Le profil SSL n'est pas pris en charge dans la version Limited Export de NSX-T Data Center.

Si une liaison de profil SSL côté client est configurée sur un serveur virtuel, mais sans liaison de profil SSL côté serveur, le serveur virtuel fonctionne en mode d'arrêt SSL, ce qui suppose une connexion chiffrée au client et une connexion en texte brut au serveur. Si les liaisons de profils SSL côté client et côté serveur sont configurées, le serveur virtuel fonctionne en mode proxy SSL, ce qui suppose une connexion chiffrée au client et au serveur.

Associer une liaison de profil SSL côté serveur sans associer de liaison de profil SSL côté client n'est actuellement pas pris en charge. Si une liaison de profil SSL côté client et côté serveur n'est pas associée à un serveur virtuel et que l'application est basée sur SSL, le serveur virtuel fonctionne en mode non compatible avec SSL. Dans ce cas, le serveur virtuel doit être configuré pour la couche 4. Par exemple, le serveur virtuel peut être associé à un profil Fast TCP.

Conditions préalables

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Mise en réseau > Équilibrage de charge > Serveurs virtuels > Ajouter un serveur virtuel.
  3. Sélectionnez HTTP L7 dans la liste déroulante et entrez les détails du protocole.
    Les serveurs virtuels de couche 7 prennent en charge les protocoles HTTP et HTTPS.
    Option Description
    Nom et description Entrez un nom et une description pour le serveur virtuel de couche 7.
    Adresse IP Entrez l'adresse IP du serveur virtuel. Les adresses IPv4 et IPv6 sont prises en charge.
    Ports Entrez le numéro de port du serveur virtuel.
    Équilibreur de charge Sélectionnez un équilibreur de charge existant à attacher à ce serveur virtuel de couche 4 dans le menu déroulant.
    Pool de serveurs Sélectionnez un pool de serveurs existant dans le menu déroulant.

    Le pool de serveurs est constitué d'un ou de plusieurs serveurs, également appelés membres du pool, qui sont configurés de la même manière et qui exécutent la même application.

    Vous pouvez cliquer sur les points de suspension verticaux pour créer un pool de serveurs.
    Profil d'application Selon le type de protocole, le profil d'application existant est automatiquement renseigné.

    Vous pouvez cliquer sur les points de suspension verticaux pour créer un profil d'application.

    Persistance Sélectionnez un profil de persistance existant dans le menu déroulant.

    Un profil de persistance peut être activé sur un serveur virtuel afin d'autoriser l'envoi de connexions client associées à l'adresse IP source et aux cookies au même serveur.

  4. Cliquez sur Configurer pour définir le SSL du serveur virtuel de couche 7.
    Vous pouvez configurer le SSL client et le SSL serveur.
  5. Configurez le SSL client.
    Option Description
    SSL client Faites basculer ce bouton pour activer le profil.

    La liaison de profil SSL côté client permet d'associer plusieurs certificats au même serveur virtuel pour différents noms d'hôtes.

    Certificat par défaut Sélectionnez un certificat par défaut dans le menu déroulant.

    Ce certificat est utilisé si le serveur n'héberge pas plusieurs noms d'hôte sur la même adresse IP ou si le client ne prend pas en charge l'extension SNI (Server Name Indication, indication de nom de serveur).

    Pour utiliser un certificat/une clé 2k/3k/4k, utilisez NSX Manager pour Créer un certificat auto-signé ou pour Créer un fichier de demande de signature de certificat.

    Pour utiliser un certificat/une clé 8k, importez la clé de certificat 8k à l'aide de Importation et remplacement de certificats.

    Profil SSL client Sélectionnez le profil SSL côté client dans le menu déroulant.
    Certificats SNI Sélectionnez les certificats SNI disponibles dans le menu déroulant.
    Certificats d'autorité de certification approuvés Sélectionnez le certificat d'autorité de certification disponible.
    Authentification de client obligatoire Faites basculer le bouton pour activer cet élément de menu.
    Profondeur de la chaîne de certificats Définissez la profondeur de la chaîne de certificats pour vérifier la profondeur de la chaîne de certificats du serveur.
    Liste de révocation de certificat Sélectionnez la liste de révocation des certificats (CRL) disponible pour interdire les certificats de serveur compromis.
  6. Configurez le SSL serveur.
    Option Description
    SSL serveur Faites basculer ce bouton pour activer le profil.
    Certificat client Sélectionnez un certificat client dans le menu déroulant.

    Ce certificat est utilisé si le serveur n'héberge pas plusieurs noms d'hôte sur la même adresse IP ou si le client ne prend pas en charge l'extension SNI (Server Name Indication, indication de nom de serveur).

    Profil SSL serveur Sélectionnez le profil SSL côté serveur dans le menu déroulant.
    Certificats d'autorité de certification approuvés Sélectionnez le certificat d'autorité de certification disponible.
    Authentification du serveur obligatoire Faites basculer le bouton pour activer cet élément de menu.

    La liaison de profil SSL côté serveur indique si le certificat de serveur présenté à l'équilibreur de charge pendant l'établissement de liaison SSL doit être validé. Lorsque la validation est activée, le certificat du serveur doit être signé par une des autorités de certification approuvées dont les certificats autosignés sont spécifiés dans la même liaison de profil SSL côté serveur.

    Profondeur de la chaîne de certificats Définissez la profondeur de la chaîne de certificats pour vérifier la profondeur de la chaîne de certificats du serveur.
    Liste de révocation de certificat Sélectionnez la liste de révocation des certificats (CRL) disponible pour interdire les certificats de serveur compromis.

    Le protocole OCSP et l'association OCSP ne sont pas pris en charge côté serveur.

  7. Cliquez sur Propriétés supplémentaires pour configurer des propriétés de serveur virtuel de couche 7 supplémentaires.
    Option Description
    Nombre maximal de connexions simultanées Définissez le nombre maximal de connexions simultanées autorisées sur un serveur virtuel afin que celui-ci n'épuise pas les ressources d'autres applications hébergées sur le même équilibreur de charge.
    Vitesse maximale de nouvelle connexion Définissez la vitesse maximale de nouvelle connexion à un membre du pool de serveurs afin qu'un serveur virtuel n'épuise pas ses ressources.
    Pool de serveurs Sorry Sélectionnez un pool de serveurs Désolé existant dans le menu déroulant.

    Le pool de serveurs Désolé répond à la demande lorsqu'un équilibreur de charge ne peut pas sélectionner un serveur principal pour répondre à la demande depuis le pool par défaut.

    Vous pouvez cliquer sur les points de suspension verticaux pour créer un pool de serveurs.

    Port de membre du pool par défaut Entrez un port de membre du pool par défaut si le port de membre du pool pour un serveur virtuel n'est pas défini.

    Par exemple, si un serveur virtuel est défini avec la plage de ports 2000 - 2999 et que la plage de ports de membre du pool par défaut est définie sur 8000 - 8999, une connexion client entrante sur le port 2500 du serveur virtuel est envoyée à un membre du pool dont le port de destination est défini sur 8500.

    État d'administration Faites basculer ce bouton pour désactiver l'état d'administration du serveur virtuel de couche 7.
    Journal d'accès Faites basculer ce bouton pour activer la journalisation pour le serveur virtuel de couche 7.
    Journaliser uniquement les événements importants Ce champ ne peut être configuré que si les journaux d'accès sont activés. Les demandes avec un état de réponse HTTP de > = 400 sont considérées comme un événement significatif.
    Balises Sélectionnez une balise dans la liste déroulante.

    Vous pouvez spécifier une balise pour définir son étendue.

  8. Cliquez sur Enregistrer.