I server virtuali ricevono tutte le connessioni client e le distribuiscono tra i server. Un server virtuale ha un indirizzo IP, una porta e un protocollo TCP.

Se lo stato di un server virtuale è disabilitato, qualsiasi tentativo di nuova connessione al server virtuale viene rifiutato inviando un TCP RST per la connessione TCP o un messaggio di errore ICMP per UDP. Le nuove connessioni vengono rifiutate anche se a esse sono associate voci di persistenza corrispondenti. Le connessioni attive continuano a essere elaborate. Se un server virtuale viene eliminato o dissociato da un bilanciamento del carico, le connessioni attive a tale server virtuale non riescono.

Nota: Il profilo SSL non è supportato nella versione Limited Export di NSX-T Data Center.

Se un binding del profilo SSL lato client è configurato in un server virtuale ma non in un binding del profilo SSL sul lato server, il server virtuale funziona in modalità di terminazione SSL, implementando una connessione crittografata al client e una connessione di testo normale al server. Se sono configurati i binding dei profili SSL lato client e lato server, il server virtuale opera in modalità proxy SSL, implementando una connessione crittografata sia al client che al server.

L'associazione del binding del profilo SSL lato server senza associare un binding del profilo SSL lato client non è attualmente supportata. Se un binding del profilo SSL lato client e lato server non è associato a un server virtuale e l'applicazione è basata su SSL, il server virtuale funziona senza riconoscere l'SSL. In questo caso, il server virtuale deve essere configurato per il livello 4. Ad esempio, il server virtuale può essere associato a un profilo Fast TCP.

Prerequisiti

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Servizi di rete > Bilanciamento del carico > Server virtuali > Aggiungi server virtuale.
  3. Selezionare HTTP L7 nell'elenco a discesa e immettere i dettagli del protocollo.
    I server virtuali di livello 7 supportano i protocolli HTTP e HTTPS.
    Opzione Descrizione
    Nome e descrizione Immettere un nome e una descrizione per il server virtuale del livello.
    Indirizzo IP Immettere l'indirizzo IP del server virtuale. Sono supportati entrambi gli indirizzi IPv4 e IPv6.
    Porte Immettere il numero di porta del server virtuale.
    Bilanciamento del carico Dal menu a discesa, selezionare un bilanciamento del carico esistente da collegare a questo server virtuale di livello 4.
    Pool di server Selezionare un pool di server esistente dal menu a discesa.

    Il pool di server è costituito da uno o più server, chiamati anche membri del pool, che sono configurati in modo simile ed eseguono la stessa applicazione.

    È possibile fare clic sui puntini verticali per creare un pool di server.
    Profilo applicazione In base al tipo di protocollo, il profilo applicazione esistente viene compilato automaticamente.

    È possibile fare clic sui puntini verticali per creare un profilo applicazione.

    Persistenza Selezionare un profilo di persistenza esistente dal menu a discesa.

    È possibile abilitare il profilo di persistenza su un server virtuale per consentire l'invio delle connessioni client correlate a IP di origine e cookie allo stesso server.

  4. Fare clic su Configura per impostare il protocollo SSL del server virtuale di livello 7.
    È possibile configurare SSL client e SSL server.
  5. Configurare SSL client.
    Opzione Descrizione
    Client SSL Agire sul pulsante per abilitare il profilo.

    Il binding del profilo SSL lato client consente di associare certificati multipli, per associare nomi host differenti allo stesso server virtuale.

    Certificato predefinito Selezionare un certificato predefinito dal menu a discesa.

    Questo certificato viene utilizzato se il server non ospita nomi host multipli nello stesso indirizzo IP o se il client non supporta l'estensione SNI (Server Name Indication).

    Per utilizzare una coppia certificato/chiave 2k/3k/4k, utilizzare NSX Manager per Creazione di un certificato autofirmato o per Creazione di un file di richiesta di firma del certificato.

    Per utilizzare una coppia certificato/chiave 8k, importare la chiave del certificato 8k utilizzando Importazione e sostituzione di certificati.

    Profilo SSL client Selezionare il profilo SSL lato client dal menu a discesa.
    Certificati SNI Selezionare il certificato SNI disponibile dal menu a discesa.
    Certificati CA attendibili Selezionare il certificato CA disponibile.
    Autenticazione client obbligatoria Agire sul pulsante per abilitare questa voce di menu.
    Profondità catena di certificati Impostare la profondità della catena di certificati per verificare la profondità nella catena di certificati del server.
    Elenco di revoche dei certificati Selezionare l'elenco di revoca certificati (CRL) disponibile per impedire l'uso di certificati del server compromessi.
  6. Configurare il server SSL.
    Opzione Descrizione
    SSL server Agire sul pulsante per abilitare il profilo.
    Certificato client Selezionare un certificato client dal menu a discesa.

    Questo certificato viene utilizzato se il server non ospita nomi host multipli nello stesso indirizzo IP o se il client non supporta l'estensione SNI (Server Name Indication).

    Profilo SSL server Selezionare il profilo SSL lato server dal menu a discesa.
    Certificati CA attendibili Selezionare il certificato CA disponibile.
    Autenticazione server obbligatoria Agire sul pulsante per abilitare questa voce di menu.

    Il binding del profilo SSL lato server specifica se il certificato del server presentato al bilanciamento del carico durante l'handshake SSL deve essere convalidato o meno. Quando la convalida è abilitata, il certificato del server deve essere firmato da una delle autorità di certificazione attendibili i cui certificati autofirmati sono specificati nello stesso binding del profilo SSL lato server.

    Profondità catena di certificati Impostare la profondità della catena di certificati per verificare la profondità nella catena di certificati del server.
    Elenco di revoche dei certificati Selezionare l'elenco di revoca certificati (CRL) disponibile per impedire l'uso di certificati del server compromessi.

    OCSP e l'associazione OCSP non sono supportate sul lato server.

  7. Fare clic su Proprietà aggiuntive per configurare proprietà aggiuntive del server virtuale di livello 7.
    Opzione Descrizione
    Numero massimo connessioni simultanee Impostare la quantità massima di connessioni simultanea a un server virtuale in modo che questo non esaurisca le risorse di altre applicazioni ospitate nello stesso bilanciamento del carico.
    Velocità massima nuova connessione Impostare la velocità massima delle nuove connessioni a un membro del pool di server in modo che un server virtuale non esaurisca le risorse.
    Pool di server sorry Selezionare un pool di server sorry esistente dal menu a discesa.

    Il pool di server sorry serve la richiesta quando un bilanciamento del carico non può selezionare un server di back-end per gestire la richiesta dal pool predefinito.

    È possibile fare clic sui puntini verticali per creare un pool di server.

    Porta del membro del pool predefinito Immettere una porta del membro del pool predefinita se la porta del membro del pool per un server virtuale non è definita.

    Ad esempio, se un server virtuale viene definito con un intervallo di porte compreso tra 2000 e 2999 e l'intervallo di porte del membro del pool predefinito è impostato su 8000-8999, un membro del pool con una porta di destinazione impostata su 8500 viene inviata una connessione client in entrata sula porta del server virtuale 2500.

    Stato amministratore Agire sul pulsante per disabilitare lo stato amministratore del server virtuale di livello 7.
    Registro di accesso Agire sul pulsante per abilitare la registrazione per il server virtuale di livello 7.
    Registra solo evento significativo Questo campo può essere configurato solo se i registri di accesso sono abilitati. Le richieste con uno stato di risposta HTTP >=400 vengono trattate come evento significativo.
    Tag Selezionare un'etichetta dall'elenco a discesa.

    È possibile specificare un tag per impostare un ambito del tag.

  8. Fare clic su Salva.