NSX Advanced Load Balancer は、SSL および TLS で暗号化された HTTPS トラフィックの終了をサポートします。特に記載がない限り、SSL と TLS の名前はドキュメント全体で同じ意味で使用されます。
SSL のエンドポイントとして NSX Advanced Load Balancer を使用すると、トラフィックを引き続き完全に可視化できるだけでなく、高度なトラフィック ステアリング、セキュリティ、およびアクセラレーション機能を適用することもできます。SSL では、次の展開アーキテクチャがサポートされています。
なし:SSL トラフィックはパススルー(レイヤー 4)として処理され、暗号化されたトラフィックを終了せずに NSX Advanced Load Balancer を通過します。
クライアント側:クライアントから NSX Advanced Load Balancer へのトラフィックは暗号化され、バックエンド サーバへの HTTP トラフィックは暗号化されません。
サーバ側:クライアントから NSX Advanced Load Balancer への HTTP トラフィックは暗号化されず、バックエンド サーバへの HTTPS トラフィックは暗号化されます。
両方:クライアントから NSX Advanced Load Balancer へのトラフィックは暗号化され、NSX Advanced Load Balancer で終了し、バックエンド サーバへのトラフィックは再暗号化されます。
傍受:クライアント SSL トラフィックを終了し、タップが傍受できるように暗号化されていない状態でワイヤーを経由して送信した後、暗号化して宛先サーバに送信します。
SSL/TLS 終了の構成
NSX Advanced Load Balancer は、SSL トラフィックを終了するための複数のアーキテクチャをサポートします。クライアントから NSX Advanced Load Balancer への SSL トラフィックの場合、仮想サービス ページで構成を行います。NSX Advanced Load Balancer からサーバへの SSL 暗号化トラフィックの場合、プールを編集して構成を実行します。いずれの場合も、次のセクションで説明されているように、SSL プロファイルと SSL 証明書を使用して仮想サービスまたはプールを構成する必要があります。
仮想サービスの構成
SSL プロファイル
プロファイルには、SSL で終了する接続の設定が含まれています。これには、サポートされている暗号のリストとその優先順位、サポートされている SSL/TLS のバージョン、およびその他のオプションが含まれます。
強力な SSL 暗号強度の構成
SSL 証明書
アプリケーションを認証するために、SSL 証明書をクライアントに提示します。仮想サービスは、RSA と楕円曲線暗号 (ECC) のそれぞれ 1 つずつ、2 つの証明書を同時に使用して構成できます。証明書は、バックエンド サーバに対する NSX Advanced Load Balancer の認証にも使用できます。
SSL 証明書の [PKI プロファイル] セクション
SSL パフォーマンス
SSL で終了するトラフィックのパフォーマンスは、NSX Advanced Load Balancer SE に割り当てられている基盤となるハードウェア、仮想サービスを処理できる SE の数、ネゴシエートされた証明書と暗号の設定に依存します。通常、各 vCPU コアは、1 秒当たり約 1,000 の RSA 2k トランザクション (TPS) または 2,500 の ECC SSL TPS を処理できます。1 つの vCPU コアは、約 1gb/秒の SSL スループットをプッシュできます。SSL で終了する同時接続は、直接 HTTP 接続またはレイヤー 4 接続よりも高価であり、高い同時実行数を維持するためにより多くのメモリが必要になる場合があります。
以下を参照してください。
