クライアント SSL 接続を終了するには、SSL プロファイルと SSL 証明書の両方を仮想サービスに割り当てる必要があります。NSX Advanced Load Balancer を使用すると、複数の SSL プロファイルを単一の仮想サービスに関連付けることで、クライアント コミュニティ内の広範なセキュリティ ニーズに対応でき、またサービス エンジンはクライアントの IP アドレスに基づいて選択できるようになります。

SSL/TLS プロファイルの設定の基本の詳細については、セクション「SSL/TLS プロファイル」を参照してください。

SSL/TLS 仮想サービスの構成

SSL/TLS 仮想サービスは、一部のベース SSL プロファイルで構成する必要があります。このプロファイルは、すべての NSX Advanced Load Balancer リリース イメージまたはカスタム定義されたイメージに付属しているシステムのデフォルト プロファイルと同一である場合があります。ただし、それが存在していなければならないということが重要なポイントです。必要に応じて、一部のクライアント コミュニティをカスタマイズされた方法で扱うために、承認されたユーザーが 1 つ以上のプロファイル セレクタを定義し、仮想サービスに関連付けることができます。それらが存在することで、NSX Advanced Load Balancer 内でクライアントの IP アドレスに基づくアルゴリズムがトリガされ、サービス エンジンがベース SSL プロファイルで定義されていないプロファイル パラメータに従う可能性があります。



プロファイル セレクタの構造

特定の仮想サービスには、複数のプロファイル セレクタがある場合があります。ただし、次のイメージで示すプロファイル セレクタは 1 つのみです。

  1. [クライアント IP アドレス リスト] には次のものが含まれます。

    1. [IP グループ リファレンス]:1 つ以上の IP グループを参照し、SSL プロファイル セレクタに適用されるすべてのクライアントをまとめて識別します。

    2. [一致条件]:リストでの有無を管理します。これに基づいて、クライアントはセレクタの SSL プロファイル パラメータを取得します。

  2. [SSL プロファイル リファレンス](セレクタごとに 1 つ)は、SSL/TLS バージョン、SSL タイムアウト、暗号などのパラメータを持つ SSL プロファイルです。



アルゴリズム

  • 1 つ以上のプロファイル セレクタが仮想サービスに関連付けられている場合、NSX Advanced Load Balancer は各プロファイル セレクタをチェックし、クライアントの IP アドレスとの一致を試みます。セレクタ リストは順序付けされているため、シーケンスに応じて結果が異なる場合があります。

  • セレクタの確認中に、SSL プロファイルがクライアントに割り当てられていない場合は、ベース SSL プロファイルが適用されます。