NSX Advanced Load Balancer は、クライアントと仮想サービス間の SSL 接続を終了し、NSX Advanced Load Balancer とバックエンド サーバ間の暗号化を有効にする機能をサポートします。
には、承認された SSL バージョンのリストと SSL 暗号の優先順位付きリストが含まれています。クライアント SSL 接続を終了するには、SSL プロファイルと SSL 証明書の両方を仮想サービスに割り当てる必要があります。NSX Advanced Load Balancer とサーバ間のトラフィックも暗号化するには、SSL プロファイルをプールに割り当てる必要があります。基本モードを使用して新しい仮想サービスを作成するときに、デフォルトのシステム SSL プロファイルが自動的に使用されます。
各 SSL プロファイルには、RSA または楕円曲線証明書、またはその両方で使用できる、サポートされている SSL 暗号とバージョンのデフォルトのグループが含まれています。作成された新しいプロファイルに、使用される証明書タイプに適した暗号が含まれていることを確認します。NSX Advanced Load Balancer に含まれるデフォルトの SSL プロファイルは、最も高速な暗号の優先順位付けだけではなく、セキュリティのためにも最適化されています。
新しい SSL/TLS プロファイルを作成するか、既存のプロファイルを使用すると、セキュリティ、互換性、計算費用の間でさまざまなトレードオフが発生します。例:承認される暗号と SSL バージョンのリストを増やすと、クライアントとの互換性が高まるが、セキュリティが低下する可能性があります。
NSX Advanced Load Balancer を使用すると、複数の SSL プロファイルを単一の仮想サービスに関連付けることで、クライアント コミュニティ内の広範なセキュリティ ニーズに対応でき、またサービス エンジンはクライアントの IP アドレスに基づいて選択できるようになります。
SSL プロファイルを使用せずに仮想サービスを作成する場合は、デフォルトで System-Standard-PFS SSL プロファイルが使用されます。安全でない暗号を選択すると、次のエラー メッセージが表示されます。
