SSL パススルー、HTTPS オフロード、HTTPS End-To-End の 3 種類の HTTPS トラフィックに、HTTPS アプリケーション プロファイルを作成できます。アプリケーション プロファイルを作成するワークフローは、HTTPS トラフィックのタイプによって異なります。

注:
  • NSX 6.4.5 以降では、[アプリケーション プロファイル タイプ (Application Profile Type)] ドロップダウン メニューから、3 つの HTTPS トラフィック タイプごとにプロファイルの作成オプションを選択できます。
  • NSX 6.4.4 以前では、[タイプ (Type)] ドロップダウン メニューで HTTPS オプションのみを選択できます。3 つの HTTPS トラフィック タイプごとにプロファイルを作成するには、適切なプロファイル パラメータを指定する必要があります。
  • NSX ロード バランサは、プロキシ SSL パススルーをサポートしていません。
NSX 6.4.5 以降では、UI に表示される HTTPS プロファイル パラメータの名称が一部変更されています。次の表に、変更内容を示します。
NSX 6.4.4 以前 NSX 6.4.5 以降
仮想サーバ証明書 クライアント SSL
プール証明書 サーバ SSL
次の表に、3 つの HTTPS トラフィック タイプを示します。
表 1. HTTPS トラフィック タイプ
HTTPS トラフィック タイプ 説明
SSL パススルー

SSL 属性に関連するアプリケーション ルールは、ロード バランサでの SSL ターミネーションを行わずに許可されます。

トラフィック パターン:クライアント -> HTTPS -> LB(SSL パススルー)-> HTTPS -> サーバ

HTTPS のオフロード

HTTP ベースのロード バランシングが発生します。ロード バランサで SSL が終了します。ロード バランサとサーバ プール間で HTTP が使用されます。

トラフィック パターン:クライアント -> HTTPS -> LB(SSL 終了)-> HTTP -> サーバ

HTTPS End-To-End

HTTP ベースのロード バランシングが発生します。ロード バランサで SSL が終了します。ロード バランサとサーバ プール間で HTTPS が使用されます。

トラフィック パターン:クライアント -> HTTPS -> LB(SSL 終了)-> HTTPS -> サーバ

次の表に、HTTPS トラフィック タイプでサポートされるパーシステンスを示します。
表 2. サポートされているパーシステンスのタイプ
パーシステンス 説明
送信元 IP

このパーシステンス タイプは、送信元の IP アドレスに基づいてセッションを追跡します。

クライアントが、送信元の IP アドレスのパーシステンスをサポートしている仮想サーバへの接続を要求すると、ロード バランサは、以前に接続したクライアントかどうかを確認します。接続している場合、ロード バランサは同じプール メンバーにクライアントを返します。

SSL セッション ID

このパーシステンス タイプは、SSL パススルー トラフィック タイプのプロファイルを作成するときに使用できます。

SSL セッション ID パーシステンスにより、同じクライアントからの接続が常に同じサーバに送信されます。セッション ID のパーシステンスにより、SSL セッションの再開が可能になるため、クライアントとサーバの両方の処理時間を節約できます。

Cookie

このパーシステンス タイプは、クライアントで特定のサイトに初めてアクセスするときに一意の Cookie を挿入し、セッションを識別できるようにします。

その後の要求で Cookie が参照され、適切なサーバへの接続が維持されます。

[送信元の IP アドレス (Source IP)][SSL セッション ID (SSL Session ID)] パーシステンス タイプの場合、パーシステンスの有効期限を秒単位で入力できます。パーシステンスの有効期間のデフォルトは 300 秒(5 分)です。
注意: パーシステンス テーブルのサイズには制限があります。トラフィックが集中している場合、タイムアウト値を大きくすると、パーシステンス テーブルがすぐにいっぱいになる可能性があります。パーシステンス テーブルがいっぱいになると、新しいエントリを受け入れるため、最も古いエントリが削除されます。
ロード バランサのセッション維持のテーブルには、同じプール メンバーにクライアント要求が転送されたことを記録したエントリが維持されます。
  • タイムアウト期間内に同じクライアントから新しい接続要求を受信しなかった場合、パーシステンスのエントリは期限切れになり、削除されます。
  • タイムアウト期間内に同じクライアントからの新しい接続要求を受信した場合、タイマーがリセットされ、クライアント要求がスティッキー プール メンバーに送信されます。
  • タイムアウト期間が経過すると、ロード バランシング アルゴリズムで割り当てられたプール メンバーに新しい接続要求が送信されます。

L7 ロード バランシングの TCP で、送信元 IP アドレスによるパーシステンスを使用するシナリオでは、一定期間に新規の TCP 接続がない場合、接続が継続中であってもパーシステンス エントリがタイムアウトします。

次の表に、SSL または TLS ハンドシェイク中にセキュリティ設定のネゴシエーションで使用できる承認済みの暗号スイートを示します。

表 3. 承認済みの暗号スイート
暗号の値 暗号の名前
DEFAULT DEFAULT
ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDHE-ECDSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ECDH-ECDSA-AES256-SHA TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
ECDH-RSA-AES256-SHA TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA
DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
ECDHE-RSA-AES128-SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
AES128-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256
AES128-GCM-SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256
AES256-SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256
AES256-GCM-SHA384 TLS_RSA_WITH_AES_256_GCM_SHA384

次の手順では、3 つの HTTPS トラフィック タイプごとにアプリケーション プロファイルを作成する手順について説明します。

手順

  1. vSphere Web Client にログインします。
  2. [ネットワークとセキュリティ (Networking & Security)] > [NSX Edge] の順にクリックします。
  3. NSX Edge をダブルクリックします。
  4. [管理 (Manage)] > [ロード バランサ (Load Balancer)] > [アプリケーション プロファイル (Application Profiles)] の順にクリックします。
  5. [追加 (Add)] をクリックします。
    [新しいアプリケーション プロファイル] ウィンドウが開きます。
  6. アプリケーション プロファイルのパラメータを指定します。

    [SSL パススルー (SSL Passthrough)] トラフィック タイプの手順。

    NSX のバージョン 手順
    6.4.5 以降
    1. [アプリケーション プロファイル タイプ (Application Profile Type)] ドロップダウン メニューで、[SSL パススルー (SSL Passthrough)] を選択します。
    2. プロファイルの名前を入力します。
    3. パーシステンスのタイプを選択します。
    4. パーシステンスの有効期間を入力します。
    5. [追加 (Add)] をクリックします。
    6.4.4 以前
    1. プロファイルの名前を入力します。
    2. [タイプ (Type)] ドロップダウン メニューで、[HTTPS] を選択します。
    3. [SSL パススルーの有効化 (Enable SSL Passthrough)] チェック ボックスを選択します。
    4. パーシステンスのタイプを選択します。
    5. パーシステンスの有効期間を入力します。
    6. [OK] をクリックします。

    [HTTPS のオフロード (HTTPS Offloading)] トラフィック タイプの手順。

    NSX のバージョン 手順
    6.4.5 以降
    1. [アプリケーション プロファイル タイプ (Application Profile Type)] ドロップダウン メニューで、[HTTPS のオフロード (HTTPS Offloading)] を選択します。
    2. プロファイルの名前を入力します。
    3. HTTP トラフィックのリダイレクト先となる URL を入力します。
    4. パーシステンスのタイプを選択します。
      • Cookie パーシステンスの場合、Cookie 名を入力して、Cookie の挿入モードを選択します。Cookie モードの詳細については、HTTP アプリケーション プロファイルの作成を参照してください。
      • 送信元の IP アドレス パーシステンスの場合、パーシステンスの有効期間を入力します。
    5. オプション:ロード バランサを介して Web サーバに接続するクライアントの送信元の IP アドレスを特定するには、[X-Forwarded-For HTTP ヘッダーの挿入 (Insert X-Forwarded-For HTTP header)] オプションを有効にします。
    6. [クライアント SSL (Client SSL)] タブをクリックします。
    7. SSL ハンドシェイクで使用する 1 つ以上の暗号アルゴリズムまたは暗号スイートを選択します。承認済みの暗号に 1024 ビット以上の DH キーが含まれていることを確認します。
    8. クライアント認証を無視するか、必須にするかを指定します。必須の場合、要求またはハンドシェイクが中止された後に、クライアントが証明書を提供する必要があります。
    9. 必要なサービス証明書と認証局 (CA) 証明書を選択します。また、ロード バランサでクライアントから HTTPS トラフィックを終了する場合にプロファイルが使用する CRL を選択します。
    10. [追加 (Add)] をクリックします。
    6.4.4 以前
    1. プロファイルの名前を入力します。
    2. [タイプ (Type)] ドロップダウン メニューで、[HTTPS] を選択します。
    3. NSX 6.4.5 以降で次のアプリケーション プロファイル パラメータを定義する場合は、この表の手順に従います。
      • HTTP リダイレクト URL
      • パーシステンス
      • X-Forwarded-For HTTP ヘッダーの挿入
    4. [仮想サーバ証明書 (Virtual Server Certificates)] タブをクリックします。
    5. NSX 6.4.5 以降で暗号アルゴリズムとクライアント認証を定義する場合は、この表の手順に従います。
    6. [サービス証明書の設定 (Configure Service Certificates)] をクリックします。必要なサービス証明書と認証局 (CA) 証明書を選択します。また、ロード バランサでクライアントから HTTPS トラフィックを終了する場合にプロファイルが使用する CRL を選択します。
    7. [OK] をクリックします。

    [HTTPS End-to-End] トラフィック タイプの手順。

    このアプリケーション プロファイル タイプでは、クライアント SSL(仮想サーバの証明書)のパラメータとサーバ SSL(プール側の SSL)のパラメータの両方を指定します。

    サーバ SSL パラメータは、サーバ側からロード バランサの認証を行う場合に使用されます。Edge ロード バランサに認証局 (CA) 証明書があり、CRL が設定済みで、ロード バランサがバックエンド サーバからのサービス証明書を確認する必要がある場合は、サービス証明書を選択します。バックエンド サーバでロード バランサのサービス証明書を確認する必要がある場合は、ロード バランサの証明書をバックエンド サーバに提供することもできます。

    NSX のバージョン 手順
    6.4.5 以降
    1. [アプリケーション プロファイル タイプ (Application Profile Type)] ドロップダウン メニューで、[HTTPS End-to-End] を選択します。
    2. プロファイルの名前を入力します。
    3. HTTPS のオフロード プロファイルを作成して、次のアプリケーション プロファイル パラメータを定義する場合は、この表の手順に従います。
      • HTTP リダイレクト URL
      • パーシステンス
      • X-Forwarded-For HTTP ヘッダーの挿入
      • クライアント SSL:暗号アルゴリズム、クライアント認証、サービス証明書、認証局 (CA) 証明書、CRL
    4. [サーバ SSL (Server SSL)] タブをクリックして、暗号化アルゴリズム、必要なサービス証明書、認証局 (CA) 証明書、CRL を選択して、サーバ側からロード バランサの認証を行います。
    5. [追加 (Add)] をクリックします。
    6.4.4 以前
    1. プロファイルの名前を入力します。
    2. [タイプ (Type)] ドロップダウン メニューで、[HTTPS] を選択します。
    3. HTTPS のオフロード プロファイルを作成して、次のアプリケーション プロファイル パラメータを定義する場合は、この表の手順に従います。
      • HTTP リダイレクト URL
      • パーシステンス
      • X-Forwarded-For HTTP ヘッダーの挿入
      • 仮想サーバ証明書:暗号アルゴリズム、クライアント認証、サービス証明書、認証局 (CA) 証明書、CRL
    4. [プール側の SSL の有効化 (Enable Pool Side SSL)] チェック ボックスを選択して、ロード バランサとバックエンド サーバの間の HTTPS 通信を有効にします。
    5. 暗号化アルゴリズムと必要なサービス証明書、認証局 (CA) 証明書、CRL を選択して、サーバ側からロード バランサの認証を行います。
    6. [OK] をクリックします。