仮想サーバは、すべてのクライアント接続を受信し、複数のサーバに分散します。仮想サーバには、IP アドレス、ポート、および TCP プロトコルが設定されます。

仮想サーバの状態が無効になっている場合、仮想サーバに新規接続を試みると、TCP 接続では TCP RST の送信、UDP では ICMP エラー メッセージの送信によってすべて拒否されます。新しい接続に対応するパーシステンス エントリがある場合でも拒否されます。アクティブな接続は、引き続き処理されます。仮想サーバが削除されるか、仮想サーバとロード バランサの関連付けが解除されると、その仮想サーバへのアクティブな接続に失敗します。

注: SSL プロファイルは NSX-T Data Center Limited Export Release ではサポートされていません。

仮想サーバでクライアント側 SSL プロファイル バインドが構成されており、サーバ側 SSL プロファイル バインドは構成されていない場合、仮想サーバは SSL 終了モードで動作し、クライアントとは暗号化を使用した接続、サーバとの接続はプレーン テキスト接続となります。クライアント側とサーバ側の両方の SSL プロファイル バインドが構成されている場合、仮想サーバは SSL プロキシ モードで動作し、クライアントとサーバの両方に暗号化を使用して接続されます。

現時点では、クライアント側 SSL プロファイル バインドを関連付けずにサーバ側 SSL プロファイル バインドを関連付ることはサポートされません。クライアント側とサーバ側の SSL プロファイル バインドが仮想サーバに関連付けられておらず、アプリケーションが SSL ベースの場合、仮想サーバは SSL 非対応モードで動作します。この場合、仮想サーバはレイヤー 4 で構成する必要があります。たとえば、仮想サーバを Fast TCP プロファイルに関連付けることができます。

前提条件

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [ネットワーク] > [ロード バランシング] > [仮想サーバ] > [仮想サーバの追加] を選択します。
  3. ドロップダウン リストから [L7 HTTP] を選択し、プロトコルの詳細を入力します。
    レイヤー 7 仮想サーバは、HTTP プロトコルと HTTPS プロトコルをサポートします。
    オプション 説明
    名前と説明 レイヤー 7 仮想サーバの名前と説明を入力します。
    IP アドレス 仮想サーバの IP アドレスを入力します。IPv4 と IPv6 の両方のアドレスがサポートされています。
    ポート 仮想サーバのポート番号を入力します。
    ロード バランサ ドロップダウン メニューからこのレイヤー 4 仮想サーバに接続する既存のロード バランサを選択します。
    サーバ プール ドロップダウン メニューから既存のサーバ プールを選択します。

    サーバ プールは、プール メンバーとも呼ばれる 1 台または複数のサーバで構成されます。これらは同じように構成され、同じアプリケーションを実行します。

    縦型の楕円形をクリックすると、サーバ プールを作成できます。
    アプリケーション プロファイル プロトコル タイプに基づいて、既存のアプリケーション プロファイルが自動的に適用されます。

    縦型の楕円形をクリックすると、アプリケーション プロファイルを作成できます。

    パーシステンス ドロップダウン メニューから既存のパーシステンス プロファイルを選択します。

    仮想サーバでパーシステンス プロファイルを有効にすると、送信元 IP アドレスおよび Cookie に関連するクライアント接続を同じサーバに送信できます。

  4. [構成] をクリックし、レイヤー 7 仮想サーバ SSL を構成します。
    クライアント SSL およびサーバ SSL を構成できます。
  5. クライアント SSL を構成します。
    オプション 説明
    クライアント SSL ボタンを切り替えてプロファイルを有効にします。

    クライアント側で SSL プロファイル バインドを行うと、複数のホスト名に対応する複数の証明書を同一の仮想サーバに関連付けることができます。

    デフォルトの証明書 ドロップダウン メニューからデフォルトの証明書を選択します。

    この証明書は、サーバが同じ IP アドレスの複数のホスト名に対応しない場合、またはクライアントが SNI (Server Name Indication) 拡張機能をサポートしていない場合に使用されます。

    クライアント SSL のプロファイル ドロップダウン メニューからクライアント側 SSL プロファイルを選択します。
    SNI 証明書 ドロップダウン メニューから利用可能な SNI 証明書を選択します。
    信頼されている CA (認証局) 証明書 利用可能な CA 証明書を選択します。
    必須のクライアント認証 ボタンを切り替えて、このメニュー項目を有効にします。
    証明書チェーンの階層の深さ サーバ証明書チェーンの階層の深さを確認するための [証明書チェーンの深さ] を設定します。
    証明書失効リスト 利用可能な CRL を選択し、侵害されたサーバの証明書を禁止します。
  6. サーバ SSL を構成します。
    オプション 説明
    サーバ SSL ボタンを切り替えてプロファイルを有効にします。
    クライアント証明書 ドロップダウン メニューからクライアントの証明書を選択します。

    この証明書は、サーバが同じ IP アドレスの複数のホスト名に対応しない場合、またはクライアントが SNI (Server Name Indication) 拡張機能をサポートしていない場合に使用されます。

    サーバ SSL のプロファイル ドロップダウン メニューからサーバ側 SSL プロファイルを選択します。
    信頼されている CA (認証局) 証明書 利用可能な CA 証明書を選択します。
    必須のサーバ認証 ボタンを切り替えて、このメニュー項目を有効にします。

    サーバ側 SSL プロファイル バインドによって、SSL ハンドシェイク中にロード バランサに提示されるサーバ証明書を検証する必要があるかどうかを指定します。検証を有効にする場合、サーバ証明書は、同じサーバ側 SSL プロファイル バインドで自己署名証明書が指定されている、信頼する CA の 1 つによって署名されている必要があります。

    証明書チェーンの階層の深さ サーバ証明書チェーンの階層の深さを確認するための [証明書チェーンの深さ] を設定します。
    証明書失効リスト 利用可能な CRL を選択し、侵害されたサーバの証明書を禁止します。

    サーバ側では、OCSP および OCSP Stapling はサポートされていません。

  7. 追加のレイヤー 7 仮想サーバのプロパティを構成するには、[その他のプロパティ] をクリックします。
    オプション 説明
    最大同時接続 同じロード バランサでホストされている他のアプリケーションのリソースをすべて消費することがないように、仮想サーバに許される同時接続の最大数を設定します。
    最大新規接続レート 仮想サーバがリソースをすべて消費することがないように、サーバ プール メンバーに対して新規接続の最大速度を設定します。
    ソーリー サーバ プール ドロップダウン メニューから既存のソーリー サーバ プールを選択します。

    ソーリー サーバ プールは、ロード バランサがデフォルト プールからの要求を処理するバックエンド サーバを選択できない場合に要求を処理します。

    縦型の楕円形をクリックすると、サーバ プールを作成できます。

    デフォルトのプール メンバー ポート 仮想サーバのプール メンバー ポートが定義されていない場合は、デフォルトのプール メンバー ポートを入力します。

    たとえば、仮想サーバに 2000~2999 のポート範囲を定義し、デフォルトのプール メンバー ポート範囲を 8000~8999 と設定した場合、仮想サーバのポート 2500 への受信クライアント接続は、ターゲット ポートが 8500 に設定された状態でプール メンバーに送信されます。

    管理状態 ボタンを切り替え、レイヤー 7 仮想サーバの管理状態を無効にします。
    アクセス ログ ボタンを切り替え、レイヤー 7 仮想サーバのログを有効にします。
    重大イベントのみをログに記録 このフィールドは、アクセス ログが有効になっている場合にのみ構成できます。HTTP 応答状態が > = 400 の要求は、重要なイベントとして扱われます。
    タグ ドロップダウン リストからタグを選択します。

    タグを指定して、タグの範囲を設定できます。

  8. [保存] をクリックします。