HTTPS 애플리케이션 프로파일 생성

3개의 HTTPS 트래픽 유형, 즉 SSL 패스스루, HTTPS 오프로딩 및 HTTPS 종단 간에 대해 HTTPS 애플리케이션 프로파일을 생성할 수 있습니다. 애플리케이션 프로파일 생성을 위한 워크플로는 HTTPS 트래픽 유형마다 다릅니다.

참고:

NSX 6.4.5부터 애플리케이션 프로파일 유형(Application Profile Type) 드롭다운 메뉴에는 이러한 3개의 HTTPS 트래픽 유형 각각에 대한 프로파일을 생성하는 별도의 옵션이 포함되어 있습니다.
NSX 6.4.4 이전에서는 유형(Type) 드롭다운 메뉴에 단일 HTTPS 옵션만 포함됩니다. 3개의 HTTPS 트래픽 유형 각각에 대한 프로파일을 생성하려면 해당 프로파일 매개 변수를 지정해야 합니다.
NSX 로드 밸런서는 프록시 SSL 패스스루를 지원하지 않습니다.

NSX 6.4.5부터 일부 HTTPS 프로파일 매개 변수에 대한 UI 용어가 변경되었습니다. 다음 테이블에 이러한 변경 내용이 나열되어 있습니다.

NSX 6.4.4 이전	NSX 6.4.5 이상
가상 서버 인증서	클라이언트 SSL
풀 인증서	서버 SSL

다음 테이블에서는 3개의 HTTPS 트래픽 유형을 설명합니다.

표 1. HTTPS 트래픽 유형
HTTPS 트래픽 유형	설명
SSL 패스스루	SSL 특성과 관련된 애플리케이션 규칙은 로드 밸런서에서 SSL을 종료할 필요 없이 허용됩니다. 트래픽 패턴은 클라이언트 -> HTTPS-> LB(SSL 패스스루) -> HTTPS -> 서버입니다.
HTTPS 오프로드	HTTP 기반 로드 밸런싱이 발생합니다. SSL이 로드 밸런서에서 종료되고 로드 밸런서와 서버 풀 간에 HTTP가 사용됩니다. 트래픽 패턴은 클라이언트 -> HTTPS-> LB(종단 SSL) -> HTTP -> 서버입니다.
HTTPS 종단 간	HTTP 기반 로드 밸런싱이 발생합니다. SSL이 로드 밸런서에서 종료되고 로드 밸런서와 서버 풀 간에 HTTPS가 사용됩니다. 트래픽 패턴은 클라이언트 -> HTTPS -> LB(종단 SSL) -> HTTPS -> 서버입니다.

다음 테이블에서는 HTTPS 트래픽 유형에서 지원되는 지속성을 설명합니다.

표 2. 지원되는 지속성 유형
지속성	설명
소스 IP	이 지속성 유형은 소스 IP 주소를 기준으로 세션을 추적합니다. 클라이언트가 소스 IP 주소 지속성을 지원하는 가상 서버에 대한 연결을 요청하면 로드 밸런서는 이전에 해당 클라이언트에 연결했었는지 여부를 확인합니다. 이전에 연결했으면 로드 밸런서는 클라이언트를 동일한 풀 멤버로 반환합니다.
SSL 세션 ID	이 지속성 유형은 SSL 패스스루 트래픽 유형에 대한 프로파일을 생성할 때 사용할 수 있습니다. SSL 세션 ID 지속성이 지정되면 동일한 클라이언트에서의 반복 연결이 동일한 서버로 보내집니다. 세션 ID 지속성이 지정되면 SSL 세션 재개를 사용할 수 있으므로 클라이언트 및 서버 둘 다의 처리 시간이 절감됩니다.
쿠키	이 지속성 유형은 클라이언트가 사이트에 처음 액세스하는 세션을 식별하기 위해 고유한 쿠키를 삽입합니다. 이 쿠키는 해당 서버에 대한 연결을 지속하기 위해 후속 요청에서 참조됩니다.

소스 IP(Source IP) 및 SSL 세션 ID(SSL Session ID) 지속성 유형에 대해 지속성 만료 시간(초)을 입력할 수 있습니다. 지속성의 기본값은 300초(5분)입니다.

기억할 사항: 지속성 테이블의 크기는 제한되어 있습니다. 트래픽이 많은 경우 큰 시간 초과 값으로 인해 지속성 테이블을 채우는 시간이 빨라질 수 있습니다. 지속성 테이블이 채워지면 최신 항목을 수용하기 위해 가장 오래된 항목부터 삭제됩니다.

로드 밸런서 지속성 테이블은 클라이언트 요청이 동일한 풀 멤버로 전송됨을 기록하는 항목을 유지합니다.

새 연결 요청이 시간 초과 기간 내에 동일한 클라이언트에서 수신되면 지속성 항목이 만료되어 삭제됩니다.
시간 초과 기간 내에 동일한 클라이언트의 새 연결 요청이 수신되면 타이머가 재설정되고 클라이언트 요청이 고정 풀 멤버로 전송됩니다.
시간 초과 기간이 만료되면 새 연결 요청이 로드 밸런싱 알고리즘에 의해 허용된 풀 멤버로 전송됩니다.

L7 로드 밸런싱 TCP 소스 IP 지속성 시나리오의 경우 기존 연결이 여전히 활성 상태라도 지정된 시간 동안 새 TCP 연결이 설정되지 않으면 지속성 항목은 시간 초과됩니다.

다음 테이블에는 SSL 또는 TLS 핸드쉐이크 동안 보안 설정을 협상하는 데 사용할 수 있는 승인된 암호 제품군이 나열됩니다.

표 3. 승인된 암호 제품군
암호 값	암호 이름
DEFAULT	DEFAULT
ECDHE-RSA-AES128-GCM-SHA256	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES256-GCM-SHA384	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDHE-ECDSA-AES256-SHA	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ECDH-ECDSA-AES256-SHA	TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
ECDH-RSA-AES256-SHA	TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
AES256-SHA	TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA	TLS_RSA_WITH_AES_128_CBC_SHA
DES-CBC3-SHA	TLS_RSA_WITH_3DES_EDE_CBC_SHA
ECDHE-RSA-AES128-SHA	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES128-SHA256	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES256-SHA384	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
AES128-SHA256	TLS_RSA_WITH_AES_128_CBC_SHA256
AES128-GCM-SHA256	TLS_RSA_WITH_AES_128_GCM_SHA256
AES256-SHA256	TLS_RSA_WITH_AES_256_CBC_SHA256
AES256-GCM-SHA384	TLS_RSA_WITH_AES_256_GCM_SHA384

다음 절차에서는 3개의 HTTPS 트래픽 유형 각각에 대한 애플리케이션 프로파일을 생성하는 단계를 설명합니다.

프로시저

vSphere Web Client에 로그인합니다.
네트워킹 및 보안(Networking & Security) > NSX Edge(NSX Edges)를 클릭합니다.
NSX Edge를 두 번 클릭합니다.
관리(Manage) > 로드 밸런서(Load Balancer) > 애플리케이션 프로파일(Application Profiles)을 클릭합니다.
추가(Add)를 클릭합니다.
새 애플리케이션 프로파일 창이 열립니다.

애플리케이션 프로파일 매개 변수를 지정합니다.

SSL 패스스루(SSL Passthrough) 트래픽 유형에 대한 단계입니다.

NSX 버전	절차
6.4.5 이상	애플리케이션 프로파일 유형(Application Profile Type) 드롭다운 메뉴에서 SSL 패스스루(SSL Passthrough)를 선택합니다. 프로파일의 이름을 입력합니다. 지속성 유형을 선택합니다. 지속성 만료 시간을 입력합니다. 추가 (Add)를 클릭합니다.
6.4.4 및 이전 버전	프로파일의 이름을 입력합니다. 유형(Type) 드롭다운 메뉴에서 HTTPS를 선택합니다. SSL 통과 사용(Enable SSL Passthrough) 확인란을 선택합니다. 지속성 유형을 선택합니다. 지속성 만료 시간을 입력합니다. 확인 (OK)을 클릭합니다.

HTTPS 오프로딩(HTTPS Offloading) 트래픽 유형에 대한 단계입니다.

NSX 버전	절차
6.4.5 이상	애플리케이션 프로파일 유형(Application Profile Type) 드롭다운 메뉴에서 HTTPS 오프로딩(HTTPS Offloading)을 선택합니다. 프로파일의 이름을 입력합니다. HTTP 트래픽을 리디렉션할 URL을 입력합니다. 지속성 유형을 선택합니다. 쿠키 지속성에 대해 쿠키 이름을 입력하고 쿠키 삽입 모드를 선택합니다. 각 쿠키 모드에 대한 설명은 HTTP 애플리케이션 프로파일 생성을 참조하십시오. 소스 IP 지속성에 대해 지속성 만료 시간을 입력합니다. 선택 사항: 로드 밸런서를 통해 웹 서버에 연결하는 클라이언트의 원래 IP 주소를 식별하려면 X-Forwarded-For HTTP 머리글 삽입(Insert X-Forwarded-For HTTP header) 옵션을 사용하도록 설정합니다. 클라이언트 SSL(Client SSL) 탭을 클릭합니다. SSL 핸드쉐이크 중에 사용할 하나 이상의 암호 알고리즘 또는 암호 제품군을 선택합니다. 승인된 암호 그룹에 1024비트보다 크거나 같은 DH 키 길이가 포함되어 있는지 확인하십시오. 클라이언트 인증에 대해 무시해도 되는 것인지 아니면 필수인지 여부를 지정합니다. 필요한 경우 클라이언트는 요청 또는 핸드쉐이크가 취소된 후 인증서를 제공해야 합니다. 프로파일이 로드 밸런서에서 클라이언트의 HTTPS 트래픽을 종료하는 데 사용해야 하는 필수 서비스 인증서, CA 인증서 및 CRL을 선택합니다. 추가 (Add)를 클릭합니다.
6.4.4 및 이전 버전	프로파일의 이름을 입력합니다. 유형(Type) 드롭다운 메뉴에서 HTTPS를 선택합니다. NSX 6.4.5 이상에 대해 이 테이블에 제공되는 단계를 따라 다음 애플리케이션 프로파일 매개 변수를 정의합니다. HTTP 리디렉션 URL 지속성 X-Forwarded-For HTTP 머리글 삽입 가상 서버 인증서(Virtual Server Certificates) 탭을 클릭합니다. NSX 6.4.5 이상에 대해 이 테이블에 제공되는 단계를 따라 암호 알고리즘 및 클라이언트 인증을 정의합니다. 서비스 인증서 구성(Configure Service Certificates)을 클릭하고 프로필이 로드 밸런서에서 클라이언트의 HTTPS 트래픽을 종료하는 데 사용해야 하는 필수 서비스 인증서, CA 인증서 및 CRL을 선택합니다. 확인 (OK)을 클릭합니다.

NSX 버전

절차

6.4.5 이상

애플리케이션 프로파일 유형(Application Profile Type) 드롭다운 메뉴에서 HTTPS 오프로딩(HTTPS Offloading)을 선택합니다.
프로파일의 이름을 입력합니다.
HTTP 트래픽을 리디렉션할 URL을 입력합니다.
지속성 유형을 선택합니다.
- 쿠키 지속성에 대해 쿠키 이름을 입력하고 쿠키 삽입 모드를 선택합니다. 각 쿠키 모드에 대한 설명은 HTTP 애플리케이션 프로파일 생성을 참조하십시오.
- 소스 IP 지속성에 대해 지속성 만료 시간을 입력합니다.
선택 사항: 로드 밸런서를 통해 웹 서버에 연결하는 클라이언트의 원래 IP 주소를 식별하려면 X-Forwarded-For HTTP 머리글 삽입(Insert X-Forwarded-For HTTP header) 옵션을 사용하도록 설정합니다.
클라이언트 SSL(Client SSL) 탭을 클릭합니다.
SSL 핸드쉐이크 중에 사용할 하나 이상의 암호 알고리즘 또는 암호 제품군을 선택합니다. 승인된 암호 그룹에 1024비트보다 크거나 같은 DH 키 길이가 포함되어 있는지 확인하십시오.
클라이언트 인증에 대해 무시해도 되는 것인지 아니면 필수인지 여부를 지정합니다. 필요한 경우 클라이언트는 요청 또는 핸드쉐이크가 취소된 후 인증서를 제공해야 합니다.
프로파일이 로드 밸런서에서 클라이언트의 HTTPS 트래픽을 종료하는 데 사용해야 하는 필수 서비스 인증서, CA 인증서 및 CRL을 선택합니다.
추가 (Add)를 클릭합니다.

6.4.4 및 이전 버전

프로파일의 이름을 입력합니다.
유형(Type) 드롭다운 메뉴에서 HTTPS를 선택합니다.
NSX 6.4.5 이상에 대해 이 테이블에 제공되는 단계를 따라 다음 애플리케이션 프로파일 매개 변수를 정의합니다.
- HTTP 리디렉션 URL
- 지속성
- X-Forwarded-For HTTP 머리글 삽입
가상 서버 인증서(Virtual Server Certificates) 탭을 클릭합니다.
NSX 6.4.5 이상에 대해 이 테이블에 제공되는 단계를 따라 암호 알고리즘 및 클라이언트 인증을 정의합니다.
서비스 인증서 구성(Configure Service Certificates)을 클릭하고 프로필이 로드 밸런서에서 클라이언트의 HTTPS 트래픽을 종료하는 데 사용해야 하는 필수 서비스 인증서, CA 인증서 및 CRL을 선택합니다.
확인 (OK)을 클릭합니다.

HTTPS 종단 간(HTTPS End-to-End) 트래픽 유형에 대한 단계입니다.

이 애플리케이션 프로파일 유형에서 클라이언트 SSL(가상 서버 인증서) 매개 변수 및 서버 SSL(풀 측 SSL) 매개 변수를 둘 다 지정합니다.

서버 SSL 매개 변수는 서버 측에서 로드 밸런서를 인증하는 데 사용됩니다. Edge 로드 밸런서에 CA 인증서가 있고 CRL이 이미 구성되어 있으며 로드 밸런서가 백엔드 서버의 서비스 인증서를 확인해야 하는 경우 해당 서비스 인증서를 선택합니다. 백엔드 서버가 로드 밸런서 서비스 인증서를 확인해야 하는 경우에는 사용자가 백엔드 서버에 로드 밸런서 인증서를 제공할 수도 있습니다.

NSX 버전	절차
6.4.5 이상	애플리케이션 프로파일 유형(Application Profile Type) 드롭다운 메뉴에서 HTTPS 종단 간(HTTPS End-to-End)을 선택합니다. 프로파일의 이름을 입력합니다. HTTPS 오프로딩 프로파일 생성에 대해 이 테이블에 제공되는 단계를 따라 다음 애플리케이션 프로파일 매개 변수를 정의합니다. HTTP 리디렉션 URL 지속성 X-Forwarded-For HTTP 머리글 삽입 클라이언트 SSL: 암호 알고리즘, 클라이언트 인증, 서비스 인증서, CA 인증서 및 CRL 서버 SSL(Server SSL) 탭을 클릭하고 암호화 알고리즘, 필수 서비스 인증서, CA 인증서 및 CRL을 선택하여 서버 측에서 로드 밸런서를 인증합니다. 추가 (Add)를 클릭합니다.
6.4.4 및 이전 버전	프로파일의 이름을 입력합니다. 유형(Type) 드롭다운 메뉴에서 HTTPS를 선택합니다. HTTPS 오프로딩 프로파일 생성에 대해 이 테이블에 제공되는 단계를 따라 다음 애플리케이션 프로파일 매개 변수를 정의합니다. HTTP 리디렉션 URL 지속성 X-Forwarded-For HTTP 머리글 삽입 가상 서버 인증서: 암호 알고리즘, 클라이언트 인증, 서비스 인증서, CA 인증서 및 CRL 풀 측 SSL 사용(Enable Pool Side SSL) 확인란을 선택하여 로드 밸런서와 백엔드 서버 간 HTTPS 통신을 사용하도록 설정합니다. 암호 알고리즘 및 필수 서비스 인증서, CA 인증서 및 CRL을 선택하여 서버 측에서 로드 밸런서를 인증합니다. 확인 (OK)을 클릭합니다.

NSX 버전

절차

6.4.5 이상

애플리케이션 프로파일 유형(Application Profile Type) 드롭다운 메뉴에서 HTTPS 종단 간(HTTPS End-to-End)을 선택합니다.
프로파일의 이름을 입력합니다.
HTTPS 오프로딩 프로파일 생성에 대해 이 테이블에 제공되는 단계를 따라 다음 애플리케이션 프로파일 매개 변수를 정의합니다.
- HTTP 리디렉션 URL
- 지속성
- X-Forwarded-For HTTP 머리글 삽입
- 클라이언트 SSL: 암호 알고리즘, 클라이언트 인증, 서비스 인증서, CA 인증서 및 CRL
서버 SSL(Server SSL) 탭을 클릭하고 암호화 알고리즘, 필수 서비스 인증서, CA 인증서 및 CRL을 선택하여 서버 측에서 로드 밸런서를 인증합니다.
추가 (Add)를 클릭합니다.

6.4.4 및 이전 버전

프로파일의 이름을 입력합니다.
유형(Type) 드롭다운 메뉴에서 HTTPS를 선택합니다.
HTTPS 오프로딩 프로파일 생성에 대해 이 테이블에 제공되는 단계를 따라 다음 애플리케이션 프로파일 매개 변수를 정의합니다.
- HTTP 리디렉션 URL
- 지속성
- X-Forwarded-For HTTP 머리글 삽입
- 가상 서버 인증서: 암호 알고리즘, 클라이언트 인증, 서비스 인증서, CA 인증서 및 CRL
풀 측 SSL 사용(Enable Pool Side SSL) 확인란을 선택하여 로드 밸런서와 백엔드 서버 간 HTTPS 통신을 사용하도록 설정합니다.
암호 알고리즘 및 필수 서비스 인증서, CA 인증서 및 CRL을 선택하여 서버 측에서 로드 밸런서를 인증합니다.
확인 (OK)을 클릭합니다.