應用程式設定檔與虛擬伺服器相關聯,以提高負載平衡網路流量,並簡化流量管理工作。

應用程式設定檔可定義特定網路流量類型的行為。相關聯的虛擬伺服器會根據應用程式設定檔中所指定的值來處理網路流量。快速 TCP、快速 UDP 和 HTTP 應用程式設定檔是支援的設定檔類型。

沒有應用程式設定檔關聯至虛擬伺服器時,預設會使用 TCP 應用程式設定檔。當應用程式依據 TCP 或 UDP 通訊協定執行並且不需要任何應用程式層級負載平衡 (例如 HTTP URL 負載平衡) 時,將使用 TCP 和 UDP 應用程式設定檔。只想要第 4 層負載平衡 (其效能更快且支援連線鏡像) 時,也會使用這些設定檔。

當負載平衡器需要以第 7 層為基礎採取動作時 (例如將所有映像要求負載平衡至特定的伺服器集區成員或終止 HTTPS 以從集區成員卸載 SSL),HTTP 應用程式設定檔可同時用於 HTTP 和 HTTPS 應用程式。與 TCP 應用程式設定檔不同,HTTP 應用程式設定檔會先終止用戶端 TCP 連線,然後再選取伺服器集區成員。

圖 1. 第 4 層 TCP 和 UDP 應用程式設定檔
圖 2. 第 7 層 HTTPS 應用程式設定檔

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 選取網路 > 負載平衡器 > 設定檔 > 應用程式設定檔
  3. 建立快速 TCP 應用程式設定檔。
    1. 從下拉式功能表中選取新增 > 快速 TCP 設定檔
    2. 輸入快速 TCP 應用程式設定檔的名稱和說明。
    3. 完成應用程式設定檔詳細資料。
      也可以接受預設的快速 TCP 設定檔設定。
      選項 說明
      連線閒置逾時 輸入在 TCP 連線建立之後,伺服器可維持閒置的時間 (以秒為單位)。

      將閒置時間設定為實際應用程式閒置時間並增加幾秒的時間,以便負載平衡器不會在應用程式關閉其連線之前關閉。

      連線關閉逾時 輸入在關閉連線之前應用程式必須保留 TCP 連線 (FIN 或 RST) 的時間 (以秒為單位)。

      可能需要較短的關閉逾時以支援快速連線速率。

      HA 流量鏡像 切換按鈕,使所有流量流向鏡像到 HA 待命節點的相關聯的虛擬伺服器。
    4. 按一下確定
  4. 建立快速 UDP 應用程式設定檔。
    也可以接受預設的 UDP 設定檔設定。
    1. 從下拉式功能表中選取新增 > 快速 UDP 設定檔
    2. 輸入快速 UDP 應用程式設定檔的名稱和說明。
    3. 完成應用程式設定檔詳細資料。
      選項 說明
      閒置逾時 輸入在 UDP 連線建立之後,伺服器可維持閒置的時間 (以秒為單位)。

      UDP 是無連線的通訊協定。為了負載平衡目的,具有相同流量簽章的所有 UDP 封包,例如來源和目的地 IP 位址或連接埠以及在閒置逾時期間內接收的 IP 通訊協定,都將視為屬於相同的連線並傳送至相同的伺服器。

      如果在閒置逾時期間內未收到封包,則關聯流程簽章與所選伺服器的連線將會關閉。

      HA 流量鏡像 切換按鈕,使所有流量流向鏡像到 HA 待命節點的相關聯的虛擬伺服器。
    4. 按一下確定
  5. 建立 HTTP 應用程式設定檔。
    也可以接受預設的 HTTP 設定檔設定。

    HTTP 應用程式設定檔可同時用於 HTTP 和 HTTPS 應用程式。

    1. 從下拉式功能表中選取新增 > 快速 HTTP 設定檔
    2. 輸入 HTTP 應用程式設定檔的名稱和說明。
    3. 完成應用程式設定檔詳細資料。
      選項 說明
      重新導向
      • 無 - 如果網站暫時關閉,使用者會收到 [找不到頁面] 錯誤訊息。
      • HTTP 重新導向 - 如果網站暫時關閉或已移動,該虛擬伺服器的傳入要求會暫時重新導向到此處指定的 URL。僅支援靜態重新導向。

        例如,如果 HTTP 重新導向設為 http://sitedown.abc.com/sorry.html,則不論實際要求為何,例如 http://original_app.site.com/home.html 或 http://original_app.site.com/somepage.html,傳入要求都將在原始網站關閉時重新導向到指定的 URL。

      • HTTP 至 HTTPS 重新導向 - 某些安全應用程式可能想要透過 SSL 強制執行通訊,但可以重新導向用戶端要求以使用 SSL,而不是拒絕非 SSL 連線。透過 HTTP 至 HTTPS 重新導向,您可以保留主機和 URI 路徑,並重新導向用戶端要求以使用 SSL。

        針對 HTTP 至 HTTPS 重新導向,HTTPS 虛擬伺服器必須具有連接埠 443,並且必須在相同的負載平衡器上設定相同的虛擬伺服器 IP 位址。

        例如,http://app.com/path/page.html 的用戶端要求重新導向至 https://app.com/path/page.html。如果主機名稱或 URI 必須在重新導向時進行修改,例如,重新導向至 https://secure.app.com/path/page.html,則必須使用負載平衡規則。

      X-Forwarded-For (XFF)
      • 插入 - 如果傳入要求中不存在 XFF HTTP 標頭,則負載平衡器會插入具有用戶端 IP 位址的新 XFF 標頭。
      • 取代 - 如果傳入要求中已存在 XFF HTTP 標頭,則負載平衡器可取代標頭。

      Web 伺服器會記錄透過要求的用戶端 IP 位址所處理的每個要求。這些記錄可用於偵錯和分析目的。如果部署拓撲需要負載平衡器上的 SNAT,伺服器會使用讓記錄用途失效的 SNAT IP 位址。

      做為因應措施,可將負載平衡器設定為插入具有原始用戶端 IP 位址的 XFF HTTP 標頭。伺服器可設定為記錄 XFF 標頭中的 IP 位址,而不是連線的來源 IP 位址。

      連線閒置逾時 輸入 HTTP 應用程式可維持閒置的時間 (以秒為單位),而不是必須在 TCP 應用程式設定檔中設定的 TCP 通訊端設定。
      要求標頭大小 指定用來儲存 HTTP 要求標頭的最大緩衝區大小 (以位元組為單位)。
      NTLM 驗證 切換負載平衡器的按鈕,以關閉 TCP 多工處理並啟用 HTTP 持續連線。

      NTLM 是可透過 HTTP 使用的驗證通訊協定。對於具有 NTLM 驗證的負載平衡,主控以 NTLM 為基礎的應用程式的伺服器集區必須停用 TCP 多工處理。否則,透過一個用戶端認證所建立的伺服器端連線可能會用來為另一個用戶端的要求提供服務。

      如果 NTLM 在設定檔中啟用且關聯至虛擬伺服器,而 TCP 多工處理在伺服器集區中啟用,則 NTLM 優先。不會針對該虛擬伺服器執行 TCP 多工處理。但是,如果同一個集區與另一個非 NTLM 虛擬伺服器相關聯,則 TCP 多工處理可供連線至該虛擬伺服器。

      如果用戶端使用 HTTP/1.0,則負載平衡器將升級至 HTTP/1.1 通訊協定並設定 HTTP 持續連線。在相同的用戶端 TCP 連線上接收的所有 HTTP 要求會透過單一 TCP 連線傳送到相同的伺服器,以確保不需要重新授權。

    4. 按一下確定