虛擬伺服器會接收所有用戶端連線,並在伺服器之間進行散佈。虛擬伺服器具有 IP 位址、連接埠和通訊協定 TCP。

如果虛擬伺服器狀態為已停用,則會透過針對 TCP 連線傳送 TCP RST 或針對 UDP 傳送 ICMP 錯誤訊息,拒絕與虛擬伺服器的任何新連線嘗試。即使存在相符的持續性項目,仍會拒絕新連線。作用中連線會繼續處理。如果從負載平衡器刪除或解除關聯虛擬伺服器,則與該虛擬伺服器的作用中連線會失敗。

備註: NSX-T Data Center Limited Export 版本不支援 SSL 設定檔。

如果在虛擬伺服器上設定用戶端 SSL 設定檔繫結,而不是伺服器端 SSL 設定檔繫結,則虛擬伺服器會在 SSL 終止模式 (具有與用戶端的加密連線和與伺服器的純文字連線) 下運作。如果同時設定了用戶端和伺服器端 SSL 設定檔繫結,則虛擬伺服器會在 SSL Proxy 模式 (具有與用戶端和伺服器的加密連線) 下運作。

目前不支援在未關聯用戶端 SSL 設定檔繫結的情況下,關聯伺服器端 SSL 設定檔繫結。如果用戶端和伺服器端 SSL 設定檔繫結未與虛擬伺服器建立關聯,並且應用程式以 SSL 為基礎,則虛擬伺服器會在無法感知 SSL 的模式下運作。在此情況下,第 4 層必須設定虛擬伺服器。例如,虛擬伺服器可關聯至 Fast TCP 設定檔。

必要條件

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取網路 > 負載平衡 > 虛擬伺服器 > 新增虛擬伺服器
  3. 從下拉式清單中選取 L7 HTTP,然後輸入通訊協定詳細資料。
    第 7 層虛擬伺服器支援 HTTP 和 HTTPS 通訊協定。
    選項 說明
    名稱與說明 輸入第 7 層虛擬伺服器的名稱和說明。
    IP 位址 輸入虛擬伺服器的 IP 位址。支援 IPv4 和 IPv6 位址。
    連接埠 輸入虛擬伺服器的連接埠號碼。
    負載平衡器 從下拉式功能表中選取要連結至此第 4 層虛擬伺服器的現有負載平衡器。
    伺服器集區 從下拉式功能表中選取現有的伺服器集區。

    伺服器集區由一或多個以相同方式設定且執行相同應用程式的伺服器 (亦稱為集區成員) 組成。

    您可以按一下垂直省略符號來建立伺服器集區。
    應用程式設定檔 根據通訊協定類型,現有應用程式設定檔會自動填入。

    您可以按一下垂直省略符號來建立應用程式設定檔。

    持續性 從下拉式功能表中選取現有的持續性設定檔。

    可以在虛擬伺服器上啟用持續性設定檔,讓與來源 IP 和 Cookie 相關的用戶端連線均傳送至同一個伺服器。

  4. 按一下設定以設定第 7 層虛擬伺服器 SSL。
    您可以設定用戶端 SSL 和伺服器 SSL。
  5. 設定用戶端 SSL。
    選項 說明
    用戶端 SSL 切換按鈕以啟用設定檔。

    用戶端 SSL 設定檔繫結允許多個憑證,讓不同的主機名稱關聯至相同的虛擬伺服器。

    預設憑證 從下拉式功能表中選取預設憑證。

    如果伺服器未主控相同 IP 位址上的多個主機名稱或用戶端不支援伺服器名稱指示 (SNI) 延伸,則會使用此憑證。

    若要使用 2k/3k/4k 憑證/金鑰,請使用 NSX Manager 建立自我簽署的憑證建立憑證簽署要求檔案

    若要使用 8k 憑證/金鑰,請使用 匯入並取代憑證 匯入 8k 憑證金鑰。

    用戶端 SSL 設定檔 從下拉式功能表中選取用戶端 SSL 設定檔。
    SNI 憑證 從下拉式功能表中選取可用的 SNI 憑證。
    受信任的 CA 憑證 選取可用的 CA 憑證。
    強制用戶端驗證 切換按鈕以啟用此功能表項目。
    憑證鏈結深度 設定憑證鏈結深度,以驗證伺服器憑證鏈結的深度。
    憑證撤銷清單 選取可用的 CRL,以便不允許已遭破解的伺服器憑證。
  6. 設定伺服器 SSL
    選項 說明
    伺服器 SSL 切換按鈕以啟用設定檔。
    用戶端憑證 從下拉式功能表中選取用戶端憑證。

    如果伺服器未主控相同 IP 位址上的多個主機名稱或用戶端不支援伺服器名稱指示 (SNI) 延伸,則會使用此憑證。

    伺服器 SSL 設定檔 從下拉式功能表中選取伺服器端 SSL 設定檔。
    受信任的 CA 憑證 選取可用的 CA 憑證。
    強制伺服器驗證 切換按鈕以啟用此功能表項目。

    伺服器端 SSL 設定檔繫結會指定是否必須驗證在 SSL 信號交換期間提供給負載平衡器的伺服器憑證。啟用驗證後,伺服器憑證必須由自我簽署憑證在相同的伺服器端 SSL 設定檔繫結中指定的其中一個受信任的 CA 簽署。

    憑證鏈結深度 設定憑證鏈結深度,以驗證伺服器憑證鏈結的深度。
    憑證撤銷清單 選取可用的 CRL,以便不允許已遭破解的伺服器憑證。

    伺服器端不支援 OCSP 和 OCSP 裝訂。

  7. 按一下其他內容以設定其他第 7 層虛擬伺服器內容。
    選項 說明
    並行連線數目上限 設定虛擬伺服器所允許的並行連線數目上限,以便虛擬伺服器不會耗盡相同負載平衡器上主控的其他應用程式的資源。
    新連線速率上限 設定與伺服器集區成員的新連線數目上限,以便虛擬伺服器不會耗盡資源。
    Sorry Server 集區 從下拉式功能表中選取現有 sorry 伺服器集區。

    當負載平衡器無法選取後端伺服器以服務於來自預設集區的要求時,sorry 伺服器集區可服務於該要求。

    您可以按一下垂直省略符號來建立伺服器集區。

    預設集區成員連接埠 如果未定義虛擬伺服器的集區成員連接埠,請輸入預設集區成員連接埠。

    例如,如果虛擬伺服器所定義的連接埠範圍為 2000–2999,並且預設集區成員連接埠範圍設定為 8000-8999,則到虛擬伺服器連接埠 2500 的傳入用戶端連線會傳送到目的地連接埠設定為 8500 的集區成員。

    管理狀態 切換按鈕以停用第 7 層虛擬伺服器的管理狀態。
    存取記錄 切換按鈕以啟用第 7 層虛擬伺服器的記錄。
    僅記錄重大事件 僅在存取記錄已啟用的情況下,才能設定此欄位。HTTP 回應狀態為 >= 400 的請求會被視為重大事件。
    標籤 從下拉式清單中選取標籤。

    您可以指定標籤,以設定標籤範圍。

  8. 按一下儲存