傳輸階段是用戶端 HTTP 要求的第一個階段。

您可以在 SSL 組態下找到負載平衡器虛擬伺服器 SSL 組態。有兩種可行的組態。在這兩種模式中,負載平衡器會看到流量,並根據用戶端 HTTP 流量套用負載平衡器規則。
  • SSL 卸載,僅設定 SSL 用戶端。在此模式中,用戶端至 VIP 流量會加密 (HTTPS),而負載平衡器會對其解密。VIP 至集區成員流量為明文 (HTTP)。
  • SSL 端對端,同時設定用戶端 SSL 和伺服器 SSL。在此模式中,用戶端至 VIP 流量會加密 (HTTPS),而負載平衡器會對其解密,然後重新加密。VIP 至集區成員流量為加密 (HTTPS)。

當虛擬伺服器收到用戶端 SSL hello 訊息虛擬伺服器時,傳輸階段即完成。這會在 SSL 結束之前以及 HTTP 流量之前發生。

傳輸階段可讓管理員根據用戶端 SSL hello 訊息,選取 SSL 模式以及特定伺服器集區。虛擬伺服器 SSL 模式有三個選項:
  • SSL 卸載
  • 端對端
  • SSL 傳遞 (負載平衡器不會結束 SSL)

對於比對類型,負載平衡器規則支援 REGEX。支援 PCRE 樣式 REGEX 模式,但對進階使用案例存在一些限制。在比對條件中使用 REGEX 時,支援具名擷取群組。請參閱負載平衡器規則中的規則運算式

必要條件

確認第 7 層 HTTP 虛擬伺服器可供使用。請參閱新增第 7 層 HTTP 虛擬伺服器

程序

  1. 開啟第 7 層 HTTP 虛擬伺服器。
  2. 在 [負載平衡器規則] 區段中,於 [傳輸階段] 旁,按一下設定 > 新增規則,以針對傳輸階段設定負載平衡器規則。
  3. SSL SNI 是唯一支援的相符條件。相符條件會用於比對透過負載平衡器傳遞的應用程式流量。
  4. 從下拉式清單中,選取相符類型:開頭為、結尾為、等於、包含、符合 Regex。
  5. 輸入 SNI 名稱
  6. 切換區分大小寫按鈕,以設定用於 HTTP 標頭值比較的區分大小寫旗標。
  7. 切換否定按鈕以進行啟用。
  8. 從下拉式清單中,選取符合策略
    符合策略 說明
    任何 若主機或路徑任一符合,即可將此規則視為相符。
    全部

    主機和路徑均必須符合,才將此規則視為相符。

  9. 從下拉式功能表中,選取 SSL 模式選取項目
    SSL 模式 說明
    SSL 傳遞

    SSL 傳遞會將 HTTPS 流量傳遞至後端伺服器,而不會在負載平衡器上解密流量。資料會在通過負載平衡器時保持加密狀態。

    備註: VIP 用戶端 SSL 組態不適用於比對動作為 SSL 傳遞的負載平衡器傳輸規則的流量。由於同一 VIP 可以具有動作為 SSL 卸載或 SSL 端對端的其他負載平衡器傳輸規則,因此在 VIP 中需要用戶端 SSL 組態。

    如果已選取 [SSL 傳遞],則可以選取伺服器集區。請參閱在管理程式模式中新增用於負載平衡的伺服器集區

    SSL 卸載

    [SSL 卸載] 會解密負載平衡器上的所有 HTTPS 流量,並使用 HTTP 連線至所選的後端伺服器。[SSL 卸載] 允許在負載平衡器和伺服器之間傳遞資料時加以檢查。如果未設定 NTLM 和多工,負載平衡器會針對每個 HTTP 要求建立與所選後端伺服器的新連線。

    SSL 端對端

    [SSL 端對端] 會解密負載平衡器上的所有 HTTPS 流量,並使用 HTTPS 連線至所選的後端伺服器。如果未設定 NTLM 和多工,負載平衡器會針對每個 HTTP 要求建立與所選後端伺服器的新連線。

  10. 按一下儲存套用