LSLB | Fermes | Mise à jour | Profil HTTP

POSTÉ PAR Zevenet | 2 octobre, 2017

Paramètres globaux pour le profil de batterie HTTP

Ce profil gère la commutation de contenu lors de la livraison d'applications 7 de couche HTTP pour les protocoles HTTP et HTTPS.

zevenet lslb lb adc ferme http paramètres globaux

Lors de la modification d’un paramètre d’une batterie HTTP / S via le Mise à jour bouton vert en bas, un redémarrage manuel est nécessaire pour appliquer les modifications. Un message s'affiche en bas à gauche de la page pour avertir l'administrateur système que des paramètres globaux ou des modifications à l'arrière-plan doivent être appliqués. via un redémarrage de la ferme. L'administrateur système est en mesure de modifier les paramètres nécessaires, puis de redémarrer le service de batterie de serveurs pour les appliquer tous en même temps et au moment opportun.

zevenet lslb http adc farm restart

Après avoir appliqué toutes ces modifications, veuillez cliquer sur le bouton recommencer Si le redémarrage a été effectué avec succès, un bouton de confirmation et un message de réussite s’afficheront.

zevenet lslb http lb adc ferme appliquer les modifications

 

Cela peut aussi être fait manuellement en utilisant les Actions si nécessaire. Notez les boutons coin supérieur droit ajoutés à cet effet:

Les Statut est indiqué par la moyenne des balles de couleur comme suit:

  • Vert: Veux dire UP. La ferme est en cours d'exécution et tous les backends sont en place.
  • Rouge: Veux dire BAS. La ferme est arrêtée.
  • Orange: Veux dire REDÉMARRAGE NÉCESSAIRE. Certaines modifications récentes nécessitent le redémarrage d'une batterie de serveurs.
  • Noir: Veux dire CRITIQUE. La batterie de serveurs est active, mais le back-end n'est pas disponible ou est en mode maintenance.
  • Bleu: Veux dire PROBLÈME. La ferme est en cours d'exécution, mais au moins un serveur est en panne.
  • Jaune: Veux dire MINEURE. La batterie de serveurs est en cours d'exécution, mais au moins un serveur est en mode maintenance.

Ces codes de couleur sont les mêmes partout dans l'interface utilisateur graphique. On pouvait les voir mieux expliqués dans le Section des fermes de LSLB

Dans le profil des batteries HTTP (S), l'en-tête HTTP X-Forwarded-For est rempli par défaut avec l'adresse IP du client. Contrairement au profil des batteries de serveurs L4xNAT, le profil HTTP utilise implicitement un algorithme de pondération.

Chaque batterie de serveurs HTTP (S) (ou service virtuel) est capable de gérer plusieurs services Web via la même batterie de serveurs HTTP, à la manière d'un proxy inverse. Par conséquent, une adresse IP virtuelle HTTP et un port peuvent gérer plusieurs services Web à charge équilibrée. Pour cette raison, un service sous une batterie de serveurs HTTP, un concept offre la souplesse nécessaire à l’hôte virtuel. Une liste de moteurs est ensuite affichée pour chaque service créé.

Les paramètres du profil de batterie de serveurs HTTP / S avancé sont les suivants:

Nom. C'est le champ d'identification et une description du service agricole. Pour modifier cette valeur, vous devez d'abord arrêter la ferme. Assurez-vous que le nouveau nom de batterie n'est pas déjà utilisé ou un message d'erreur apparaîtra.
IP virtuel et PORT. Il s’agit de l’adresse IP virtuelle et / ou du PORT virtuel dans lequel le profil de la batterie sera lié et à l’écoute dans le système d’équilibrage de charge. Pour apporter des modifications à ces champs, assurez-vous que les nouveaux IP virtuel et PORT virtuel ne sont pas utilisés. Pour appliquer les modifications, le service de la batterie de serveurs sera redémarré automatiquement.

Auditeur. Ce champ spécifie le protocole à gérer sur la couche 7 pour la commutation de contenu.

  • HTTP. Le service virtuel ne comprendra que le contenu HTTP simple.
  • HTTPS. Le service virtuel comprendra le contenu HTTP sécurisé, il gérera la négociation SSL, il gérera les configurations de chiffrements sécurisés, les certificats SSL (wildcard ou SNI), etc., afin d'effectuer un déchargement SSL et de décharger les vrais serveurs d'applications de ces tâches lourdes .

Ignorer 100 Continuer. Si cette case est cochée, la propriété 100 Continue sera désactivée. Selon le protocole HTTP 1.1, lorsque cet en-tête est envoyé, les données de formulaire ne sont pas envoyées avec la demande initiale. Au lieu de cela, cet en-tête est envoyé au serveur Web qui répond avec 100 (Continuer). Cela signifie que le serveur a reçu les en-têtes de requête et que le client doit alors envoyer le corps de la requête (dans le cas d'une requête pour laquelle un corps doit être envoyé, par exemple une requête POST). Si le corps de la demande est volumineux, il est inefficace de l'envoyer à un serveur lorsqu'une demande a déjà été rejetée sur la base d'en-têtes inappropriés. Pour qu'un serveur vérifie si la demande peut être acceptée en fonction des seuls en-têtes de la demande, un client doit envoyer Expect: 100-continue en tant qu'en-tête de sa demande initiale et vérifier si un code d'état 100 Continue est reçu en réponse avant de continuer (ou recevoir l’attente 417 a échoué et ne pas continuer).

Réécrire les en-têtes d'emplacement. Si activé, la ferme est obligée de modifier le Région et Content-location en-têtes dans les réponses aux clients. S'ils pointent vers le serveur lui-même ou vers le VIP (mais avec un protocole différent), la réponse sera modifiée pour afficher l'hôte virtuel dans la demande. Si l'option activé et comparer les backends est sélectionné, alors que seule l’adresse IP principale est comparée, cela peut être utile pour rediriger une demande vers un écouteur HTTPS sur le même serveur que l’auditeur HTTP.

Verbes HTTP acceptés. Ce champ indique les opérations qui seront autorisées pour les requêtes du client HTTP. Si un verbe non autorisé est demandé, une erreur sera affichée au client. Le niveau des verbes est inclusif, donc chaque niveau comprend ses verbes et en plus les verbes de niveau inférieur.

  • Requête HTTP standard. Accepter uniquement les requêtes HTTP standard (GET, POST, HEAD).
  • + requête HTTP étendue. En outre, autoriser les requêtes HTTP étendues (PUT, DELETE).
  • + verbes WebDAV standard. Autorise également les verbes WebDAV standard (VERROUILLER, DÉVERROUILLER, PROPFIND, PROPPATCH, RECHERCHER, MKCOL, DÉPLACER, COPIER, OPTIONS, TRACE, MKACTIVITÉ, DÉPART, FUSION, RAPPORT).
  • + Verbes WebDAV des extensions MS. Autoriser en outre les extensions MS WebDAV (SUBSCRIBE, UNSUBSCRIBE, NOTIFY, BPROPFIND, BPROPPATCH, POLL, BMOVE, BCOPY, BDELETE, CONNECT).
  • + Verbes d'extensions MS RPC. En outre, autoriser les verbes d'extensions MS RPC (RPC_IN_DATA, RPC_OUT_DATA).

Délai de connexion au backend. Cette valeur indique combien de temps la batterie va attendre une connexion au backend en secondes. Habituellement, ce sera le temps d’ouverture du socket qui attend. Par défaut, cette valeur sera définie sur 20 secondes.

Délai de réponse du backend. Cette valeur indique combien de temps la batterie va attendre une réponse du moteur en secondes. Par défaut, cette valeur sera définie sur 45 secondes.

Fréquence de vérification des backends ressuscités. Cette valeur en secondes est la période pour sortir un serveur réel sur liste noire et vérifier si est en vie. La batterie de serveurs vérifiera périodiquement le backend une fois que le serveur réel sera marqué comme étant en panne, qu'il y ait ou non une nouvelle connexion client. Par défaut, cette valeur sera définie sur 10 secondes.

Délai d'attente de la demande du client. Cette valeur indique combien de temps la batterie va attendre une demande du client en secondes. Une fois ce délai écoulé sans obtenir aucune donnée du client, la connexion sera fermée. Par défaut, cette valeur sera définie sur 30 secondes.

Messages d'erreur personnalisés. Grâce aux messages d'erreur personnalisés, le service de batterie de serveurs peut répondre à un message personnalisé de votre site lorsqu'une erreur de code Web est détectée à partir des serveurs réels. Une page HTML personnalisée sera affichée.

D'autre part, certains Paramètres HTTPS Vous trouverez ci-dessous.

Les Désactiver SSLV2, Désactiver SSLV3, Désactiver TLSV1, Désactiver TLSV1.1, Désactiver TLSV1.2 les boutons sélectionnables, s'ils sont sélectionnés, évitent d'utiliser ces protocoles donnés. Ainsi, une fois qu'un protocole est désactivé, ses chiffrements seront également désactivés.

chiffrements. Ce champ permet de créer une liste de chiffrements acceptés par les connexions SSL afin de renforcer ces connexions. Avant qu'un client et un serveur puissent commencer à échanger des informations protégées par TLS, ils doivent échanger ou convenir en toute sécurité d'une clé de chiffrement et d'un chiffrement à utiliser lors du chiffrement de données. Des informations supplémentaires sur la sécurité sont disponibles sur des ressources externes telles que Wikipédia.
Pour utiliser les chiffrements, sélectionnez l’une des options suivantes.

Tout. Cet élément indique que tous les chiffrements peuvent être gérés par le programme d'écoute HTTPS. Ce sont les paramètres par défauts.
Haute sécurité. Cette option définit par défaut les chiffrements:

kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED

Qui ils seront assez pour passer à travers un A+ in ssllabs .

Sécurité personnalisée. Cette option permet de définir vos propres chiffrements autorisés via le Personnalisez vos chiffres champ..

Personnalisez vos chiffres. Ceci est la liste personnalisée autorisée des chiffrements qui seront acceptés par la connexion SSL, ce qui constitue une chaîne au même format que dans Chiffres OpenSSL . Cette option sera affichée si Sécurité personnalisée est réglé.

Déchargement SSL. Notez qu'Enterprise Edition v5.1 inclut de nouvelles fonctionnalités de déchargement SSL qui augmentent les performances sur les processeurs compatibles AES. Si votre matériel implémente cette fonctionnalité, cette option sera affichée. Autrement pas.

Certificats activés. Les certificats SSL de cette liste seront les certificats que la batterie de serveurs pourra gérer.

Certificats disponibles. Ce sont les certificats SSL disponibles installés sur le périphérique. Pour activer l'un d'eux, vous pouvez soit sélectionner le certificat et appuyer sur la flèche, soit le faire glisser et le déposer de la zone Disponible vers la zone Activé.

Services pour profil de batterie HTTP

Les services d’une batterie LSLB avec un profil HTTP offrent des fonctionnalités de commutation de contenu pour les services virtuels Web permettant de fournir plusieurs services Web et applications via le même IP virtuel et PORTqui aide à unifier les applications web à travers un seul domaine, gérer les hôtes virtuels, gérer les URL, configurer les redirections, configurer la persistance et les backends par service. Chaque service d'une batterie de serveurs LSLB peut avoir différentes propriétés, vérifications de l'état de santé ou listes d'arrière-plan, et certaines expressions régulières peuvent être utilisées comme conditions de correspondance permettant de spécifier le service à utiliser par demande.

Chaque condition de correspondance de service sera vérifiée par le noyau du profil de la batterie HTTP en mode priorité (modifiable si nécessaire) et si aucun service ne correspond, le noyau de la batterie retournera une erreur. Pour cette raison, plusieurs définitions de service spécifiques sont autorisées. Si aucune URL n'est définie, chaque demande correspondra. Les conditions du service HTTP seront déterminées par un hôte virtuel et / ou un modèle d'URL.

Tout d'abord, il est nécessaire de créer au moins un service pour ajouter des backends.

zevenet lslb http create service

Après la création, il sera demandé de recommencer la ferme pour appliquer le nouveau service.

Une fois le nouveau service appliqué, le profil de la batterie de serveurs HTTP analysera toutes les conditions de service afin de faire correspondre le service correspondant à chaque demande du client. Ces conditions de services pourraient être déterminées par des modèles d'URL, des en-têtes spécifiques ou une redirection, et permettent d'identifier plusieurs services Web dans la même batterie.

Les conditions de service et les options du profil des batteries HTTP sont présentées ci-dessous.

hôte virtuel. Ce champ spécifie la condition déterminée par le nom de domaine via la même adresse IP virtuelle et le même port définis par une batterie de serveurs HTTP. Pour éliminer cette condition, laissez-la vide. Ce champ prend en charge les expressions régulières au format PCRE.

Modèle d'URL. Ce champ permet de déterminer un service Web en ce qui concerne l'URL demandée par le client via un modèle d'URL spécifique qui sera vérifié syntaxiquement. Pour éliminer cette condition, laissez-la vide. Ce champ prend en charge les expressions régulières au format PCRE.

Les hôte virtuel et Modèle d'URL Les champs sont utilisés par Zevenet afin de prendre des décisions au moment de la correspondance avec un certain service, donc si une valeur est configurée dans ces champs, la requête essaiera de la faire correspondre, si elle ne correspond pas, la requête essaiera de correspondre à le prochain service. Il est recommandé d'inclure un dernier service comme service par défaut si aucune correspondance n'a été produite.

Valeur de redirection. Ce champ se comporte comme un serveur spécial, car la redirection vers une nouvelle URL répond automatiquement à la demande du client. Si vous configurez une valeur de redirection, alors NE configurez PAS les backends dans ce service. Si hôte virtuel et Modèle d'URL correspondre alors Zevenet envoie un HTTP En-tête d'emplacement réponse au client pour être redirigé vers l'URL configurée.

Type de redirection. Il y a deux options: Défaut or Ajouter. Avec Défaut En option, l'URL est considérée comme un hôte absolu et un chemin vers lequel rediriger Avec Ajouter En option, le chemin de requête d'origine sera ajouté à l'hôte et le chemin que vous avez spécifié.

zevenet lslb http https redirect

Moindre réponse. Cette case à cocher permet d’améliorer l’algorithme du round robin. Dynamiquement, l'équilibreur de charge établit la connexion avec la valeur inférieure du temps de réponse.

Les backends HTTPS. Cette case à cocher indique à la batterie que les serveurs principaux définis dans le service actuel utilisent le protocole HTTPS. Les données seront ensuite chiffrées avant leur envoi.

Persistance. Ce paramètre définit comment le service HTTP va gérer la session client et quel champ de connexion HTTP doit être contrôlé pour maintenir des sessions client sécurisées. Lorsqu'un type de session de persistance est sélectionné, une session de persistance TTL sera affichée.

  • Pas de persistance. Le service de batterie de serveurs ne contrôlera pas les sessions client et les requêtes HTTP ou HTTPS seront livrées gratuitement sur de vrais serveurs.
  • IP: adresse du client. L'adresse IP du client sera utilisée pour garder ouvertes les sessions du client via les serveurs réels.
  • BASIC: authentification de base. L'en-tête d'authentification de base HTTP sera utilisé pour contrôler les sessions du client. Par exemple, lorsqu'une page Web demande une authentification de base au client, un en-tête HTTP contient une chaîne semblable à celle-ci:
    		HTTP/1.1 401 Authorization Required
    		Server: HTTPd/1.0
    		Date: Sat, 27 Nov 2011 10:18:15 GMT
    		WWW-Authenticate: Basic realm="Secure Area"
    		Content-Type: text/html
    		Content-Length: 31
    

    Ensuite, le client répond avec l'en-tête:

                    GET /private/index.html HTTP/1.1
    		Host: localhost
    		Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
    

    Cette chaîne d'authentification de base est utilisée comme identifiant pour la session afin d'identifier la session client.

  • URL: un paramètre de requête. Lorsque l’ID de session est envoyé via un paramètre GET avec l’URL, il est possible d’utiliser cette option en indiquant le nom du paramètre associé à l’ID de session du client. Par exemple, une demande client telle que http://www.example.com/index.php?sid=3a5ebc944f41daa6f849f730f1 devrait être configuré le paramètre Identifiant de session de persistance:URL de persistance http zevenet lslb
  • PARM: un paramètre d'URI. Une autre façon d'identifier une session client consiste à utiliser un paramètre URI séparé d'un point-virgule utilisé comme identifiant de session utilisateur. Dans l'exemple http://www.example.com/private.php;EFD4Y7 le paramètre sera utilisé comme identifiant de session.
  • COOKIE: un certain cookie. En outre, vous pourrez sélectionner une variable de cookie HTTP pour gérer la session du client via l'option COOKIE. Un cookie doit être créé par le programmeur de l'application réelle dans la page Web pour identifier la session du client, par exemple:
                    GET /spec.html HTTP/1.1
                    Host: www.example.org
                    Cookie: sessionidexample=75HRSd4356SDBfrte
    
  • HEADER: un en-tête de requête. Un champ personnalisé d'en-tête HTTP peut être utilisé pour identifier la session client. Par exemple:
                   GET /index.html HTTP/1.1
                   Host: www.example.org
                   X-sess: 75HRSd4356SDBfrte
    

Session de persistance Time To Live. Cette valeur indique la durée de vie maximale d'une session client inactive (âge maximal de la session) en secondes.

Identifiant de session de persistance. Ce champ est le Paramètre d'URL, gâteau or champ d'en-tête nom qui sera analysé par le service de la batterie de serveurs et gérera la session du client.

Cookie insert. Si défini, le profil des fermes HTTP Zevenet injectera une gâteau dans chaque réponse avec la clé appropriée du backend, de sorte que même si la table de session est vidée ou si les sessions sont désactivées, le backend approprié sera choisi. Cette fonctionnalité évite de changer le code du serveur réel pour créer un cookie de session.

zevenet lslb insertion de cookies de service http

Les Nom Cookie est le nom du cookie qui sera créé du client au backend. le Chemin des cookies est l'URI ou le chemin relatif où le nouveau cookie sera créé, pour le domaine entier, le caractère / doit être réglé. Domaine du cookie est le domaine où le cookie va être créé. Finalement, Cookie Temps de vivre correspond au nombre de secondes pendant lesquelles le cookie sera conservé en mémoire entre le client et le serveur. Si cette valeur est définie sur 0, le cookie expirera à la fermeture du navigateur.

Après la configuration du service, il sera nécessaire de mettre à jour les modifications via le bouton vert Mise à jour.

En ce qui concerne le Section backends, le profil de la batterie HTTP permet de configurer les propriétés réelles des serveurs suivants:

zevenet lslb http backends

ID. C'est l'index qui fait référence au backend dans la configuration de la batterie.
IP. L'adresse IP du backend donné.
PORT. C'est la valeur du port pour le serveur réel actuel.
TIMEOUT. C'est la valeur spécifique de timeout pour un backend à répondre. Cette valeur remplace le global Délai de connexion au backend paramètre de ferme pour le backend actuel.
POIDS. C'est la valeur de poids pour le serveur réel actuel. Plus la valeur de poids indique plus de connexions livrées au backend actuel. Par défaut, une valeur de poids de 1 sera définie. Les valeurs disponibles vont de 1 à 9.

ACTION. Les actions disponibles par serveur sont:

  • Ajouter un backend. Ajoutez un nouveau serveur réel à la batterie.
  • Enregistrer. Enregistrez la nouvelle entrée de serveur réel dans la batterie donnée et commencez à l’utiliser.
  • Annuler. Annuler la nouvelle entrée du serveur réel.
  • Activer la maintenance. Mettez un certain serveur réel en mode maintenance afin qu'aucune nouvelle connexion ne soit redirigée vers ce dernier. Il existe deux méthodes différentes pour activer le mode maintenance:
    • Mode vidange. Conserve les connexions établies et la persistance si activé, mais n'admet pas de nouvelles connexions.
    • Mode de coupe. Supprime directement toutes les connexions actives contre le backend
  • Démarrer. Activez à nouveau les nouvelles connexions sur le serveur réel après la maintenance activée.
  • Supprimer. Supprimer le serveur réel donné du service virtuel.
  • Modifier. Modifier une certaine valeur du serveur réel.

zevenet lslb http backends

IPDS

Cette section vous permet d'activer les règles IPDS. La liste présente différents types de protection et une zone de sélection pour les activer. Pour plus d'informations, veuillez vous rendre au Liste noire IPDS, IPDS DoS or IPDS RBL documentation spécifique.

zevenet lslb adc l4 backends

Le bouton Action permet d'ajouter une nouvelle règle comme indiqué dans l'image suivante. Il permet également de «Désactiver», «Activer» ou «Désactiver» une règle donnée. Lorsque vous désactivez une règle, elle est supprimée de la liste de règles associée à la batterie de serveurs. Les actions d'activation ou de désactivation rendent la règle active et exécutée ou l'arrête respectivement.

zevenet lslb adc l4 backends

Une fois que vous avez ajouté une nouvelle règle IPDS, vous devez sélectionner dans la liste la règle que vous souhaitez appliquer. S'il vous plaît jeter un oeil à l'image suivante:

zevenet lslb adc l4 backends

Après avoir sélectionné la règle à appliquer, vous verrez un écran comme le suivant. Là, il apparaîtra votre nouvelle règle associée à votre ferme. Au départ, le statut de la règle est «Down». Pour activer la règle, vous devez appuyer sur le triangle vert «jouer» sous la colonne Actions. Il affichera un message annonçant que la règle est activée.

zevenet lslb adc l4 backends

Regardez notre vidéo pour savoir combien il est facile de configurer une redirection HTTPS avec Zevenet.

L'étape suivante, utiliser Farm Guardian pour la configuration des contrôles de santé avancés.

Partager sur:

Documentation sous les termes de la licence de documentation libre GNU.

Cet article a-t-il été utile?

Articles Relatifs