LSLB | Gårde | Opdatering | HTTP-profil

SENDT AF Zevenet | 15. maj 2018

Globale indstillinger for HTTP Farm Profile

Denne profil styrer indholdsskift ved HTTP-lag 7-programleverance til både HTTP- og HTTPS-protokoller.

Ved ændring af enhver parameter i en HTTP / S gård gennem Opdatering grønne knap i bunden, ville det være nødvendigt med en manuel genstart for at anvende ændringerne, så en besked vil blive vist til venstre nederst på siden for at advare sysadminen om, at der er globale parametre eller backend-ændringer, der skal anvendes via en gård genstart. Systemadministratoren kan ændre, hvilke parametre der er behov for, og genstart derefter bedriftsservice for at anvende dem alle samtidig og når tiden er mere egnet.

zevenet lslb http adc farm restart

Efter at have anvendt alle disse ændringer, klik venligst på Genstart knappen og en meddelelse om succes vil blive vist, hvis genstart er blevet gennemført.

zevenet lslb http lb adc gård anvende ændringer

Det kan også gøres manuelt ved hjælp af handlinger hvis det er nødvendigt. Bemærk de øverste højre hjørne knapper tilføjet til dette formål:

Status vises ved at betyde farvekuglerne som følger:

  • Grøn: Midler UP. Gården kører, og alle bagenden er OP, eller omdirigeringen er konfigureret.
  • Rød: Midler DOWN. Gården er stoppet.
  • Orange: Midler Genstart nødvendig. Der er nylige ændringer, der har brug for en farm restart, der skal anvendes.
  • Sort: Midler KRITISK. Gården er OP, men der er ikke backend til rådighed, eller de er i vedligeholdelsestilstand
  • Blå: Midler PROBLEM. Gården kører, men mindst en backend er nede.
  • Gul: Midler VEDLIGEHOLDELSE. Gården kører, men mindst en backend er i vedligeholdelsestilstand.

Disse farvekoder er de samme over hele den grafiske brugergrænseflade. Du kunne se dem bedre forklaret i LSLB Farms Section

I HTTP (S) farms profilen, HTTP header X-Forwarded-For er fyldt som standard med klientens IP-adresse. I modsætning til L4xNAT gårdsprofilen bruger HTTP-profilen implicit en vægtalgoritme.

Hver HTTP (S) -boerderij (eller virtuel tjeneste) er i stand til at administrere flere webtjenester via samme HTTP-bedrift som en omvendt proxy. Derfor kunne en HTTP-virtuel IP og port håndtere mere end én belastet, afbalanceret webtjeneste. Af den grund a tjeneste Under en HTTP gård er et koncept for at tilbyde den virtuelle vært fleksibilitet og derefter vises en liste over backends for hver udført tjeneste.

Grundlæggende konfiguration

Parametrene for basis HTTP / S farms profil er følgende:

Navn. Det er identifikationsfeltet og en beskrivelse af bedriftstjenesten. For at ændre denne værdi skal du stoppe gården med det første. Sørg for, at det nye gårdsnavn ikke allerede er i brug, ellers vises en fejlmeddelelse.

Virtual IP og PORT. Disse er den virtuelle IP-adresse og / eller den virtuelle PORT, hvor gårdsprofilen vil blive bundet og lyttet i belastningsbalancersystemet. For at foretage ændringer i disse felter skal du sikre dig, at den nye virtuelle IP og virtuelle port ikke er i brug. For at kunne anvende ændringerne genstartes bondegården automatisk.

Lytter. Dette felt angiver protokollen, der skal administreres på lag 7 til indholdskobling.

  • HTTP. Den virtuelle tjeneste forstår kun almindeligt HTTP-indhold.
  • HTTPS. Den virtuelle tjeneste vil forstå sikkert HTTP-indhold, det administrerer SSL-håndtryk, det håndterer sikre cifre-konfigurationer, SSL-certifikater (jokertegn eller SNI) osv. For at udføre SSL-aflæsning og aflæsning af de virkelige applikationsservere af disse tunge opgaver .

HTTPS-parametre

På den anden side nogle HTTPS-parametre Kan findes nedenfor.

Deaktiver SSLV2, Deaktiver SSLV3, Deaktiver TLSV1, Deaktiver TLSV1.1, Deaktiver TLSV1.2 valgbare knapper, hvis de er valgt, undgå at bruge disse givne protokoller. Når en protokol er deaktiveret, deaktiveres dens chifre således også.

ciphers. Dette felt bruges til at opbygge en liste over cifre accepteret af SSL-forbindelser for at hærde den forbindelse. Inden en klient og server kan begynde at udveksle oplysninger beskyttet af TLS, skal de sikkert udskifte eller acceptere en krypteringsnøgle og en kryptering, der skal bruges, når krypteringsdataene skal bruges. Yderligere oplysninger om sikkerhed findes på eksterne ressourcer, f.eks Wikipedia.

For at gøre brug af cifre, vælg venligst en af ​​følgende muligheder.

  • Alle. Denne indstilling angiver, at alle cifre må administreres af HTTPS-lytteren. Dette er standardindstillingen.
  • høj sikkerhed. Denne indstilling angiver som standard cifrene:
    kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED

    Som de vil være nok til at passere gennem en A+ in SSL Labs .

  • Brugerdefineret sikkerhed. Denne mulighed gør det muligt at indstille dine egne tilladte cifre gennem Tilpas dine cifre felt.
  • Tilpas dine cifre. Dette er den tilladte tilpassede liste over cifre, der accepteres af SSL-forbindelsen, som er en streng i samme format som i OpenSSL-cifre . Denne indstilling vises, hvis Brugerdefineret sikkerhed er indstillet.
  • SSL-aflæsning. Bemærk, at denne version indeholder nye SSL-aflæsningsfunktioner, som øger ydeevnen på CPU'er AES kompatibel. Hvis din hardware implementerer disse funktioner, vises denne indstilling. Ellers ikke.

Aktiverede certifikater. SSL-certifikaterne i denne liste er de certifikater, som bedriften kan klare.

Tilgængelige certifikater. Dette er de tilgængelige SSL-certifikater, der er installeret i enheden. For at aktivere en af ​​dem kan du enten vælge certifikatet og trykke på pileknappen eller du kan bare trække og slippe det fra feltet Tilgængelig til feltet Aktiveret.

Avanceret konfiguration

Omskriv overskriftsoverskrifter. Hvis aktiveret, er gården tvunget til at ændre Placering og Content-placering overskrifter i svar til kunderne. Hvis de peger på backenden selv eller til VIP (men med en anden protokol), vil svaret blive ændret for at vise den virtuelle vært i anmodningen. Hvis indstillingen aktiveret og sammenligne backends er valgt, sammenlignes kun backend-IP-adressen, hvilket kan være nyttigt til omdirigering af en anmodning til en HTTPS-lytter på samme server som HTTP-lytteren.

HTTP verbs accepteret. Dette felt angiver de operationer, der er tilladt for HTTP-klientanmodningerne. Hvis der anmodes om et ikke tilladt verb, vises der en fejl til klienten. Verbeniveauet er inklusive, så hvert niveau inkluderer dets verb og derudover de lavere niveau.

  • Standard HTTP-anmodning. Accepter kun standard HTTP-anmodninger (GET, POST, HEAD).
  • + udvidet HTTP-anmodning. Tillad også udvidede HTTP-anmodninger (PUT, DELETE).
  • + standard WebDAV verb. Tillad også standard WebDAV verb (LOCK, UNLOCK, PROPFIND, PROPPATCH, SØG, MKCOL, MOVE, COPY, OPTIONS, TRACE, MKACTIVITY, CHECKOUT, MERGE, REPORT).
  • + MS-udvidelser WebDAV-verb. Tillad også MS-udvidelser WebDAV-verb (SUBSCRIBE, UNSUBSCRIBE, NOTIFY, BPROPFIND, BPROPATCH, POLL, BMOVE, BCOPY, BDELETE, CONNECT).
  • + MS RPC udvidelser verbs. Tillad tillader også MS RPC-extensions-verb (RPC_IN_DATA, RPC_OUT_DATA).

Ignorer 100 Fortsæt. Hvis markeret, er 100 Fortsæt ejendom deaktiveres. I henhold til HTTP 1.1-protokollen sendes formulardataene ikke med den oprindelige anmodning, når denne overskrift sendes. I stedet sendes denne overskrift til webserverens backend, hvilket svar med 100 (Fortsæt). Dette betyder, at serveren har modtaget anmodningsoverskrifterne, og at klienten skal fortsætte med at sende anmodningsorganet (i tilfælde af en anmodning, som et organ skal sendes til, for eksempel en POST-anmodning). Hvis anmodningsorganet er stort, er det ineffektivt at sende det til en server, når en anmodning allerede er blevet afvist baseret på upassende overskrifter. For at få en server til at kontrollere, om anmodningen kunne accepteres på baggrund af anmodningens overskrifter alene, skal en klient sende Forvent: 100-fortsæt som en overskrift i sin oprindelige anmodning og kontrollere, om en 100 Fortsæt status kode er modtaget som svar, før du fortsætter (eller modtager 417 Forventning mislykkedes og fortsætter ikke).

Logs. Aktivér eller deaktiver farm trafik logfiler, der passerer gennem lastbalanceren.

Backend forbindelses timeout. Denne værdi angiver, hvor længe gården skal vente på en forbindelse til backend på sekunder. Normalt vil det være stikkontaktens åbningstid vente. Som standard indstilles denne værdi til 20 sekunder.

Backend respons timeout. Denne værdi angiver, hvor længe gården skal vente på et svar fra bagsiden i sekunder. Som standard indstilles denne værdi til 45 sekunder.

Frekvens for at kontrollere genoprettede bagsider. Denne værdi i sekunder er perioden for at komme ud af en sortlistet reel server og kontrollere, om den er i live. Gården kontrollerer regelmæssigt backend'en, når den rigtige server er markeret som nede, uanset om der er en ny klientforbindelse eller ej. Som standard indstilles denne værdi til 10 sekunder.

Klient anmodning timeout. Denne værdi angiver, hvor længe gården skal vente på en klientanmodning om få sekunder. Når denne timeout er nået uden at få nogen data fra klienten, bliver forbindelsen lukket. Som standard indstilles denne værdi til 30 sekunder.

Personlige fejlmeddelelser. Gennem de personlige fejlmeddelelser kan bedriftsservice svare på en brugerdefineret besked på dit websted, når der opdages en webkodefejl fra de rigtige servere. En personlig HTML-side vil blive vist for fejlkoder 414, 500, 501 og 503.

Tilføj anmodningsoverskrifter. Liste over overskrifter, der vil blive tilføjet til klientens HTTP-anmodninger.

Fjern anmodningsoverskrifter. Liste over header mønstre, der vil blive fjernet fra klientens HTTP anmodninger.

Tjenester til HTTP Farm Profile

Tjenestene inden for en LSLB-bedrift med HTTP-profil giver mulighed for indholdskobling til web virtuelle tjenester til at levere flere webtjenester og applikationer via samme virtuelle IP og PORT, som hjælper med forene webapplikationer gennem et enkelt domæne, administrere virtuelle værter, Administrer webadresser, konfigurere omdirigeringer, konfigurere persistens og backends per service. Hver tjeneste inden for en LSLB gård kunne have forskellige egenskaber, sundhedskontrol eller backend-liste, og nogle regulære udtryk kan bruges som matchbetingelser, der kan angive hvilken tjeneste der skal bruges pr. Anmodning.

Hver service match betingelse vil blive kontrolleret af HTTP gård profil profil kerne i prioriteret tilstand (som kan ændres om nødvendigt), og hvis ingen tjeneste er matchet, vil gården kerne returnere en fejl. Af denne grund er specifikke multifunktionsdefinitioner tilladt. Hvis der ikke er defineret en URL, vil hver forespørgsel matche. HTTP-servicevilkårene bestemmes af en virtuel vært og / eller et URL-mønster.

For det første er det nødvendigt at oprette mindst en tjeneste for at tilføje backends.

zevenet lslb http create service

Efter oprettelsen bliver du bedt om at Genstart gården for at anvende den nye service.

Når den nye tjeneste er blevet anvendt, evalueres HTTP-tjenesterne øverst til bund i listen rækkefølge. Den første tjeneste, der matcher begge betingelser, vil behandle anmodningen. Disse servicevilkår kan bestemmes af URL-mønstre, bestemte overskrifter eller omdirigering og tillade at identificere flere webtjenester i samme gård.

Servicevilkårene, der skal matches, er to:

Virtual Host. Dette felt angiver betingelsen bestemt af domænenavnet via den samme virtuelle IP og port defineret af en HTTP-bedrift. For at afskaffe denne betingelse skal du bare lade den stå tom. Dette felt understøtter regulære udtryk i PCRE-format.

Url mønster. Dette felt giver mulighed for at bestemme en webtjeneste vedrørende URL'en, som klienten anmoder om via et bestemt webadressemønster, som vil blive kontrolleret syntaktisk. For at afskaffe denne betingelse skal du bare lade den stå tom. Dette felt understøtter regulære udtryk i PCRE-format.

Virtual Host og URL-mønster værdier er regulære udtryk, hvis de efterlades tomme, vil enhver værdi matche. Begge felter skal matche, ellers springer den til næste service. Det anbefales at medtage en sidste tjeneste som standardtjeneste, hvis der ikke registreres nogen match.

Mindste svar. Denne afkrydsningsfelt muliggør en forbedring af round robin-algoritmen. Dynamisk etablerer belastningsbalanceren forbindelsen med den lavere værdi af responstid.

HTTPS backends. Denne afkrydsningsfelt viser til gården, at backends-servere defineret i den aktuelle tjeneste bruger HTTPS-protokollen, og derefter bliver dataene krypteret før, for at blive sendt.

Strenge transportsikkerhed

HTTP Strict Transport Security, eller HSTS, er en websikkerhedspolitik for at forhindre trusler under webtrafikkommunikation eller offentliggørelse af cookies. Webbrowsere skal understøtte denne mulighed.
Som standard er der i HTTPS gårde aktiveret i alle tjenester.

STS Header. Afkrydsningsfelt for at aktivere eller deaktivere denne indstilling.

Timeout. Timeout for gyldigheden af ​​denne overskrift.

Omdiriger

Hvis tjenesten har omdirigeringsfunktionen aktiveret, kan backend-serverne ikke bruges, da alle anmodninger vil blive sendt til den angivne webadresse.

Omdirigeringsværdi. Dette felt opfører sig som en speciel backend, da klientforespørgslen besvares automatisk ved omdirigering til en ny webadresse. Hvis du konfigurerer en omdirigeringsværdi, så Konfigurer IKKE backends i denne tjeneste. Hvis Virtual Host og URL-mønster match da Zevenet sender en HTTP Placeringsoverskrift svar til klienten for at blive omdirigeret til den konfigurerede webadresse.

Omdirigeringstype. Der er to muligheder: Standard or Tilføj. Med Standard valgmuligheden, URL'en er taget som en absolut vært og sti, der skal omdirigere til. Med Tilføj valgmulighed, vil den oprindelige forespørgselssti blive tilføjet til værten og den sti, du har angivet.

Omdirigeringskode. Der er flere omdirigere HTTP-koder, der kan bruges: 301 (Flytende permanent), 302 (midlertidigt flyttet) eller 307 (Midlertidig omdirigering).

Vedholdenhed

Vedholdenhed. Denne parameter definerer, hvordan HTTP-tjenesten skal klare klientsessionen, og hvilket HTTP-forbindelsesfelt der skal styres for at opretholde sikre klientsessioner. Når en type persistenssession vælges, vises en persistenssession TTL.

  • Ingen vedholdenhed. Gårdstjenesten styrer ikke klientsessionerne, og HTTP- eller HTTPS-anmodningerne sendes gratis til ægte servere.
  • IP: Klientadresse. Klientens IP-adresse bruges til at holde kundesessionerne åbne gennem de rigtige servere.
  • GRUNDLÆGGENDE: Grundlæggende godkendelse. HTTP's grundlæggende godkendelsesoverskrift bruges til at styre klientsessionerne. For eksempel, når en webside beder om en grundlæggende godkendelse til klienten, indeholder en HTTP-header en streng som følgende:
    		HTTP/1.1 401 Authorization Required
    		Server: HTTPd/1.0
    		Date: Sat, 27 Nov 2011 10:18:15 GMT
    		WWW-Authenticate: Basic realm="Secure Area"
    		Content-Type: text/html
    		Content-Length: 31
    

    Derefter svarer klienten med overskriften:

                    GET /private/index.html HTTP/1.1
    		Host: localhost
    		Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
    

    Denne grundlæggende godkendelsesstreng bruges som et ID til sessionen for at identificere klientsessionen.

  • URL: En anmodning parameter. Når session-id'et sendes via en GET-parameter med URL'en, vil det være muligt at bruge denne indstilling, der angiver parameternavnet, der er knyttet til klientens session-id. For eksempel, en klientanmodning som http://www.example.com/index.php?sid=3a5ebc944f41daa6f849f730f1 bør konfigureres parameteren Persistence Session Identifier:

    zevenet lslb http persistence url

  • PARM: en URI parameter. En anden måde at identificere en klientsession på er via en URI-parameter adskilt fra et semikolon-tegn, som bruges som brugersessionidentifikator. I eksemplet http://www.example.com/private.php;EFD4Y7 parameteren vil blive brugt som sessionsidentifikator.
  • COOKIE: en bestemt cookie. Du vil også være i stand til at vælge en HTTP-cookievariabel for at opretholde klientsessionen gennem COOKIE mulighed. En cookie skal oprettes af den ægte appprogrammerer på websiden for at identificere klientsessionen, for eksempel:
                    GET /spec.html HTTP/1.1
                    Host: www.example.org
                    Cookie: sessionidexample=75HRSd4356SDBfrte
    
  • HEADER: en bestemt forespørgselsoverskrift. Et brugerdefineret felt i HTTP-header kan bruges til at identificere klientsessionen. For eksempel:
                   GET /index.html HTTP/1.1
                   Host: www.example.org
                   X-sess: 75HRSd4356SDBfrte
    

Persistens Session Tid til Live. Denne værdi angiver den maksimale levetid for en inaktiv klientsession (maks. Sessionsalder) i sekunder.

Persistence Session Identifier. Dette felt er URL-parameter, cookie or header feltet navn, der vil blive analyseret af gården og vil klare klientsessionen.

Cookieindsats. Hvis defineret, vil HTTP gårdene injicere a cookie i hvert svar med den relevante nøgle i backenden, så selvom sessionsbordet er skyllet eller sessioner er deaktiveret, vælges den korrekte backend. Denne funktion undgår at ændre den rigtige server kode for at oprette en session cookie.

zevenet lslb http service cookie indsættelse

Cookie navn er navnet på den cookie, der oprettes fra klient til backend. Det Cookie Sti er URI eller relativ sti, hvor den nye cookie vil blive oprettet, for hele domænet tegnet / skal indstilles. Cookie Domain er det domæne, hvor cookien skal oprettes. Langt om længe, Cookie Tid til at leve er antallet af sekunder, som cookien vil blive vedvarende i hukommelsen mellem klienten og bagenden. Hvis denne værdi er indstillet til 0, udløber cookien, når browseren lukker.

Efter servicekonfigurationen er det nødvendigt at opdatere ændringerne gennem den grønne knap Opdatering.

Farm Guardian

HTTP-bedrifter leverer en grundlæggende og egentlig sundhedskontrol til backendene, men Farm Guardian-konfigurationen anbefales at skabe smartere heuristikker til bagsiden for at sikre den virkelige applikationshelse.

Nogle indbyggede eller tilpassede avancerede sundhedskontroller kan tildeles denne service fra de allerede oprettede farm guardians checks.

For yderligere information om Farm Guardian gå til Overvågning >> Farm Guardian sektion.

Endelig er det nødvendigt at klikke på den grønne for at kunne anvende disse ændringer Opdatering knappen og en bekræftelsesmeddelelse vises i nederste venstre hjørne af browseren.

underliggende programmer

Med hensyn til Bagsiden sektion, giver HTTP-gårdsprofilen mulighed for at konfigurere følgende ægte serveregenskaber:
Alle backends skal være IPv4 eller IPv6, med samme IP-version som Farm VIP.

ID. Det er indekset, der refererer til backend i gårdskonfigurationen.
ALIAS. Backend alias, hvis et alias blev valgt.
IP. IP-adressen til den givne backend. Hvis du har valgt et alias, kan dette felt ikke redigeres, du skal ændre aliasfeltet. Hvis du har valgt 'Brugerdefineret IP' i aliasfeltet, kan den redigeres for den ønskede IP.
PORT. Det er portværdien for den aktuelle reelle server.
TIMEOUT. Det er den specifikke værdi af timeout for en backend at reagere. Denne værdi overstyrer den globale backend-forbindelse timeout farm parameter for den nuværende backend.
VÆGT. Det er vægtværdien for den nuværende reelle server. Mere vægtværdi angiver flere forbindelser, der leveres til den aktuelle backend. Som standard indstilles en vægtværdi af 1. De tilgængelige værdier er fra 1 til 9.
INDSATS. De tilgængelige handlinger pr. Backend er:

For ekstra backends:

  • Aktivér vedligeholdelse. Denne handling er tilgængelig, hvis backend er startet. Hvis du vil sætte en bestemt ægte server i vedligeholdelsestilstand, så bliver der ikke omdirigeret nye forbindelser til den. Der er to forskellige metoder til at aktivere vedligeholdelsestilstanden:
    • Dræningstilstand. Holder etablerede forbindelser og vedholdenhed, hvis aktiveret, men vil ikke indrømme nye forbindelser.
    • Cut-tilstand. Direkte dråber alle aktive forbindelser mod bagenden
  • Deaktiver vedligeholdelse. Denne handling er tilgængelig, hvis backend er vedligeholdelse. Aktiver nye forbindelser til den rigtige server igen efter den aktiverede vedligeholdelse.
  • Slette. Slet den givne reelle server af den virtuelle tjeneste. Aliaset slettes ikke.

Til backends desuden udformes:

  • Gem. Gem den nye ægte serverindtastning i den givne tjeneste og start med at bruge den.
  • Ophæve. Annuller den nye ægte serverindtastning.

Via menuen Handlinger er følgende handlinger tilgængelige for de valgte backends:

  • Tilføj Backend. Denne indstilling åbner backend-tilføjelsesformularen.
  • Ovennævnte handlinger: Aktiver vedligeholdelse (Afløb og skæring), Deaktiver vedligeholdelse og Slet

Derudover kan du ændre en tidligere tilføjet backend, hvis du lægger musemarkøren hen over felterne, kan du se, hvilke felter der kan redigeres og redigere den ved at klikke på den. Modifikationen vil blive sendt, når du trykker på enter-tasten, eller når feltet taber fokus.

IPDS-regler for HTTP / S-landbrug

Dette afsnit giver dig mulighed for at aktivere IPDS-regler. Listen viser forskellige typer beskyttelse og en markeringsboks for at aktivere dem. For yderligere information, besøg venligst IPDS Black List, IPDS DoS or IPDS RBL specifik dokumentation.

zevenet lslb adc l4 backends

handlinger knappen tillader at Tilføj en ny regel som vist i næste billede. Det giver også mulighed for Omstil, Aktiver or Deaktiver en given regel. Når du afinstallerer, fjernes en regel fra listen over regler relateret til gården. Aktiver or Deaktiver handlinger gør reglen om at sætte den op eller stoppe den, henholdsvis.

zevenet lslb adc l4 backends

Når du først har tilføjet en ny IPDS-regel, skal du vælge den eller de regler (flere valg), du vil anvende på listen, som den er vist nedenfor.

zevenet lslb adc l4 backends

Når du har valgt den regel, der skal anvendes, vil du se en skærm, hvor din nye regel er knyttet til din gård. I første omgang er status for reglen ned. For at aktivere reglen skal du trykke på den grønne leg trekant ikon under handlinger kolonne. Det vil bede om en meddelelse, der meddeler, at reglen er aktiveret.

zevenet lslb adc l4 backends

ekstrakt

Se vores video for at vide, hvor nemt det er at konfigurere en HTTPS omdirigering med Zevenet.

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler