Indhold
Globale indstillinger for HTTP Farm Profile
Denne profil styrer indholdsskift ved HTTP-lag 7-programleverance til både HTTP- og HTTPS-protokoller.
Efter at have indsendt ændringer i HTTP / S gårdskonfiguration, skal det manuelt genstarte bedriften for at kunne anvende ændringer. Dette genstartskrav vil blive angivet med en besked, der vises i højre nederste hjørne af siden, der advarer sysadminen om, at der er ændringer, der skal anvendes ved en genstart af bedriften. Det er også muligt at gøre mere end en ændring af gårdskonfigurationen og derefter genstarte den, når den er færdig.
Efter at have anvendt alle de nødvendige ændringer, klik venligst på GENSTART knappen og en meddelelse om succes vil blive vist, hvis genstart er blevet gennemført.
Det kan også gøres manuelt ved hjælp af den højre top handlinger afsnit om nødvendigt.
Status vises ved at betyde farvekuglerne som følger:
- Grøn: Midler UP. Gården kører, og alle bagenden er OP, eller omdirigeringen er konfigureret.
- Rød: Midler DOWN. Gården er stoppet.
- Gul: Midler Genstart nødvendig. Der er nylige ændringer, der har brug for en farm restart, der skal anvendes.
- Sort: Midler KRITISK. Gården er OP, men der er ikke backend til rådighed, eller de er i vedligeholdelsestilstand
- Blå: Midler PROBLEM. Gården kører, men mindst en backend er nede.
- Orange: Midler VEDLIGEHOLDELSE. Gården kører, men mindst en backend er i vedligeholdelsestilstand.
Disse farvekoder er de samme over hele den grafiske brugergrænseflade. Du kunne se dem bedre forklaret i LSLB Farms Section
I HTTP (S) farms profilen, HTTP header X-Forwarded-For er fyldt som standard med klientens IP-adresse. I modsætning til L4xNAT-landbrugsprofil bruger HTTP-profilen implicit implicering af vægtalgoritmen.
Hver HTTP (S) -boerderij (eller virtuel tjeneste) er i stand til at administrere flere webtjenester som en omvendt proxy, derfor kan en HTTP virtuel IP- og portpar håndtere mere end én belastet, afbalanceret webtjeneste. Af den grund er der en sektion kaldet tjeneste under en HTTP gård for at tilbyde virtuel vært fleksibilitet og tillade at oprette en liste over backends for hver tjeneste.
Hver HTTP (S) -service bruger en kombination af regulære udtryk (til virtuel vært og URL-mønster) for at styre al den indgående forbindelse, hvis HTTP-overskrift passer til begge.
Grundlæggende konfiguration
Grundlæggende parametre for HTTP / S farms profil er følgende:
Navn. Det er identifikationsfeltet og et beskrivende navn til bedriftstjenesten. Det er ikke muligt at ændre gårdens navn, medmindre gården stoppes i første omgang. Sørg for, at det nye gårdsnavn ikke allerede er i brug.
Virtual IP og Port. Dette er den virtuelle IP-adresse og portparret, hvorfra gården skal lytte til indgående forbindelser. Den nye IP-adresse og portkombination skal være ubrugt og tilgængelig, inden den konfigureres.
Lytter. Dette felt angiver protokollen, der skal administreres på lag 7 til indholdskobling.
- HTTP. Den virtuelle tjeneste forstår kun almindeligt HTTP-indhold.
- HTTPS. Den virtuelle tjeneste vil forstå Secure HTTP-indhold, den administrerer SSL-håndtryk, håndterer sikre ciphererkonfigurationer, SSL-certifikater (jokertegn eller SNI) osv. For at udføre SSL-aflæsning og lindre de virkelige applikationsservere fra disse tunge opgaver.
HTTPS-parametre
HTTPS-parametre Kan findes nedenfor.
Deaktiver SSLV2, Deaktiver SSLV3, Deaktiver TLSV1, Deaktiver TLSV1.1, Deaktiver TLSV1.2 Valgbare knapper, hvis valgt, undgå at bruge de givne protokoller. Så snart en protokol er deaktiveret, bliver dens cifre også deaktiveret.
ciphers. Dette felt bruges til at opbygge en liste over cifre accepteret af SSL-forbindelser for at hærde den forbindelse. Inden en klient og server kan begynde at udveksle oplysninger beskyttet af TLS, skal de sikkert udskifte eller acceptere en krypteringsnøgle og en kryptering, der skal bruges, når krypteringsdataene skal bruges. Yderligere oplysninger om sikkerhed findes på eksterne ressourcer, f.eks Wikipedia.
For at konfigurere hvilke cifre der skal bruges, vælg venligst en af følgende muligheder.
- Alle. Denne indstilling angiver, at alle cifre må administreres af HTTPS-lytteren. Dette er standardindstillingen.
- høj sikkerhed. Denne indstilling muliggør følgende cifre:
kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED
Som de vil være nok til at passere gennem en A+ in SSL Labs .
- Brugerdefineret sikkerhed. Denne mulighed gør det muligt at indstille dine egne tilladte cifre gennem Brugerdefinerede cifre felt.
- Brugerdefinerede cifre. Dette giver dig mulighed for at tilpasse, hvilke cifre der vil blive tilladt eller forbudt at blive brugt af SSL-forbindelsen. Det skal være en streng i samme format som i OpenSSL-cifre . Denne indstilling vises, hvis Brugerdefineret sikkerhed er indstillet.
- SSL-aflæsning. Denne version indeholder SSL-aflæsningsfunktioner, der øger ydeevnen på AES CPU'er kompatible. Hvis din hardware implementerer disse funktioner, vises denne indstilling. Ellers vil det ikke.
Tilgængelige certifikater. Dette er de tilgængelige SSL-certifikater, der er installeret i enheden. For at aktivere en af dem kan du enten vælge certifikatet og trykke på pileknappen eller du kan bare trække og slippe det fra feltet Tilgængelig til feltet Aktiveret. Du kan også aktivere / deaktivere flere certifikater eller endda alle dem.
Aktiverede certifikater. På denne liste kan du se, administrere og bestille de certifikater, der aktuelt anvendes af gården. Du kan flytte til toppen eller bunden med dobbelt øverste / nedre pilene eller endda deaktivere dem alle, men en med de venstre dobbelte pile.
Avanceret konfiguration
Omskriv overskriftsoverskrifter. Hvis aktiveret, er gården tvunget til at ændre Lokation Content-placering overskrifter i svar til kunderne. Hvis de har værdien af backend selv eller VIP (men med en anden protokol), vil svaret blive ændret for at vise den virtuelle vært i anmodningen. Hvis indstillingen aktiveret og sammenligne backends er valgt, sammenlignes kun backend-IP-adressen, hvilket kan være nyttigt at omdirigere en anmodning til en HTTPS-lytter på samme server som HTTP-lytteren.
HTTP verbs accepteret. Dette felt angiver de HTTP-operationer, der vil blive tilladt i HTTP-klientanmodningerne. Hvis der anmodes om et ikke tilladt verb, vises en fejl til klienten. Hvert verb niveau indeholder sine verb og desuden lavere niveauer verb.
- Standard HTTP-anmodning. Standard HTTP-anmodninger (GET, POST, HEAD).
- + udvidet HTTP-anmodning. udvidede HTTP-anmodninger (PUT, DELETE).
- + standard WebDAV verb. standard WebDAV verb (LOCK, UNLOCK, PROPFIND, PROPPATCH, SØG, MKCOL, MOVE, COPY, OPTIONS, TRACE, MKACTIVITY, CHECKOUT, MERGE, REPORT).
- + MS-udvidelser WebDAV-verb. MS-udvidelser WebDAV-verb (SUBSCRIBE, UNSUBSCRIBE, NOTIFY, BPROPFIND, BPROPATCH, POLL, BMOVE, BCOPY, BDELETE, CONNECT).
- + MS RPC udvidelser verbs. MS RPC udvidelser verb (RPC_IN_DATA, RPC_OUT_DATA).
Ignorer 100 Fortsæt. Hvis markeret, er 100 Fortsæt ejendom deaktiveres. I henhold til HTTP 1.1-protokollen sendes formulardataene ikke med den oprindelige anmodning, når denne overskrift sendes. I stedet sendes denne overskrift til webserverens backend, som svarer med 100 (Fortsæt). Dette betyder, at serveren har modtaget anmodningsoverskrifter, og at klienten skal fortsætte med at sende anmodningsorganet (i tilfælde af en anmodning, hvortil et organ skal sendes, f.eks. En POST-anmodning). Hvis anmodningsorganet er stort, er det ineffektivt at sende det til en server, når en anmodning allerede er blevet afvist baseret på upassende overskrifter. For at få en server til at kontrollere, om anmodningen kunne accepteres på baggrund af anmodningens overskrifter alene, skal en klient sende Forvent: 100-fortsæt som en overskrift i sin oprindelige anmodning og kontrollere, om en 100 Fortsæt status kode er modtaget som svar, før du fortsætter (eller modtager 417 Forventning mislykkedes og fortsætter ikke).
Logs. Aktiver eller deaktiver farm traffic logs for at debug og analysere, hvad der passerer gennem belastningsbalanceren.
Backend forbindelses timeout. Denne værdi angiver, hvor længe gården skal vente på en forbindelse til backend på sekunder. Normalt vil det være stikkontaktens åbningstid vente. Som standard indstilles denne værdi til 20 sekunder.
Backend respons timeout. Denne værdi angiver, hvor længe gården skal vente på et svar fra bagsiden i sekunder. Som standard indstilles denne værdi til 45 sekunder.
Frekvens for at kontrollere genoprettede bagsider. Denne værdi i sekunder er, hvor længe belastningsbalanceren vil vente med at kontrollere, om en backend er nås igen og at komme ud af en sortlistet reel server, hvis den er i live. Gården kontrollerer regelmæssigt backend'en, når den rigtige server er markeret som nede, uanset om der er en ny klientforbindelse eller ej. Som standard indstilles denne værdi til 10 sekunder.
Klient anmodning timeout. Denne værdi angiver, hvor længe gården skal vente på en klientanmodning om få sekunder. Når denne timeout er nået uden at få nogen data fra klienten, bliver forbindelsen lukket. Som standard indstilles denne værdi til 30 sekunder.
Personlige fejlmeddelelser. Gennem de personlige fejlmeddelelser kan bedriftsservice svare på en brugerdefineret besked på dit websted, når der opdages en webkodefejl fra de rigtige servere. En personlig HTML-side vil blive vist for fejlkoder 414, 500, 501 og 503.
Tilføj anmodningsoverskrifter. Liste over overskrifter, der vil blive tilføjet til klientens HTTP-anmodninger.
Fjern anmodningsoverskrifter. Liste over header mønstre, der vil blive fjernet fra klientens HTTP anmodninger.
Tjenester Indstillinger
Tjenestene inden for en LSLB-bedrift med HTTP-profil giver mulighed for indholdskobling til web virtuelle tjenester til at levere flere webtjenester og applikationer via samme virtuelle IP og PORT, som hjælper med forene webapplikationer gennem et enkelt domæne, administrere virtuelle værter, Administrer webadresser, konfigurere omdirigeringer, konfigurere persistens og backends per service. Hver tjeneste inden for en LSLB gård har forskellige egenskaber, sundhedskontrol og backend liste. Regelmæssige udtryk kan bruges som kampbetingelser, der kan angive hvilken tjeneste der skal bruges pr. Anmodning.
Hver service match betingelse vil blive kontrolleret af HTTP gård profil profil kerne i prioriteret tilstand (som kan ændres om nødvendigt), og hvis ingen tjeneste er matchet, vil gården kerne returnere en fejl. Af denne grund er specifikke multifunktionsdefinitioner tilladt. Hvis der ikke er defineret en URL, vil hver forespørgsel matche. HTTP-servicevilkårene bestemmes af en virtuel vært og / eller et URL-mønster.
For det første er det nødvendigt at oprette mindst en tjeneste for at tilføje backends.
Efter oprettelsen bliver du bedt om at Genstart gården for at anvende den nye service.
Når den nye tjeneste er blevet anvendt, evalueres HTTP-tjenesterne øverst til bund i listen rækkefølge. Den første tjeneste, der matcher begge betingelser, vil behandle anmodningen. Disse servicevilkår kan bestemmes af URL-mønstre, bestemte overskrifter eller omdirigering og tillade at identificere flere webtjenester i samme gård.
Servicevilkårene, der skal matches, er to:
Virtual Host. Dette felt angiver betingelsen bestemt af domænenavnet via den samme virtuelle IP og port defineret af en HTTP-bedrift. For at afskaffe denne betingelse skal du bare lade den stå tom. Dette felt understøtter regulære udtryk i PCRE-format.
Url mønster. Dette felt giver mulighed for at bestemme en webtjeneste vedrørende URL'en, som klienten anmoder om via et bestemt webadressemønster, som vil blive kontrolleret syntaktisk. For at afskaffe denne betingelse skal du bare lade den stå tom. Dette felt understøtter regulære udtryk i PCRE-format.
Virtual Host URL-mønster værdier er regulære udtryk, hvis de efterlades tomme, vil enhver værdi matche. Begge felter skal matche, ellers springer den til den næste tjeneste. Det anbefales at inkludere en tjeneste som standardtjeneste, hvis der ikke er nogen match i bunden.
Mindste svar. Denne afkrydsningsfelt muliggør en forbedring af round robin-algoritmen. Lastbalanceren etablerer dynamisk forbindelsen med den lavere værdi af responstidstiden.
HTTPS backends. Denne afkrydsningsfelt viser til gården, at backends-servere defineret i den aktuelle tjeneste bruger HTTPS-protokollen, så dataene bliver krypteret før, før de sendes.
Strenge transportsikkerhed
HTTP Strict Transport Security, eller HSTS, er en websikkerhedspolitik for at forhindre trusler under webtrafikkommunikation eller offentliggørelse af cookies. Webbrowsere skal understøtte denne mulighed.
Som standard er der i HTTPS gårde aktiveret i alle tjenester.
STS Header. Afkrydsningsfelt for at aktivere eller deaktivere denne indstilling.
Timeout. Udløbet timeout af denne overskrift.
Omdiriger
Hvis tjenesten har omdirigeringsindstillingen aktiveret, kan backend-servere ikke bruges som alle anmodninger vil blive sendt til den angivne webadresse.
Omdirigeringswebadresse. Dette felt opfører sig som en speciel backend, da klientanmodningen besvares automatisk ved omdirigering til en ny webadresse. Hvis du konfigurerer en omdirigeringsværdi, så Konfigurer IKKE backends i denne tjeneste. Hvis Virtual Host URL-mønster match da Zevenet sender en HTTP Placeringsoverskrift svar til klienten for at blive omdirigeret til den konfigurerede webadresse.
Omdirigeringstype. Der er to muligheder: Standard or Tilføj. Med Standard valgmuligheden, URL'en er taget som en absolut vært og sti, der skal omdirigere til. Med Tilføj valgmulighed, vil den oprindelige forespørgselssti blive tilføjet til værten og den sti, du har angivet.
Omdirigeringskode. Der er flere omdirigere HTTP-koder, der kan bruges: 301 (Flytende permanent), 302 (midlertidigt flyttet) eller 307 (Midlertidig omdirigering).
Vedholdenhed
Vedholdenhed. Denne parameter definerer, hvordan HTTP-tjenesten skal klare klientsessionen, og hvilket HTTP-forbindelsesfelt der skal styres for at opretholde sikre klientsessioner. Når en type persistenssession vælges, vises en persistenssession TTL.
- Ingen vedholdenhed. Bondegården servicerer ikke klientsessionerne, og HTTP- eller HTTPS-anmodningerne vil blive leveret til rigtige servere.
- IP: Klientadresse. Klientens IP-adresse bruges til at holde kundesessionerne åbne gennem de rigtige servere.
- GRUNDLÆGGENDE: Grundlæggende godkendelse. HTTP's grundlæggende godkendelsesoverskrift bruges til at styre klientsessionerne. For eksempel, når en webside beder om en grundlæggende godkendelse til klienten, indeholder en HTTP-header en streng som følgende:
HTTP/1.1 401 Authorization Required Server: HTTPd/1.0 Date: Sat, 27 Nov 2011 10:18:15 GMT WWW-Authenticate: Basic realm="Secure Area" Content-Type: text/html Content-Length: 31
Derefter svarer klienten med overskriften:
GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Denne grundlæggende godkendelsesstreng bruges som et id for sessionen til at identificere klientsessionen.
- URL: En anmodning parameter. Når session-id'et sendes via en GET-parameter med URL'en, vil det være muligt at bruge denne indstilling, der angiver parameternavnet, der er knyttet til klientens session-id. For eksempel, en klientanmodning som http://www.example.com/index.php?sid=3a5ebc944f41daa6f849f730f1 bør konfigureres parameteren Persistence Session Identifier:
- PARM: en URI parameter. En anden måde at identificere en klientsession på er via en URI-parameter adskilt fra et semikolon-tegn, som bruges som brugersessionidentifikator. I eksemplet http://www.example.com/private.php;EFD4Y7 parameteren vil blive brugt som sessionsidentifikator.
- COOKIE: en bestemt cookie. Du vil også være i stand til at vælge en HTTP-cookievariabel for at opretholde klientsessionen gennem COOKIE mulighed. En cookie skal oprettes af den ægte appprogrammerer på websiden for at identificere klientsessionen, for eksempel:
GET /spec.html HTTP/1.1 Host: www.example.org Cookie: sessionidexample=75HRSd4356SDBfrte
- HEADER: en bestemt forespørgselsoverskrift. Et brugerdefineret felt i HTTP-header kan bruges til at identificere klientsessionen. For eksempel:
GET /index.html HTTP/1.1 Host: www.example.org X-sess: 75HRSd4356SDBfrte
Persistens Session Tid til Live. Denne værdi angiver den maksimale levetid for en inaktiv klientsession (maks. Sessionsalder) i sekunder.
Persistence Session Identifier. Dette felt er URL-parameter, cookie or header feltet navn, der vil blive analyseret af gården og vil klare klientsessionen.
Cookie
Cookieindsats. Hvis defineret, vil HTTP gårdene injicere a cookie i hvert svar med den relevante nøgle i backenden, så selvom sessionsbordet er skyllet eller sessioner er deaktiveret, vælges den korrekte backend. Denne funktion undgår at ændre den rigtige server kode for at oprette en session cookie.
Cookie navn Det er navnet på den cookie, der oprettes og føjes til klientanmodningen. Det Cookie Sti er URI eller relativ sti, hvor den nye cookie vil blive oprettet, for hele domænet tegnet / skal indstilles. Cookie Domain er det domæne, hvor cookien skal oprettes. Langt om længe, Cookie TTL er antallet af sekunder, som cookien bliver gemt i hukommelse mellem klienten og bagenden. Dette felt skal være større end 0.
Efter servicekonfigurationen er det nødvendigt at opdatere ændringerne gennem den grønne knap Indsend.
Farmguardian
HTTP gårde giver en grundlæggende og indfødte backend sundhedskontrol, men Farmguardian konfiguration anbefales til smartere heuristics backends sundhedskontrol for at sikre den egentlige tilstand af applikationshelsen.
Nogle indbyggede eller tilpassede avancerede sundhedskontroller kan tildeles denne service fra den allerede oprettede farmguardian-kontrol.
For yderligere Farmguardian information gå til Overvågning >> Farmguardian sektion.
Bemærk, at efter at have valgt farmguardian, bliver den automatisk påført gården.
underliggende programmer
Vedrørende Bagsiden sektion, giver HTTP gårdsprofil dig mulighed for at konfigurere følgende ægte servere egenskaber:
Alle backends skal være IPv4 eller IPv6, med samme IP-version som Farm VIP.
ID. Det er indekset, der refererer til backend i gårdskonfigurationen.
ALIAS. Backend alias, hvis et alias blev valgt.
IP. IP-adressen til den givne backend. Hvis du har valgt et alias, kan dette felt ikke redigeres, du skal ændre aliasfeltet. Hvis du har valgt 'Brugerdefineret IP' i aliasfeltet, kan den redigeres for den ønskede IP.
PORT. Det er portværdien for den aktuelle reelle server.
TIMEOUT. Det er den specifikke timeout værdi for en backend at reagere. Denne værdi overstyrer den globale backend-forbindelse timeout farm parameter for den nuværende backend.
VÆGT. Det er vægtværdien for den nuværende reelle server. Mere vægtværdi angiver flere forbindelser, der leveres til den aktuelle backend. Som standard indstilles en vægtværdi af 1. De tilgængelige værdier er fra 1 til 9.
INDSATS. De tilgængelige handlinger pr. Backend er:
For allerede oprettede backends:
- Aktivér vedligeholdelse. Denne handling er tilgængelig, hvis backenden tidligere var aktiveret. Hvis du vil sætte en bestemt ægte server i vedligeholdelsestilstand, betyder det, at ingen nye forbindelser bliver omdirigeret til den. Der er to forskellige metoder til at aktivere vedligeholdelsestilstanden:
- Dræningstilstand. Holder etablerede forbindelser og vedholdenhed, hvis aktiveret, men vil ikke indrømme nye forbindelser.
- Cut-tilstand. Sænker alle aktive forbindelser mod bagenden
- Deaktiver vedligeholdelse. Denne handling er tilgængelig, hvis backend er vedligeholdelse. Aktiver nye forbindelser til den rigtige server igen efter den aktiverede vedligeholdelse.
- Slette. Slet den givne reelle server for den virtuelle tjeneste. Aliaset slettes ikke, hvis der er noget.
Du kan konfigurere de samme parametre som beskrevet før, men id'et, når konfigurationen af felterne er færdig, skal du klikke på knappen Gem for at oprette backend.
Gennem menuen Handlinger er følgende handlinger tilgængelige for en eller flere valgte backends:
- Tilføj Backend. Denne indstilling åbner backend-oprettelsesformularen.
- Ovennævnte handlinger: Aktiver vedligeholdelse (Afløb og skæring), Deaktiver vedligeholdelse og Slet
IPDS-regler for HTTP-bedrifter
Dette afsnit giver dig mulighed for at aktivere IPDS-regler. Listen viser forskellige typer beskyttelse og en markeringsboks for at aktivere dem. For yderligere information, besøg venligst IPDS >> Blacklists regler, IPDS >> DoS-regler or IPDS >> RBL-regler specifik dokumentation.
For hver af de tre typer af IPDS-regler, Blacklist, DoS og RBL er der to tabeller, Tilgængelig og aktiveret, og et kædeikon, der omdirigerer til dets IPDS afsnit. Under ledigt bord kan man se alle de tilgængelige regler af samme art, som kan anvendes på gården. Under den aktiverede tabel kan man se hver regel af samme type, der anvendes på gården, og der er også en statuskugle for hver regel, der fortæller om reglen er stoppet i rød eller kører i grøn.
Hver regel kan fås ved at klikke på sit navn, som vil tillade dig at ændre reglerparametre eller endda starte / standse reglen. Det er ikke muligt at oprette en ny regel under denne gård, du bør gøre det gennem IPDS sektion.
Du kan tilføje en regel, klikke på den ønskede regel og derefter på den højre enkeltpil eller mere end en, holde skift nøglen trykket og vælge de regler, du vil tilføje, så skal du klikke på den højre enkeltpil. Du kan også tilføje alle tilgængelige blacklists ved at klikke på højre dobbelte pil.
For at slette en eller flere regler, vælg dem og klik på venstre pil eller klik på dobbeltpil for at fjerne alt.
ekstrakt
Se vores video for at vide, hvor nemt det er at konfigurere en HTTPS omdirigering med Zevenet.