ADC的IP服务部分允许你添加、删除和配置你在特定使用情况下需要的各种虚拟IP服务。这些设置和选项分为以下几个部分。这些部分在应用屏幕的右侧。
虚拟服务
一个虚拟服务结合了一个虚拟IP(VIP)和一个ADC监听的TCP/UDP端口。到达虚拟服务IP的流量被重定向到与该服务相关的真实服务器之一。虚拟服务的IP地址不能与ADC的管理地址相同,即eth0、eth1等...。
ADC根据在 "真实服务器 "部分的 "基本 "选项卡中设置的负载平衡策略,决定如何将流量重新分配到服务器上。
使用一个新的VIP创建一个新的虚拟服务
· 如上所述,点击添加虚拟服务按钮。
· 然后你将进入编辑行模式。
· 完成四个突出显示的字段以继续,然后点击更新按钮。
请使用TAB键在各字段中导航。
|
场地
|
描述
|
|
IP地址
|
输入一个新的虚拟 IP 地址,作为访问真实服务器的目标入口。这个IP是用户或应用程序访问负载均衡应用程序的指向。
|
|
子网掩码/前缀
|
这个字段是与ADC所在的网络有关的子网掩码。
|
|
港口
|
访问VIP时使用的入口端口。如果你使用反向代理,这个值不一定要与真实服务器相同。
|
|
服务名称
|
服务名称是VIP的目的的文本表示。它是可选的,但我们建议你提供它以使之清晰。
|
|
服务类型
|
有许多不同的服务类型供你选择。第4层服务类型不能使用flightPATH技术。
|
现在你可以按更新按钮来保存这一部分,并自动跳到下面详细介绍的真实服务器部分。
|
场地
|
描述
|
|
活动
|
活动字段可以用来显示和改变负载平衡的真实服务器的状态。
在线 - 表示服务器处于活动状态,正在接收负载平衡的请求。
离线 - 服务器处于离线状态,没有收到请求
Drain - 服务器已被置于drain模式,以便持久性可以冲刷,并将服务器转移到离线状态而不影响用户。
待机 - 服务器已被置于待机状态
|
|
IP地址
|
这个值是Real服务器的IP地址。它必须是准确的,不应该是DHCP地址。
|
|
港口
|
真实服务器上的目标访问端口。当使用反向代理时,这可能与VIP上指定的入口端口不同。
|
|
加权
|
这个设置通常是由ADC自动配置的。如果你想改变优先权的权重,你可以改变这个。
|
单击 "更新 "按钮或按回车键以保存您的更改。· 状态灯将首先变成灰色,如果服务器健康检查成功,则变成绿色。如果真实服务器监控失败,它将变成红色。
· 一个状态为红色的服务器将不会被负载平衡。
完成的虚拟服务的例子
使用现有的VIP创建一个新的虚拟服务
· 突出显示你想复制的虚拟服务
· 点击添加虚拟服务,进入行编辑模式
· IP地址和子网掩码会自动复制过来
· 输入你的服务的端口号
· 输入一个可选的服务名称
· 选择一个服务类型
· 现在你可以按更新按钮保存这一部分,并自动跳到下面的真实服务器部分。
· 将服务器活动选项保留为在线 - 这意味着如果它通过TCP连接的默认健康监测,它将被负载平衡。如果需要,以后可以改变这一设置。
· 输入一个真实服务器的IP地址
· 为真实服务器输入一个端口号
· 为真实服务器输入一个可选的名称
· 单击 "更新 "以保存您的更改
· 如果服务器健康检查成功,状态灯将首先变成灰色,然后变成绿色。如果真实服务器监控失败,它将变成红色。
· 一个有红色状态指示灯的服务器将不会被负载平衡
改变虚拟服务的IP地址
你可以在任何时候改变现有虚拟服务或VIP的IP地址。
· 突出显示你想改变其IP地址的虚拟服务
· 双击该服务的IP地址字段
· 将IP地址改成你想使用的那个地址
· 点击 "更新 "按钮,保存更改。
注意:改变一个虚拟服务的IP地址将改变与该VIP相关的所有服务的IP地址。
使用复制服务创建一个新的虚拟服务
· 复制服务按钮将复制整个服务,包括所有真实服务器、基本设置、高级设置和与之相关的flightPATH规则。
· 突出显示你想复制的服务,并点击复制服务
· 行编辑器将出现,光标在IP地址列上闪烁。
· 你必须把IP地址改成唯一的,或者如果你想保留IP地址,你必须编辑端口,使其对该IP地址是唯一的。
如果你改变了一个设置,如负载平衡策略、Real服务器监视器或删除flightPATH规则,别忘了编辑每个标签。
筛选显示的数据
搜索一个特定的术语
搜索框允许你使用任何数值搜索表格,如IP地址的八位数或服务名称。
上面的例子显示了搜索10.4.8.191这个特定IP地址的结果。
选择列的可见性
你也可以选择你希望在仪表板上显示的栏目。
· 将鼠标移到任何一列上
· 你会看到列的右边出现一个小箭头
· 点击复选框可以选择你希望在仪表板上看到的栏目。
了解虚拟服务栏
主要/模式
Primary/Mode列表示为当前VIP选择的高可用性角色。使用系统 > 集群中的选项来配置这个选项。
|
选项
|
描述
|
|
群体
|
群集是ADC在安装时的默认角色,Primary/Mode列将显示它当前运行的模式。当你的数据中心有一对ADC设备的HA时,其中一个会显示主动,另一个显示被动
|
|
手册
|
手动角色允许ADC对不同的虚拟IP地址以主动-主动模式运行。在这种情况下,Primary列将包含一个方框,在每个独特的虚拟IP旁边,可以勾选主动,或不勾选被动。
|
|
单独的
|
ADC是作为一个独立的设备,不在高可用性模式下。因此,Primary(主要)一栏将显示Stand-alone(独立)。
|
负责人
这一栏提供了关于每个虚拟服务状态的视觉反馈。这些指标是用颜色编码的,具体如下。
|
LED
|
意义
|
|
l
|
在线
|
|
l
|
故障转移-待机。这个虚拟服务是热备用的
|
|
l
|
表示 "次要的 "正在为 "主要的 "拖后腿。
|
|
l
|
服务需要注意。该指示可能是由于Real服务器未能通过健康监测检查或被手动改为离线。流量将继续流动,但真实服务器的容量会减少。
|
|
l
|
离线。内容服务器无法到达,或没有启用内容服务器
|
|
l
|
查找情况
|
|
l
|
未被许可或被许可的虚拟IP数量超过了
|
已启用
这个选项的默认值是 "已启用",复选框显示为勾选。你可以通过双击该行,取消勾选该复选框,然后点击更新按钮来禁用虚拟服务。
IP地址
添加你的IPv4地址(十进制点号)或一个IPv6地址。这个值是你的服务的虚拟IP地址(VIP)。例如IPv4"192.168.1.100"。例子 Ipv6 "2001:0db8:85a3:0000:0000:8a2e:0370:7334"
子网掩码/前缀
添加你的子网掩码,以十进制点号表示。例如 "255.255.255.0"。或者对于IPv6,添加你的前缀。关于IPv6的更多信息,请参见HTTPs://en.wikipedia.org/wiki/IPv6_address。
港口
添加与你的服务相关的端口号。该端口可以是一个TCP或UDP端口号。例如,TCP "80 "用于网络流量,TCP "443 "用于安全网络流量。
服务名称
添加一个友好的名称来识别你的服务。例如 "生产型网络服务器"。
服务类型
请注意,对于所有 "第4层 "服务类型,ADC不会与数据流进行交互或修改,因此flightPATH在第4层服务类型中不可用。第4层服务只是根据负载平衡策略对流量进行负载平衡。
|
服务类型
|
端口/协议
|
服务层
|
评论
|
|
第4层TCP
|
任何TCP端口
|
第4层
|
ADC不会改变数据流中的任何信息,并将根据负载平衡策略执行标准的负载平衡流量。
|
|
第4层UDP
|
任何UDP端口
|
第4层
|
与第4层TCP一样,ADC不会改变数据流中的任何信息,并将根据负载平衡策略执行标准的负载平衡流量。
|
|
第四层TCP/UDP
|
任何TCP或UDP端口
|
第4层
|
如果你的服务有一个主要的协议,如UDP,但会回落到TCP,这是理想的。ADC不会改变数据流中的任何信息,并将根据负载平衡策略执行标准的负载平衡流量。
|
|
DNS
|
!!!
|
|
|
|
HTTP
|
HTTP或HTTPS协议
|
第7层
|
ADC可以使用flightPATH进行交互,操作和修改数据流。
|
|
FTP
|
文件传输协议协议
|
第7层
|
在客户端和服务器之间使用单独的控制和数据连接
|
|
SMTP
|
简单邮件传输协议
|
第4层
|
在负载平衡邮件服务器时使用
|
|
POP3
|
邮局礼仪
|
第4层
|
在负载平衡邮件服务器时使用
|
|
IMAP
|
互联网信息访问协议
|
第4层
|
在负载平衡邮件服务器时使用
|
|
RDP
|
远程桌面协议
|
第4层
|
在负载平衡终端服务服务器时使用
|
|
RPC
|
远程程序调用
|
第4层
|
在使用RPC调用的负载平衡系统时使用
|
|
RPC/ADS
|
Exchange 2010通讯录服务的静态RPC
|
第4层
|
在负载平衡Exchange服务器时使用
|
|
RPC/CA/PF
|
客户端访问和公共文件夹的Exchange 2010静态RPC
|
第4层
|
在负载平衡Exchange服务器时使用
|
|
DICOM
|
医学中的数字成像和通信
|
第4层
|
在使用DICOM协议的服务器进行负载平衡时使用
|
真实的服务器
在仪表板的真实服务器部分有几个标签。服务器,基本,高级,和flightPATH。
服务器
服务器选项卡持有与当前选择的虚拟服务配对的真实后端服务器的定义。你需要在真实服务器部分添加至少一个服务器。
添加服务器
· 选择你以前定义的适当的VIP。
· 点击添加服务器
· 一个新的行将出现,光标在IP地址栏上闪烁。
· 输入你的服务器的IPv4地址,以十进制点号表示。真实服务器可以在与你的虚拟服务相同的网络上,任何直接连接的本地网络,或你的ADC可以路由的任何网络。例如 "10.1.1.1"。
· 标签到端口栏,输入服务器的TCP/UDP端口号。该端口号可以与虚拟服务的端口号相同,也可以是反向代理连接的其他端口号。ADC将自动翻译成这个号码。
· 在 "注释 "部分的标签中添加服务器的任何相关细节。例如。"IIS网络服务器1"
集团名称
当你添加了组成负载均衡组的服务器后,你还可以给它们附加一个组名。一旦你编辑了这个字段,内容就会保存,不需要按更新按钮。
真实服务器状态灯
你可以通过状态栏中的浅色看到一个真实服务器的状态。见下图。
|
LED
|
意义
|
|
l
|
已连接
|
|
£
|
不受监控
|
|
l
|
排水
|
|
l
|
离线
|
|
l
|
待机
|
|
l
|
未连接
|
|
l
|
调查情况
|
|
l
|
未经许可或许可的真实服务器超过了
|
活动
你可以在任何时候通过使用下拉菜单来改变一个真实服务器的活动。要做到这一点,请双击真实服务器行,使其进入编辑模式。
|
选项
|
描述
|
|
在线
|
所有在线分配的真实服务器将根据基本选项卡内设置的负载平衡策略接收流量。
|
|
沥水
|
所有被指定为排空的真实服务器将继续为现有连接提供服务,但不接受任何新的连接。在排水过程中,状态灯将闪烁绿色/蓝色。一旦现有的连接自然关闭,真实服务器将离线,状态灯将是纯蓝色。你也可以通过浏览导航>监控>状态部分来查看这些连接。
|
|
离线
|
所有被设置为 "离线 "的真实服务器将立即下线,不会收到任何流量。
|
|
待机
|
所有设置为待机的真实服务器将保持离线,直到所有在线组的服务器不能通过其服务器健康监控检查。当这种情况发生时,流量将由待机组按照负载平衡策略接收。如果在线组中的一个服务器通过了服务器健康监控检查,这个在线服务器将接收所有的流量,而待机组将停止接收流量。
|
IP地址
这个字段是你的Real服务器的IP地址。例如 "192.168.1.200"。
港口
Real服务器为服务监听的TCP或UDP端口号。例如 "80 "用于网络流量。
重量
当有一个适当的负载平衡策略被指定时,这一栏将成为可编辑的。
真实服务器 的默认权重是100,你可以输入1-100的数值。100的值意味着最大负荷,1意味着最小负荷。
三个服务器的例子可能看起来像这样。
· 服务器1重量=100
· 服务器2重量=50
· 服务器3重量=50
如果我们考虑负载平衡策略被设置为最小连接,并且共有200个客户连接。
· 服务器1将获得100个并发连接
· 服务器2将获得50个并发连接
· 服务器3将获得50个并发连接
如果我们使用Round Robin作为负载平衡方法,在负载平衡的服务器组中轮换请求,改变权重会影响服务器被选为目标的频率。
如果我们认为最快的负载平衡策略使用最短的时间来获取响应,调整权重会改变偏向,类似于最小连接。
计算出的重量
每个服务器的计算权重可以动态查看,是自动计算的,不可编辑。该字段显示ADC在考虑手动加权和负载平衡策略时使用的实际加权。
笔记
在备注栏中输入任何有助于描述所定义的条目的特殊备注。例如 "IIS Server1 - London DC"。
身份证
ID字段是在Cookie ID负载平衡政策中使用的。放在这里的ID号是用来识别
基本
负载平衡政策
下拉列表显示了当前支持的可使用的负载平衡策略。负载平衡策略的列表,以及解释,见下文。
|
选项
|
描述
|
|
最快的
|
最快的负载均衡策略自动计算每台服务器所有请求的响应时间,并对时间进行平滑处理。计算权重栏包含自动计算的值。只有在使用这个负载平衡策略时,才可以手动输入。
|
|
循环赛
|
Round Robin通常用于防火墙和基本的负载平衡器,是最简单的方法。每个真实服务器依次接收一个新的请求。这种方法只有在你需要均匀地对服务器进行负载平衡的时候才合适;一个例子是查询网络服务器。然而,当你需要根据应用负载或服务器负载进行负载平衡时,甚至需要确保你在会话中使用同一台服务器时,Round Robin方法就不合适了。
|
|
最少的连接
|
负载平衡器将跟踪每个Real服务器的当前连接数。连接数最少的Real服务器会收到后续的新请求。
|
|
第三层会话亲和性/持久性--IP绑定
|
在这种模式下,客户的IP地址构成了选择哪个Real服务器将接收请求的基础。这个动作提供了持久性。HTTP和第4层协议可以使用这种模式。这种方法对于网络拓扑结构已知的内部网络很有帮助,而且你可以确信上游没有 "超级代理"。有了第四层和代理,所有的请求看起来都像是来自一个客户端,因此,负载不会是均匀的。有了HTTP,头信息(X-Forwarder-For)在出现时被用来应对代理。
|
|
第三层会话亲和性/持久性 - 基于IP列表
|
与Real服务器的连接使用 "最小连接 "启动,然后根据客户的IP地址实现会话亲和性。默认情况下,列表保持2小时,但这可以用jetPACK来改变。
|
|
第7层 会话亲和性/持久性 - 会话Cookie
|
这种模式是HTTP负载均衡中最流行的持久性方法。在这种模式下,ADC对每个第一个请求使用基于IP列表的负载均衡。它在第一个HTTP响应的头文件中插入一个cookie。此后,ADC使用客户端cookie将流量路由到同一后端服务器。当客户端每次都需要去同一个后端服务器时,这个cookie被用于持久性。一旦会话关闭,该cookie就会过期。
|
|
第7层会话亲和性/持久性--持久性Cookie
|
基于IP列表的负载平衡模式用于每个第一次请求。ADC在第一个HTTP响应的头文件中插入一个cookie。此后,ADC使用客户端cookie将流量路由到同一后端服务器。当客户端每次都必须去同一个后端服务器时,这个cookie用于持久性。该cookie将在2小时后过期,并且连接将根据基于IP列表的算法进行负载平衡。这个过期时间可通过jetPACK进行配置。
|
|
Session Cookie - 经典ASP Session Cookie
|
Active Server Pages(ASP)是微软的一项服务器端技术。选择这个选项后,如果检测到ASP cookie并在其已知的cookie列表中找到,ADC将保持会话持久性到同一服务器。在检测到一个新的ASP cookie时,它将使用最小连接算法进行负载平衡。
|
|
Session Cookie - ASP.NET Session Cookie
|
这种模式适用于ASP.net。选择这种模式后,如果检测到ASP.NET cookie并在其已知cookie列表中找到,ADC将保持对同一服务器的会话持久性。在检测到一个新的ASP cookie时,它将使用最小连接算法进行负载平衡。
|
|
Session Cookie - JSP Session Cookie
|
Java服务器页面(JSP)是一种Oracle服务器端技术。选择这种模式后,如果检测到一个JSP cookie并在其已知的cookie列表中找到,ADC将保持对同一服务器的会话持久性。在检测到一个新的JSP cookie时,它将使用最小连接算法进行负载平衡。
|
|
Session Cookie - JAX-WS Session Cookie
|
Java网络服务(JAX-WS)是一项Oracle服务器端技术。选择这种模式后,如果检测到JAX-WS cookie并在其已知cookie列表中找到,ADC将保持对同一服务器的会话持久性。在检测到一个新的JAX-WS cookie时,它将使用最小连接算法进行负载平衡。
|
|
Session Cookie--PHP Session Cookie
|
个人主页(PHP)是一种开源的服务器端技术。选择这种模式后,当检测到PHP cookie时,ADC将保持会话持久性到同一服务器。
|
|
Session Cookie - RDP Cookie的持久性
|
这种负载平衡方法使用微软创建的基于用户名/域名的RDP Cookie来提供对服务器的持久性。这种方法的优点是,即使客户端的IP地址发生变化,也可以保持与服务器的连接。
|
|
基于Cookie-ID
|
一个非常像 "PhpCookieBased "和其他负载平衡方法的新方法,但使用CookieIDBased和cookie RegEx h=[^;]+
这个方法将使用Real Server的注释字段 "ID=X; "中设置的值作为cookie值来识别服务器。因此,这意味着它是一种类似于CookieListBased的方法,但使用不同的cookie名称,并存储一个独特的cookie值,不是加扰的IP,而是来自真实服务器的ID(在加载时读入。
默认值是CookieIDName="h";但是,如果在虚拟服务器的高级设置配置中有一个覆盖值,就用这个值代替。注意:如果设置了这个值,我们会覆盖上面的cookie表达式,用新的值替换h=。
最后一点是,如果一个未知的cookie值到达并与真实服务器ID
之一相匹配,就应该选择该服务器;否则,使用下一个方法(委托。
|
服务器监控
你的ADC包含以下六个标准的真实服务器监控方法。
选择你希望应用于虚拟服务(VIP)的监控方法。
为服务选择正确的监视器是至关重要的。例如,如果Real服务器是一个RDP服务器,那么200OK监视器就没有意义。如果你不确定该选择哪个监视器,默认的TCP连接是一个很好的开始。
你可以选择多个监视器,依次点击你想应用于服务的每个监视器。选定的监视器按照你选择的顺序执行;因此先从低层的监视器开始。例如,设置监视器Ping/ICMP Echo、TCP连接和200OK将在仪表板事件中显示,如下图所示。
如果我们看最上面一行,我们可以看到第三层Ping和第四层TCP连接已经成功,但是第七层200OK却失败了。这些监测结果提供了足够的信息,表明路由没有问题,并且有一个服务在相关的端口上运行,但是网站没有对请求的页面做出正确的响应。现在是时候看一下网站服务器和库>真实服务器监控部分,看看失败的监控的细节。
|
选项
|
描述
|
|
无
|
在这种模式下,Real服务器不被监控,并且总是正确地启动和运行。无设置对于监控使服务器不安的情况和不应该加入ADC的故障转移行动的服务是有帮助的。它是托管不可靠的或遗留的系统的路线,这些系统对H/A操作并不主要。对任何服务类型使用这种监控方法。
|
|
平/ICMP回声
|
在这种模式下,ADC向内容服务器的IP发送一个ICMP回波请求。如果收到一个有效的回波响应,ADC认为真实服务器已经启动并运行,到服务器的流量吞吐量继续。它还会在H/A对上保持服务的可用性。这种监控方法可用于任何服务类型。
|
|
TCP连接
|
在这种模式下,一个TCP连接被建立到Real服务器上,并立即中断,不发送任何数据。如果连接成功,ADC就认为Real服务器已经启动并运行。这种监控方法可用于任何服务类型。UDP服务是目前唯一不适合于TCP连接监控的服务。
|
|
ICMP无法到达
|
ADC将向服务器发送一个UDP健康检查,如果它收到一个ICMP端口不可达消息,就将Real服务器标记为不可用。当你需要检查服务器上的UDP服务端口是否可用时,这种方法会很有帮助,例如DNS端口53。
|
|
RDP
|
在这种模式下,一个TCP连接初始化,就像ICMP不可到达方法中解释的那样。在连接初始化之后,请求一个第7层的RDP连接。如果该连接被确认,ADC认为Real服务器已经启动并运行。这种监控方法可用于任何微软终端服务器。
|
|
200 OK
|
在这种方法中,一个TCP连接初始化到Real服务器上。连接成功后,ADC向Real Server发送一个HTTP请求。等待一个HTTP响应并检查 "200 OK "响应代码。如果收到 "200 OK "响应代码,ADC认为Real Server已经启动并运行。如果ADC由于任何原因没有收到 "200 OK "响应代码,包括超时、连接失败和其他原因,ADC会将Real Server标记为不可用。这种监控方法只适用于HTTP和加速的HTTP服务类型。如果HTTP服务器使用的是第4层服务类型,如果SSL没有在真实服务器上使用,或者被 "内容SSL "设施适当处理,它是可以使用的。
|
|
DICOM
|
一个TCP连接在DICOM模式下初始化到Real服务器,并在连接时向Real服务器提出Echoscu "关联请求"。包括来自内容服务器的 "关联接受 "的对话,少量数据的传输,然后是 "释放请求 "和 "释放响应",成功地结束了监测。如果由于任何原因,监控没有成功完成,那么真实服务器将被视为停机。
|
|
用户定义的
|
任何在真实服务器监控部分配置的监视器都会出现在列表中。
|
缓存策略
默认情况下,缓存策略是禁用的,设置为关闭。如果你的服务类型是HTTP,那么你可以应用两种类型的缓存策略。
请参考配置缓存页面来配置详细的缓存设置。请注意,当缓存应用于具有加速 "HTTP "服务类型的VIP时,压缩的对象不会被缓存。
|
选项
|
描述
|
|
作者:主持人
|
每个主机的缓存是基于每个主机名的应用。每个域名/主机名会有一个单独的缓存。这种模式对于可以根据域名为多个网站提供服务的网络服务器来说非常理想。
|
|
通过虚拟服务
|
当你选择这个选项时,每个虚拟服务的缓存是可用的。对于通过虚拟服务的所有域名/主机名,将只存在一个缓存。这个选项是一个专业设置,用于一个网站的多个克隆。
|
加速
|
选项
|
描述
|
|
关闭
|
关闭虚拟服务的压缩功能
|
|
压缩
|
当选择时,该选项开启了对所选虚拟服务的压缩。ADC会根据请求动态地压缩数据流到客户端。这个过程只适用于包含content-encoding: gzip头的对象。示例内容包括HTML、CSS或Javascript。你也可以使用 "全局排除 "部分排除某些内容类型。
|
注意:如果对象是可缓存的,ADC将存储一个压缩的版本,并静态地(从内存中)提供这个版本,直到内容过期并重新验证。
虚拟服务SSL证书(客户端和ADC之间的加密)。
默认情况下,设置为无SSL。如果你的服务类型是 "HTTP "或 "Layer4 TCP",你可以从下拉菜单中选择一个证书来应用于虚拟服务。已经创建或导入的证书将出现在这个列表中。你可以高亮显示多个证书以应用于一个服务。该操作将自动启用SNI扩展,以允许基于客户要求的 "域名 "的证书。
服务器名称指示
这个选项是对TLS网络协议的一个扩展,客户使用它在握手过程开始时表明它试图连接到什么主机名。这个设置允许ADC在同一个虚拟IP地址和TCP端口上展示多个证书。
|
选项
|
描述
|
|
没有SSL
|
从源头到ADC的流量是不加密的。
|
|
全部
|
加载所有可用的证书以供使用
|
|
默认情况下
|
该选项的结果是将本地创建的名为 "默认 "的证书应用到通道的浏览器端。当没有创建或导入SSL时,使用该选项来测试SSL。
|
|
任意使用证书
|
使用用户上传或生成的存在于ADC上的任何证书
|
真实服务器SSL证书(ADC和真实服务器之间的加密)。
该选项的默认设置是无SSL。如果你的服务器需要一个加密连接,这个值必须是No SSL以外的其他值。已经创建或导入的证书将出现在这个列表中。
|
选项
|
描述
|
|
没有SSL
|
从ADC到真实服务器的流量是不加密的。在浏览器端选择证书意味着可以在客户端选择 "无SSL "来提供所谓的 "SSL卸载"。
|
|
任何
|
ADC作为一个客户,将接受Real Server提供的任何证书。当选择该选项时,从ADC到真实服务器的流量是加密的。当在虚拟服务端指定一个证书时,使用 "任何 "选项,提供所谓的 "SSL桥接 "或 "SSL再加密"。
|
|
SNI
|
ADC作为一个客户,将接受Real Server提供的任何证书。如果选择了这个选项,从ADC到真实服务器的流量是加密的。当在虚拟服务端指定一个证书时,使用 "任何 "选项,提供所谓的 "SSL桥接 "或 "SSL再加密"。选择该选项可以在服务器端启用SNI。
|
|
任意使用证书
|
任何你已经生成或导入ADC的证书都出现在这里。
|
高级
连接性
你的虚拟服务可以配置四种不同的连接方式。请选择适用于该服务的连接模式。
|
选项
|
描述
|
|
反向代理
|
反向代理是默认值,在第七层工作,有压缩和缓存。而在第四层则没有缓存或压缩。在这种模式下,你的ADC作为一个反向代理,成为真实服务器看到的源地址。
|
|
直接服务器返回
|
直接服务器返回或DSR(在某些圈子里称为DR-直接路由)允许负载均衡器后面的服务器绕过响应的ADC直接响应客户端。DSR只适合用于第4层的负载平衡。因此,选择这个选项时,缓存和压缩是不可用的。
第7层的负载平衡不能与这个DSR一起工作。另外,除了基于IP列表外,没有持久性支持。用这种方法进行SSL/TLS负载均衡并不理想,因为源IP持久性支持是唯一可用的类型。DSR还需要对Real Server进行修改。请参考真实服务器变更部分。
|
|
闸门
|
网关模式允许你通过ADC路由所有流量,允许来自Real Servers的流量通过ADC的虚拟机或硬件接口被路由到其他网络。在多接口模式下运行时,将设备作为Real Servers的网关设备是非常理想的。
使用这种方法的第7层负载平衡不起作用,因为除了基于IP列表外,没有持久性支持。这种方法要求Real服务器将其默认网关设置为ADC的本地接口地址(eth0、eth1等)。请参考Real Server变更部分。
请注意,网关模式不支持集群环境下的故障转移。
|
密码选项
你可以在每个服务层面上设置密码,它只与启用SSL/TLS的服务有关。ADC执行密码的自动选择,您可以使用jetPACKS添加不同的密码。在添加适当的jetPACK时,你可以设置每个服务的密码选项。这样做的好处是,你可以创建几个具有不同安全水平的服务。请注意,旧的客户端与新的密码不兼容,以减少客户端的数量,服务越安全。
客户端SSL重新协商
如果你希望允许客户端发起的SSL重新协商,请勾选此框。禁用客户端SSL重新协商,以防止任何可能的针对SSL层的DDOS攻击,取消勾选该选项。
客户端SSL恢复
如果希望启用添加到会话缓存的SSL恢复服务器会话,请勾选此框。当客户提出重新使用一个会话时,服务器将尝试重新使用这个会话(如果找到的话)。如果不勾选恢复,客户端或服务器的会话缓存就不会发生。
SNI默认证书
在启用客户端SNI的SSL连接期间,如果请求的域与分配给服务的任何证书不匹配,ADC将呈现SNI默认证书。这方面的默认设置是 "无",如果没有完全匹配,将有效地放弃连接。从下拉菜单中选择任何已安装的证书,以便在准确的SSL证书匹配失败时呈现。
安全日志
开 "是默认值,是在每个服务的基础上,启用将认证信息记录到W3C日志的服务。点击Cog图标将带你到系统>日志页面,在那里你可以检查W3C日志的设置。
连接超时
默认的连接超时是600秒或10分钟。这个设置将调整连接在没有活动时超时的时间。对于短暂的无状态网络流量,即通常为90秒或更短的时间,减少这个时间。对于有状态的连接,如RDP,将这个数字增加到7200秒(2小时)或更多,取决于你的基础设施。RDP超时的例子意味着,如果用户有一个2小时或更短的不活动期,连接将保持开放。
监测设置
这些设置与基本选项卡中的真实服务器监控器有关。配置中有一些全局条目,用来计算在服务器状态被标记为在线或失败之前成功或失败的监控次数。
间隔
间隔是指显示器之间的时间,单位是秒。默认的时间间隔是1秒。虽然1秒对大多数应用来说是可以接受的,但对其他应用或在测试期间增加这个时间可能是有益的。
监测超时
超时值是指ADC将等待服务器响应连接请求的时间。默认值是2s。对于繁忙的服务器,增加这个值。
监测计数
这个设置的默认值是2,值为2表示Real服务器在上线前必须通过两次成功的健康监控检查。增加这个数字将增加服务器可以提供流量的概率,但需要更长的时间来投入服务,这取决于间隔时间。降低这个数值将使你的服务器更快进入服务状态。
监测出数
这个设置的默认值是3,意味着Real服务器监控必须失败三次,ADC才会停止向该服务器发送流量,并将其标记为红色和不可达。增加这个数字将导致更好和更可靠的服务,代价是ADC停止向该服务器发送流量的时间。
失败时切换到离线状态
当这一点被选中时,未能通过健康检查的真实服务器被置于离线状态,只能手动设置为在线。
最大。连接方式
限制Real服务器的同时连接数,按服务设置。例如,如果你将其配置为1000,并且有两个Real Server,ADC就将每个Real Server限制为1000个并发连接。你也可以选择在所有服务器达到这个限制时,显示一个 "服务器太忙 "的页面,帮助用户了解为什么会出现任何不响应或延迟。如果是无限制的连接,请将此留空。你在这里设置的内容取决于你的系统资源。
飞行路线
flightPATH是一个由Edgenexus设计的系统,在ADC中独家使用。与其他供应商的基于规则的引擎不同,flightPATH不通过命令行或脚本输入控制台操作。相反,它使用一个GUI来选择不同的参数、条件和行动,以实现他们的需求。这些特点使flightPATH非常强大,允许网络管理员以非常有效的方式操纵HTTPS流量。
flightPATH只适用于HTTPS连接,当虚拟服务类型不是HTTP时,此部分不可见。
你可以从上面的图片中看到;左边有一个可用规则的列表,右边是应用于虚拟服务的规则。
添加一个可用的规则,方法是将规则从左边拖到右边,或者突出显示一个规则并点击右边的箭头,将其移到右边。
执行的顺序是至关重要的,从最上面的规则开始,先执行。要改变执行顺序,突出显示规则,用箭头向上和向下移动。
要删除一条规则,可以把它拖回左边的规则清单,或者突出显示该规则并点击左边的箭头。
你可以在本指南的配置flightPATH部分添加、删除和编辑flightPATH规则。
