Globale Einstellungen #

Hinweis: Eproxy ist eine hochmoderne Funktion und wird derzeit intensiv weiterentwickelt. Einige erweiterte Optionen werden daher so bald wie möglich integriert.

Das Eproxy-Profil ist für die Verwaltung des Content Switching auf Anwendungsebene des OSI-Modells verantwortlich. Es unterstützt die Protokolle HTTP, HTTPS und HTTP/2 und gewährleistet so eine effiziente Verkehrsabwicklung für moderne Webanwendungen. Darüber hinaus bietet das Profil eine Hot-Restart-Funktion, die nahtlose Updates und Konfigurationsänderungen ermöglicht, ohne aktive Verbindungen zu unterbrechen.

Im oberen rechten Bereich haben wir zwei Indikatoren. Aktion Tasten und die Status.
Quatratische Kiste: Wenn Sie darauf klicken, wird die LSLB-Farm gestoppt.
Aktualisieren Sie die Schaltfläche: Wenn Sie darauf klicken, wird die Farm neu gestartet (angehalten und dann gestartet).
Play-Taste: Wenn die Farm ausgeschaltet oder inaktiv ist, wird sie beim Klicken gestartet.

Jede der unten beschriebenen Farben repräsentiert die Status eines gegebenen Farm:
Grün: Bedeutet, dass die Farm UP und alle Backends laufen. Es könnte auch bedeuten, dass eine Umleitung konfiguriert ist.
Rot: Bedeutet, dass die Farm AB oder es ist nicht funktionsfähig.
Schwarz: Zeigt eine KRITISCH Schaden. Tritt normalerweise auf, wenn eine Farm aktiv ist, aber kein Backend verfügbar ist oder sie sich im Wartungsmodus befindet.
Blau: Wird angezeigt, wenn ein AUFGABENSTELLUNG. Die Farm könnte ausgeführt werden, aber mindestens ein Backend ist ausgefallen.
Orange: Repräsentiert WARTUNG. Wird angezeigt, wenn die Farm ausgeführt wird, sich aber mindestens ein Backend im Wartungsmodus befindet.

Diese Farbcodes sind in der gesamten grafischen Benutzeroberfläche einheitlich. Eine kurze Erklärung finden Sie im LSLB-Farmabschnitt.

Im Profil der Eproxy-Farmen ist der HTTP-Header X-Forwarded-For- wird automatisch mit der Client-IP-Adresse gefüllt.

Derzeit nur ein Standarddienst mit Virtueller Host und Pfadmuster Übereinstimmung wird unterstützt.

Grundlegende Konfiguration #

Im Folgenden sind die grundlegenden Parameter für das Eproxy-Farmprofil aufgeführt.

Name. Dies ist ein Name, der eine Farm leicht identifiziert. Um den Namen einer bestimmten Farm zu ändern, müssen Sie sie zuerst stoppen. Stellen Sie sicher, dass der neue Name nicht bereits verwendet wird.

Virtuelle IP und Port. Dies sind die virtuellen IP-Adressen und Portpaare, von denen die Farm auf eingehende Verbindungen wartet. Die neue Kombination aus IP-Adresse und Port muss vor der Konfiguration unbenutzt und verfügbar sein.

Hörer. Dieses Feld gibt das Layer-7-Protokoll für die Inhaltsumschaltung an.

• HTTP. Der virtuelle Dienst empfängt nur einfachen HTTP-Inhalt.
• HTTPSDer virtuelle Dienst empfängt sichere HTTP-Inhalte mit HTTP2 Application-Layer Protocol Negotiation (ALPN), verwaltet SSL-Handshakes, verarbeitet sichere Verschlüsselungskonfigurationen und SSL-Zertifikate und führt SSL-Offloading durch. Dies entlastet die realen Anwendungsserver von diesen aufwändigen Aufgaben. Dieser Modus kann auch als HTTP/2-zu-HTTP/1.1-Gateway und umgekehrt verwendet werden.
• TCP. Der virtuelle Dienst empfängt TCP-Rohdaten und leitet sie als TCP-Rohdaten oder über SSL an die Backends weiter, wenn die SSL-Backend-Option aktiviert ist.
• TCP über SSL. Der virtuelle Dienst verarbeitet SSL-TCP-Verbindungen und die empfangenen Daten werden als Raw-TCP oder über SSL an die Backends weitergeleitet, wenn die SSL-Backends-Option aktiviert ist.

SSL-Parameter #

SSL-Parameter Nachfolgend finden.

TLSv1 deaktivieren, TLSv1.1 deaktivieren, TLSv1.2 deaktivieren, TLSv1.3 deaktivieren. Jeder dieser Umschaltflächen aktiviert oder deaktiviert die zugehörige SSL- oder TLS-Version. Das Deaktivieren eines der Protokolle wird nicht empfohlen, da die zugehörigen Chiffren ebenfalls deaktiviert werden.

Ziffern. In diesem Abschnitt erstellen wir Listen mit Chiffren, die wir zur Stärkung einer SSL-Verbindung verwenden. Bevor ein Client und ein Server beginnen, durch das TLS-Protokoll geschützte Informationen auszutauschen, müssen sie einen Verschlüsselungsschlüssel und eine Chiffre, die beim Verschlüsseln von Daten verwendet werden soll, sicher austauschen oder sich darauf einigen.

Um eine zu verwendende Verschlüsselung zu konfigurieren, wählen Sie eine der folgenden Optionen aus.

• Alle. Wenn dieser Befehl ausgewählt ist, verwaltet die lauschende HTTP(S)-Farm alle verfügbaren Cipher Suites. Dies ist die Standardeinstellung.
• Hohe SicherheitDieser Befehl aktiviert die folgenden Chiffren:

kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED

Das Aktivieren dieser Option bietet Sicherheit, die stark genug ist, um mit einem A+ Note in SSL Labs .

• Kundenspezifische SicherheitMit diesem Befehl können Sie Ihre eigenen Chiffren anpassen, indem Sie Benutzerdefinierte Chiffren Feld.
• Benutzerdefinierte ChiffrenMit diesem Befehl können Sie bestimmte Chiffren anpassen, die beim Herstellen einer SSL-Verbindung zugelassen oder verboten werden sollen. Es muss sich um eine Zeichenfolge im gleichen Format wie in OpenSSL-Chiffren Dieser Befehl wird angezeigt, wenn Kundenspezifische Sicherheit wird gesetzt.
• AES SSL HW-Offloading. Diese Option ermöglicht das Auslagern der AES-Chiffren über die Hardware, wenn der Prozessor dies zulässt. Aes Flag. Dadurch kann die Leistung der SSL-Verschlüsselungs-/Entschlüsselungsaufgabe optimiert werden. Testen Sie, ob diese Option mit Ihrer aktuellen CPU kompatibel ist, indem Sie den folgenden Befehl ausführen. Wenn die CPU-Flags angezeigt werden, kann sie verwendet werden.

root@noid-ee-02:~# grep "flags.* aes" /proc/cpuinfo

Verfügbare Zertifikate: Dies sind die auf dem Gerät installierten SSL-Zertifikate. Um ein Zertifikat zu aktivieren, wählen Sie es aus und klicken Sie auf den Pfeil oder ziehen Sie es per Drag & Drop aus dem Verfügbar Box zum Nutzer der Smart‑Spaces‑App mit Google Wallet erhalten berührungslosen Mobile‑Zutritt an jedem NFC‑fähigen HID® Signo™‑Leser. Sie können auch mehrere oder alle Zertifikate aktivieren/deaktivieren.

Aktivierte Zertifikate: In dieser Liste werden die Zertifikate angezeigt, die derzeit von der Farm verwendet werden. Sie können sie mit den doppelten Auf-/Ab-Pfeilen nach oben oder unten verschieben oder alle deaktivieren. Beachten Sie die Reihenfolge der Zertifikate. Wenn ein Platzhalterzertifikat vor einem Hostzertifikat platziert wird, wird der Platzhalter zuerst verwendet.

Erweiterte Einstellungen #

Logs: Aktivieren oder deaktivieren Sie Farmverkehrsprotokolle, um den Datenverkehr, der durch den Load Balancer läuft, zu debuggen und zu analysieren.
Timeout der Backend-Verbindung: Dieser Wert legt die Zeit in Sekunden fest, die die Farm auf eine Verbindung zum Backend wartet. Normalerweise ist dies die Wartezeit zum Öffnen des Sockets. Der Standardwert beträgt 10 Sekunden.
Backend-Antwort-Timeout: Dieser Wert legt die Zeit in Sekunden fest, die die Farm auf eine Antwort von den Backends wartet. Der Standardwert beträgt 30 Sekunden.
Clientanforderungs-Timeout: Dieser Wert legt die Zeit fest, die die Farm auf eine Client-Anforderung wartet. Wenn innerhalb dieser Zeitspanne keine Daten empfangen werden, wird die Verbindung beendet. Der Standardwert beträgt 20 Sekunden.

Diensteinstellungen #

Eproxyfarmen mit TCP or TCP über SSL Zuhörer erlauben nur einen Service. Aber wenn HTTP/S Listener verwendet werden, ermöglichen die Dienste innerhalb der Eproxy-Farm Content-Switching für virtuelle Webdienste, die mehrere Webanwendungen unter dem gleiche virtuelle IP und PORT. Dieses Setup erleichtert Zentralisierte Verwaltung von Webanwendungen, virtuelle Hostkonfigurationen, URL-Verwaltung und Persistenz und Backend-Konfigurationen pro Dienst. Jeder Dienst in einer LSLB-Farm enthält Eigenschaften für Integritätsprüfungen, Persistenz, Header-Verwaltung und eine Backend-Liste. Reguläre Ausdrücke können angewendet werden, um Bedingungen zu erfüllen, die bestimmen, welcher Dienst jede Anfrage verarbeitet.

Das Eproxy-Farmprofil wertet die Service-Übereinstimmungsbedingungen im Prioritätsmodus aus (bei Bedarf änderbar). Wenn kein Service übereinstimmt, gibt die Farm einen HTTP-Fehler 503 zurück. Daher wird die Definition mehrerer Services mit spezifischen Bedingungen unterstützt. Anfragen stimmen mit Services basierend auf virtuellen Host- und/oder URL-Mustern überein.

Der Standarddienst ist vorinstalliert und entspricht allen Virtuelle Hosts und Pfadmuster.

Die Bedingungen, die erfüllt sein müssen, sind:

Virtueller HostMit dieser Funktion können Sie eine Bedingung basierend auf dem Domänennamen definieren, der dieselbe virtuelle IP und denselben Port innerhalb einer Eproxy-Farm verwendet. Wenn Sie diese Bedingung entfernen möchten, können Sie das Feld leer lassen. Reguläre Ausdrücke in PCRE Format werden in diesem Feld unterstützt.

URL-Muster. Der Zweck dieses Feldes besteht darin, einen Webdienst anhand des vom Client angeforderten URL-Pfads zu identifizieren. Die URL wird anhand eines festgelegten Musters ausgewertet, um sicherzustellen, dass ihre Syntax korrekt ist. Wenn Sie diese Bedingung ignorieren möchten, können Sie das Feld leer lassen. Reguläre Ausdrücke in PCRE In diesem Feld werden Formate unterstützt, die eine erweiterte Musterübereinstimmung ermöglichen.

Die Virtueller Host und URL-Muster Werte sind reguläre Ausdrücke. Wenn sie leer gelassen werden, stimmt jeder Wert überein. Beide Felder müssen übereinstimmen, sonst wird zum nächsten Dienst übergegangen. Es wird empfohlen, mindestens eines zu verwenden, das als Standard dient, wenn unten keine Übereinstimmung erkannt wird.

Beharrlichkeit #

Dieser Parameter definiert, wie der HTTP-Dienst Clientsitzungen verwaltet und steuert, welche HTTP-Verbindungen aufrechterhalten werden, um stabile Clientsitzungen sicherzustellen. Sobald ein Typ von Persistenzsitzung ausgewählt ist, wird seine Time To Live (TTL) in Sekunden angezeigt.

Keine Beharrlichkeit. Mit dieser Option können HTTP- oder HTTPS-Anfragen an echte Server übermittelt werden, ohne dass Client-Sitzungen verwaltet werden müssen.
HEADER: ein Anforderungsheader. Ein benutzerdefiniertes HTTP-Headerfeld kann zur Identifizierung der Clientsitzung verwendet werden. Die Lebensdauer der Persistenzsitzung und die Persistenzsitzungskennung müssen konfiguriert werden. Beispiel:

               GET /index.html HTTP/1.1 Host: www.example.org
               X-Sitzung: 75HRSd4356SDBfrte

Cookie-Einsatz #

Wenn konfiguriert, generiert der Load Balancer eine Plätzchen in jeder Antwort mit dem entsprechenden Backend-Schlüssel. Dadurch wird sichergestellt, dass auch dann das richtige Backend ausgewählt wird, wenn die Sitzungstabelle gelöscht oder Sitzungen deaktiviert werden. Mit dieser Funktion ist es nicht mehr erforderlich, den eigentlichen Servercode zu ändern, um ein Sitzungscookie zu erstellen.

Die Cookie Name gibt den Namen des Cookies an, der erstellt und in die Client-Anforderung oder Backend-Antwort eingefügt wird. Der Cookie-Pfad definiert die URI oder den relativen Pfad, in dem das neue Cookie erstellt wird. Um das Cookie auf die gesamte Domäne anzuwenden, legen Sie dieses Feld entsprechend fest. Das Cookie Domain gibt die Domäne an, in der das Cookie gesetzt wird. Schließlich ist die Gültigkeitsbereich des Cookies gibt die Anzahl der Sekunden an, die das Cookie zwischen Client und Backend aktiv bleibt. Dieser Wert muss 0 überschreiten und bezieht sich auf die Dauer ohne Aktivität. Sobald die angegebene Zeit ohne Aktivität verstreicht, läuft die mit dem Cookie verknüpfte Persistenzsitzung ab.

SSL-Backends. Dieses Kontrollkästchen zeigt der Farm an, dass die im aktuellen Dienst definierten Back-End-Server das TLS-Protokoll verwenden, sodass die Daten vor dem Senden verschlüsselt werden.

Backends #

Bezüglich der BackendsDas Eproxy-Farmprofil ermöglicht die Konfiguration der folgenden Eigenschaften: Alle Backends müssen IPv4 oder IPv6 sein und dieselbe IP-Version wie die Farm-VIP haben. HTTP/1.1- oder HTTP/2-Backend-Dienste werden unterstützt.

Backend hinzufügen #

Durch die Aktion Menüschaltfläche stehen folgende Aktionen für ein oder mehrere ausgewählte Backends zur Verfügung:
Backend hinzufügen. Dieser Befehl öffnet das Backend-Erstellungsformular.

Backend-Liste #

AktionVerwenden Sie die folgenden Aktionen, um die Backends zu verwalten:

• Löschen. Entfernt Konfigurationen eines ausgewählten virtuellen Dienstes. Der Alias ​​(falls vorhanden) wird nicht gelöscht.

Alias. Backend-Alias, sofern ein Alias ​​ausgewählt wurde.
IP. Die IP-Adresse eines bestimmten Backends.
Hafen. Die Portnummer des aktuellen realen Servers.
Timeout. Die Zeit, die ein Backend zum Antworten benötigt. Dieser Wert überschreibt den Parameter des globalen Backend-Verbindungstimeouts, ist aber auf diese ausgewählte Farm beschränkt.
Gewicht. Der Gewichtungswert für den aktuellen realen Server. Mehr Gewichtung bedeutet, dass mehr Verbindungen zum aktuellen Backend hergestellt werden. Standardmäßig wird ein Gewichtungswert von 1 festgelegt. Der verfügbare Wertebereich reicht von 1 bis 9.
Status. Die möglichen Werte sind:

• Up. Die Farm läuft und das Backend ist bereit, Verbindungen zu empfangen.
• Nach unten. Die Farm läuft und der Dienst hat festgestellt, dass das Backend nicht funktioniert
• Wartung. Das Backend wird vom Administrator als nicht bereit zum Empfangen von Verbindungen markiert. Diese Option ist für Wartungsaufgaben des Backends nützlich.
• Undefiniert. Der Backend-Status wurde nicht geprüft.

Priorität. Der Prioritätswert für den aktuellen realen Server. Niedrigere Werte haben eine höhere Priorität. Der Standardwert für die Dienstpriorität ist 1. Wenn ein Backend ausfällt, wird die Dienstpriorität um 1 erhöht. Wenn das Backend wieder aktiv ist, wird der Dienstprioritätswert um 1 verringert. Aktive Backends enthalten Prioritätswerte, die kleiner oder gleich der Dienstpriorität sind.