Глобальные настройки для профиля HTTP-фермы #

Этот профиль управляет переключением контента при доставке приложений уровня 7 для протоколов HTTP и HTTPS.

Статус фермы представлен с использованием цветовых индикаторов, как описано ниже:

• Зелёная: Средства UP, Ферма работает, и все бэкэнды включены или перенаправление настроено.
• Red: Средства DOWN, Ферма остановлена.
• Цвет - Черный.: указывает КРИТИЧЕСКОЕ наносить ущерб. Ферма работает, но серверная часть недоступна или находится в режиме обслуживания.
• Blue: значит есть ПРОБЛЕМА, Ферма работает, но по крайней мере один сервер не работает.
• Апельсин: Средства ОБСЛУЖИВАНИЕ, Ферма работает, но по крайней мере один сервер находится в режиме обслуживания.

Эти цветовые коды одинаковы для всего графического пользовательского интерфейса. Найдите краткое объяснение этих цветов в Секция фермы LSLB.

В профиле HTTP (S), заголовок HTTP X-Forwarded-For по умолчанию заполняется IP-адресом клиента.

Каждая ферма HTTP(S) (или виртуальная служба) управляет несколькими службами, такими как обратный прокси-сервер, поэтому одна пара виртуальных IP-адресов и портов HTTP может обрабатывать более одной веб-службы с балансировкой нагрузки. Поэтому есть раздел под названием СЕРВИС в ферме HTTP, чтобы обеспечить гибкость виртуального хоста и разрешить создание списка серверных частей для каждой службы.

Каждая служба HTTP(S) использует комбинацию регулярных выражений (для виртуального хоста и шаблона URL) в PCRE для управления всеми входящими соединениями, заголовок HTTP которых совпадает с обоими.

Основная конфигурация #

Ниже приведены основные параметры профиля фермы HTTP/S.

Имя. Это имя, которое легко идентифицирует ферму. Чтобы изменить имя данной фермы, вы должны сначала остановить ее. Убедитесь, что новое имя еще не используется.

Виртуальный IP и порт. Это виртуальные IP-адреса и пары портов, с которых ферма будет прослушивать входящие подключения. Перед настройкой новая комбинация IP-адреса и порта должна быть неиспользованной и доступной.

слушатель. В этом поле указывается протокол, который будет управляться на уровне 7 для переключения контента.

• HTTP, Виртуальный сервис будет понимать только простой HTTP-контент.
• HTTPS. Виртуальная служба будет понимать защищенный HTTP-контент, управлять рукопожатиями SSL, обрабатывать безопасные конфигурации шифров, SSL-сертификаты (подстановочные знаки или SNI) и т. д., чтобы выполнять разгрузку SSL и освобождать реальные серверы приложений от этих тяжелых задач.

Параметры HTTPS #

Параметры HTTPS можно найти ниже.

Отключить SSLV2, Отключить SSLV3, Отключить TLSV1, Отключить TLSV1.1, Отключить TLSV1.2 выбираемые кнопки, если они выбраны, избегайте использования данных протоколов. Как только протокол отключен, его шифры также будут отключены.

шифры. Это поле используется для создания списка шифров, принимаемых соединениями SSL, для защиты этого соединения. Прежде чем клиент и сервер смогут начать обмен информацией, защищенной TLS, они должны безопасно обменяться или согласовать ключ шифрования и шифр, которые будут использоваться при шифровании данных.

Чтобы настроить шифр для использования, выберите один из следующих параметров.

• Все, Этот элемент указывает, что прослушивателю HTTPS разрешено управлять всеми шифрами. Это значение по умолчанию.
• Высокая безопасность. Эта команда включает следующие шифры:

  kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED

  Которого им будет достаточно, чтобы пройти через A+ in SSL Labs .

• Таможенная безопасность. Эта команда позволяет установить собственные разрешенные шифры через Пользовательские шифры поле.
• Пользовательские шифры, Это позволяет вам указать, какие шифры будут разрешены или запрещены для использования SSL-соединением. Это должна быть строка в том же формате, что и в OpenSSL шифры . Эта команда будет отображаться, если Таможенная безопасность установлен.

Доступные сертификаты. Это доступные сертификаты SSL, установленные на устройстве. Чтобы включить один из них, либо выберите сертификат и нажмите кнопку со стрелкой, либо просто перетащите его из поля «Доступно» в поле «Включено». Вы также можете включить/отключить несколько сертификатов или даже все сразу.

Включенные сертификаты. В этом списке вы будете управлять сертификатами, которые в настоящее время используются фермой. Вы можете переместить их вверх или вниз с помощью двойных стрелок вверх/вниз или даже отключить их все. Учитывайте порядок сертификатов. Если вы настраиваете подстановочный сертификат перед сертификатом хоста, то подстановочный знак будет использоваться первым.

Дополнительные параметры #

Переписать заголовки местоположения, Если этот параметр включен, ферме необходимо изменить Локация и Content-местоположение заголовки в ответ клиентам. Если они имеют значение самого бэкэнда или VIP, но с другим протоколом, ответ будет изменен, чтобы показать виртуальный хост в запросе. Если кнопка переключения, включить и сравнить бэкэнды включен, будет сравниваться только внутренний IP-адрес. Это важно при перенаправлении запроса на прослушиватель HTTPS на том же сервере, что и прослушиватель HTTP. Если это поле настроено в разделе службы, то эта директива будет игнорироваться для этой службы.

HTTP глаголы принимаются. В этом поле указаны методы HTTP, которые будут использоваться для проверки клиентских HTTP-запросов. Если запрос клиента не разрешен, клиенту будет показано сообщение об ошибке. У каждого глагола есть дополнительные нижние уровни глаголов.

• Стандартный HTTP-запрос, Стандартные HTTP-запросы (GET, POST, HEAD).
• + расширенный HTTP-запрос, расширенные HTTP-запросы (PUT, DELETE).
• + опции HTTP-глагол, расширенные HTTP-запросы (PUT, DELETE).
• + стандартные глаголы WebDAV, стандартные глаголы WebDAV (LOCK, UNLOCK, PROPFIND, PROPPATCH, SEARCH, MKCOL, MOVE, COPY, OPTIONS, TRACE, MKACTIVITY, CHECKOUT, MERGE, REPORT).
• + MS расширения глаголов WebDAV, Расширения MS: глаголы WebDAV (ПОДПИСАТЬСЯ, НЕ ПОДПИСАТЬСЯ, УВЕДОМИТЬ, BPROPFIND, BPROPPATCH, POLL, BMOVE, BCOPY, BDELETE, CONNECT).
• + MS RPC расширения глаголов, Глаголы расширений MS RPC (RPC_IN_DATA, RPC_OUT_DATA).

Тайм-аут подключения к серверу. Это значение указывает время, в течение которого ферме придется ждать подключения к серверной части в секундах. Обычно это время ожидания открытия сокета. По умолчанию это значение будет установлено на 20 секунд.

Частота проверки воскресших бэкэндов. Это то, как часто балансировщик нагрузки будет ждать, чтобы проверить, доступен ли бэкэнд, и получить реальный сервер из черного списка, если он работает. Ферма будет периодически проверять серверную часть, как только реальный сервер будет помечен как отключенный, независимо от того, есть ли новое подключение клиента или нет. По умолчанию это значение будет установлено на 10 секунд.

Тайм-аут ответа сервера. Это значение указывает время, в течение которого ферме придется ждать ответа от серверных частей в секундах. По умолчанию это значение будет установлено на 45 секунд.

Тайм-аут запроса клиента. Это значение указывает время, в течение которого ферме придется ждать запроса клиента. По истечении этого времени ожидания без получения каких-либо данных от клиента соединение будет разорвано. По умолчанию это значение будет установлено на 30 секунд.

Сообщения об ошибках HTTP #

Персонализированные сообщения об ошибках. Служба фермы отобразит специальное сообщение на вашем сайте, когда на реальных серверах будет обнаружена ошибка веб-кода. Для кодов ошибок 414, 500, 501 и 503 будет показана персонализированная HTML-страница.

• 414: слишком длинный URI запроса. Это сообщение об ошибке профиля HTTP/S, если URI достигает максимально допустимого количества символов. Если вы получили эту ошибку, уменьшите длину URL-адреса.
• 500 - внутренняя ошибка сервера. Это сообщение об ошибке профиля HTTP/S, если серверная часть обнаруживает непредвиденную команду.
• 501: не реализовано. Это сообщение об ошибке профиля HTTP/S, если команда запроса не управляется или не известна прокси-серверу или серверной части.
• 503 Сервис недоступен. Это сообщение об ошибке профиля HTTP/S, если прокси-сервер не находит доступный сервер для запроса. Это может произойти, если все бэкенды или серверы не работают, или если регулярное выражение в запросе не соответствует ни одной из настроенных служб.
• WAF 403: Запрещено. Это сообщение об ошибке профиля HTTP/S, если WAF включен, а механизм WAF отклоняет запрос.

Заголовки #

В этом разделе мы можем глобально добавлять, изменять или удалять запросы и заголовки ответов, применяя действия ко всем настроенным службам. Если в разделе службы настроен заголовок, эта конфигурация будет удалена.

Действия, используемые в этом разделе, включают:

Создать правило. Будет создан глобальный заголовок.
Удалить. Глобальный заголовок будет удален.

Этот раздел позволяет нам добавлять, изменять или создавать заголовок запросы и ответы, как показано на рисунке ниже.

Тип.

• Запрос: удалить заголовок. Шаблон заголовка, который будет удален из клиентских HTTP-запросов.
• Запрос: изменить заголовок. Измените заголовок клиентских HTTP-запросов.
• Пожелание: добавить заголовок. Заголовок, который будет добавлен к клиентским HTTP-запросам.
• Ответ: удалить заголовок. Шаблон заголовка, который будет удален из HTTP-ответа серверной части.
• Ответ: изменить заголовок. Измените заголовок ответа Backend HTTP.
• Ответ: добавить заголовок. Заголовок, который будет добавлен к ответу Backend HTTP.

Настройки услуг #

Службы в ферме LSLB с профилем HTTP предоставляют возможности переключения контента для виртуальных веб-служб для доставки нескольких веб-служб и приложений через тот же виртуальный IP и PORT. Это помогает унифицировать веб-приложения через один домен, управлять виртуальными хостами, управлять URL, настроить перенаправления, настроить постоянство и бэкэнды для каждой службы. Каждая служба в ферме LSLB имеет различные свойства, проверки работоспособности, постоянство, управление заголовками и внутренний список. Регулярные выражения могут использоваться для соответствия условиям, которые будут указывать службу, которая будет использоваться для каждого запроса.

Каждое условие соответствия службы будет проверяться ядром профиля фермы HTTP в режиме приоритета (при необходимости его можно изменить). Если ни одна служба не соответствует, ядро ​​​​фермы вернет ошибку (ошибка HTTP 503). По этой причине разрешены определенные определения нескольких служб. Если поля URL и Host не определены, все запросы будут совпадать. Условия службы HTTP будут определяться виртуальным хостом и/или шаблоном URL.

Во-первых, необходимо создать хотя бы одну службу для добавления серверной части. После применения новой службы службы HTTP будут оцениваться сверху вниз в порядке списка. Первая служба, совпадающая с полем Host и/или URL, будет обрабатывать запрос. Эти условия службы определяются шаблонами URL или хоста.

Условия обслуживания, которые должны быть соблюдены:

Виртуальный хост. В этом поле указывается условие, определяемое доменным именем через тот же виртуальный IP-адрес и порт, которые определены фермой HTTP. Чтобы отменить это условие, оставьте его пустым. Это поле поддерживает регулярные выражения в формате PCRE.

Шаблон URL. Это поле определяет веб-службу по URL-адресу, через который запрашивает клиент. Этот URL-адрес будет проверен с использованием определенного шаблона URL-адреса, который будет проверен синтаксически. Чтобы отменить это условие, оставьте его пустым. Это поле поддерживает регулярные выражения в формате PCRE.

Виртуальный хост и Шаблон URL значения являются регулярными выражениями. Если оставить пустым, будет соответствовать любое значение. Оба поля должны совпадать, иначе будет пропущен следующий сервис. Рекомендуется использовать по крайней мере один, который используется по умолчанию, если внизу не обнаружено совпадений.

Переписать заголовки местоположения. Если включено, служба принудительно изменяет Локация и Content-местоположение заголовки в ответ клиентам. Если они имеют значение самого бэкэнда или VIP (но с другим протоколом), ответ будет изменен, чтобы показать виртуальный хост в запросе. Если кнопка переключения включить и сравнить бэкэнды включен, то сравнивается только внутренний IP-адрес. Это важно при перенаправлении запросов к прослушивателю HTTPS на том же сервере, что и прослушиватель HTTP. Когда выбрано включение и сравнение серверных частей, флаг называется Включить путь для перезаписи заголовков местоположения будет доступно. Включите этот флаг, если вы работаете с Переписать URL-адреса. Это значение заставит вас проверять ответы URL и изменит ответ на исходный, если правило настроено в Переписать URL-адреса. Если это поле включено, оно переопределит ту же директиву в глобальном разделе.

Планировщик балансировки нагрузки. В этом поле указывается алгоритм балансировки нагрузки, который будет использоваться для определения внутреннего сервера. По умолчанию алгоритм взвешивания будет выбран по умолчанию.

• Вес: соединение линейной диспетчеризации по весу. Балансирует соединения в зависимости от значения веса, присвоенного каждому бэкенду. Запросы доставляются с использованием вероятностного алгоритма с использованием определенного веса.
• Наименьший ответ: динамический вес в соответствии с ответом серверной части.. Динамическое изменение веса серверной части в зависимости от времени производительности серверной части. Более быстрое время ответа приводит к увеличению количества подключений к этим реальным серверам.

переадресовывать #

Если в сервисе включена опция перенаправления, внутренние серверы могут не использоваться, так как все запросы будут отправляться на указанный URL-адрес.

Тип перенаправления. Существует два типа переадресации: По умолчанию и присоединять. В По умолчанию тип, URL-адрес берется как абсолютный хост и путь для перенаправления. С присоединять type, исходный путь запроса будет добавлен к хосту и указанному вами пути.

URL перенаправления. Этот параметр определяет, куда будет перенаправлен клиент после ответа на запрос. На запрос клиента отвечает автоматически путем перенаправления на новый URL-адрес. Если вы настроите значение перенаправления, НЕ настраивайте бэкенды в этой службе. Если Виртуальный хост и Шаблон URL совпадают, устройство отправит HTTP-запрос Заголовок местоположения ответ клиенту для перенаправления на настроенный URL.

Код перенаправления. Можно использовать несколько HTTP-кодов перенаправления: 301 (перемещено навсегда), 302 (перемещено временно) или 307 (временное перенаправление).

Настойчивость #

Настойчивость. Этот параметр определяет, как служба HTTP будет управлять клиентским сеансом и какое HTTP-соединение необходимо контролировать для поддержания безопасных клиентских сеансов. Когда выбран тип сохраняемого сеанса, будет отображаться его время жизни TTL (в секундах).

• Нет настойчивости. Служба фермы не будет контролировать клиентские сеансы. Запросы HTTP или HTTPS будут доставлены на реальные серверы.
• IP: адрес клиента. IP-адрес клиента будет использоваться для того, чтобы клиентские сеансы оставались открытыми через реальные серверы.
• ОСНОВНЫЕ: Базовая аутентификация. Заголовок базовой аутентификации HTTP будет использоваться для управления клиентскими сеансами. Например, когда веб-страница запрашивает у клиента базовую аутентификацию, заголовок HTTP будет содержать строку, подобную следующей:

  		HTTP/1.1 401 Требуется авторизация Сервер: HTTPd/1.0 Дата: суббота, 27 ноября 2011 г., 10:18:15 GMT
  		WWW-аутентификация: базовая область = «Безопасная зона»
  		Тип контента: текст/HTML Длина контента: 31
  

  Затем клиент отвечает с заголовком:

                  GET /private/index.html Хост HTTP/1.1: localhost
  		Авторизация: базовая QWxhZGRpbjpvcGVuIHNlc2FtZQ==
  

  Эта базовая строка аутентификации используется в качестве идентификатора сеанса для идентификации сеанса клиента.

• PARM: параметр URI, Другой способ идентифицировать сеанс клиента - использовать параметр URI, отделенный от точки с запятой, которая используется в качестве идентификатора сеанса пользователя. В примере http://www.example.com/private.php;EFD4Y7 параметр будет использоваться в качестве идентификатора сеанса.
• URL: параметр запроса. Когда идентификатор сеанса отправляется через параметр GET с URL-адресом, этот параметр указывает, что имя, связанное с идентификатором сеанса клиента, будет возможным. Например, запрос клиента типа http://www.example.com/index.php?sid=3a5ebc944f41daa6f849f730f1 должен быть настроен с параметром Персональный идентификатор сеанса (значение sid в этом примере) и время сохранения сеанса до жизни (TTL)
• ПЕЧЕНЬЕ: . Вы сможете выбрать переменную cookie HTTP для чтения из заголовков HTTP и использовать ее для поддержания клиентских сеансов в течение заданного времени. Настроенное имя файла cookie в идентификатор сеанса постоянства Поле создается программистом и встраивается в веб-страницу для идентификации сеанса клиента, например:

                  GET /spec.html Хост HTTP/1.1: www.example.org
                  Файл cookie: sessionidexample=75HRSd4356SDBfrte
  

  Кроме того, необходимо настроить время жизни сеанса сохраняемости (TTL). Это значение управляет временем, которое экономит балансировщик нагрузки, когда клиент и серверная часть не работают.

• HEADER: заголовок запроса. Настраиваемое поле заголовка HTTP можно использовать для идентификации сеанса клиента. Необходимо настроить время существования сеанса постоянства и идентификатор сеанса постоянства. Например:

                 GET /index.html Хост HTTP/1.1: www.example.org
                 X-сессия: 75HRSd4356SDBfrte
  

Farmguardian #

HTTP-фермы обеспечивают базовую и встроенную проверку работоспособности серверной части, но конфигурация Farmguardian рекомендуется для более интеллектуальной эвристической проверки работоспособности серверной части, чтобы гарантировать работоспособность приложения.

Некоторые встроенные или настраиваемые расширенные проверки работоспособности могут быть назначены этой службе из уже созданных проверок фермерской службы.

Для дальнейшей информации Farmguardian перейдите к Мониторинг >> Farmguardian .

Обратите внимание, что после выбора фермы-хранителя он будет автоматически применен к ферме.

HTTPS Backends. Этот флажок указывает ферме, что внутренние серверы, определенные в текущей службе, используют протокол HTTPS, поэтому перед отправкой данные будут зашифрованы.

Backends #

Что касается Backends, профиль фермы HTTP позволяет настраивать следующие свойства: Все серверные части должны быть IPv4 или IPv6 и иметь ту же версию IP, что и виртуальный IP-адрес фермы.

Действия. Используйте следующие действия для управления бэкендами:
Для уже созданных бэкэндов:

• Включить техобслуживание. Используйте это действие, если серверная часть ранее была отключена. Перевод реального сервера в режим обслуживания означает, что на него не будут перенаправляться новые подключения. Существует два способа включения режима обслуживания:
  • Режим слива, Сохраняет установленные подключения и постоянство, если включено, но не будет допускать новые подключения.
  • Режим обрезки, Удаляет все активные соединения с бэкэндом
• Отключить обслуживание. Используйте это действие, когда серверная часть находится в режиме обслуживания. Включите новые подключения к реальному серверу снова после отключения режима обслуживания.
• Удалить. Удалить конфигурации выбранной виртуальной службы.

IP. IP-адрес данного бэкенда.
PORT. Номер порта текущего реального сервера.
TIMEOUT. Время, необходимое серверной части для ответа. Это значение переопределяет параметр глобального тайм-аута соединения с серверной частью, но ограничено этой выбранной фермой.
ВЕС. Значение веса для текущего реального сервера. Чем больше вес, тем больше подключений доставлено к текущему бэкенду. По умолчанию будет установлено значение веса 1. Доступный диапазон значений от 1 до 9.
ПРИОРИТЕТНЫЕ. Значение приоритета текущего реального сервера (допустимые значения — 1 или 2). Более низкие значения имеют больший приоритет, а значение по умолчанию — 1, поэтому серверная часть будет использоваться в любое время, когда она доступна. Если все серверные части с приоритетом 1 отключены или находятся на обслуживании, серверная часть с приоритетом 2 включена для поддержания доступности службы. В настоящее время разрешен только один бэкэнд с приоритетом 2.

Вы сможете настроить те же параметры, что и ранее, а затем нажать кнопку «Сохранить», чтобы создать серверную часть.

Через Действия кнопка меню, для одного или нескольких выбранных бэкендов доступны следующие действия:
Добавьте Backend. Эта команда открывает форму создания бэкенда.
Действия, упомянутые выше: Включить техобслуживание (Истощать и Порез Режим), Отключить обслуживание и Удалить.

Добавить внутреннюю форму: