Глобальные настройки #

Примечание: Eproxy — это передовая функция, которая находится в стадии активной разработки, поэтому некоторые расширенные опции будут включены как можно скорее.

Профиль Eproxy отвечает за управление переключением контента на прикладном уровне модели OSI. Он поддерживает протоколы HTTP, HTTPS и HTTP/2, обеспечивая эффективную обработку трафика для современных веб-приложений. Кроме того, профиль предлагает функциональность горячего перезапуска, что позволяет выполнять бесшовные обновления и изменения конфигурации без прерывания активных соединений.

В правом верхнем углу у нас есть 2 индикатора. Действия кнопки и Статус.
Квадратная коробка: при нажатии ферма LSLB останавливается.
Кнопка обновления: При нажатии ферма перезапустится (остановится и затем запустится).
Кнопка воспроизведения: Если ферма выключена или неактивна, она запустится при нажатии.

Каждый из описанных ниже цветов представляет Статус данного Ферма:
Зелёная: означает, что ферма UP и все бэкенды работают. Это также может означать, что настроено перенаправление.
Red: означает, что ферма DOWN или он нефункционален.
Цвет - Черный.: указывает КРИТИЧЕСКОЕ повреждать. Обычно это происходит, когда ферма работает, но серверная часть недоступна или они могут находиться в режиме обслуживания.
Blue: Показывает, когда есть ПРОБЛЕМА. Ферма может работать, но хотя бы один сервер не работает.
Апельсин: Представляет ОБСЛУЖИВАНИЕ. Показывает, когда ферма работает, но по крайней мере один сервер находится в режиме обслуживания.

Эти цветовые коды одинаковы во всем графическом интерфейсе пользователя. Для краткого объяснения см. Секция фермы LSLB.

В профиле ферм Eproxy заголовок HTTP X-Forwarded-For автоматически заполняется IP-адресом клиента.

В настоящее время доступна только служба по умолчанию с Виртуальный хост и Паттерн пути поддерживается сопоставление.

Основная конфигурация #

Ниже приведены основные параметры профиля фермы Eproxy.

Имя. Это имя, которое легко идентифицирует ферму. Чтобы изменить имя данной фермы, вы должны сначала остановить ее. Убедитесь, что новое имя уже не используется.

Виртуальный IP и порт. Это виртуальные IP-адреса и пары портов, с которых ферма будет прослушивать входящие подключения. Перед настройкой новая комбинация IP-адреса и порта должна быть неиспользованной и доступной.

слушатель. В этом поле указывается протокол уровня 7 для выполнения переключения контента.

• HTTP. Виртуальная служба будет получать только обычный HTTP-контент.
• HTTPS. Виртуальная служба будет получать защищенный HTTP-контент с HTTP2 Application-Layer Protocol Negotiation (ALPN), управлять SSL-рукопожатиями, обрабатывать защищенные конфигурации шифрования и SSL-сертификат, выполнять SSL-разгрузку. Это освободит реальные серверы приложений от этих тяжелых задач. Кроме того, этот режим может использоваться как шлюз HTTP/2 в HTTP/1.1 и наоборот.
• TCPВиртуальная служба будет получать необработанные данные TCP и пересылать их на бэкэнды как необработанные данные TCP или через SSL, если включена опция бэкэндов SSL.
• TCP через SSLВиртуальная служба будет обрабатывать соединения SSL TCP, а полученные данные будут пересылаться на бэкэнды как необработанный TCP или через SSL, если включена опция бэкэндов SSL.

Параметры SSL #

Параметры SSL можно найти ниже.

Отключить TLSv1, Отключить TLSv1.1, Отключить TLSv1.2, Отключить TLSv1.3. Каждая из этих кнопок-переключателей включает или отключает соответствующую версию SSL или TLS. Отключение любого из протоколов не рекомендуется, так как связанные с ним шифры также будут отключены.

шифры. В этом разделе мы создаем списки шифров, которые мы используем для усиления соединения SSL. Прежде чем клиент и сервер начнут обмениваться информацией, защищенной протоколом TLS, они должны безопасно обменяться или согласовать ключ шифрования и шифр для использования при шифровании данных.

Чтобы настроить шифр для использования, выберите один из следующих параметров.

• Все. При выборе этой команды прослушивающая ферма HTTP(S) будет управлять всеми доступными наборами шифров. Это значение по умолчанию.
• Высокая безопасность. Эта команда включает следующие шифры:

kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED

Включение этой опции обеспечивает безопасность, достаточную для прохождения с A+ оценка в SSL Labs .

• Таможенная безопасность. Эта команда позволяет настроить собственные шифры с помощью Пользовательские шифры поле.
• Пользовательские шифры. Эта команда позволяет вам настроить определенные шифры, чтобы разрешить или запретить при создании соединения SSL. Это должна быть строка в том же формате, что и в OpenSSL шифры . Эта команда будет отображаться, если Таможенная безопасность установлен.
• Аппаратная разгрузка AES SSL. Эта опция позволяет аппаратно выгружать шифры AES, если процессор позволяет АЕС флаг. Это позволит оптимизировать производительность задачи шифрования/дешифрования SSL. Проверьте, совместима ли эта опция с вашим текущим процессором, выполнив следующую команду. Если флаги ЦП отображаются, то его можно использовать.

root@noid-ee-02:~# grep "flags.* aes" /proc/cpuinfo

Доступные сертификаты: Это SSL-сертификаты, установленные на устройстве. Чтобы включить сертификат, выберите его и нажмите кнопку со стрелкой или перетащите его из Доступны коробка в Включено box. Вы также можете включить/отключить несколько сертификатов или все из них.

Включенные сертификаты: в этом списке показаны сертификаты, которые в настоящее время используются фермой. Вы можете переместить их вверх или вниз, используя двойные стрелки вверх/вниз, или отключить их все. Обратите внимание на порядок сертификатов; Если подстановочный сертификат помещается перед сертификатом хоста, то подстановочный знак будет использоваться первым.

Дополнительные параметры #

Журналы: включение или отключение журналов трафика фермы для отладки и анализа трафика, проходящего через балансировщик нагрузки.
Тайм-аут серверного соединения: это значение задает время, в течение которого ферма будет ожидать подключения к серверной части (обычно время ожидания открытия сокета) в секундах. Значение по умолчанию — 10 секунд.
Таймаут ответа серверной части: это значение задает время, в течение которого ферма будет ожидать ответа от серверных частей в секундах. Значение по умолчанию — 30 секунд.
Время ожидания запроса клиента: это значение устанавливает время, в течение которого ферма будет ожидать запроса клиента. Если в течение этого периода ожидания данные не получены, соединение будет разорвано. Значение по умолчанию — 20 секунд.

Настройки услуг #

Фермы эпоксидной смолы с TCP or TCP через SSL слушатели допускают только один Cервис. Но когда HTTP / S прослушиватели используются, службы в ферме Eproxy обеспечивают переключение контента для виртуальных веб-сервисов, объединяя несколько веб-приложений под тот же виртуальный IP и PORT. Эта установка облегчает централизованное управление веб-приложениями, конфигурации виртуального хоста, Управление URL-адресами и конфигурации персистентности и серверной части для каждой службы. Каждая служба в ферме LSLB включает свойства для проверки работоспособности, устойчивости, управления заголовками и серверного списка. Регулярные выражения можно применять для сопоставления условий, определяющих, какая служба обрабатывает каждый запрос.

Профиль фермы Eproxy оценивает условия соответствия сервисов в приоритетном режиме (изменяемом по мере необходимости). Если ни один сервис не соответствует, ферма возвращает ошибку HTTP 503. Таким образом, поддерживается определение нескольких сервисов с определенными условиями. Запросы сопоставляют сервисы на основе шаблонов виртуального хоста и/или URL.

Служба по умолчанию предварительно загружена и соответствует всем Виртуальные хосты и Модели пути.

Условия, которые должны быть соблюдены:

Виртуальный хост. Эта функция позволяет вам определить условие на основе имени домена, используя тот же виртуальный IP и порт в ферме Eproxy. Если вы хотите удалить это условие, вы можете оставить поле пустым. Регулярные выражения в PCRE в этом поле поддерживаются форматы.

Шаблон URL. Цель этого поля — идентифицировать веб-службу на основе URL-пути, запрашиваемого клиентом. URL-адрес будет оцениваться по заданному шаблону, чтобы убедиться в правильности его синтаксиса. Если вы хотите игнорировать это условие, вы можете оставить поле пустым. Регулярные выражения в PCRE В этом поле поддерживаются форматы, что позволяет выполнять расширенное сопоставление шаблонов.

Виртуальный хост и Шаблон URL значения являются регулярными выражениями. Если оставить пустым, будет соответствовать любое значение. Оба поля должны совпадать, иначе будет пропущен следующий сервис. Рекомендуется использовать по крайней мере один, который используется по умолчанию, если внизу не обнаружено совпадений.

Настойчивость #

Этот параметр определяет, как служба HTTP управляет клиентскими сеансами и контролирует, какие HTTP-соединения поддерживаются для обеспечения стабильных клиентских сеансов. После выбора типа сеанса сохранения отображается его время жизни (TTL) в секундах.

Нет настойчивости. Эта опция позволяет доставлять запросы HTTP или HTTPS на реальные серверы без управления клиентскими сеансами.
HEADER: заголовок запроса. Настраиваемое поле заголовка HTTP можно использовать для идентификации сеанса клиента. Необходимо настроить время жизни сеанса сохранения и идентификатор сеанса сохранения. Например:

               GET /index.html Хост HTTP/1.1: www.example.org
               X-сессия: 75HRSd4356SDBfrte

Вставка печенья #

Если настроено, балансировщик нагрузки сгенерирует печенье в каждом ответе, используя соответствующий серверный ключ. Это гарантирует, что даже если таблица сеансов будет очищена или сеансы отключены, правильный сервер все равно будет выбран. Эта функция устраняет необходимость изменения реального кода сервера для создания файла cookie сеанса.

Название файла cookie указывает имя файла cookie, созданного и включенного в запрос клиента или ответ серверной части. Путь Печенья определяет URI или относительный путь, по которому будет установлен новый файл cookie. Чтобы применить файл cookie ко всему домену, установите это поле соответствующим образом. Домен cookie указывает домен, в котором будет установлен файл cookie. Наконец, Cookie TTL обозначает количество секунд, в течение которых файл cookie остается активным между клиентом и серверной частью. Это значение должно превышать 0 и относится к продолжительности без каких-либо действий. По истечении указанного времени без активности сеанс сохранения, связанный с файлом cookie, истечет.

SSL-бэкэнды. Этот флажок указывает ферме, что внутренние серверы, определенные в текущей службе, используют протокол TLS, поэтому данные будут зашифрованы перед отправкой.

Backends #

Что касается Backends, профиль фермы Eproxy позволяет настраивать следующие свойства: Все бэкэнды должны быть IPv4 или IPv6 и иметь ту же версию IP, что и Farm VIP. Поддерживаются бэкэнд-службы HTTP/1.1 или HTTP/2.

Добавить серверную часть #

Через Действия кнопка меню, для одного или нескольких выбранных бэкендов доступны следующие действия:
Добавьте Backend. Эта команда открывает форму создания бэкенда.

Серверный список #

Действия. Используйте следующие действия для управления бэкендами:

• Удалить. Удалить конфигурации выбранной виртуальной службы. Псевдоним не будет удален, если он есть.

кличка, Внутренний псевдоним, если какой-либо псевдоним был выбран.
IP. IP-адрес данного бэкенда.
порт. Номер порта текущего реального сервера.
Истек. Время, необходимое серверной части для ответа. Это значение переопределяет параметр глобального тайм-аута соединения с серверной частью, но ограничено этой выбранной фермой.
Вес. Значение веса для текущего реального сервера. Чем больше вес, тем больше подключений доставлено к текущему бэкенду. По умолчанию будет установлено значение веса 1. Доступный диапазон значений от 1 до 9.
Статус. Возможные значения:

• Up. Ферма запущена, и серверная часть готова принимать соединения.
• вниз. Ферма работает, и служба обнаружила, что серверная часть не работает.
• Обслуживание. Серверная часть помечена администратором как не готовая к приему подключений, эта опция полезна для задач обслуживания серверной части.
• Не определено. Статус серверной части не проверялся.

приоритет. Значение приоритета для текущего реального сервера. Более низкие значения имеют больший приоритет. Значение приоритета службы по умолчанию равно 1. При сбое серверной части приоритет службы увеличивается на 1. Когда серверная часть снова активна, значение приоритета службы уменьшается на 1. Активные серверные части имеют значения приоритета, меньшие или равные приоритету службы. .