Conteúdo
Configurações globais para o perfil de farm HTTP
Esse perfil gerencia a troca de conteúdo na entrega do aplicativo 7 da camada HTTP para os protocolos HTTP e HTTPS.
Ao modificar qualquer parâmetro em um farm HTTP / S por meio do Atualizar botão verde na parte inferior, seria necessária uma reinicialização manual para aplicar as alterações, portanto, uma mensagem será mostrada na parte inferior esquerda da página para alertar o administrador de sistema de que há parâmetros globais ou alterações de back-end que precisam ser aplicadas através de um reinício de farm. O administrador do sistema pode modificar quaisquer parâmetros necessários e, em seguida, reiniciar o serviço do farm para aplicar todos eles ao mesmo tempo e quando o horário for mais adequado.
Depois de aplicar todas essas mudanças, por favor clique no Reiniciar botão e uma mensagem de sucesso será mostrada se a reinicialização tiver sido feita com sucesso.
Também pode ser feito manualmente usando as ações, se necessário. Observe os botões do canto superior direito adicionados para essa finalidade:
O Estado é mostrado por meio das balas de cor como segue:
- Verde: Significa UP. A fazenda está em execução e todos os backends estão ativos.
- Vermelho: Significa BAIXA. Fazenda é parada.
- Laranja: Significa REINICIAR NECESSÁRIO. Há alterações recentes que precisam de uma reinicialização de farm para serem aplicadas.
- Preto: Significa CRÍTICA. O farm é UP, mas não há back-end disponível ou eles estão no modo de manutenção
- Azul: Significa PROBLEMA. A fazenda está em execução, mas pelo menos um back-end está desativado.
- Amarelo: Significa MANUTENÇÃO. O farm está em execução, mas pelo menos um back-end está no modo de manutenção.
Esses códigos de cores são os mesmos em toda a interface gráfica do usuário. Você poderia vê-los melhor explicados no Seção de Fazendas LSLB
No perfil de farms HTTP (S), o cabeçalho HTTP X-transmitido-Para é preenchido por padrão com o endereço IP do cliente. Em contraste com o perfil de farms L4xNAT, o perfil HTTP usa um algoritmo de ponderação implicitamente.
Cada farm HTTP (S) (ou serviço virtual) é capaz de gerenciar vários serviços da Web através do mesmo farm HTTP como um proxy reverso, portanto, um IP virtual e uma porta HTTP podem manipular mais de um serviço da Web com carga balanceada. Por essa razão, um Serviço em um farm HTTP é um conceito para oferecer a flexibilidade do host virtual e, em seguida, uma lista de back-ends será mostrada para cada serviço criado.
Os parâmetros para perfil avançado de farms HTTP / S são os seguintes:
Nome. É o campo de identificação e uma descrição do serviço da fazenda. Para alterar este valor, você deve primeiro parar a fazenda. Certifique-se de que o novo nome do farm ainda não esteja em uso ou uma mensagem de erro aparecerá.
IP virtual e porto. Estes são o endereço IP virtual e / ou a porta virtual na qual o perfil do farm será vinculado e atendido no sistema do balanceador de carga. Para fazer alterações nesses campos, verifique se o novo IP virtual e a porta virtual não estão em uso. Para aplicar as alterações, o serviço do farm será reiniciado automaticamente.
Ouvinte. Este campo especifica o protocolo a ser gerenciado na camada 7 para troca de conteúdo.
- HTTP. O serviço virtual só entenderá o conteúdo HTTP simples.
- HTTPS. O serviço virtual compreenderá o conteúdo HTTP seguro, gerenciará o handshake SSL, lidará com configurações de cifras seguras, certificados SSL (curinga ou SNI), etc, para realizar o descarregamento SSL e descarregar os servidores de aplicativos reais dessas tarefas pesadas .
Ignorar 100 Continuar. Se marcada, a propriedade 100 Continue será desativada. De acordo com o protocolo HTTP 1.1, quando esse cabeçalho é enviado, os dados do formulário não são enviados com a solicitação inicial. Em vez disso, esse cabeçalho é enviado para o back-end do servidor da Web que responde com 100 (Continuar). Isso significa que o servidor recebeu os cabeçalhos de solicitação e que o cliente deve continuar enviando o corpo da solicitação (no caso de uma solicitação para a qual um corpo precisa ser enviado, por exemplo, uma solicitação POST). Se o corpo da solicitação for grande, enviá-lo para um servidor quando uma solicitação já foi rejeitada com base em cabeçalhos inadequados é ineficiente. Para que um servidor verifique se a solicitação pode ser aceita com base apenas nos cabeçalhos da solicitação, o cliente deve enviar Expect: 100-continue como um cabeçalho em sua solicitação inicial e verifique se um código de status 100 Continue é recebido antes de continuar (ou receberá 417 Expectation Failed e não continue).
Reescrever cabeçalhos de localização. Se ativado, o farm é forçado a modificar o Localização e Localização de conteúdo cabeçalhos nas respostas aos clientes. Se eles apontarem para o backend em si ou para o VIP (mas com um protocolo diferente), a resposta será modificada para mostrar o host virtual na solicitação. Se a opção ativado e comparar backends for selecionado, então, apenas o endereço IP de back-end é comparado, isso pode ser útil para redirecionar uma solicitação para um ouvinte HTTPS no mesmo servidor que o ouvinte HTTP.
Verbos HTTP aceitos. Este campo indica as operações que serão permitidas às solicitações do cliente HTTP. Se um verbo não permitido for solicitado, um erro será mostrado ao cliente. Os níveis de verbos são inclusivos, então cada nível inclui seus verbos e adicionalmente os de nível inferior.
- Pedido HTTP padrão. Aceite apenas solicitações HTTP padrão (GET, POST, HEAD).
- + solicitação HTTP estendida. Além disso, permita solicitações HTTP estendidas (PUT, DELETE).
- + verbos padrão do WebDAV. Além disso, permite verbos padrão do WebDAV (LOCK, UNLOCK, PROPFIND, PROPPATCH, SEARCH, MKCOL, MOVE, COPY, OPÇÕES, TRACE, MKACTIVITY, CHECKOUT, MERGE, REPORT).
- + Verbos extensões Web MSDAV. Além disso, permitir extensões MS-DOS do WebDAV (SUBSCREVER, UNSUBSCRIBE, NOTIFICAR, BPROPFIND, BPROPPATCH, POLL, BMOVE, BCOPY, BDELETE, CONNECT).
- + Verbos de extensões MS RPC. Além disso, permitir verbos de extensões do MS RPC (RPC_IN_DATA, RPC_OUT_DATA).
Tempo limite da conexão de back-end. Esse valor indica quanto tempo o farm vai aguardar uma conexão com o back-end em segundos. Normalmente, será a espera do tempo de abertura do soquete. Por padrão, esse valor será definido como 20 segundos.
Tempo limite de resposta de back-end. Este valor indica quanto tempo o farm aguardará por uma resposta dos back-ends em segundos. Por padrão, esse valor será definido como 45 segundos.
Frequência para verificar back-ends ressuscitados. Este valor em segundos é o período para sair de um servidor real na lista negra e verifica se está vivo. O farm verificará o backend periodicamente quando o servidor real estiver marcado como inativo, independentemente de haver ou não uma nova conexão com o cliente. Por padrão, esse valor será definido como 10 segundos.
Tempo limite da solicitação do cliente. Esse valor indica quanto tempo o farm vai aguardar uma solicitação do cliente em segundos. Quando esse tempo limite for atingido sem obter nenhum dado do cliente, a conexão será encerrada. Por padrão, esse valor será definido como 30 segundos.
Mensagens de erro personalizadas. Por meio das mensagens de erro personalizadas, o serviço do farm pode responder uma mensagem personalizada do seu site quando um erro de código da Web é detectado nos servidores reais. Uma página HTML personalizada será mostrada.
Por outro lado, alguns Parâmetros HTTPS pode ser encontrada abaixo.
O Desativar SSLV2, Desativar SSLV3, Desativar TLSV1, Desativar TLSV1.1, Desativar TLSV1.2 botões selecionáveis, se selecionados, evitam usar os protocolos fornecidos. Assim, uma vez que um protocolo é desabilitado, suas cifras também serão desabilitadas.
Cifras. Esse campo é usado para criar uma lista de cifras aceitas por conexões SSL para proteger essas conexões. Antes que um cliente e um servidor possam começar a trocar informações protegidas por TLS, eles devem trocar ou concordar com segurança sobre uma chave de criptografia e uma criptografia a ser usada ao criptografar dados. Mais informações sobre segurança podem ser encontradas em recursos externos, como Wikipedia.
Para usar cifras, selecione uma das seguintes opções.
Todos os Produtos. Este item indica que todas as cifras podem ser gerenciadas pelo ouvinte HTTPS. Esta é a configuração padrão.
Alta seguranca. Esta opção define por padrão as cifras:
kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED
Qual será o suficiente para passar por um A+ in ssllabs .
Segurança personalizada. Esta opção permite definir suas próprias cifras permitidas através do Personalize suas cifras campo..
Personalize suas cifras. Esta é a lista personalizada de cifras que serão aceitas pela conexão SSL, que é uma string no mesmo formato que em Cifras do OpenSSL . Esta opção será exibida se Segurança personalizada é definido.
Desligamento SSL. Observe que o Enterprise Edition v5.1 inclui novos recursos de descarga de SSL que aumentam o desempenho em CPUs compatíveis com AES. Se o seu hardware implementar esses recursos, essa opção será mostrada. Outro sábio não.
Certificados habilitados. Os certificados SSL nesta lista serão os certificados que o farm poderá gerenciar.
Certificados disponíveis. Estes são os certificados SSL disponíveis instalados no dispositivo. Para habilitar um deles, você pode selecionar o certificado e pressionar o botão de seta ou você pode simplesmente arrastar e soltá-lo da caixa de disponibilidade para a caixa de habilitado.
Serviços para Perfil de Farm HTTP
Os serviços em um farm LSLB com perfil HTTP fornecem recursos de troca de conteúdo para serviços virtuais da Web para fornecer vários serviços e aplicativos da Web por meio do mesmo IP e PORT virtual, o que ajuda a unificar aplicativos da web através de um único domínio, gerenciar hosts virtuais, gerenciar URLs, configurar redirecionamentos, configurar persistência e back-ends por serviço. Cada serviço em um farm LSLB pode ter diferentes propriedades, verificações de integridade ou lista de back-end, e algumas expressões regulares podem ser usadas como condições de correspondência que podem especificar qual serviço deve ser usado por solicitação.
Todas as condições de correspondência de serviço serão verificadas pelo núcleo do perfil de farm HTTP no modo de prioridade (que pode ser alterado se necessário) e, se nenhum serviço for correspondido, o núcleo do farm retornará um erro. Por esse motivo, são permitidas definições específicas de vários serviços. Se nenhuma URL for definida, todas as solicitações serão correspondentes. As condições do serviço HTTP serão determinadas por um host virtual e / ou um padrão de URL.
Em primeiro lugar, é necessário criar pelo menos um serviço para adicionar back-ends.
Após a criação, será solicitado Reiniciar a fazenda para aplicar o novo serviço.
Depois que o novo serviço for aplicado, o perfil do farm HTTP analisará todas as condições de serviço para corresponder ao serviço correspondente para cada solicitação do cliente. Essas condições de serviços podem ser determinadas por padrões de URL, cabeçalhos específicos ou redirecionamento e permitem identificar vários serviços da Web no mesmo farm.
As condições e opções de serviço para o perfil de farms HTTP são mostradas abaixo.
Host Virtual. Este campo especifica a condição determinada pelo nome do domínio por meio do mesmo IP virtual e porta definidos por um farm HTTP. Para descartar essa condição, deixe-a vazia. Este campo suporta expressões regulares no formato PCRE.
Padrão de URL. Esse campo permite determinar um serviço da Web em relação à URL que o cliente está solicitando por meio de um padrão de URL específico que será verificado sintaticamente. Para descartar essa condição, deixe-a vazia. Este campo suporta expressões regulares no formato PCRE.
O Host Virtual e Padrão de URL campos são usados pelo Zevenet para tomar decisões na hora de combinar com um determinado serviço, então se algum valor for configurado nestes campos a solicitação tentará casar, caso não corresponda a solicitação tentará casar com o próximo serviço. Recomenda-se incluir um último serviço como padrão se nenhuma correspondência tiver sido produzida.
Valor de redirecionamento. Esse campo se comporta como um back-end especial, pois a solicitação do cliente é respondida automaticamente por um redirecionamento para um novo URL. Se você configurar um valor de redirecionamento, NÃO configure back-ends neste serviço. E se Host Virtual e Padrão de URL jogo então Zevenet envia um HTTP Cabeçalho da localização resposta ao cliente para ser redirecionado para o URL configurado.
Tipo de redirecionamento. Existem duas opções: Padrão or Acrescentar. Com Padrão opção, o URL é tomado como um host absoluto e caminho para redirecionar para. Com Acrescentar opção, o caminho da solicitação original será anexado ao host e ao caminho que você especificou.
Menos Resposta. Esta caixa de seleção permite uma melhoria do algoritmo round robin. Dinamicamente, o balanceador de carga estabelece a conexão com o menor valor do tempo de resposta.
Back-ends HTTPS. Essa caixa de seleção indica ao farm que os servidores de back-ends definidos no serviço atual estão usando o protocolo HTTPS e, em seguida, os dados serão criptografados antes de serem enviados.
Persistência. Este parâmetro define como o serviço HTTP irá gerenciar a sessão do cliente e qual campo de conexão HTTP deve ser controlado para manter as sessões seguras do cliente. Quando um tipo de sessão de persistência é selecionado, uma sessão de persistência TTL será mostrada.
- Sem persistência. O serviço do farm não controlará as sessões do cliente e as solicitações HTTP ou HTTPS serão entregues gratuitamente a servidores reais.
- IP: endereço do cliente. O endereço IP do cliente será usado para manter abertas as sessões do cliente por meio dos servidores reais.
- BASIC: autenticação básica. O cabeçalho de autenticação básica HTTP será usado para controlar as sessões do cliente. Por exemplo, quando uma página da web solicita uma autenticação básica para o cliente, um cabeçalho HTTP conterá uma string como a seguinte:
HTTP/1.1 401 Authorization Required Server: HTTPd/1.0 Date: Sat, 27 Nov 2011 10:18:15 GMT WWW-Authenticate: Basic realm="Secure Area" Content-Type: text/html Content-Length: 31
Então o cliente responde com o cabeçalho:
GET /private/index.html HTTP/1.1 Host: localhost Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Essa sequência de autenticação básica é usada como um ID para a sessão para identificar a sessão do cliente.
- URL: um parâmetro de solicitação. Quando o ID da sessão é enviado por meio de um parâmetro GET com o URL, será possível usar essa opção, indicando o nome do parâmetro associado ao ID da sessão do cliente. Por exemplo, um pedido do cliente como http://www.example.com/index.php?sid=3a5ebc944f41daa6f849f730f1 deve ser configurado o parâmetro Identificador de Sessão de Persistência:
- PARM: um parâmetro de URI. Outra maneira de identificar uma sessão do cliente é por meio de um parâmetro URI separado de um caractere de ponto-e-vírgula usado como um identificador de sessão do usuário. No exemplo http://www.example.com/private.php;EFD4Y7 o parâmetro será usado como o identificador da sessão.
- COOKIE: um determinado cookie. Além disso, você poderá selecionar uma variável de cookie HTTP para manter a sessão do cliente por meio da opção COOKIE. Um cookie precisa ser criado pelo programador de aplicativos real na página da Web para identificar a sessão do cliente, por exemplo:
GET /spec.html HTTP/1.1 Host: www.example.org Cookie: sessionidexample=75HRSd4356SDBfrte - CABEÇALHO: um determinado cabeçalho de pedido. Um campo personalizado de cabeçalho HTTP pode ser usado para identificar a sessão do cliente. Por exemplo:
GET /index.html HTTP/1.1 Host: www.example.org X-sess: 75HRSd4356SDBfrte
Tempo de permanência da sessão de persistência. Esse valor indica o tempo máximo de vida de uma sessão do cliente inativa (duração máxima da sessão) em segundos.
Identificador de Sessão de Persistência. Este campo é o Parâmetro de URL, biscoito or campo de cabeçalho nome que será analisado pelo serviço do farm e gerenciará a sessão do cliente.
Inserção de Cookie. Se definido, o perfil de farms HTTP Zevenet injetará biscoito em cada resposta com a chave apropriada do backend, para que, mesmo que a tabela de sessão seja esvaziada ou as sessões sejam desabilitadas, o back-end adequado será escolhido. Esse recurso evita alterar o código do servidor real para criar um cookie de sessão.
O Nome do cookie é o nome do cookie que será criado do cliente para o backend. o Caminho do bolinho é o URI ou caminho relativo onde o novo cookie será criado, para todo o domínio o caractere / precisa ser definido. Domínio do cookie é o domínio onde o cookie será criado. Finalmente, Cookie Hora de viver é o número de segundos que o cookie será mantido na memória entre o cliente e o backend. Se esse valor for definido como 0, o cookie expirará quando o navegador for fechado.
Após a configuração do serviço, será necessário atualizar as alterações através do botão verde Atualizar.
Em relação ao Seção de backends, o perfil do farm HTTP permite configurar as seguintes propriedades reais dos servidores:
ID. É o índice que faz referência ao backend na configuração do farm.
IP. O endereço IP do backend fornecido.
PORT. É o valor da porta para o servidor real atual.
TIMEOUT. É o valor específico do tempo limite para um back-end responder. Este valor substitui o global Tempo limite da conexão de back-end parâmetro farm para o backend atual.
PESO. É o valor do peso para o servidor real atual. Mais valor de peso indica mais conexões entregues ao backend atual. Por padrão, um valor de peso de 1 será definido. Os valores disponíveis variam de 1 a 9.
AÇÃO. As ações disponíveis por back-end são:
- Adicionar back-end. Adicione um novo servidor real ao farm.
- Salvar. Salve a nova entrada do servidor real no farm especificado e comece a usá-la.
- Cancelar. Cancele a nova entrada do servidor real.
- Ativar manutenção. Coloque um determinado servidor real no modo de manutenção, portanto, nenhuma nova conexão será redirecionada para ele. Existem dois métodos diferentes para ativar o modo de manutenção:
- Drenar modo. Mantém conexões e persistência estabelecidas, se ativadas, mas não admitem novas conexões.
- Modo de corte. Diretamente descarta todas as conexões ativas contra o backend
- Início. Ative novas conexões para o servidor real novamente após a manutenção ativada.
- Apagar. Exclua o servidor real fornecido do serviço virtual.
- Editar. Modifique um determinado valor do servidor real.
IPDS
Esta seção permite ativar as regras do IPDS. A lista mostra diferentes tipos de proteção e uma caixa de seleção para ativá-los. Para mais informações, por favor, vá para o Lista Negra IPDS, DoS do IPDS or IPDS RBL documentação específica.
O botão de ação permite adicionar uma nova regra como mostrado na próxima imagem. Também permite “Desativar”, “Ativar” ou “Desativar” uma determinada regra. Quando você cancela a definição, uma regra é removida da lista de regras associada ao farm. As ações de habilitar ou desabilitar tornam a regra ativa e em execução ou a interrompe respectivamente.
Depois de adicionar uma nova regra do IPDS, você deve selecionar na lista a regra que deseja aplicar. Por favor dê uma olhada para a próxima imagem:
Após selecionar a regra a ser aplicada, você verá uma tela como a seguinte. Lá aparecerá sua nova regra associada à sua fazenda. Inicialmente, o status da regra é “Down”. Para ativar a regra, você precisa pressionar o triângulo verde "jogar" na coluna Ações. Ele exibirá uma mensagem anunciando que a regra está ativada.
Confira nosso vídeo para saber como é fácil configurar um redirecionamento de HTTPS com o Zevenet.
Próximo passo, usar o Farm Guardian para configuração avançada de verificações de integridade.