AVI Layer 7 Https
AVI对Layer 7 Https的LB支持三种模式:
• HTTPS Off-Load
• HTTPS End-to-End SSL
• SSL Passthrough
HTTPS Off-Load
在这种模式下,流量将在用户终端和SE之间全加密,整个加密过程只有一次,性能会比较好。这种模式也是官方推荐的,平衡了安全,SE 弹性和性能等方面。
上图展示了建立连接的过程,L7的Https负载均衡连接在客户端TCP handshake + SSL Handshake + HTTP request后建立,SE对用户对连接要求采用Http(明文)的方式转发。
配置
首先要上传Server Certificate 或建一个Self-Signed Certificate
配置Virtual Service
选择Advanced Setup
根据系统参数选择红色*部分
注意ssl enable和pool选择/创建
创建pool,注意这里的service port是backend service port。
其他为默认,SAVE
HTTPS End-to-End SSL
在这种模式下,流量将在用户终端和应用之间端到端加密,整个加密过程两次次,安全性最好。
上图展示了建立连接的过程,L7的Https负载均衡连接在客户端TCP handshake + SSL Handshake + HTTP后建立,SE对用户对连接要求采用Https(密文)的方式转发。
配置
注意这里的端口为443,用了系统的SSL profile
Pool的配置要选择https
其他默认,SAVE
SSL Passthrough
SSL Passthrough模式发生在SSL连接不要求加密的情况下,SSL连接从客户端直接连到Pool中的服务器。
现实使用中,当Web应用程序安全性是最重要的问题时,将使用SSLPassthrough模式。
即如果创建的HTTPS VS的系统层4应用程序被分配为第7层HTTP配置文件,则SSL流量将作为直通(第4层)处理,流经NSX ALB,而不会终止加密的流量。
配置
选择Advanced Setup
默认,SAVE
效果
以第二种为例:
以上。