HTTP ファーム プロファイルのグローバル設定 #

このプロファイルは、HTTP プロトコルと HTTPS プロトコルの両方のレイヤー 7 アプリケーション配信でのコンテンツ切り替えを管理します。

その 農場の状況 以下のようにカラーインジケーターを使用して表されます。

• グリーン： 手段 UPファームが実行中で、すべてのバックエンドが稼働しているか、リダイレクトが構成されています。
• レッド： 手段 ダウン農場は停止しています。
• ブラック: を示す CRITICAL ダメージ。ファームは稼働していますが、バックエンドが利用できないか、メンテナンス モードになっています。
• 青: があることを意味します 問題ファームは実行中ですが、少なくとも 1 つのバックエンドがダウンしています。
• オレンジ： 手段 メインテナンス ファームは実行中ですが、少なくとも 1 つのバックエンドがメンテナンス モードになっています。

これらのカラーコードはグラフィカルユーザーインターフェース全体で同じです。これらの色についての簡潔な説明は LSLB 農場セクション.

HTTP(S)ファームプロファイルでは、HTTPヘッダー X-転送-について デフォルトではクライアントの IP アドレスが入力されます。

各HTTP(S)ファーム（または仮想サービス）は、リバースプロキシなどの複数のサービスを管理するため、1つのHTTP仮想IPとポートのペアで、複数の負荷分散Webサービスを処理できます。そのため、と呼ばれるセクションがあります。 サービス HTTP ファームの下で仮想ホストの柔軟性を提供し、各サービスのバックエンドのリストを作成できるようにします。

各 HTTP(S) サービスは、PCRE 内の正規表現 (仮想ホストと URL パターン) の組み合わせを使用して、HTTP ヘッダーが両方に一致するすべての着信接続を管理します。

基本設定 #

以下は、HTTP/S ファーム プロファイルの基本パラメータです。

名前これはファームを簡単に識別できる名前です。特定のファームの名前を変更するには、まずそのファームを停止する必要があります。新しい名前がまだ使用されていないことを確認してください。

仮想IPとポートこれらは、ファームが着信接続をリッスンする仮想 IP アドレスとポートのペアです。新しい IP アドレスとポートの組み合わせは、構成する前に未使用で使用可能である必要があります。

リスナーこのフィールドは、コンテンツスイッチングのためにレイヤー 7 で管理されるプロトコルを指定します。

• HTTP仮想サービスはプレーンな HTTP コンテンツのみを理解します。
• HTTPS仮想サービスは、セキュア HTTP コンテンツを理解し、SSL ハンドシェイクを管理し、セキュアな暗号構成、SSL 証明書 (ワイルドカードまたは SNI) などを処理し、SSL オフロードを実行して、実際のアプリケーション サーバーをこれらの負荷の高いタスクから解放します。

HTTPSパラメータ #

HTTPSパラメータ 以下見つけることができます。

SSLV2を無効にする, SSLV3を無効にする, TLSV1を無効にする, TLSV1.1を無効にする, TLSV1.2を無効にする 選択可能なボタンを選択した場合は、指定されたプロトコルの使用を避けてください。プロトコルが無効になると、その暗号も無効になります。

暗号このフィールドは、SSL 接続で受け入れられる暗号のリストを作成し、その接続を強化するために使用されます。クライアントとサーバーが TLS で保護された情報を交換する前に、データの暗号化に使用する暗号化キーと暗号を安全に交換または合意する必要があります。

使用する暗号を構成するには、次のいずれかのオプションを選択します。

• 全この項目は、すべての暗号が HTTPS リスナーによって管理されることを許可していることを示します。これがデフォルト設定です。
• 高度なセキュリティこのコマンドは、次の暗号を有効にします。

  kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED

  それは通過するのに十分です A+ in SSL研究所 .

• カスタムセキュリティこのコマンドを使用すると、許可する暗号を カスタム暗号 フィールド。
• カスタム暗号これによって、SSL接続で使用できる暗号をカスタマイズできます。これは、 OpenSSL暗号 このコマンドは、 カスタムセキュリティ 設定されています。

利用可能な証明書これらは、デバイスにインストールされている利用可能な SSL 証明書です。 いずれかを有効にするには、証明書を選択して矢印ボタンをクリックするか、証明書を [利用可能] ボックスから [有効] ボックスにドラッグ アンド ドロップします。 複数の証明書またはすべての証明書を有効/無効にすることもできます。

有効な証明書このリストでは、ファームで現在使用されている証明書を管理します。二重の上/下矢印を使用して証明書を一番上または一番下に移動したり、すべて無効にしたりすることもできます。証明書の順序を考慮してください。ホスト証明書の前にワイルドカード証明書を構成すると、ワイルドカードが最初に使用されます。

詳細設定 #

ロケーションヘッダーを書き換える有効にすると、ファームは 所在地 の三脚と コンテンツの場所 クライアントへの応答でヘッダーを生成。バックエンド自体の値またはVIPの値を持つがプロトコルが異なる場合、応答はリクエスト内の仮想ホストを表示するように変更されます。トグルボタン、 有効化してバックエンドを比較する 有効にすると、バックエンド IP アドレスのみが比較されます。これは、HTTP リスナーと同じサーバー上の HTTPS リスナーにリクエストをリダイレクトする際に重要です。このフィールドがサービス セクションで構成されている場合、このディレクティブはそのサービスに対して無視されます。

受け入れられるHTTP動詞このフィールドは、HTTP クライアント要求を検証するために使用される HTTP メソッドを示します。クライアント要求が許可されていない場合は、クライアントにエラーが表示されます。各動詞には、さらに下位レベルの動詞があります。

• 標準HTTPリクエスト標準 HTTP リクエスト (GET、POST、HEAD)。
• + 拡張HTTPリクエスト. 拡張 HTTP リクエスト (PUT、DELETE)。
• + オプション HTTP 動詞. 拡張 HTTP リクエスト (PUT、DELETE)。
• + 標準 WebDAV 動詞標準 WebDAV 動詞 (LOCK、UNLO​​CK、PROPFIND、PROPPATCH、SEARCH、MKCOL、MOVE、COPY、OPTIONS、TRACE、MKACTIVITY、CHECKOUT、MERGE、REPORT)。
• + MS 拡張機能 WebDAV 動詞. MS 拡張 WebDAV 動詞 (SUBSCRIBE、UNSUBSCRIBE、NOTIFY、BPROPFIND、BPROPPATCH、POLL、BMOVE、BCOPY、BDELETE、CONNECT)。
• + MS RPC 拡張動詞. MS RPC 拡張動詞 (RPC_IN_DATA、RPC_OUT_DATA)。

バックエンド接続タイムアウトこの値は、ファームがバックエンドへの接続を待機する必要がある時間を秒単位で示します。通常は、ソケットを開く待機時間になります。デフォルトでは、この値は 20 秒に設定されます。

復活したバックエンドをチェックする頻度これは、ロード バランサがバックエンドが到達可能かどうかを確認し、ブラックリストに登録された実サーバーが稼働している場合はそれを解除するまでの待機頻度です。実サーバーがダウンしているとマークされると、新しいクライアント接続があるかどうかに関係なく、ファームは定期的にバックエンドをチェックします。デフォルトでは、この値は 10 秒に設定されます。

バックエンド応答タイムアウトこの値は、ファームがバックエンドからの応答を待機する必要がある時間を秒単位で示します。デフォルトでは、この値は 45 秒に設定されます。

クライアント要求タイムアウトこの値は、ファームがクライアント要求を待機する必要がある時間を示します。クライアントからデータを取得せずにこのタイムアウトに達すると、接続は終了します。デフォルトでは、この値は 30 秒に設定されます。

HTTP エラー メッセージ #

パーソナライズされたエラー メッセージ。実際のサーバーから Web コード エラーが検出されると、ファーム サービスはサイトにカスタム メッセージを表示します。エラー コード 414、500、501、および 503 の場合、パーソナライズされた HTML ページが表示されます。

• 414: リクエスト URI が長すぎますこれは、URI が許容される最大文字数に達した場合に HTTP/S プロファイルによって表示されるエラー メッセージです。このエラーが表示された場合は、URL の長さを短くしてください。
• 500内部サーバーエラーこれは、バックエンドが予期しないコマンドに遭遇した場合のHTTP/Sプロファイルによるエラーメッセージです。
• 501: 実装されていませんこれは、リクエスト動詞がプロキシまたはバックエンドによって管理または認識されていない場合に、HTTP/S プロファイルによって表示されるエラー メッセージです。
• 503: サービスは利用できませんこれは、プロキシがリクエストに対して利用可能なバックエンドを見つけられない場合に、HTTP/S プロファイルによって表示されるエラー メッセージです。これは、すべてのバックエンドまたはサーバーがダウンしている場合、またはリクエスト内の正規表現が構成されたサービスと一致しない場合に発生する可能性があります。
• WAF 403: 禁止これは、WAF が有効になっていて、WAF エンジンがリクエストを拒否した場合の HTTP/S プロファイルによるエラー メッセージです。

ヘッダ #

このセクションでは、リクエストとレスポンス ヘッダーをグローバルに追加、変更、または削除し、構成されたすべてのサービスにアクションを適用できます。サービス セクションでヘッダーが構成されている場合、その構成は破棄されます。

このセクションで使用するアクションは次のとおりです。

ルールを作成グローバル ヘッダーが作成されます。
削除グローバル ヘッダーが削除されます。

このセクションでは、追加、変更、作成を行うことができます。 ヘッダ 下の画像に示すように、リクエストと応答が表示されます。

タイプ.

• リクエスト: ヘッダーを削除クライアントの HTTP リクエストから削除されるヘッダー パターン。
• リクエスト: ヘッダーの変更クライアントの HTTP リクエストのヘッダーを変更します。
• リクエスト: ヘッダーを追加クライアントの HTTP リクエストに追加されるヘッダー。
• レスポンス: ヘッダーを削除バックエンド HTTP 応答から削除されるヘッダー パターン。
• レスポンス: ヘッダーを変更するバックエンド HTTP 応答のヘッダーを変更します。
• レスポンス: ヘッダーを追加バックエンド HTTP 応答に追加されるヘッダー。

サービス設定 #

HTTPプロファイルを持つLSLBファーム内のサービスは、Web仮想サービスにコンテンツスイッチング機能を提供し、複数のWebサービスとアプリケーションを配信します。 同じ仮想IPとポート。 これは ウェブアプリケーションを統合する 単一のドメインを通じて、 仮想ホストを管理する, URLを管理する, リダイレクトを設定する, サービスごとに永続性とバックエンドを構成するLSLB ファーム内の各サービスには、異なるプロパティ、ヘルス チェック、永続性、ヘッダー管理、およびバックエンド リストがあります。正規表現を使用して、リクエストごとに使用するサービスを指定する条件を一致させることができます。

各サービス一致条件は、HTTP ファーム プロファイル コアによって優先モードでチェックされます (必要に応じて変更できます)。一致するサービスがない場合、ファーム コアはエラー (HTTP エラー 503) を返します。このため、特定の複数サービス定義が許可されます。URL およびホストのフィールドが定義されていない場合、すべての要求が一致します。HTTP サービス条件は、仮想ホストおよび/または URL パターンによって決定されます。

まず、バックエンドを追加するには、少なくとも 1 つのサービスを作成する必要があります。新しいサービスが適用されると、HTTP サービスはリストの上から下へ順に評価されます。ホストおよび/または URL フィールドで最初に一致するサービスがリクエストを処理します。これらのサービス条件は、URL またはホスト パターンによって決定されます。

一致する必要があるサービス条件は次のとおりです。

仮想ホストこのフィールドは、HTTP ファームによって定義された同じ仮想 IP とポートを介してドメイン名によって決定される条件を指定します。この条件を破棄するには、空のままにします。このフィールドは、PCRE 形式の正規表現をサポートします。

URLパターンこのフィールドは、クライアントが要求している URL によって Web サービスを決定します。この URL は、構文的にチェックされる特定の URL パターンを使用してチェックされます。この条件を破棄するには、空のままにします。このフィールドは、PCRE 形式の正規表現をサポートしています。

その 仮想ホスト の三脚と URLパターン 値は正規表現です。空のままにすると、どの値でも一致します。両方のフィールドが一致する必要があります。一致しない場合は、次のサービスに進みます。少なくとも 1 つを使用することをお勧めします。これは、下部で一致が検出されない場合のデフォルトとして機能します。

ロケーションヘッダーを書き換える有効にすると、サービスは強制的に 所在地 の三脚と コンテンツの場所 ヘッダーにバックエンド自体の値またはVIP（ただし異なるプロトコル）の値が含まれている場合、応答はリクエスト内の仮想ホストを表示するように変更されます。トグルボタン 有効化してバックエンドを比較する バックエンドのIPアドレスのみが比較されます。これは、HTTPリスナーと同じサーバー上のHTTPSリスナーにリクエストをリダイレクトするときに重要です。バックエンドの有効化と比較が選択されている場合、 書き換え場所ヘッダーのパスを有効にする が利用可能になります。 URLを書き換えるこの値により、URLレスポンスのチェックが強制され、ルールが設定されている場合はレスポンスが元のものに変更されます。 URLを書き換えるこのフィールドが有効になっている場合、グローバル セクションの同じディレクティブが上書きされます。

負荷分散スケジューラこのフィールドは、バックエンド サーバーを決定するために使用される負荷分散アルゴリズムを指定します。デフォルトでは、重み付けアルゴリズムがデフォルトで選択されたアルゴリズムになります。

• 重量: 重量による接続線形ディスパッチ各バックエンドに割り当てられた重み値に応じて接続のバランスをとります。リクエストは、定義された重みを使用して確率的アルゴリズムで配信されます。
• 最小レスポンス: バックエンドのレスポンスに応じた動的な重みバックエンドのパフォーマンス時間に応じて、バックエンドの重みを動的に再調整します。応答時間が速くなると、実際のサーバーへの接続が増加します。

リダイレクト #

サービスでリダイレクト オプションが有効になっている場合、すべてのリクエストが指定された URL に送信されるため、バックエンド サーバーが使用されない可能性があります。

リダイレクトタイプリダイレクトには 2 つのタイプがあります。 デフォルト の三脚と 追加。 とともに デフォルト タイプの場合、URLはリダイレクト先の絶対ホストとパスとして扱われます。 追加 タイプを指定すると、元のリクエスト パスがホストと指定したパスに追加されます。

リダイレクトURLこのパラメータは、リクエストに応答した後、クライアントがどこにリダイレクトされるかを制御します。クライアントのリクエストは、新しいURLにリダイレクトすることで自動的に応答されます。リダイレクト値を設定すると、 バックエンドを設定しないでください このサービスでは、 仮想ホスト と URLパターン 一致すると、アプライアンスはHTTP ロケーションヘッダー 設定された URL にリダイレクトされるようにクライアントに応答を送信します。

リダイレクトコードリダイレクト HTTP コードとして、301 (恒久的に移動)、302 (一時的に移動)、307 (一時的なリダイレクト) などを使用できます。

固執 #

固執このパラメータは、HTTP サービスがクライアント セッションを管理する方法と、安全なクライアント セッションを維持するためにどの HTTP 接続を制御する必要があるかを定義します。永続セッションの種類を選択すると、その Time To Live TTL (秒) が表示されます。

• 持続性なしファーム サービスはクライアント セッションを制御しません。HTTP または HTTPS 要求は実際のサーバーに配信されます。
• IP: クライアントアドレスクライアント IP アドレスは、実際のサーバーを介してクライアント セッションを開いたままにするために使用されます。
• BASIC: 基本認証HTTP 基本認証ヘッダーは、クライアント セッションを制御するために使用されます。たとえば、Web ページがクライアントから基本認証を要求すると、HTTP ヘッダーには次のような文字列が含まれます。

  		HTTP/1.1 401 認証が必要です サーバー: HTTPd/1.0 日付: 土、27 年 2011 月 10 日 18:15:XNUMX GMT
  		WWW 認証: 基本領域 = "セキュア領域"
  		コンテンツタイプ: text/HTML コンテンツの長さ: 31
  

  次に、クライアントは次のヘッダーで応答します。

                  GET /private/index.html HTTP/1.1 ホスト: localhost
  		認証: 基本 QWxhZGRpbjpvcGVuIHNlc2FtZQ==
  

  この基本認証文字列は、クライアント セッションを識別するためのセッションの ID として使用されます。

• PARM: URIパラメータクライアントセッションを識別する別の方法は、ユーザーセッション識別子として使用されるセミコロン文字で区切られたURIパラメータを使用することです。例では http://www.example.com/private.php;EFD4Y7 パラメータはセッション識別子として使用されます。
• URL: リクエストパラメータセッションIDがURLとともにGETパラメータを介して送信される場合、このパラメータはクライアントセッションIDに関連付けられた名前が使用可能であることを示します。たとえば、次のようなクライアントリクエストは http://www.example.com/index.php?sid=3a5ebc944f41daa6f849f730f1 パラメータを設定する必要があります 永続セッション識別子 (この例ではsid値) 持続セッションの存続時間（TTL）
• クッキー： . HTTPヘッダーから読み取るHTTP Cookie変数を選択し、それを使用して一定時間クライアントセッションを維持できます。 永続セッション識別子 フィールドはプログラマーによって作成され、クライアント セッションを識別するために Web ページに埋め込まれます。例:

                  GET /spec.html HTTP/1.1 ホスト: www.example.org
                  クッキー: sessionidexample=75HRSd4356SDBfrte
  

  さらに、永続セッションの Time To Life (TTL) を構成する必要があります。この値は、クライアントとバックエンドが何もアクティビティをしていないときにロード バランサーが保存する時間を管理します。

• HEADER: リクエストヘッダーHTTP ヘッダーのカスタム フィールドを使用して、クライアント セッションを識別できます。永続セッションの有効期間と永続セッション ID を構成する必要があります。例:

                 GET /index.html HTTP/1.1 ホスト: www.example.org
                 Xセッション: 75HRSd4356SDBfrte
  

ファームガーディアン #

HTTP ファームは基本的なネイティブのバックエンド ヘルス チェックを提供しますが、アプリケーションの正常性を確保するために、よりスマートなヒューリスティック バックエンド ヘルス チェックを行うには Farmguardian 構成が推奨されます。

すでに作成されている farmguardian チェックから、組み込みまたはカスタマイズされた高度なヘルス チェックの一部をこのサービスに割り当てることができます。

ファームガーディアンに関する詳しい情報は モニタリング >> Farmguardian のセクションから無料でダウンロードできます。

ファームガーディアンを選択すると、ファームに自動的に適用されることに注意してください。

HTTPS バックエンドこのチェックボックスは、現在のサービスで定義されているバックエンド サーバーが HTTPS プロトコルを使用していることをファームに示し、データが送信される前に暗号化されます。

バックエンド #

また、 バックエンドHTTP ファーム プロファイルでは、次のプロパティを構成できます。すべてのバックエンドは IPv4 または IPv6 であり、ファーム VIP と同じ IP バージョンである必要があります。

ACTIONSバックエンドを管理するには、次のアクションを使用します。
すでに作成されたバックエンドの場合:

• メンテナンスを有効にするバックエンドが以前に無効になっていた場合は、このアクションを使用します。実サーバーをメンテナンス モードにすると、新しい接続はリダイレクトされなくなります。メンテナンス モードを有効にするには、次の 2 つの方法があります。
  • 排水モード有効になっている場合は確立された接続と永続性を維持しますが、新しい接続は許可しません。
  • カットモードバックエンドに対するすべてのアクティブな接続を切断します
• メンテナンスを無効にするバックエンドがメンテナンス モードのときにこのアクションを使用します。メンテナンス モードを無効にした後、実サーバーへの新しい接続を再度有効にします。
• 削除選択した仮想サービスの構成を削除します。

IP指定されたバックエンドの IP アドレス。
PORT現在の実サーバーのポート番号。
TIMEOUTバックエンドが応答するまでの時間。この値は、グローバル バックエンド接続タイムアウトのパラメータを上書きしますが、選択したこのファームに限定されます。
重量現在の実サーバーの重み値。重みが大きいほど、現在のバックエンドに配信される接続数が多くなります。デフォルトでは、重み値 1 が設定されます。使用可能な値の範囲は 1 ～ 9 です。
PRIORITY現在の実サーバーの優先度の値 (許容値は 1 または 2)。値が小さいほど優先度が高くなり、デフォルト値は 1 であるため、バックエンドは利用可能な場合はいつでも使用されます。優先度 1 のすべてのバックエンドがダウンしているかメンテナンス中の場合は、優先度 2 のバックエンドが有効になり、サービスの可用性が維持されます。現在、優先度 2 のバックエンドは XNUMX つだけ許可されています。

前に説明したのと同じパラメータを設定し、「保存」ボタンをクリックしてバックエンドを作成できます。

スルー メニュー ボタンをクリックすると、選択した 1 つ以上のバックエンドに対して次のアクションを実行できます。
バックエンドを追加します。 このコマンドはバックエンド作成フォームを開きます。
上記のアクション: メンテナンスを有効にする (ドレイン の三脚と カット モード）、 メンテナンスを無効にする の三脚と 削除.

バックエンドフォームを追加します: