Paramètres globaux #

Remarque : Eproxy est une fonctionnalité de pointe et fait l'objet d'un développement intensif. Certaines options avancées seront donc incluses dès que possible.

Le profil Eproxy gère la commutation de contenu au niveau de la couche applicative du modèle OSI. Il prend en charge les protocoles HTTP, HTTPS et HTTP/2, garantissant une gestion efficace du trafic pour les applications web modernes. De plus, il offre une fonctionnalité de redémarrage à chaud, permettant des mises à jour et des modifications de configuration fluides sans perturber les connexions actives.

Dans la partie supérieure droite, nous avons 2 indicateurs. Action boutons et Statut.
Boîte carrée : Lorsque vous cliquez dessus, la ferme LSLB s'arrête.
Bouton Actualiser:Lorsque vous cliquez dessus, la ferme redémarre (s'arrête puis démarre).
Bouton Play: Si la ferme est éteinte ou inactive, elle démarrera lorsque vous cliquerez dessus.

Chacune des couleurs décrites ci-dessous représente le Statut d'un donné Ferme:
Vert: Signifie que la ferme est UP et tous les backends fonctionnent. Cela peut également signifier qu'une redirection est configurée.
Rouge: Signifie que la ferme est BAS ou il n'est pas fonctionnel.
Noir: Indique une CRITIQUE dommage. Se produit généralement lorsqu'une batterie de serveurs est UP mais qu'il n'y a pas de backend disponible, ou qu'elle peut être en mode maintenance.
Bleu: S'affiche lorsqu'il y a un PROBLÈME. La batterie de serveurs peut être en cours d'exécution, mais lorsqu'au moins un backend est en panne.
Orange: Représente Entretien. S'affiche lorsque la batterie de serveurs est en cours d'exécution mais qu'au moins un backend est en mode maintenance.

Ces codes couleur sont cohérents dans toute l’interface utilisateur graphique. Pour une explication concise, reportez-vous au Section Ferme LSLB.

Dans le profil des fermes Eproxy, l'en-tête HTTP X-Forwarded-For est automatiquement renseigné avec l'adresse IP du client.

Actuellement, seul un service par défaut avec hôte virtuel et Modèle de chemin la correspondance est prise en charge.

Configuration de base #

Voici les paramètres de base du profil de la ferme Eproxy.

Nom. C'est un nom qui identifie facilement une ferme. Pour changer le nom d'une ferme donnée, vous devez d'abord l'arrêter. Assurez-vous qu'un nouveau nom n'est pas déjà utilisé.

IP virtuel et port. Il s'agit des adresses IP virtuelles et des paires de ports à partir desquelles la batterie écoutera les connexions entrantes. La nouvelle combinaison d'adresse IP et de port doit être inutilisée et disponible avant d'être configurée.

Auditeur. Ce champ spécifie le protocole de couche 7 pour effectuer la commutation de contenu.

• HTTP. Le service virtuel ne recevra que du contenu HTTP brut.
• HTTPSLe service virtuel recevra du contenu HTTP sécurisé via le protocole ALPN (Application-Layer Protocol Negotiation) HTTP2, gérera les échanges SSL, les configurations de chiffrement sécurisé et les certificats SSL, afin d'effectuer le déchargement SSL. Cela déchargera les serveurs d'applications réels de ces lourdes tâches. Ce mode peut également servir de passerelle HTTP/2 vers HTTP/1.1 et inversement.
• TCPLe service virtuel recevra des données TCP brutes et sera transmis aux backends sous forme de TCP brut ou via SSL si l'option Backends SSL est activée.
• TCP sur SSLLe service virtuel gérera les connexions SSL TCP et les données reçues seront transmises aux backends sous forme de TCP brut ou via SSL si l'option Backends SSL est activée.

Paramètres SSL #

Paramètres SSL Vous trouverez ci-dessous.

Désactiver TLSv1, Désactiver TLSv1.1, Désactiver TLSv1.2, Désactiver TLSv1.3. Chacun de ces boutons bascule active ou désactive la version SSL ou TLS associée. La désactivation de l'un des protocoles n'est pas recommandée car ses chiffrements associés seront également désactivés.

chiffrements. Cette section est l'endroit où nous construisons des listes de chiffrements que nous utilisons pour renforcer une connexion SSL. Avant qu'un client et un serveur ne commencent à échanger des informations protégées par le protocole TLS, ils doivent échanger ou convenir en toute sécurité d'une clé de chiffrement et d'un chiffrement à utiliser lors du chiffrement des données.

Pour configurer un chiffrement à utiliser, sélectionnez l'une des options suivantes.

• Tous. Avec cette commande sélectionnée, la ferme HTTP(S) à l'écoute gérera toutes les suites de chiffrement disponibles. Ce sont les paramètres par défauts.
• Haute sécurité. Cette commande active les chiffrements suivants :

kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED

L'activation de cette option offre une sécurité suffisamment forte pour passer avec un A+ grade en SSL Labs .

• Sécurité personnalisée. Cette commande vous permet de personnaliser vos propres chiffrements via le Chiffrements personnalisés champ.
• Chiffres personnalisés. Cette commande vous permet de personnaliser des chiffrements spécifiques à autoriser ou à interdire lors de l'établissement d'une connexion SSL. Il doit s'agir d'une chaîne au même format que dans Chiffres OpenSSL . Cette commande s'affichera si Sécurité personnalisée est réglé.
• Déchargement matériel SSL AES. Cette option permet aux chiffrements AES d'être déchargés via le matériel si le processeur le permet. Aes drapeau. Cela permettra d'optimiser les performances de la tâche de cryptage/déchiffrement SSL. Testez si cette option est compatible avec votre processeur actuel en exécutant la commande suivante. Si les indicateurs du processeur sont affichés, ils peuvent être utilisés.

root@noid-ee-02:~# grep "flags.* aes" /proc/cpuinfo

Certificats disponibles: Il s'agit des certificats SSL installés sur l'appareil. Pour activer un certificat, sélectionnez-le et cliquez sur la flèche ou faites-le glisser depuis le Disponible boîte à la Les utilisateurs de l’app Smart Spaces avec Google Wallet profitent d’un accès mobile sans contact avec tout lecteur HID® Signo™ compatible NFC. boîte. Vous pouvez également activer/désactiver plusieurs certificats ou tous.

Certificats activés: Cette liste montre les certificats actuellement utilisés par la ferme. Vous pouvez les déplacer vers le haut ou le bas à l’aide des doubles flèches haut/bas ou les désactiver toutes. Notez l'ordre des certificats ; si un certificat générique est placé avant un certificat hôte, le caractère générique sera utilisé en premier.

paramètres avancés #

Journaux : activez ou désactivez les journaux de trafic de la batterie de serveurs pour déboguer et analyser le trafic passant par l'équilibreur de charge.
Expiration du délai de connexion back-end: Cette valeur définit le temps pendant lequel la batterie attendra une connexion au backend, généralement le temps d'attente d'ouverture du socket, en secondes. La valeur par défaut est de 10 secondes.
Délai d'expiration de la réponse du backend: Cette valeur définit le temps pendant lequel la batterie attendra une réponse des backends en secondes. La valeur par défaut est de 30 secondes.
Délai d'expiration de la demande client: Cette valeur définit le temps pendant lequel la batterie attendra la demande d'un client. Si aucune donnée n'est reçue pendant ce délai, la connexion sera interrompue. La valeur par défaut est de 20 secondes.

Paramètres de services #

Fermes Eproxy avec TCP or TCP sur SSL les auditeurs n'autorisent qu'un seul Services. Mais quand HTTP/S les auditeurs sont utilisés, les services au sein de la ferme Eproxy permettent la commutation de contenu pour les services virtuels Web consolidant plusieurs applications Web sous le même IP virtuel et PORT. Cette configuration facilite gestion centralisée des applications web, configurations d'hôte virtuel, Gestion des URL et configurations de persistance et de backend par service. Chaque service d'une batterie LSLB comprend des propriétés pour les vérifications de l'état, la persistance, la gestion des en-têtes et une liste de back-ends. Des expressions régulières peuvent être appliquées pour faire correspondre les conditions qui dictent quel service gère chaque demande.

Le profil de la ferme Eproxy évalue les conditions de correspondance des services en mode prioritaire (modifiable selon les besoins). Si aucun service ne correspond, la ferme renvoie une erreur HTTP 503. Par conséquent, la définition de plusieurs services avec des conditions spécifiques est prise en charge. Les requêtes correspondent aux services en fonction des modèles d'hôte virtuel et/ou d'URL.

Le service par défaut est préchargé et correspond à tous Hôtes virtuels et Modèles de chemin.

Les conditions à remplir sont :

hôte virtuelCette fonctionnalité permet de définir une condition basée sur le nom de domaine utilisant la même adresse IP virtuelle et le même port au sein d'une ferme Eproxy. Si vous souhaitez supprimer cette condition, vous pouvez laisser le champ vide. Expressions régulières dans PCRE formats sont pris en charge dans ce champ.

Modèle d'URL. Le but de ce champ est d'identifier un service Web en fonction du chemin URL demandé par le client. L'URL sera évaluée par rapport à un modèle désigné, garantissant que sa syntaxe est correcte. Si vous souhaitez ignorer cette condition, vous pouvez laisser le champ vide. Expressions régulières dans PCRE formats sont pris en charge dans ce champ, permettant une correspondance de modèles avancée.

Le hôte virtuel et Modèle d'URL les valeurs sont des expressions régulières. Si laissé vide, n'importe quelle valeur correspondra. Les deux champs doivent correspondre ou il passera au service suivant. Il est recommandé d'en utiliser au moins un, servant de valeur par défaut s'il n'y a pas de correspondance détectée en bas.

Persistence #

Ce paramètre définit la manière dont le service HTTP gère les sessions client et contrôle quelles connexions HTTP sont maintenues pour garantir des sessions client stables. Une fois qu'un type de session de persistance est sélectionné, sa durée de vie (TTL) en secondes sera affichée.

Pas de persistance. Cette option permet de transmettre des requêtes HTTP ou HTTPS à de vrais serveurs sans gérer les sessions client.
HEADER : un en-tête de requête. Un champ personnalisé d'en-tête HTTP peut être utilisé pour identifier la session client. La durée de vie de la session de persistance et l'identifiant de session de persistance doivent être configurés. Par exemple:

               GET /index.html Hôte HTTP/1.1 : www.example.org
               X-session : 75HRSd4356SDBfrte

Cookie Insert #

S'il est configuré, l'équilibreur de charge générera un gâteau dans chaque réponse en utilisant la clé backend appropriée. Cela garantit que même si le tableau des sessions est effacé ou si les sessions sont désactivées, le bon backend sera toujours sélectionné. Cette fonctionnalité élimine le besoin de modifier le code réel du serveur pour créer un cookie de session.

Le Nom Cookie spécifie le nom du cookie créé et inclus dans la demande du client ou la réponse du backend. Le Chemin des cookies définit l'URI ou le chemin relatif où le nouveau cookie sera établi. Pour appliquer le cookie sur l'ensemble du domaine, définissez ce champ en conséquence. Le Domaine du cookie indique le domaine dans lequel le cookie sera installé. Enfin, le Cookie TTL indique le nombre de secondes pendant lesquelles le cookie reste actif entre le client et le backend. Cette valeur doit dépasser 0 et elle concerne la durée sans aucune activité. Une fois le temps spécifié écoulé sans activité, la session de persistance associée au cookie expirera.

Backends SSL. Cette case à cocher indique à la batterie de serveurs que les serveurs backend définis dans le service actuel utilisent le protocole TLS afin que les données soient chiffrées avant d'être envoyées.

Backends #

En ce qui concerne la Backends, le profil de la ferme Eproxy permet la configuration des propriétés suivantes : Tous les backends doivent être IPv4 ou IPv6, et avec la même version IP que le VIP de la ferme. Les services backend HTTP/1.1 ou HTTP/2 sont pris en charge.

Ajouter un serveur principal #

Grâce à la Action bouton de menu, les actions suivantes sont disponibles pour un ou plusieurs backends sélectionnés :
Ajouter le backend. Cette commande ouvre le formulaire de création du backend.

Liste back-end #

Action. Utilisez les actions suivantes pour gérer les backends :

• Supprimer . Supprimer les configurations d'un service virtuel sélectionné. L'alias ne sera pas supprimé s'il y en a un.

Alias. Alias ​​de base, si un alias a été sélectionné.
IP. L'adresse IP d'un backend donné.
Port. Le numéro de port du serveur réel actuel.
Temps mort. Le temps qu'un backend met pour répondre. Cette valeur remplace le paramètre du délai d'expiration global de la connexion au backend, mais elle est limitée à la batterie sélectionnée.
Poids. La valeur de pondération pour le serveur réel actuel. Plus de poids indique plus de connexions livrées au backend actuel. Par défaut, une valeur de poids de 1 sera définie. La plage de valeurs disponible est de 1 à 9.
Statut. Les valeurs possibles sont :

• Up. La ferme est en cours d'exécution et le backend est prêt à recevoir des connexions.
• Vers le bas. La ferme est en cours d'exécution et le service a détecté que le backend ne fonctionne pas
• Entretien. Le backend est marqué comme n'étant pas prêt à recevoir des connexions par l'administrateur, cette option est utile pour les tâches de maintenance du backend
• Indéfini. L'état du backend n'a pas été vérifié.

Priorité. La valeur de priorité pour le serveur réel actuel. Les valeurs inférieures ont plus de priorité. La valeur de priorité de service par défaut est 1. Lorsqu'un backend échoue, la priorité de service est augmentée de 1. Lorsque le backend est à nouveau actif, la valeur de priorité de service est diminuée de 1. Les backends actifs contiennent des valeurs de priorité inférieures ou égales à la priorité de service .