LSLB | Fermes | Mise à jour | Profil HTTP

  • Blog
  • LSLB | Fermes | Mise à jour | Profil HTTP

Expérience en matière de fiabilité du site

Voir les catégories

LSLB | Fermes | Mise à jour | Profil HTTP

16 min de lecture

Table des Matières

Paramètres globaux pour le profil de batterie HTTP #

Ce profil gère la commutation de contenu lors de la livraison d'applications de couche 7 pour les protocoles HTTP et HTTPS.

Le Statut de la ferme est représenté à l'aide d'indicateurs de couleur comme décrit ci-dessous :

  • Vert: Veux dire UP. La batterie de serveurs est en cours d'exécution et tous les backends sont UP ou la redirection est configurée.
  • Rouge: Veux dire BAS. La ferme est arrêtée.
  • Noir: Indique une CRITIQUE dégâts. La ferme est UP mais il n'y a pas de backend disponible ou ils sont en mode maintenance.
  • Bleu: Signifie qu'il y a un PROBLÈME. La batterie de serveurs est en cours d'exécution mais au moins un backend est en panne.
  • Orange: Veux dire Entretien. La batterie de serveurs est en cours d'exécution mais au moins un serveur principal est en mode maintenance.

Ces codes de couleur sont les mêmes dans toute l'interface utilisateur graphique. Trouvez une explication concise sur ces couleurs dans le Section Ferme LSLB.

Dans le profil des batteries HTTP (S), l'en-tête HTTP X-Forwarded-For est renseigné par défaut avec l'adresse IP du client.

Chaque ferme HTTP(S) (ou service virtuel) gère plusieurs services comme un proxy inverse. Par conséquent, une paire d'adresses IP et de ports virtuels HTTP peut gérer plusieurs services Web à charge équilibrée. Par conséquent, il y a une section appelée service sous une ferme HTTP pour offrir la flexibilité de l'hôte virtuel et permettre la création d'une liste de backends pour chaque service.

Chaque service HTTP(S) utilise une combinaison d'expressions régulières (pour l'hôte virtuel et le modèle d'URL) dans PCRE pour gérer toutes les connexions entrantes dont l'en-tête HTTP correspond aux deux.

Configuration de base #

Voici les paramètres de base du profil de batterie HTTP/S.

Nom. C'est un nom qui identifie facilement une ferme. Pour changer le nom d'une ferme donnée, vous devez d'abord l'arrêter. Assurez-vous qu'un nouveau nom n'est pas déjà utilisé.

IP virtuel et port. Il s'agit des adresses IP virtuelles et des paires de ports à partir desquelles la batterie écoutera les connexions entrantes. La nouvelle combinaison d'adresse IP et de port doit être inutilisée et disponible avant d'être configurée.

Auditeur. Ce champ spécifie le protocole à gérer au niveau de la couche 7 pour la commutation de contenu.

  • HTTP. Le service virtuel ne comprendra que le contenu HTTP simple.
  • HTTPS. Le service virtuel comprendra le contenu HTTP sécurisé, gérera les poignées de main SSL, gérera les configurations de chiffrement sécurisé, les certificats SSL (wildcard ou SNI), etc., pour effectuer le déchargement SSL et soulager les vrais serveurs d'applications de ces lourdes tâches.

Paramètres HTTPS #

Paramètres HTTPS Vous trouverez ci-dessous.

Paramètres HTTPS

Désactiver SSLV2, Désactiver SSLV3, Désactiver TLSV1, Désactiver TLSV1.1, Désactiver TLSV1.2 boutons sélectionnables si sélectionnés, évitez d'utiliser ces protocoles donnés. Une fois qu'un protocole est désactivé, ses chiffrements seront également désactivés.

chiffrements. Ce champ est utilisé pour construire une liste de chiffrements acceptés par les connexions SSL pour renforcer cette connexion. Avant qu'un client et un serveur puissent commencer à échanger des informations protégées par TLS, ils doivent échanger ou convenir en toute sécurité d'une clé de chiffrement et d'un chiffrement à utiliser lors du chiffrement des données.

Pour configurer un chiffrement à utiliser, sélectionnez l'une des options suivantes.

  • Tous. Cet élément indique que tous les chiffrements peuvent être gérés par le programme d'écoute HTTPS. Ce sont les paramètres par défauts.
  • Haute sécurité. Cette commande active les chiffrements suivants : 
    kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED

    Qui ils seront assez pour passer à travers un A+ in SSL Labs .

  • Sécurité personnalisée. Cette commande permet de définir vos propres chiffrements autorisés via le Chiffres personnalisés champ.
  • Chiffres personnalisés. Cela vous permet de personnaliser les chiffrements qui seront autorisés ou interdits par la connexion SSL. Ce doit être une chaîne dans le même format que dans Chiffres OpenSSL . Cette commande s'affichera si Sécurité personnalisée est réglé.

Certificats disponibles. Il s'agit des certificats SSL disponibles installés sur l'appareil. Pour activer l'un d'entre eux, sélectionnez le certificat et cliquez sur le bouton fléché ou faites-le simplement glisser et déposez-le de la zone Disponible vers la zone Activé. Vous pouvez également activer/désactiver plusieurs certificats ou même tous.

Certificats activés. Dans cette liste, vous allez gérer les certificats actuellement utilisés par la ferme. Vous pouvez les déplacer vers le haut ou vers le bas avec les doubles flèches haut/bas ou même les désactiver tous. Tenir compte de l'ordre des certificats. Si vous configurez un certificat générique avant un certificat hôte, le caractère générique sera utilisé en premier.

paramètres avancés #

Réécrire les en-têtes d'emplacement. Si activé, la ferme est obligée de modifier le Lieu et Content-location en-têtes en réponse aux clients. S'ils ont la valeur du backend lui-même ou du VIP mais avec un protocole différent, la réponse sera modifiée pour afficher l'hôte virtuel dans la requête. Si le bouton bascule, activé et comparer les backends est activé, seule l'adresse IP principale sera comparée. Ceci est essentiel pour rediriger une demande vers un écouteur HTTPS sur le même serveur que l'écouteur HTTP. Si ce champ est configuré dans la section service, cette directive sera ignorée pour ce service.

Verbes HTTP acceptés. Ce champ indique les méthodes HTTP qui seront utilisées pour valider les requêtes client HTTP. Si la demande du client n'est pas autorisée, une erreur sera affichée au client. Chaque verbe a des niveaux inférieurs supplémentaires de verbes.

  • Requête HTTP standard. Requêtes HTTP standard (GET, POST, HEAD).
  • + requête HTTP étendue. requêtes HTTP étendues (PUT, DELETE).
  • + options HTTP verbe. requêtes HTTP étendues (PUT, DELETE).
  • + verbes WebDAV standard. verbes WebDAV standard (VERROUILLER, DÉVERROUILLER, PROPFIND, PROPPATCH, RECHERCHER, MKCOL, DÉPLACER, COPIER, OPTIONS, TRACE, MKACTIVITÉ, DÉPART, FUSION, RAPPORT).
  • + Verbes WebDAV des extensions MS. Extensions MS WebDAV verbes (SUBSCRIBE, UNSUBSCRIBE, NOTIFYER, BPROPFIND, BPROPPATCH, POLL, BMOVE, BCOPY, BDELETE, CONNECT).
  • + Verbes d'extensions MS RPC. Verbes d'extensions MS RPC (RPC_IN_DATA, RPC_OUT_DATA).

Délai de connexion au backend. Cette valeur indique le temps que la batterie devra attendre pour une connexion au backend en secondes. Habituellement, ce sera le temps d'attente d'ouverture du socket. Par défaut, cette valeur sera fixée à 20 secondes.

Fréquence de vérification des backends ressuscités. C'est la fréquence à laquelle l'équilibreur de charge attendra pour vérifier si un backend est accessible et pour sortir un serveur réel sur liste noire s'il est en place. La ferme vérifiera périodiquement le backend une fois que le serveur réel est marqué comme étant en panne, qu'il y ait ou non une nouvelle connexion client. Par défaut, cette valeur sera fixée à 10 secondes.

Délai de réponse du backend. Cette valeur indique le temps que la batterie devra attendre une réponse des backends en secondes. Par défaut, cette valeur sera fixée à 45 secondes.

Délai d'attente de la demande du client. Cette valeur indique le temps que la batterie devra attendre une demande client. Une fois ce délai d'attente atteint sans obtenir de données du client, la connexion sera interrompue. Par défaut, cette valeur sera fixée à 30 secondes.

Messages d'erreur HTTP #

Messages d'erreur personnalisés. Le service de ferme affichera un message personnalisé sur votre site lorsqu'une erreur de code Web est détectée à partir des serveurs réels. Une page HTML personnalisée s'affichera pour les codes d'erreur 414, 500, 501 et 503.

  • 414 : URI de requête trop long. Il s'agit du message d'erreur du profil HTTP/S si l'URI atteint le nombre maximum de caractères autorisés. Si vous recevez cette erreur, réduisez la longueur de l'URL.
  • 500 : Erreur interne du serveur. Ceci est le message d'erreur par le profil HTTP/S si le backend rencontre une commande inattendue
  • 501 : Non implémenté. Il s'agit du message d'erreur du profil HTTP/S si le verbe de requête n'est pas géré ou connu par le proxy ou le backend.
  • 503 Service Indisponible. Il s'agit du message d'erreur du profil HTTP/S si le proxy ne trouve pas de backend disponible pour la requête. Cela peut se produire lorsque tous les backends ou serveurs sont arrêtés, ou parce que l'expression régulière de la requête ne correspond à aucun service configuré.
  • WAF 403 : Interdit. Il s'agit du message d'erreur du profil HTTP/S si le WAF est activé et que le moteur WAF rejette la requête.

En-têtes #

Dans cette section, nous pouvons ajouter, modifier ou supprimer globalement les requêtes et les en-têtes de réponse, en appliquant des actions à tous les services configurés. Si un en-tête est configuré dans la section service, cette configuration sera ignorée.

Les actions à utiliser dans cette section incluent :

Créer une règle. Un en-tête global sera créé.
Supprimer . Un en-tête global sera supprimé.

Cette section nous permet d'ajouter, de modifier ou de créer En-tête demandes et réponses comme indiqué dans l'image ci-dessous.

Type.

  • Demande : supprimer l'en-tête. Modèle d'en-tête qui sera supprimé des requêtes HTTP du client.
  • Demande : modifier l'en-tête. Modifiez l'en-tête des requêtes HTTP du client.
  • Demande : ajouter un en-tête. L'en-tête qui sera ajouté aux requêtes HTTP du client.
  • Réponse : supprimer l'en-tête. Modèle d'en-tête qui sera supprimé de la réponse HTTP Backend.
  • Réponse : modifier l'en-tête. Modifiez l'en-tête de la réponse HTTP Backend.
  • Réponse : ajouter un en-tête. L'en-tête qui sera ajouté à la réponse HTTP Backend.

Paramètres de services #

Les services au sein d'une ferme LSLB avec un profil HTTP fournissent des capacités de commutation de contenu pour les services virtuels Web afin de fournir plusieurs services et applications Web via le même IP virtuel et PORT. Cela aide à unifier les applications web via un seul domaine, gérer les hôtes virtuels, gérer les URL, configurer les redirections, configurer la persistance et les backends par service. Chaque service au sein d'une batterie de serveurs LSLB a des propriétés, des vérifications de l'état, une persistance, une gestion des en-têtes et une liste principale différentes. Des expressions régulières peuvent être utilisées pour faire correspondre des conditions qui spécifieront le service à utiliser par requête.

Chaque condition de correspondance de service sera vérifiée par le cœur du profil de batterie HTTP en mode prioritaire (qui peut être modifié si nécessaire). Si aucun service ne correspond, le noyau de la ferme renverra une erreur (erreur HTTP 503). Pour cette raison, des définitions spécifiques de services multiples sont autorisées. Si les champs URL et Hôte ne sont pas définis, toutes les requêtes correspondront. Les conditions du service HTTP seront déterminées par un hôte virtuel et/ou un modèle d'URL.

Tout d'abord, il est nécessaire que vous créiez au moins un service pour ajouter un backend. Une fois le nouveau service appliqué, les services HTTP seront évalués de haut en bas dans l'ordre de la liste. Le premier service à correspondre dans le champ Hôte et/ou URL traitera la demande. Ces conditions de service sont déterminées par des modèles d'URL ou d'hôte.

Les conditions de service à respecter sont :

hôte virtuel. Ce champ spécifie la condition déterminée par le nom de domaine via la même adresse IP virtuelle et le même port définis par une ferme HTTP. Pour ignorer cette condition, laissez-la vide. Ce champ prend en charge les expressions régulières au format PCRE.

Modèle d'URL. Ce champ détermine un service Web par l'URL via laquelle le client demande. Cette URL sera vérifiée à l'aide d'un modèle d'URL spécifique dont la syntaxe sera vérifiée. Pour ignorer cette condition, laissez-la vide. Ce champ prend en charge les expressions régulières au format PCRE.

Le hôte virtuel et Modèle d'URL les valeurs sont des expressions régulières. Si laissé vide, n'importe quelle valeur correspondra. Les deux champs doivent correspondre ou il passera au service suivant. Il est recommandé d'en utiliser au moins un, servant de valeur par défaut s'il n'y a pas de correspondance détectée en bas.

Réécrire les en-têtes d'emplacement. Si activé, le service est obligé de modifier le Lieu et Content-location en-têtes en réponse aux clients. S'ils ont la valeur du backend lui-même ou du VIP (mais avec un protocole différent), la réponse sera modifiée pour afficher l'hôte virtuel dans la requête. Si le bouton bascule activé et comparer les backends est activé, seule l'adresse IP principale est comparée. Ceci est essentiel lors de la redirection des requêtes vers un écouteur HTTPS sur le même serveur que l'écouteur HTTP. Lorsque l'option Activer et comparer les backends est sélectionnée, un indicateur appelé Activer le chemin pour les en-têtes d'emplacement de réécriture sera disponible. Activez ce drapeau si vous travaillez avec Réécrire les URL. Cette valeur vous obligera à vérifier les réponses URL et remplacera la réponse par l'original si une règle est configurée dans Réécrire les URL. Si ce champ est activé, il remplacera la même directive dans la section globale.

Réorienter #

Si l'option de redirection du service est activée, les serveurs principaux ne peuvent pas être utilisés car toutes les requêtes seront envoyées à l'URL spécifiée.

Type de redirection. Il existe deux types de redirection : Réglage par défaut et Ajouter. Avec le Réglage par défaut type, l'URL est considérée comme un hôte absolu et un chemin vers lequel rediriger. Avec le Ajouter type, le chemin de la demande d'origine sera ajouté à l'hôte et au chemin que vous avez spécifié.

URL de redirection. Ce paramètre contrôle où le client sera redirigé après une réponse à une demande. La demande du client est répondue automatiquement en redirigeant vers une nouvelle URL. Si vous configurez une valeur de redirection, NE configurez PAS les backends dans cette prestation. Si la hôte virtuel et de la Modèle d'URL correspondance, l'appliance enverra un message HTTP En-tête d'emplacement réponse au client pour être redirigé vers l'URL configurée.

Code de redirection. Plusieurs codes HTTP de redirection peuvent être utilisés : 301 (Moved Permanently), 302 (Moved Temporarily) ou 307 (Temporary Redirect).

Persistence #

Persistence. Ce paramètre définit comment le service HTTP gérera la session client et quelle connexion HTTP doit être contrôlée pour maintenir des sessions client sécurisées. Lorsqu'un type de session de persistance est sélectionné, sa durée de vie TTL (secondes) s'affiche.

  • Pas de persistance. Le service de la ferme ne contrôlera pas les sessions client. Les requêtes HTTP ou HTTPS seront livrées à de vrais serveurs.
  • IP: adresse du client. L'adresse IP du client sera utilisée pour garder les sessions client ouvertes via les vrais serveurs.
  • BASIC: authentification de base. L'en-tête d'authentification de base HTTP sera utilisé pour contrôler les sessions client. Par exemple, lorsqu'une page Web demande une authentification de base au client, un en-tête HTTP contiendra une chaîne comme celle-ci : 
    		HTTP/1.1 401 Autorisation requise Serveur : HTTPd/1.0 Date : samedi 27 novembre 2011 10:18:15 GMT
		WWW-Authentification : Basic realm="Secure Area"
		Type de contenu : texte/HTML Longueur du contenu : 31

    Ensuite, le client répond avec l'en-tête:

                    GET /private/index.html Hôte HTTP/1.1 : localhost
		Autorisation : Basique QWxhZGRpbjpvcGVuIHNlc2FtZQ==

    Cette chaîne d'authentification de base est utilisée comme identifiant pour la session afin d'identifier la session client.

  • PARM : un paramètre URI. Une autre façon d'identifier une session client consiste à utiliser un paramètre URI séparé d'un point-virgule utilisé comme identifiant de session utilisateur. Dans l'exemple http://www.example.com/private.php;EFD4Y7 le paramètre sera utilisé comme identifiant de session.
  • URL: un paramètre de requête. Lorsque l'ID de session est envoyé via un paramètre GET avec l'URL, ce paramètre indique que le nom associé à l'ID de session client sera possible. Par exemple, une demande client comme http://www.example.com/index.php?sid=3a5ebc944f41daa6f849f730f1 doit être configuré avec le paramètre Identifiant de session de persistance (valeur sid dans cet exemple) et la durée de vie de la session de persistance (TTL)
  • BISCUIT: . Vous pourrez sélectionner une variable de cookie HTTP à lire à partir des en-têtes HTTP et l'utiliser pour maintenir les sessions client pendant un temps donné. Le nom de cookie configuré dans le identifiant de session de persistance est créé par un programmeur et intégré dans une page Web pour identifier la session client, par exemple : 
                    GET /spec.html Hôte HTTP/1.1 : www.example.org
                Cookie : sessionidexample=75HRSd4356SDBfrte

    De plus, la session de persistance Time To Life (TTL) doit être configurée. Cette valeur gère le temps gagné par l'équilibreur de charge lorsque le client et le backend sont inactifs.

  • HEADER : un en-tête de requête. Un champ personnalisé d'en-tête HTTP peut être utilisé pour identifier la session client. La durée de vie de la session de persistance et l'identifiant de session de persistance doivent être configurés. Par exemple: 
                   GET /index.html Hôte HTTP/1.1 : www.example.org
               X-session : 75HRSd4356SDBfrte

Farmguardian #

Les fermes HTTP fournissent une vérification de l'état de base et native du backend, mais la configuration Farmguardian est recommandée pour des vérifications de l'état heuristiques plus intelligentes du backend afin de garantir que l'application est saine.

Certaines vérifications de l'état avancées ou personnalisées peuvent être attribuées à ce service à partir des vérifications Farmguardian déjà créées.

Pour plus d'informations sur Farmguardian, allez à Surveillance >> Farmguardian .

Notez qu'après avoir sélectionné Farmguardian, il sera automatiquement appliqué à la ferme.

Les backends HTTPS. Cette case à cocher indique à la ferme que les serveurs backends définis dans le service courant utilisent le protocole HTTPS donc les données seront chiffrées avant d'être envoyées.

Backends #

En ce qui concerne la Backends, le profil HTTP de la ferme permet de configurer les propriétés suivantes : Tous les backends doivent être IPv4 ou IPv6, et avec la même version IP que la Farm VIP.

ACTIONS. Utilisez les actions suivantes pour gérer les backends :
Pour les moteurs déjà créés:

  • Activer la maintenance. Utilisez cette action si le backend a été précédemment désactivé. Placer un serveur réel en mode maintenance signifie qu'aucune nouvelle connexion ne sera redirigée vers celui-ci. Il existe deux méthodes pour activer le mode maintenance :
    • Mode vidange. Conserve les connexions établies et la persistance si activé, mais n'admet pas de nouvelles connexions.
    • Mode de coupe. Supprime toutes les connexions actives contre le backend
  • Désactiver la maintenance. Utilisez cette action lorsque le backend est en mode maintenance. Activez à nouveau les nouvelles connexions au serveur réel après avoir désactivé le mode de maintenance.
  • Supprimer . Supprimer les configurations d'un service virtuel sélectionné.

IP. L'adresse IP d'un backend donné.
PORT. Le numéro de port du serveur réel actuel.
TIMEOUT. Le temps qu'un backend met pour répondre. Cette valeur remplace le paramètre du délai d'expiration global de la connexion au backend, mais elle est limitée à la batterie sélectionnée.
POIDS. La valeur de pondération pour le serveur réel actuel. Plus de poids indique plus de connexions livrées au backend actuel. Par défaut, une valeur de poids de 1 sera définie. La plage de valeurs disponible est de 1 à 9.
STATUT. Les valeurs possibles sont :

  • Up. La ferme est en cours d'exécution et le backend est prêt à recevoir des connexions.
  • Vers le bas. La ferme est en cours d'exécution et le service a détecté que le backend ne fonctionne pas
  • Entretien. Le backend est marqué comme n'étant pas prêt à recevoir des connexions par l'administrateur, cette option est utile pour les tâches de maintenance du backend
  • Indéfini. L'état du backend n'a pas été vérifié.

PRIORITÉ. La valeur de priorité pour le serveur réel actuel. Les valeurs inférieures ont plus de priorité. La valeur de priorité de service par défaut est 1. Lorsqu'un backend échoue, la priorité de service est augmentée de 1. Lorsque le backend est à nouveau actif, la valeur de priorité de service est diminuée de 1. Les backends actifs contiennent des valeurs de priorité inférieures ou égales à la priorité de service .
LIMITE DE CONNEXION. Le nombre maximal de connexions simultanées que le backend gérera. Si cette valeur est atteinte, les nouvelles connexions au backend seront bloquées et le client recevra une erreur HTTP 503.

Vous pourrez configurer les mêmes paramètres que ceux décrits précédemment, puis cliquer sur le bouton Enregistrer pour créer le backend.

Grâce à la Action bouton de menu, les actions suivantes sont disponibles pour un ou plusieurs backends sélectionnés :
Ajouter le backend. Cette commande ouvre le formulaire de création du backend.
Les actions citées ci-dessus : Activer la maintenance (Vidanger et Cut/Taille mode), Désactiver la maintenance et Supprimer .

Ajouter un formulaire backend:

📄 Téléchargez ce document au format PDF #

    E-MAIL: *

    Sécurité accrue. Efforts réduits. Succès durable. Meilleurs Docs