Server reali

Nella sezione Real Servers della dashboard sono presenti diverse schede: Server, Basic, Advanced e flightPATH.

Server

La scheda Server contiene le definizioni dei server back-end reali abbinati al Servizio virtuale attualmente selezionato. È necessario aggiungere almeno un server alla sezione Server reali.

Aggiungi server

 Selezionare il VIP appropriato definito in precedenza.

 Fare clic su Aggiungi server

 Viene visualizzata una nuova riga con il cursore lampeggiante sulla colonna Indirizzo IP.

 Inserire l'indirizzo IPv4 del server in notazione decimale punteggiata. Il server reale può trovarsi sulla stessa rete del servizio virtuale, su qualsiasi rete locale collegata direttamente o su qualsiasi rete che l'ADC può instradare. Esempio "10.1.1.1".

 Passare alla colonna Porta e inserire il numero di porta TCP/UDP del server. Il numero di porta può essere lo stesso del numero di porta del servizio virtuale o un altro numero di porta per la connettività proxy inversa. L'ADC tradurrà automaticamente questo numero.

 Passare alla sezione Note per aggiungere qualsiasi dettaglio rilevante per il server. Esempio: "IIS Web Server 1"

Nome del gruppo

Una volta aggiunti i server che compongono il set di bilanciamento del carico, è possibile aggiungere anche il nome del gruppo. Una volta modificato questo campo, il contenuto viene salvato senza dover premere il pulsante Aggiorna.

Spie di stato del server reale

Lo stato di un Real Server è visibile dal colore della luce nella colonna Stato. Vedere sotto:

LED	Significato
?	Collegato
?	Non monitorato
?	Drenaggio
?	Non in linea
?	Standby
?	Non collegato
?	Stato della ricerca
?	Server reali non autorizzati o con licenza superata

Attività

È possibile modificare l'attività di un Real Server in qualsiasi momento utilizzando il menu a discesa. A tale scopo, fare doppio clic su una riga del Real Server per portarla in modalità di modifica.

Opzione	Descrizione
In linea	Tutti i Real Server assegnati online riceveranno il traffico in base alla politica di bilanciamento del carico impostata nella scheda Base.
Drenaggio	Tutti i Real Server assegnati come Drain continueranno a servire le connessioni esistenti, ma non accetteranno nuove connessioni. La spia di stato lampeggia in verde/blu mentre è in corso il drenaggio. Una volta che le connessioni esistenti di si sono chiuse naturalmente, i Real Server andranno offline e l'indicatore di stato sarà blu fisso. È possibile visualizzare queste connessioni anche navigando nella sezione Navigazione > Monitor > Stato. Il comportamento di scarico può essere modificato nella scheda Impostazioni avanzate.
Non in linea	Tutti i Real Server impostati come Offline saranno immediatamente messi offline e non riceveranno alcun traffico.
Standby	Tutti i server reali impostati come Standby rimarranno offline fino a quando TUTTI i server del gruppo Online non supereranno i controlli di Server Health Monitor. In questo caso, il traffico viene ricevuto dal gruppo Standby in base alla politica di bilanciamento del carico. Se un server del gruppo Online supera il controllo dello stato di salute del server, questo server Online riceverà tutto il traffico e il gruppo Standby smetterà di riceverlo.

Indirizzo IP

Questo campo è l'indirizzo IP del Real Server. Esempio "192.168.1.200".

Porto

Numero di porta TCP o UDP su cui il Real Server è in ascolto per il servizio. Esempio "80" per il traffico Web.

Peso

Questa colonna diventa modificabile quando viene specificato un criterio di bilanciamento del carico appropriato.

Il peso predefinito per un Real Server è 100, ma è possibile inserire valori da 1 a 100. Un valore di 100 significa carico massimo, mentre 1 significa carico minimo. Un valore di 100 significa carico massimo e 1 significa carico minimo.

Un esempio per tre server può essere simile a questo:

 Server 1 Peso = 100

 Peso del server 2 = 50

 Server 3 Peso = 50

Se consideriamo che la politica di bilanciamento del carico è impostata su Connessioni minime e che ci sono 200 connessioni client totali;

 Il server 1 riceverà 100 connessioni contemporanee

 Il server 2 riceverà 50 connessioni simultanee

 Il server 3 riceverà 50 connessioni simultanee

Se si utilizza Round Robin come metodo di bilanciamento del carico, che fa ruotare le richieste attraverso l'insieme dei server bilanciati, la modifica dei pesi influisce sulla frequenza con cui i server vengono scelti come destinazione.

Se riteniamo che la politica di bilanciamento del carico più veloce utilizzi il tempo più breve per ottenere una risposta, la regolazione dei pesi altera la polarizzazione in modo simile a quella di Least Connections.

Peso calcolato

Il Peso calcolato di ogni server può essere visualizzato dinamicamente, è calcolato automaticamente e non è modificabile. Il campo mostra la ponderazione effettiva che ADC utilizza quando considera la ponderazione manuale e la politica di bilanciamento del carico.

Monitoraggio del punto finale

Questa funzione consente di specificare particolari endpoint da monitorare e quindi di determinare lo stato di salute della voce Real Server. È possibile lasciare il valore predefinito di "Self", che si affida ai monitor del Real Server specificati per il Virtual Service. In alternativa, è possibile specificare un indirizzo IP, una porta o un indirizzo IP:porta per monitorare un altro endpoint della rete. Ad esempio, un server di database da cui dipendono i servizi.

Note

Inserire nel campo Note qualsiasi nota utile a descrivere la voce definita. Esempio "IIS Server1 - London DC". Questo campo può essere utilizzato per esigenze specifiche nell'ambito delle regole flightPATH e GSLB.

Questa impostazione ha una serie di utilizzi.

Persistenza

Il valore può essere usato insieme al metodo di persistenza basato sull'ID del cookie. Questo metodo è molto simile alla persistenza basata sulla sessione di PHP, ma utilizza una nuova tecnica chiamata Cookie ID Based e cookie RegEx h=[^;]+. Il metodo di persistenza basato sull'ID del cookie utilizza il valore del campo ID per generare un cookie.

flightPATH Uso

È inoltre possibile utilizzare il valore di questo campo per indirizzare il traffico, ecc.

Base

Politica di bilanciamento del carico

L'elenco a discesa mostra i criteri di bilanciamento del carico attualmente supportati e disponibili per l'uso. Di seguito è riportato un elenco dei criteri di bilanciamento del carico, corredato da una spiegazione.

Opzione	Descrizione
Connessioni minime	Il bilanciatore di carico tiene traccia del numero di connessioni correnti a ciascun Real Server. Il Real Server con il minor numero di connessioni riceve la nuova richiesta successiva.
Il più veloce	Il criterio di bilanciamento del carico più veloce calcola automaticamente il tempo di risposta di tutte le richieste per server, livellato nel tempo. La colonna Peso calcolato contiene il valore calcolato automaticamente. L'inserimento manuale è possibile solo quando si utilizza questo criterio di bilanciamento del carico.
Cookie persistente	Layer 7 Affinità/persistenza della sessione La modalità di bilanciamento del carico basata sull'elenco IP viene utilizzata per ogni prima richiesta. L'ADC inserisce un cookie nelle intestazioni della prima risposta HTTP. Successivamente, l'ADC utilizza il cookie del client per instradare il traffico verso lo stesso server back-end. Questo cookie viene utilizzato per la persistenza quando il client deve andare ogni volta allo stesso server back-end. Il cookie scade dopo 2 ore e la connessione viene bilanciata in base a un algoritmo basato su un elenco di IP. Questo tempo di scadenza è configurabile tramite jetPACK.
Round Robin	Round Robin è comunemente utilizzato nei firewall e nei bilanciatori di carico di base ed è il metodo più semplice. Ogni server reale riceve una nuova richiesta in sequenza. Questo metodo è adatto solo quando è necessario bilanciare il carico delle richieste ai server in modo uniforme; un esempio potrebbe essere quello dei server web di ricerca. Tuttavia, quando è necessario bilanciare il carico in base al carico dell'applicazione o al carico del server, o anche per garantire l'utilizzo dello stesso server per la sessione, il metodo Round Robin è inappropriato.
IP Bound	Cookie di Affinità/Persistenza di sessione di livello 3. In questa modalità, l'indirizzo IP del client costituisce la base per selezionare il Real Server che riceverà la richiesta. Questa azione garantisce la persistenza. I protocolli HTTP e Layer 4 possono utilizzare questa modalità. Questo metodo è utile per le reti interne in cui la topologia della rete è nota e si può essere sicuri che non ci siano "super proxy" a monte. Con il Layer 4 e i proxy, tutte le richieste possono sembrare provenienti da un unico client e quindi il carico non sarebbe uniforme. Con HTTP, le informazioni dell'intestazione (X-Forwarder-For) vengono utilizzate quando sono presenti per far fronte ai proxy.
Elenco IP	La connessione al Real Server inizia utilizzando "Least connections", quindi l'affinità di sessione è ottenuta in base all'indirizzo IP del client. Per impostazione predefinita, l'elenco viene mantenuto per 2 ore, ma può essere modificato con un jetPACK.
Elenco IP condiviso basato su	Questo tipo di servizio è disponibile solo quando la modalità di connettività è impostata su Ritorno diretto al server. È stato aggiunto principalmente per il supporto del bilanciamento del carico VMware.
Cookie persistente	Layer 7 Affinità/persistenza della sessione La modalità di bilanciamento del carico basata sull'elenco IP viene utilizzata per ogni prima richiesta. L'ADC inserisce un cookie nelle intestazioni della prima risposta HTTP. Successivamente, l'ADC utilizza il cookie del client per instradare il traffico verso lo stesso server back-end. Questo cookie viene utilizzato per la persistenza quando il client deve andare ogni volta allo stesso server back-end. Il cookie scade dopo 2 ore e la connessione viene bilanciata in base a un algoritmo basato su un elenco di IP. Questo tempo di scadenza è configurabile tramite jetPACK.
Cookie di sessione ASP classico	Active Server Pages (ASP) è una tecnologia lato server di Microsoft. Con questa opzione selezionata, l'ADC manterrà la persistenza della sessione sullo stesso server se un cookie ASP viene rilevato e trovato nell'elenco dei cookie conosciuti. Quando viene rilevato un nuovo cookie ASP, il carico viene bilanciato utilizzando l'algoritmo Least Connections.
Cookie di sessione ASP.NET	Questa modalità si applica ad ASP.net. Con questa modalità selezionata, l'ADC manterrà la persistenza della sessione sullo stesso server se un cookie ASP.NET viene rilevato e trovato nel suo elenco di cookie conosciuti. Quando viene rilevato un nuovo cookie ASP, il carico viene bilanciato utilizzando l'algoritmo Least Connections.
Cookie di sessione JSP	Java Server Pages (JSP) è una tecnologia lato server di Oracle. Con questa modalità selezionata, l'ADC manterrà la persistenza della sessione sullo stesso server se un cookie JSP viene rilevato e trovato nell'elenco dei cookie conosciuti. Quando viene rilevato un nuovo cookie JSP, il carico viene bilanciato utilizzando l'algoritmo Least Connections.
Cookie di sessione JAX-WS	I servizi web Java (JAX-WS) sono una tecnologia lato server di Oracle. Con questa modalità selezionata, l'ADC manterrà la persistenza della sessione sullo stesso server se un cookie JAX-WS viene rilevato e trovato nel suo elenco di cookie conosciuti. Quando viene rilevato un nuovo cookie JAX-WS, il carico viene bilanciato utilizzando l'algoritmo Least Connections.
Cookie di sessione PHP	Personal Home Page (PHP) è una tecnologia open-source sul lato server. Selezionando questa modalità, l'ADC manterrà la persistenza della sessione sullo stesso server quando viene rilevato un cookie PHP.
Persistenza dei cookie RDP	Questo metodo di bilanciamento del carico utilizza il cookie RDP creato da Microsoft e basato su nome utente/dominio per fornire persistenza a un server. Il vantaggio di questo metodo è che la connessione al server può essere mantenuta anche se l'indirizzo IP del client cambia.
Basato su cookie-ID	Un nuovo metodo molto simile a "PhpCookieBased" e ad altri metodi di bilanciamento del carico, ma che utilizza CookieIDBased e cookie RegEx h=[^;]+ Questo metodo utilizzerà il valore impostato nel campo note del Real Server "ID=X;" come valore del cookie per identificare il server. Si tratta quindi di una metodologia simile a CookieListBased, ma utilizza un nome di cookie diverso e memorizza un valore di cookie univoco, non l'IP criptato, ma l'ID del server reale (letto al momento del caricamento). Il valore predefinito è CookieIDName="h"; tuttavia, se esiste un valore di override nella configurazione delle impostazioni avanzate del server virtuale, utilizzare questo valore. NOTA: se questo valore è impostato, sovrascriviamo l'espressione del cookie di cui sopra per sostituire h= con il nuovo valore. L'ultimo punto è che se arriva un valore di cookie sconosciuto che corrisponde a uno degli ID del server reale, si deve selezionare quel server; altrimenti, si usa il metodo successivo (delegare).

Monitoraggio del server

L'ADC contiene diversi metodi di monitoraggio del Real Server predefiniti.

Scegliere il metodo di monitoraggio che si desidera applicare al servizio virtuale (VIP)

È essenziale scegliere il monitor giusto per il servizio. Ad esempio, se il Real Server è un server RDP, il monitor 200OK non è rilevante. Allo stesso modo, anche la scelta di Connessione TCP e 200OK non ha senso, poiché è necessaria una connessione TCP funzionante per far funzionare 200OK. Se non si è sicuri di quale monitor scegliere, quello predefinito TCP Connection è un ottimo punto di partenza

È possibile scegliere più monitor facendo clic su ciascun monitor che desidera applicare al servizio. I monitor selezionati vengono eseguiti nell'ordine in cui stati selezionati; quindi si con i monitor dei livelli inferiori. Ad esempio, impostando i monitor Ping/ICMP Echo, TCP Connection e 200OK, gli eventi della dashboard verranno visualizzati come nell'immagine seguente:

Se osserviamo la riga superiore, possiamo notare che il Layer 3 Ping e il Layer 4 TCP Connect hanno avuto successo, ma il Layer 7 200OK è fallito. Questi risultati del monitoraggio forniscono informazioni sufficienti per indicare che il routing è corretto e che c'è un servizio in esecuzione sulla porta pertinente, ma sito web non risponde correttamente alla pagina richiesta. È ora il momento di esaminare il webserver e la sezione Libreria > Monitor del server reale per vedere i dettagli del monitor fallito.

Opzione	Descrizione
Nessuno	In questa modalità, il Real Server non viene monitorato ed è sempre attivo e funzionante correttamente. L'impostazione Nessuno è utile per le situazioni in cui il monitoraggio disturba un server e per i servizi che non dovrebbero partecipare all'azione di fail-over dell'ADC. È un modo per ospitare sistemi inaffidabili o legacy che non sono primari per le operazioni H/A. Utilizzare questo metodo di monitoraggio con qualsiasi tipo di servizio.
Eco Ping/ICMP	In questa modalità, l'ADC invia una richiesta di echo ICMP all'IP del server di contenuti. Se viene ricevuta una risposta echo valida, l'ADC considera il Real Server attivo e funzionante e il traffico verso il server continua. Inoltre, manterrà il servizio disponibile su una coppia H/A. Questo metodo di monitoraggio è utilizzabile con qualsiasi tipo di servizio.
Connessione TCP	In questa modalità, viene stabilita una connessione TCP al Real Server, che viene immediatamente interrotta senza inviare alcun dato. Se la connessione riesce, l'ADC ritiene che il Real Server sia attivo e funzionante. Questo metodo di monitoraggio è utilizzabile con qualsiasi tipo di servizio; attualmente i servizi UDP non sono adatti al monitoraggio della connessione TCP.
ICMP non raggiungibile	L'ADC invia un controllo dello stato di salute UDP al server e contrassegna il Real Server come non disponibile se riceve un messaggio ICMP di porta non raggiungibile. Questo metodo può essere utile quando è necessario verificare se una porta di servizio UDP è disponibile su un server, come la porta 53 del DNS.
PSR	In questa modalità, una connessione TCP viene inizializzata come spiegato nel metodo ICMP Unreachable. Dopo l'inizializzazione della connessione, viene richiesta una connessione RDP Layer 7. Se il collegamento viene confermato, l'ADC considera il Real Server funzionante. Se il collegamento viene confermato, l'ADC ritiene che il Real Server sia attivo e funzionante. Questo metodo di monitoraggio è utilizzabile con qualsiasi terminal server Microsoft.
200 OK	In questo metodo, viene inizializzata una connessione TCP al Real Server. Dopo che la connessione è riuscita, l'ADC invia al Real Server una richiesta HTTP. Si attende una risposta HTTP e si controlla il codice di risposta "200 OK". L'ADC considera il Real Server attivo e funzionante se riceve il codice di risposta "200 OK". Se l'ADC non riceve un codice di risposta "200 OK" per qualsiasi motivo, compresi i timeout, la mancata connessione e altri motivi, l'ADC considera il Real Server non disponibile. Questo metodo di monitoraggio è valido solo per i tipi di servizio HTTP e HTTP accelerato. Se si utilizza un tipo di servizio Layer 4 per un server HTTP, è possibile utilizzarlo se SSL non è in uso sul Real Server o è gestito in modo appropriato dalla funzione "Content SSL".
DICOM	Viene inizializzata una connessione TCP al Real Server in modalità DICOM e al momento della connessione viene effettuata una "Richiesta di associazione" di Echoscu al Real Server. Una conversazione che include un "Associate Accept" dal server dei contenuti, un trasferimento di una piccola quantità di dati seguito da un "Release Request" e da un "Release Response" conclude con successo il monitor. Se il monitoraggio non si conclude con successo, il Real Server viene considerato inattivo per qualsiasi motivo.
Definito dall'utente	Qualsiasi monitor configurato nella sezione Monitoraggio del server reale apparirà nell'elenco.

Strategia di caching

Per impostazione predefinita, la Strategia di caching è disattivata e impostata su Off. Se il tipo di servizio è HTTP, è possibile applicare due tipi di strategia di caching.

Per configurare le impostazioni dettagliate della cache, consultare la pagina Configura cache. Si noti che quando la cache viene applicata a un VIP con il tipo di servizio "HTTP" accelerato, gli oggetti compressi non vengono memorizzati nella cache.

Opzione	Descrizione
Da parte di Host	La cache per host si basa sull'applicazione per nome di host. Per ogni dominio/nome host esiste una cache separata. Questa modalità è ideale per i server web che possono servire più siti web a seconda del dominio.
Per Servizio Virtuale	La cache per servizio virtuale è disponibile quando si sceglie questa opzione. Esisterà una sola cache per tutti i domini/nomi di host che passano attraverso il servizio virtuale. Questa opzione è un'impostazione specializzata per l'uso con più cloni di un singolo sito.

Accelerazione

Opzione	Descrizione
Spento	Disattivare la compressione per il servizio virtuale
Compressione	Se selezionata, questa opzione attiva la compressione per il servizio virtuale selezionato. L'ADC comprime dinamicamente il flusso di dati al client su richiesta. Questo processo si applica solo agli oggetti che contengono l'intestazione content-encoding: gzip. Un esempio di contenuto è HTML, CSS o JavaScript. È inoltre possibile escludere alcuni tipi di contenuto utilizzando la sezione Esclusioni globali.

Nota: Se l'oggetto è memorizzabile nella cache, l'ADC memorizzerà una versione compressa e la servirà staticamente (dalla memoria) finché il contenuto non scade e viene riconvalidato.

Certificato SSL del servizio virtuale (crittografia tra il client e l'ADC)

L'impostazione predefinita è Nessun SSL. Se il tipo di servizio è "HTTP", è possibile selezionare un certificato dall'elenco a discesa da applicare al servizio virtuale. I certificati creati o importati appariranno in questo elenco.

È anche possibile evidenziare più certificati da applicare a un servizio. Questa operazione abilita automaticamente l'estensione SNI a consentire un certificato basato sul "Nome di dominio" richiesto dal client.

Opzione	Descrizione
No SSL	Il traffico dalla sorgente all'ADC non è crittografato.
Tutti	Carica tutti i certificati disponibili per l'uso
Predefinito	Questa opzione comporta l'applicazione di un certificato creato localmente chiamato "Default" al lato browser del canale. Utilizzare questa opzione per testare l'SSL quando non è stato creato o importato.

Certificato SSL del Real Server (crittografia tra l'ADC e il Real Server)

L'impostazione predefinita per questa opzione è No SSL. Se il server richiede una connessione crittografata, questo valore deve essere diverso da Nessun SSL. I certificati creati o importati appariranno in questo elenco.

Opzione	Descrizione
No SSL	Il traffico dall'ADC al Real Server non è criptato. La selezione di un certificato sul lato browser significa che "No SSL" può essere scelto sul lato client per fornire il cosiddetto "SSL Offload".
Qualsiasi	L'ADC agisce come client e accetta qualsiasi certificato presentato dal Real Server. Il traffico dall'ADC al Real Server è crittografato quando si seleziona questa opzione. Utilizzare l'opzione "Qualsiasi" quando viene specificato un certificato sul lato del servizio virtuale, per ottenere il cosiddetto "SSL Bridging" o "SSL Re-Encryption".
SNI	SNI, o Server Name Indication, è un'estensione del protocollo di rete TLS che consente al client di indicare il nome dell'host a cui sta tentando di connettersi all'inizio del processo di handshaking . Questa impostazione consente all'ADC di presentare più certificati sullo stesso indirizzo IP virtuale e sulla stessa porta TCP.
Predefinito	I certificati autofirmati generati appaiono qui.

Avanzato

Connettività

Il vostro servizio virtuale è configurabile con diversi tipi di connettività. Selezionare la modalità di connettività da applicare al servizio.

Opzione	Descrizione
Proxy inverso	Reverse Proxy è il valore predefinito e utilizza la compressione e la cache quando viene usato con il Layer 7. Al livello 4, il reverse proxy funziona senza cache o compressione. In questa modalità, l'ADC agisce come reverse proxy e diventa l'indirizzo sorgente visto dai Real Server.
Ritorno diretto del server	Il Direct Server Return o DSR, noto anche come DR - Direct Routing, consente al server dietro il bilanciatore di carico di rispondere direttamente al client, bypassando l'ADC sulla risposta. Il DSR è adatto solo per l'uso con il bilanciamento del carico di livello 4. Pertanto, la cache e la compressione non sono disponibili con il DSR. Pertanto, la cache e la compressione non sono disponibili con questa opzione. Questa modalità può essere utilizzata solo con i tipi di servizio TCP, UDP e TCP/UDP. I criteri di persistenza del bilanciamento del carico sono inoltre limitati a Connessioni minime, Elenco IP condiviso, Round Robin e Elenco IP. L'utilizzo di DSR richiede anche l'esecuzione di modifiche al Real Server. Consultare la sezione Modifiche al Real Server.
NAT	Per impostazione predefinita, l'ADC utilizza l'indirizzo IP dell'ADC come indirizzo IP di origine e i Real Server inviano la risposta all'ADC per restituirla al Cliente. Questo va bene in quasi tutte le circostanze, ma ci sono scenari in cui il Real Server ha bisogno di vedere l'indirizzo IP di origine del Client e non dell'ADC. Quando si applica la modalità NAT, l'ADC riceve la richiesta in entrata e la invia al Real Server dopo aver modificato l'indirizzo IP di origine in quello del Virtual Service (indirizzo VIP). Questa modalità può essere utilizzata solo con i seguenti criteri di bilanciamento del carico:
Porta d'ingresso	La modalità gateway consente di instradare tutto il traffico attraverso l'ADC, permettendo ai Real Server di essere instradati attraverso l'ADC verso altre reti tramite i servizi virtuali o le interfacce hardware dell'ADC. L'uso del dispositivo come gateway per i Real Server è ideale quando si opera in modalità multi-interfaccia. I criteri di persistenza del bilanciamento del carico sono inoltre limitati a Connessioni minime, Elenco IP condiviso, Round Robin e Elenco IP. Questo metodo richiede che il Real Server imposti il suo gateway predefinito sull'indirizzo dell'interfaccia locale dell'ADC (eth0, eth1, ecc.). Consultare la sezione Modifiche del Real Server. Si noti che la modalità Gateway non supporta il failover in un ambiente cluster.

Opzioni di cifratura

I cifrari costituiscono la base della crittografia SSL e sono estremamente importanti per il successo e la sicurezza della distribuzione di contenuti e applicazioni web.

L'ADC contiene un set integrato di cifrari predefiniti, che comprende i più aggiornati e sicuri disponibili per l'uso.

In alcuni casi, l'utente desidera annunciare la disponibilità di un particolare insieme di cifrari; l'ADC consente di creare tali cifrari tramite i jetPACK scritti dall'utente. I jetPACK scritti dagli utenti possono essere importati nell'ADC tramite Configurazione > Software, quindi resi disponibili per la scelta tramite il menu Opzioni cifratura.

Le opzioni di cifratura sono specifiche per ogni VIP e garantiscono un'elevata flessibilità e sicurezza.

Per ulteriori informazioni sulle opzioni di cifratura, vedere: Cifrario

Rinegoziazione SSL del client

Selezionare questa casella se si desidera consentire la rinegoziazione SSL avviata dal client. Disattivare la rinegoziazione SSL del client per prevenire eventuali attacchi DDOS contro il livello SSL, deselezionando questa opzione.

Ripresa SSL del cliente

Spuntare questa casella se si desidera abilitare le sessioni SSL Resumption Server aggiunte alla cache di sessione. Quando un client propone il riutilizzo di una sessione, il server cercherà di riutilizzare la sessione, se trovata. Se la casella Ripresa è deselezionata, non viene eseguita la cache di sessione per il client o il server.

Certificato predefinito SNI

Durante una connessione SSL con l'SNI lato client abilitato, se il dominio richiesto non corrisponde a nessuno dei certificati assegnati al servizio, l'ADC presenterà il certificato predefinito SNI. L'impostazione predefinita è Nessuno, che di fatto interrompe la connessione se non c'è una corrispondenza esatta. Scegliere uno qualsiasi dei certificati installati dall'elenco a discesa da presentare nel caso in cui non ci sia una corrispondenza esatta con il certificato SSL.

Il protocollo proxy

Il protocollo Proxy è stato progettato per consentire ai proxy di rete di inoltrare le informazioni sulla connessione del client (come l'indirizzo IP di origine e il numero di porta) al server ricevente. Questo protocollo è particolarmente utile negli scenari in cui l'indirizzo IP effettivo dell'utente finale deve essere conservato mentre il traffico viene instradato attraverso un bilanciatore di carico o un reverse proxy. Aiuta a mantenere l'IP di origine del client per scopi di registrazione, statistica o sicurezza, migliorando la capacità di prendere decisioni informate basate sulla vera origine del traffico.

Intestazione proxy del client

L'intestazione Client Proxy si riferisce a un'intestazione aggiunta alla richiesta del client dall'ADC, che incapsula le informazioni di connessione originali (come l'indirizzo IP e la porta del client). Questo è fondamentale negli ambienti in cui l'ADC funge da proxy e il server ha bisogno di conoscere i dettagli originali del client per scopi quali la registrazione, la valutazione della sicurezza e il mantenimento del comportamento specifico del client. L'intestazione Client Proxy garantisce che, nonostante il ruolo di intermediario dell'ADC, il server possa identificare con precisione e interagire con i dati di connessione originali del client.

Le opzioni includono:

Opzione	Descrizione
Nessuno	Quando non c'è un'intestazione Proxy o non è supportata dal tipo di servizio corrente.
Rimuovere	Rimuove l'intestazione Proxy dal pacchetto TCP.
In avanti	Inoltra l'intestazione Proxy al server

Intestazione proxy del server

Esistono due versioni di Server Proxy Headers: Versione 1 e Versione 2.

Opzione	Descrizione
Versione 1	 Formato basato sul testo, facile da implementare e da debuggare.  Fornisce informazioni di base sulla connessione del client, tra cui IP di origine, IP di destinazione, porta di origine e porta di destinazione.  La linea di protocollo viene aggiunta all'inizio della connessione TCP, rendendola leggibile all'uomo ma leggermente meno efficiente in termini di prestazioni rispetto ai formati binari.
Versione 2	 Formato binario, progettato per migliorare le prestazioni e l'efficienza.  Estende le informazioni che possono essere trasmesse sulla connessione, supportando dati aggiuntivi come la famiglia di indirizzi e le informazioni specifiche del protocollo.  Garantisce una migliore compatibilità con i moderni protocolli e funzionalità di rete, compreso il supporto per IPv6 e i protocolli di trasporto oltre il TCP.

Le opzioni Intestazione proxy del client e Intestazione proxy del server sono disponibili solo per i tipi di servizio HTTP Layer 4 e Layer 7.

Indirizzo sorgente del server reale

Questa impostazione funziona insieme a Reverse Proxy e ai servizi Layer 4 TCP, Layer 4 UDP o HTTP(S). L'impostazione offre tre opzioni tra cui scegliere.

Opzione	Descrizione
IP di base (predefinito)	Utilizza l'indirizzo eth0 o IP di base dell'ADC come IP di origine della richiesta.
IP virtuale	Utilizza l'IP virtuale del servizio.
<indirizzo IP>	Consente di specificare un indirizzo IP che fa parte dell'ADC. Potrebbe trattarsi di un'interfaccia di rete diversa o di un VIP diverso.

Registro di sicurezza

'On' è il valore predefinito e si basa su una base per servizio, abilitando il servizio di registrazione delle informazioni di autenticazione nei log W3C. Facendo clic sull'icona dell'ingranaggio si accede alla pagina Sistema > Registrazione, dove è possibile controllare le impostazioni della registrazione W3C.

Massimo. Connessioni

Limita il numero di connessioni simultanee al Real Server ed è impostato per ogni servizio. Ad esempio, se si configura questo limite a 1000 e si hanno due Real Server, l'ADC limita ogni Real Server a 1000 connessioni simultanee. Si può anche scegliere di presentare una pagina "Server troppo occupato" una volta raggiunto questo limite su tutti i server, aiutando gli utenti a capire il motivo di una mancata risposta o di un ritardo. Lasciare vuoto questo campo per avere connessioni illimitate. L'impostazione dipende dalle risorse del sistema.

Timeout della connessione

Il timeout predefinito della connessione è di 600 secondi o 10 minuti. Questa impostazione regola il tempo di timeout della connessione in caso di assenza di attività. Ridurre questo valore per il traffico web stateless di breve durata, che in genere è di 90 minuti o meno. Aumentare questo valore per le connessioni statiche, come RDP, fino a 7200 secondi (2 ore) o più, a seconda dell'infrastruttura. L'esempio del timeout RDP significa che se un utente ha un periodo di inattività di 2 ore o meno, le connessioni rimarranno aperte.

Timeout di persistenza

L'impostazione del timeout di persistenza nei bilanciatori di carico specifica la durata per cui un bilanciatore di carico mantiene le informazioni di sessione per un client. Ciò garantisce che le richieste successive dello stesso client siano dirette allo stesso server backend, promuovendo la coerenza della sessione e la comunicazione statica. Una volta trascorso il periodo di timeout specificato senza ulteriori attività del client, le informazioni di sessione vengono scartate e le nuove richieste possono essere indirizzate a un server diverso.

Intervallo di monitoraggio

L'intervallo è il tempo in secondi tra i monitor. L'intervallo predefinito è di 1 secondo. Sebbene 1 secondo sia accettabile per la maggior parte delle applicazioni, può essere utile aumentarlo per altre o durante i test.

Timeout di monitoraggio

Il valore di timeout è il tempo in cui l'ADC attende che il server risponda a una richiesta di connessione. Il valore predefinito è 2s. Aumentare questo valore per i server occupati.

Monitoraggio nel conteggio

Il valore predefinito per questa impostazione è 2. Il valore 2 indica che il Real Server deve superare due controlli di monitoraggio dello stato di salute prima di essere online. Aumentando questo valore si aumenta la probabilità che il server possa servire il traffico, ma ci vorrà più tempo per entrare in servizio, a seconda dell'intervallo. Diminuendo questo valore, il server entrerà in servizio prima.

Monitoraggio del conteggio delle uscite

Il valore predefinito per questa impostazione è 3, il che significa che il monitor del Real Server deve fallire tre volte prima che l'ADC smetta di inviare traffico al server, che viene contrassegnato come ROSSO e irraggiungibile. Aumentando questo valore si otterrà un servizio migliore e più affidabile, a scapito del tempo necessario all'ADC per interrompere l'invio di traffico a questo server.

Monitoraggio del regno KCD

Questa impostazione consente di abilitare il monitoraggio del Kerberos Constrained Delegation Realm impostato nelle definizioni di Kerberos. Vedere Autenticazione > Kerberos.

Comportamento di scarico

Quando un Real Server viene messo in modalità Drain, è sempre meglio poter controllare il comportamento del traffico che gli viene inviato. Il menu Comportamento di scarico consente di selezionare il comportamento del traffico per ogni servizio virtuale. Le opzioni sono:

Opzione	Descrizione
Persistenza guidata	Questa è la selezione predefinita. Ogni volta che l'utente visita la sessione di persistenza, questa viene estesa. Con un utilizzo di 24 ore, è possibile che lo scarico non avvenga mai. Tuttavia, se il numero di connessioni al server reale raggiunge lo 0, il drenaggio termina, le sessioni di persistenza vengono eliminate e tutti i visitatori vengono ribilanciati alla prossima connessione.
Migrare i visitatori	Sessione persistente ignorata alla nuova connessione (comportamento precedente al 2022) Le nuove connessioni TCP (che facciano parte o meno di una sessione esistente) vengono sempre effettuate a un server reale online. Se la sessione di persistenza era a un server reale in esaurimento, viene sovrascritta. Il servizio virtuale ignorerà di fatto la persistenza delle nuove connessioni, che saranno bilanciate su un nuovo server.
Sessioni di pensionamento	Sessioni persistenti non estese. Le connessioni degli utenti in arrivo vengono assegnate al server desiderato, ma la loro sessione di persistenza non viene estesa. Pertanto, una volta superata la durata della sessione di persistenza, saranno trattate come nuove connessioni e spostate su un altro server.

Passa alla modalità offline in caso di guasto

Quando questa opzione è selezionata, i Real Server che non superano il controllo dello stato di salute vengono messi offline e possono essere rimessi in linea solo manualmente.

voloPATH

flightPATH è una tecnologia di gestione del traffico progettata da Edgenexus e disponibile esclusivamente all'interno dell'ADC. A differenza dei motori basati su regole di altri fornitori, flightPATH non opera attraverso una riga di comando o una console di immissione di script. Utilizza invece un'interfaccia grafica per selezionare i diversi parametri, le condizioni e le azioni da eseguire per raggiungere gli obiettivi desiderati. Queste caratteristiche rendono flightPATH estremamente potente e consentono agli amministratori di rete di manipolare il traffico HTTPS in modo estremamente efficace.

flightPATH è disponibile solo per le connessioni HTTPS e questa sezione non è visibile quando il tipo di servizio virtuale non è HTTP.

Come si può vedere dall'immagine qui sopra, a sinistra c'è un elenco di regole disponibili e a destra le regole applicate al servizio virtuale.

Applicare una regola disponibile trascinandola dal lato sinistro a quello destro, oppure evidenziando una regola e facendo clic sulla freccia destra per spostarla sul lato destro.

L'ordine di esecuzione è essenziale e inizia con la regola superiore eseguita per prima. Per modificare l'ordine di esecuzione, evidenziare la regola e spostarsi verso l'alto e verso il basso utilizzando le frecce.

È importante capire che le regole del flightPATH in questa sezione dell'ADC funzionano su base booleana OR, mentre le condizioni e le azioni nell'area di definizione del flightPATH funzionano su base AND.

Per rimuovere una regola, trascinarla e rilasciarla nell'inventario delle regole a sinistra oppure evidenziarla e fare clic sulla freccia a sinistra.

È possibile aggiungere, rimuovere e modificare le regole flightPATH nella sezione Configurazione di flightPATH di questa guida.