ADC

SSL 服务监视

NetScaler 设备内置了安全监视器、TCPS 和 HTTPS。您可以使用安全监视器监视 HTTP 和非 HTTP 流量。要配置安全 HTTP 监视器,请将监视器类型选择为 HTTP,然后设置安全标志。要配置安全 TCP 监视器,请将监视器类型选择为 TCP,然后设置安全标志。安全监视器的工作原理如下:

  • 安全 TCP 监视。NetScaler 设备建立 TCP 连接。建立连接后,设备与服务器执行 SSL 握手。握手结束后,设备关闭连接。
  • 安全 HTTP 监视。NetScaler 设备建立 TCP 连接。建立连接后,设备与服务器执行 SSL 握手。建立 SSL 连接后,设备会通过加密通道发送 HTTP 请求并检查响应代码。

下表描述了用于监视 SSL 服务的可用内置监视器。

监视器类型 探测器 成功标准(直接条件)
TCP TCP 连接;SSL 握手 成功建立 TCP 连接并成功进行 SSL 握手。
HTTP TCP 连接;SSL 握手;加密的 HTTP 请求 成功建立 TCP 连接,成功执行 SSL 握手,并加密服务器 HTTP 响应中的预期 HTTP 响应代码。
TCP-ECV TCP 连接。SSL 握手(发送到服务器的数据已加密。) 成功建立 TCP 连接,成功执行 SSL 握手,并从服务器接收预期的 TCP 数据。
HTTP-ECV TCP 连接;SSL 握手(加密的 HTTP 请求) 成功建立 TCP 连接,成功执行 SSL 握手,并从服务器接收到预期的 HTTP 数据。

HTTP-ECV 运行状况检查监视器的配置示例

HTTP 服务具有能够进行扩展内容验证 (ECV) 的预定义监视器。 在成功的 TCP 连接之后还需要验证时,使用这些监视器。当满足以下所有条件时,这些监视器会将服务验证为 UP:

  • 成功的 TCP 连接。
  • 必须生成特定类型的请求。
  • 接收字符串应回复特定的消息。

对于这些监视器,请求字符串与回复字符串一起配置。如果 NetScaler 监视器收到的回复字符串与配置的字符串相匹配,则该服务被标记为 UP。

使用 GUI 将显示器绑定到服务

  1. 导航到 流量管理 > 负载平衡 > 服务,创建服务并将协议指定为 SSL。单击确定
  2. 在“服务到负载平衡监视绑定”窗格中单击,然后单击“添加绑定”。
  3. 选择显示器类型为 HTTP-ECV ,然后单击“编辑”。
  4. 在“基本参数”选项卡下的“配置监视器”窗格中,输入以下参数的值:
    • 发送字符串 -监视器必须发送到服务的字符串。
    • 接收字符串 -监视器必须接收的字符串才能将服务标记为 UP。
  5. 单击“确定”完成显示器配置。
  6. 单击 Select(选择)。
  7. 单击“绑定”将 HTTP-ECV 监视器绑定到服务。
  8. 单击关闭

使用 CLI 创建监视器并将其绑定到服务

在命令提示符下,键入:

add lb monitor <monitor-name> http-ecv
bind service <servicename> -monitorName <monitor-name>
<!--NeedCopy-->

示例:

add lb monitor monitor-1 http-ecv
bind service services1 -monitorName monitor-1
<!--NeedCopy-->
SSL 服务监视