إعدادات العالمية #
ملاحظة: Eproxy هي ميزة متطورة وهي قيد التطوير بشكل كبير، لذا سيتم تضمين بعض الخيارات المتقدمة في أقرب وقت ممكن.
ملف تعريف Eproxy مسؤول عن إدارة تبديل المحتوى في طبقة التطبيق بنموذج OSI. وهو يدعم بروتوكولات HTTP وHTTPS وHTTP/2، مما يضمن كفاءة في معالجة حركة البيانات لتطبيقات الويب الحديثة. بالإضافة إلى ذلك، يوفر الملف وظيفة إعادة التشغيل الفوري، مما يتيح تحديثات وتغييرات تكوين سلسة دون تعطيل الاتصالات النشطة.
في القسم العلوي الأيمن، لدينا مؤشرين. الإجراءات الأزرار و الحالة.
صندوق مربع: عند النقر عليه، ستتوقف مزرعة LSLB.
زر التحديث:عند النقر فوقها سيتم إعادة تشغيل المزرعة (التوقف ثم البدء).
زر التشغيل: إذا كانت المزرعة متوقفة أو غير نشطة، فسوف تبدأ عند النقر عليها.
يمثل كل لون من الألوان الموضحة أدناه الحالة من اعطاء مزرعة:
أخضر: يعني المزرعة UP وجميع الواجهات الخلفية قيد التشغيل. قد يعني ذلك أيضًا أنه تم تكوين عملية إعادة التوجيه.
أحمر: يعني المزرعة لأسفل أو أنها غير وظيفية.
اسود: يشير أ حرج ضرر. يحدث هذا عادةً عندما تكون المزرعة قيد التشغيل ولكن لا توجد واجهة خلفية متاحة، أو قد تكون في وضع الصيانة.
ازرق: يظهر عندما يكون هناك المشاكل.. يمكن أن تكون المزرعة قيد التشغيل ولكن عندما تكون الواجهة الخلفية واحدة على الأقل معطلة.
برتقال: يمثل الصيانة. يظهر عندما تكون المزرعة قيد التشغيل ولكن هناك واجهة خلفية واحدة على الأقل في وضع الصيانة.
رموز الألوان هذه متسقة عبر واجهة المستخدم الرسومية. للحصول على شرح موجز، راجع قسم مزرعة LSLB.
في ملف تعريف مزارع Eproxy، رأس HTTP X-توجيهها، ل يتم ملؤها تلقائيًا بعنوان IP الخاص بالعميل.
حاليًا، خدمة افتراضية فقط مع استضافة افتراضية و نمط المسار يتم دعم المطابقة.
التكوين الأساسي #
فيما يلي المعلمات الأساسية لملف مزرعة Eproxy.
الاسم. هذا هو الاسم الذي يحدد المزرعة بسهولة. لتغيير اسم مزرعة معينة، عليك إيقافه أولاً. تأكد من أن الاسم الجديد ليس قيد الاستخدام بالفعل.
IP الظاهري والميناء. هذه هي عناوين IP الافتراضية وأزواج المنافذ التي ستستمع المزرعة منها للاتصالات الواردة. يجب أن يكون عنوان IP الجديد ومجموعة المنافذ غير مستخدمة ومتاحة قبل تكوينها.
مستمع. يحدد هذا الحقل بروتوكول الطبقة 7 لإجراء تبديل المحتوى.
- HTTP. ستتلقى الخدمة الافتراضية محتوى HTTP العادي فقط.
- HTTPSستستقبل الخدمة الافتراضية محتوى HTTP الآمن باستخدام تفاوض بروتوكول طبقة التطبيقات HTTP2 (ALPN)، وتدير عمليات مصافحة SSL، وتتعامل مع تكوينات التشفير الآمن وشهادات SSL، لإجراء تفريغ SSL. هذا يُخفف عن خوادم التطبيقات الفعلية هذه المهام الشاقة. كما يمكن استخدام هذا الوضع كبوابة HTTP/2 إلى HTTP/1.1 والعكس صحيح.
- TCPستستقبل الخدمة الافتراضية بيانات TCP خامة وسيتم إعادة توجيهها إلى الخوادم الخلفية كـ TCP خامة أو عبر SSL إذا تم تمكين خيار الخوادم الخلفية SSL.
- TCP عبر SSLستتعامل الخدمة الافتراضية مع اتصالات SSL TCP وسيتم إعادة توجيه البيانات المستلمة إلى الخوادم الخلفية كـ TCP خام أو عبر SSL إذا تم تمكين خيار الخوادم الخلفية SSL.
معلمات SSL #
معلمات SSL يمكن العثور عليها أدناه.
تعطيل TLSv1, تعطيل TLSv1.1, تعطيل TLSv1.2, تعطيل TLSv1.3. يقوم كل زر من أزرار التبديل هذه بتمكين أو تعطيل إصدار SSL أو TLS المرتبط. لا يُنصح بتعطيل أي من البروتوكولات حيث سيتم أيضًا تعطيل الأصفار المرتبطة بها.
الأصفار. هذا القسم هو المكان الذي نبني فيه قوائم الأصفار التي نستخدمها لتقوية اتصال SSL. قبل أن يبدأ العميل والخادم في تبادل المعلومات المحمية بواسطة بروتوكول TLS، يجب عليهما تبادل مفتاح التشفير والتشفير بشكل آمن أو الاتفاق عليهما لاستخدامهما عند تشفير البيانات.
لتكوين تشفير للاستخدام، حدد أحد الخيارات التالية.
- الكل. مع تحديد هذا الأمر، ستقوم مزرعة الاستماع HTTP(S) بإدارة كافة مجموعات التشفير المتوفرة. هذا هو الإعداد الافتراضي.
- حماية عالية. يمكّن هذا الأمر الأصفار التالية:
kEECDH+ECDSA+AES128:kEECDH+ECDSA+AES256:kEECDH+AES128:kEECDH+AES256:kEDH+AES128:kEDH+AES256:DES-CBC3-SHA:+SHA:!aNULL:!eNULL:!LOW:!kECDH:!DSS:!MD5:!EXP:!PSK:!SRP:!CAMELLIA:!SEED
يؤدي تمكين هذا الخيار إلى توفير أمان قوي بما يكفي للتمرير باستخدام ملف A+ الصف في SSL مختبرات .
- الأمن المخصص. يتيح لك هذا الأمر تخصيص الأصفار الخاصة بك من خلال الأصفار المخصصة الميدان.
- الأصفار المخصصة. يتيح لك هذا الأمر تخصيص رموز محددة للسماح أو المنع عند إجراء اتصال SSL. يجب أن تكون سلسلة بنفس التنسيق كما في شفرات OpenSSL . سيتم عرض هذا الأمر إذا الأمن المخصص تم تعيينه.
- تفريغ AES SSL HW. يمكّن هذا الخيار من إلغاء تحميل شفرات AES عبر الأجهزة إذا كان المعالج يسمح بذلك AES علَم. سيسمح هذا بتحسين أداء مهمة تشفير/فك تشفير SSL. اختبر ما إذا كان هذا الخيار متوافقًا مع وحدة المعالجة المركزية الحالية لديك عن طريق تشغيل الأمر التالي. إذا تم عرض أعلام وحدة المعالجة المركزية، فيمكن استخدامها.
root@noid-ee-02:~# grep "flags.* aes" /proc/cpuinfo
الشهادات المتاحة:هذه هي شهادات SSL المُثبّتة على الجهاز. لتفعيل شهادة، حددها وانقر على زر السهم أو اسحبها وأفلتها من متوفرة مربع إلى يمكن لمستخدمي تطبيق Smart Spaces مع Google Wallet الاستفادة من دخول محمول دون لمس مع أي قارئ HID® Signo™ مُمكَّن بتقنية NFC. يمكنك أيضًا تمكين/تعطيل شهادات متعددة أو جميعها.
الشهادات الممكّنة: تعرض هذه القائمة الشهادات المستخدمة حاليًا بواسطة المزرعة. يمكنك نقلها إلى الأعلى أو الأسفل باستخدام الأسهم المزدوجة لأعلى/لأسفل أو تعطيلها جميعًا. لاحظ ترتيب الشهادات؛ إذا تم وضع شهادة بدل قبل شهادة مضيف، فسيتم استخدام حرف البدل أولاً.
الإعدادات المتقدمة #
سجلات: تمكين أو تعطيل سجلات حركة مرور المزرعة لتصحيح وتحليل حركة المرور التي تمر عبر موازن التحميل.
انتهت مهلة اتصال الواجهة الخلفية: تحدد هذه القيمة الوقت الذي ستنتظر فيه المزرعة الاتصال بالواجهة الخلفية، وعادةً ما يكون وقت انتظار فتح المقبس بالثواني. الافتراضي هو 10 ثانية.
مهلة الاستجابة الخلفية: تحدد هذه القيمة الوقت الذي ستنتظر فيه المزرعة الاستجابة من الواجهات الخلفية بالثواني. الافتراضي هو 30 ثانية.
مهلة طلب العميل: تحدد هذه القيمة الوقت الذي ستنتظر فيه المزرعة طلب العميل. إذا لم يتم تلقي أي بيانات خلال فترة المهلة هذه، فسيتم إنهاء الاتصال. الافتراضي هو 20 ثانية.
إعدادات الخدمات #
مزارع إيبروكسي مع TCP or TCP عبر SSL يسمح المستمعون بواحد فقط الخدمة. ولكن عندما HTTP / S. يتم استخدام المستمعين، والخدمات داخل مزرعة Eproxy تمكن من تبديل المحتوى لخدمات الويب الافتراضية التي تعمل على دمج تطبيقات الويب المتعددة تحت نفس IP الظاهري والميناء. يسهل هذا الإعداد الإدارة المركزية لتطبيقات الويب, تكوينات المضيف الظاهري, إدارة URLو الثبات وتكوينات الواجهة الخلفية لكل خدمة. تشتمل كل خدمة في مزرعة LSLB على خصائص لفحوصات السلامة والثبات وإدارة الرأس وقائمة الواجهة الخلفية. يمكن تطبيق التعبيرات العادية لمطابقة الشروط التي تحدد الخدمة التي تتعامل مع كل طلب.
يُقيّم ملف تعريف مزرعة Eproxy شروط مطابقة الخدمة في وضع الأولوية (قابل للتعديل حسب الحاجة). في حال عدم وجود أي خدمة مطابقة، تُرجع المزرعة خطأ HTTP 503. وبالتالي، يُدعم تعريف خدمات متعددة بشروط محددة. تُطابق الطلبات الخدمات بناءً على أنماط المضيف الافتراضي و/أو عناوين URL.
الخدمة الافتراضية محملة مسبقًا لمطابقة جميع المضيفون الظاهريون و أنماط المسار.
الشروط التي يجب مطابقتها هي:
استضافة افتراضيةتتيح لك هذه الميزة تحديد شرط بناءً على اسم النطاق باستخدام نفس عنوان IP الافتراضي والمنفذ داخل مزرعة Eproxy. إذا أردت إزالة هذا الشرط، يمكنك ترك الحقل فارغًا. التعبيرات العادية في PCRE التنسيق مدعوم في هذا المجال.
نمط URL. الغرض من هذا الحقل هو تحديد خدمة ويب بناءً على مسار URL الذي يطلبه العميل. سيتم تقييم عنوان URL وفقًا لنمط معين، مما يضمن صحة تركيبه. إذا كنت ترغب في تجاهل هذا الشرط، يمكنك ترك الحقل فارغًا. التعبيرات العادية في PCRE يتم دعم التنسيق في هذا المجال، مما يسمح بمطابقة الأنماط المتقدمة.
استخدم استضافة افتراضية و نمط URL القيم هي تعبيرات عادية. إذا تركت فارغة، فإن أي قيمة سوف تتطابق. يجب أن يتطابق كلا الحقلين وإلا سيتم الانتقال إلى الخدمة التالية. يوصى باستخدام واحد على الأقل، ليكون بمثابة الإعداد الافتراضي إذا لم يتم اكتشاف أي تطابق في الأسفل.
إصرار #
تحدد هذه المعلمة كيفية إدارة خدمة HTTP لجلسات العميل والتحكم في اتصالات HTTP التي يتم الاحتفاظ بها لضمان استقرار جلسات العميل. بمجرد تحديد نوع جلسة الثبات، سيتم عرض مدة البقاء (TTL) بالثواني.
لا استمرار. يسمح هذا الخيار بتسليم طلبات HTTP أو HTTPS إلى خوادم حقيقية دون إدارة جلسات العميل.
HEADER: رأس الطلب. يمكن استخدام حقل مخصص لرأس HTTP لتحديد جلسة العميل. يلزم تكوين جلسة الاستمرارية Time To Life ومعرف جلسة الاستمرارية. على سبيل المثال:
احصل على /index.html HTTP/1.1 المضيف: www.example.org
X-sess: 75HRSd4356SDBfrte
إدراج ملف تعريف الارتباط #
إذا تم تكوينه، فسيقوم موازن التحميل بإنشاء ملف كوكي في كل استجابة باستخدام مفتاح الواجهة الخلفية المناسب. وهذا يضمن أنه حتى إذا تم مسح جدول الجلسة أو تعطيل الجلسات، فسيظل يتم تحديد الواجهة الخلفية الصحيحة. تلغي هذه الميزة الحاجة إلى تعديل رمز الخادم الحقيقي لإنشاء ملف تعريف ارتباط للجلسة.
استخدم اسم ملف تعريف الارتباط يحدد اسم ملف تعريف الارتباط الذي تم إنشاؤه وإدراجه في طلب العميل أو استجابة الواجهة الخلفية. ال مسار ملفات تعريف الارتباط يحدد URI أو المسار النسبي حيث سيتم إنشاء ملف تعريف الارتباط الجديد. لتطبيق ملف تعريف الارتباط عبر النطاق بأكمله، قم بتعيين هذا الحقل وفقًا لذلك. ال مجال ملفات تعريف الارتباط يشير إلى المجال حيث سيتم تعيين ملف تعريف الارتباط. وأخيرا، ملف تعريف الارتباط TTL يشير إلى عدد الثواني التي يظل فيها ملف تعريف الارتباط نشطًا بين العميل والواجهة الخلفية. يجب أن تتجاوز هذه القيمة 0، وتتعلق بالمدة دون أي نشاط. بمجرد مرور الوقت المحدد دون نشاط، ستنتهي جلسة الثبات المرتبطة بملف تعريف الارتباط.
واجهات SSL الخلفيةيشير مربع الاختيار هذا إلى المزرعة أن خوادم الواجهة الخلفية المحددة في الخدمة الحالية تستخدم بروتوكول TLS، وبالتالي سيتم تشفير البيانات قبل إرسالها.
الخلفيات #
فيما يتعلق الخلفياتيسمح ملف تعريف مزرعة Eproxy بتكوين الخصائص التالية: يجب أن تكون جميع الخوادم الخلفية IPv4 أو IPv6، وبنفس إصدار IP الخاص بمزرعة VIP. يتم دعم خدمات الخوادم الخلفية HTTP/1.1 أو HTTP/2.
إضافة الخلفية #
من خلال الإجراءات زر القائمة، تتوفر الإجراءات التالية لواحدة أو أكثر من الواجهات الخلفية المحددة:
أضف الخلفية. يفتح هذا الأمر نموذج إنشاء الواجهة الخلفية.
قائمة الخلفية #
الإجراءات . استخدم الإجراءات التالية لإدارة الواجهات الخلفية:
- حذف. إزالة تكوينات الخدمة الافتراضية المحددة. لن يتم حذف الاسم المستعار إذا كان هناك أي اسم مستعار.
الاسم المستعار. الاسم المستعار للواجهة الخلفية، إذا تم تحديد أي اسم مستعار.
IP. عنوان IP لواجهة خلفية معينة.
ميناء. رقم المنفذ للخادم الحقيقي الحالي.
مهلة. الوقت الذي تستغرقه الواجهة الخلفية للرد. تتجاوز هذه القيمة معلمة مهلة اتصال الواجهة الخلفية العامة ولكنها تقتصر على هذه المزرعة المحددة.
الوزن. قيمة الوزن للخادم الحقيقي الحالي. يشير الوزن الزائد إلى توصيل المزيد من الاتصالات إلى الواجهة الخلفية الحالية. بشكل افتراضي، سيتم تعيين قيمة الوزن 1. نطاق القيم المتاحة هو من 1 إلى 9.
الحالة. القيم الممكنة هي:
- Up. المزرعة قيد التشغيل والواجهة الخلفية جاهزة لاستقبال الاتصالات.
- إلى أسفل. المزرعة قيد التشغيل واكتشفت الخدمة أن الواجهة الخلفية لا تعمل
- الدورية. تم وضع علامة على الواجهة الخلفية بأنها غير جاهزة لتلقي الاتصالات من قبل المسؤول، وهذا الخيار مفيد لمهام صيانة الواجهة الخلفية
- غير محدد. لم يتم التحقق من حالة الواجهة الخلفية.
درجة الأهمية. قيمة الأولوية للخادم الحقيقي الحالي. القيم الدنيا لها أولوية أكبر. قيمة أولوية الخدمة الافتراضية هي 1. عند فشل الواجهة الخلفية، تتم زيادة أولوية الخدمة بمقدار 1. عندما تكون الواجهة الخلفية نشطة مرة أخرى، تنخفض قيمة أولوية الخدمة بمقدار 1. تحتوي الواجهات الخلفية النشطة على قيم أولوية أقل من أو تساوي أولوية الخدمة .
