網路虛擬化NSX 技術文章系列二百九十九 : NSX Advanced Load Balancer – HTTP Policy與Datascript（二）

作者： Colin Jao 饒康立 – VMware資深技術顧問，主要負責VMware NSX產品線，目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

前篇內簡單說明了本系列文章的重點是如何使用NSX Advanced Load Balancer的HTTP Policy與Datascript功能，來協助客戶解決於網頁應用的進階配置與維運需求。我猜想本網誌的讀者應該大部分是系統或網路管理者，對於底層系統、儲存、網路與安全機制運作很熟悉，但什麼是『網頁應用的進階配置與維運需求』？通常在Web開發團隊坐進會議室一同參與討論，除了基本的『喔NSX Advanced Load Balancer可以做負載平衡器用』外，在『應用遞送』的進階功能這裡，他們關心的是什麼？

本篇內我想先用幾個實際客戶的需求來開個頭，不然系列文後面在討論HTTP協議，NSX ALB HTTP Policy / Datascript等細節時，大家會完全搞不清楚講這些為的是什麼。當應用遞送方案在網頁前端，可以透過SSL-Offload看到HTTP協議傳輸的完整細節，這個時候管理者可以動手腳來解決問題的地方就多了，略舉數例：

轉址 (Redirection)

比如說當我們在瀏覽器輸入https://www.avinetworks.com網址時，大家可能會注意到你的瀏覽器改為連到https://avinetworks.com，前面的www不見了。或是如果我們連往https://www.vmware.com.tw/，瀏覽器會改連到https://www.vmware.com/tw.html。隨著企業網站改版、擴大、升級或其他商業上的理由，很可能會將入口網址進行異動。但此時已經有眾多用戶把原本的入口網址放到瀏覽器書籤 (Bookmark) 啦，根本不知道新網址在哪邊。此時轉址的功能就非常重要。

那要設定轉址要在哪邊做？當然可以在Web Server上面來做。但考量到，

• Web Server可能是基於不同系統、不同版本也可能有不同的配置

• 原本寫這個網頁的開發與維護人員已經不在了

• 有很多台網頁伺服器怕漏掉

• 更動系統有一堆review以及規定可異動的時間，時程很長

但在應用遞送服務上來做可能簡單幾行或UI介面就做掉了。而這組應用遞送服務可能後端同時有管理多個系統，所有轉址需求都可以在上面集中做，方便性與效益就很明顯了。

URL改寫 (Rewrite URL)

同樣的，在企業網站改朝換代的過程當中，後端的網頁、系統、文件位置或是使用的路徑可能也都修改了，或是本來的網站所有功能都放在一台伺服器上，現在擺到多台伺服器。這個時候，一種做法是檢視所有之前應用內使用的URL路徑然後做必要的改寫，或簡單的方法，是不是直接在應用遞送服務這邊，把用戶要求的舊路徑，改寫成新路徑，再送到後端網頁伺服器就好了呢？

比如說，客戶的網頁應用內原本有一個舊系統叫做aaa-sys。從用戶到其他外部系統要呼叫這個應用時，路徑內可能都會包含這個字串，像是www.acme.com/aaa-sys/index.html，或是www.acme.com/portal/aaa-sys/docs/ 這樣的。現在這個舊系統換新了，架構內要連到這個新系統，所有路徑都相同，但aaa-sys要改成bbb-sys。

與其從用戶到所有外部系統都要勞師動眾重新改路徑，一個簡單的方法是在應用遞送服務上，看到任何HTTP request內的路徑有aaa-sys字串時，就改寫成bbb-sys。比如說用戶瀏覽器是連往www.acme.com/portal/aaa-sys/docs/，但應用遞送服務在中間做了Rewrite-URL，改成www.acme.com/portal/bbb-sys/docs/。此時需要更動與影響到的地方就很少了。

強化連線安全

首先比如說原來版本的網站在進行轉址回應時，用的是http而非https加密協議。或是說網站有使用cookie，但原本版本用的cookie沒有做安全要求相關參數的強化，比如說secure / httponly這些。這些配置可能原本在網站剛建好時資安團隊那邊都沒有什麼意見，但隨著Internet安全意識的提高，後續就有新的安全性合規要求冒出來，像是所有連線都必須要採用https，cookie必須要開啟httponly要求以防止cross-site scripting攻擊等等。

這時候網站管理者可以選擇

• 將網站進行完整的review與配置修改

• 在前端的應用遞送服務上集中做必要的改寫，看到http就改為https，看到重要的cookie沒有加上安全參數就自動加上去

顯然地，在應用遞送服務上面來做這件事是簡單又快速的。

上面這只是幾個簡單、具代表性的舉例，實際上客戶這邊對於網頁應用的進階配置與維運需求還有更多千奇百怪，難以完整列舉。而當我們無論是銷售、配置、管理NSX Advanced Load Balancer時，自然會

• 需要能理解、聽懂這些實際的網站維運需求

• 能透過相關的工具協助客戶解決。

因此在下篇會回到基礎：如果要能聽懂上述的網站管理需求，首先必須得先了解HTTP協議。我們會花兩篇與大家就最基本的HTTP協議名詞進行介紹。