11.15. 根据没有浏览器 Cookie 向特定池发送请求
您可以使用 Red Hat OpenStack Platform (RHOSP)负载均衡服务(octavia)将未经身份验证的 Web 客户端请求重定向到包含一个或多个身份验证服务器的不同池。第 7 层(L7)策略决定传入的请求是否缺少身份验证 Cookie。
在本例中,任何缺少浏览器 cookie(auth_token
) 的 Web 客户端请求被重定向到包含身份验证服务器的替代池。
此流程提供了如何使用浏览器 cookie 执行 L7 应用程序路由的示例,且不会解决安全问题。
先决条件
一个 TLS 终止的 HTTPS 负载均衡器 (
lb1
),它有一个监听器 (listener1
) 和一个池 (pool1
)。如需更多信息,请参阅创建 TLS 终止的 HTTPS 负载均衡器。
- 第二个 RHOSP 网络服务(neutron)子网,其安全身份验证服务器在其上验证 Web 用户。
流程
提供您的凭据文件。
示例
$ source ~/overcloudrc
在负载均衡器(
lb1
)上创建第二个池(login_pool
)。注意括号中的值是此流程中的示例命令中使用的示例值。使用适合您的站点的值替换这些示例值。
示例
$ openstack loadbalancer pool create --name login_pool \ --lb-algorithm ROUND_ROBIN --loadbalancer lb1 --protocol HTTP
向第二个池中添加一个成员,在身份验证子网(
secure_subnet
))中的身份验证服务器(192.0.2.10
)。示例
在本例中,后端服务器
192.0.2.10
被命名为member1
:$ openstack loadbalancer member create --name member1 \ --address 192.0.2.10 --protocol-port 80 --subnet-id secure_subnet \ login_pool
在监听器 (
listener1
) 上创建一个 L7 策略 (policy1
) 。该策略必须包含操作(REDIRECT_TO_POOL
),并指向第二个池(login_pool
)。示例
$ openstack loadbalancer l7policy create --name policy1 \ --action REDIRECT_TO_POOL --redirect-pool login_pool listener1
向策略添加 L7 规则(
policy1
),以任何值搜索浏览器 cookie (auth_token
),并在 Cookie 不存在时匹配。示例
$ openstack loadbalancer l7rule create --compare-type REGEX \ --key auth_token --type COOKIE --value '.*' --invert policy1
验证
-
运行
openstack loadbalancer l7policy list
命令,并验证策略policy1
是否存在。 运行
openstack loadbalancer l7rule list <l7policy&
gt; 命令,并验证是否存在带有REGEX
的compare_type
规则。示例
$ openstack loadbalancer l7rule list policy1
其他资源
- 命令行界面参考中的LoadBalancer pool create
- 命令行界面参考中的LoadBalancer member create
- 命令行界面参考中的LoadBalancer l7policy create
- 命令行界面参考中的LoadBalancer l7rule create