NetScaler ADC の仮想サーバーの前にコンテンツ スイッチがあり、ロード バランサーとして機能します。これは、HTTP モニターを持つサービス グループに関連付けられています。このモニターを動作させることができません。
モニターは HTTPS エンドポイントを呼び出します。エンドポイントは、NetScaler からの Client Hello TLS ハンドシェイクで SNI 拡張 (サーバー名表示) を期待します。トラフィック ダンプによると、NetScaler はこれを追加しません。これにより、エンドポイントが失敗します (TLS 応答パケットでエラー コードが送信され、NetScaler がクライアント リセット パケットを送信します)。
NetScaler が SNI 拡張を送信しないのはなぜですか?
サービス グループ構成のスクリーンショットが添付されています。
モニターの構成:
サービス グループとモニターの両方で使用される SSL プロファイル:
キャプチャの出力 - NetScaler によって送信されたパケット - SNI 拡張は送信されません:
答え1
SNI で期待されるホスト名を使用して、SSL プロファイルの共通名を入力してみてください。