VMware Avi Load Balancer：EVHの設定について

皆さん、こんにちは。

Avi Load Balancer担当です。

本記事では前回のSNIに引き続き、Avi Load Balancerの機能である「Enhanced Virtual Hosting（EVH）」の設定についてご紹介します。

第1章：EVHとは
第2章：EVHのアーキテクチャ
第3章：Avi Web GUIによるEVHの設定手順
第4章：通信ログから詳細な通信情報を確認

第1章：EVHとは

Enhanced Virtual Hosting（EVH）は仮想ホスティング機能の一つで、柔軟なホストベースのルーティングを可能にする仕組みです。
SNI（Server Name Indication）と同様に一つの仮想IP（VIP）を親Virtual Service（親VS）が持ち、複数の子Virtual Service（子VS）ごとにドメインを利用できますが、子VSごとに証明書を持つSNIとは異なり、EVHでは親VSがHTTPS通信において1つの証明書を使用し、ヘッダー情報に基づいて子VSにリクエストを振り分けます。また、EVHでは暗号化を伴わないHTTP通信でも利用可能です。

そのため、ユーザー向けのマルチテナントに向いているSNIとは異なり、EVHは一つのシステム内のアプリケーションの振り分けなどに活用できます。

似たような機能にHTTP Policyがありますが、アプリケーションごとにVSを管理する事ができるEVHでは、より柔軟な設計が可能となります。

第2章：EVHのアーキテクチャ

EVHの設定では、SNIと同様に一つの親VSと複数の子VSに仮想サービスの構成が分離されます。
親VSがVIPを持ち、子VSにFQDNを設定する構成はSNIと似ていますが、異なる点として、EVHでは親VSがTLS終端を行い、証明書は親VSに設定された1つのみが使用されます。
HTTPリクエストの処理は、リクエストに含まれるヘッダー情報（HostやPath）と一致する設定をもつ子VSが担います。

クライアントからの接続の流れは以下のようになります。

クライアントからのTCPハンドシェイクを親VSが処理
Client Helloを親VSが受信
親VSがTLS終端を担当し、SSLプロファイルに基づいて接続を許可または拒否し、使用する暗号方式（cipher）を選択する。証明書も親VSに設定されたものを使用
TLS終端後、親VSはHTTPリクエストに含まれるHostやPathなどのヘッダー情報を、子VSに設定された一致条件と照合し、該当する子VSにリクエストを転送
子VSはバックエンドプールやポリシーに基づいてリクエストを処理