VMware NSX do na cinn beag. Cuid 5: Cothromóir Ualach a Chumrú

Cuid a haon. tosaigh
Cuid a dó. Rialacha Balla Dóiteáin agus NAT a chumrú
Cuid a trí. DHCP á chumrú
Cuid a ceathair. Socrú ródaithe

An uair dheireanach a labhair muid faoi chumais NSX Edge i dtéarmaí ródú statach agus dinimiciúil, agus inniu déileálfaimid leis an gcothromóir ualaigh.
Sula dtosaímid ag bunú, ba mhaith liom a mheabhrú go hachomair duit faoi na príomhchineálacha cothromaithe.

Теория

Is minic a roinntear réitigh cothromaithe pálasta an lae inniu ina dhá chatagóir: cothromú ag an gceathrú leibhéal (iompair) agus ag an seachtú (iarratas) den tsamhail NÓ MÁ. Ní hé an tsamhail OSI an pointe tagartha is fearr agus modhanna comhardaithe á gcur síos. Mar shampla, má thacaíonn cothromóir L4 le foirceannadh TLS freisin, an dtiocfaidh sé chun bheith ina chothromóir L7 ansin? Ach tá sé cad é.

• Cothromóir L4 is minic a bhíonn sé ina sheachvótálaí meánach idir an cliant agus sraith de na hinnill atá ar fáil, a chríochnaíonn naisc TCP (is é sin, freagraíonn go neamhspleách do SYN), roghnaíonn inneall agus cuireann sé tús le seisiún TCP nua ina threo, ag seoladh SYN go neamhspleách. Tá an cineál seo ar cheann de na cinn bhunúsacha; is féidir roghanna eile.
• Cothromóir L7 dáileann sé trácht ar na hinnill atá ar fáil “níos sofaisticiúla” ná mar a dhéanann an cothromóir L4. Féadfaidh sé cinneadh a dhéanamh ar an inneall atá le roghnú bunaithe ar, mar shampla, a bhfuil sa teachtaireacht HTTP (URL, fianán, etc.).

Beag beann ar an gcineál, is féidir leis an balancer tacú leis na feidhmeanna seo a leanas:

• Is éard atá i bhfionnachtain seirbhíse ná an próiseas chun sraith na n-ais atá ar fáil a chinneadh (Statach, DNS, Consal, Etcd, etc.).
• Feidhmiúlacht na n-innill braite a sheiceáil (“ping” gníomhach an inneall ag baint úsáide as iarratas HTTP, brath éighníomhach fadhbanna i naisc TCP, láithreacht roinnt 503 cód HTTP sna freagraí, etc.).
• An cothromú féin (babhta robin, roghnú randamach, foinse IP hash, URI).
• Foirceannadh TLS agus fíorú teastais.
• Roghanna a bhaineann le slándáil (fíordheimhniú, cosc ​​ar ionsaithe DoS, teorannú luais) agus go leor eile.

Cuireann NSX Edge tacaíocht ar fáil do dhá mhodh imlonnaithe cothromaithe ualaigh:

Mód seachfhreastalaí, nó lámh amháin. Sa mhodh seo, úsáideann NSX Edge a sheoladh IP mar an seoladh foinse nuair a bhíonn iarratas á sheoladh chuig ceann de na hinnill. Mar sin, comhlíonann an cothromóir feidhmeanna Foinse agus Ceann Scríbe NAT ag an am céanna. Feiceann an t-inneall an trácht go léir mar a sheoltar ón gcothromóir agus freagraíonn sé go díreach é. I scéim den sórt sin, caithfidh an cothromóir a bheith sa deighleog líonra céanna leis na freastalaithe inmheánacha.

Seo mar a théann sé:
1. Cuireann an t-úsáideoir iarratas chuig an seoladh VIP (seoladh cothromóir) atá cumraithe ar an Imeall.
2. Roghnaíonn ÍEdge ceann de na hinnill agus feidhmíonn sé NAT ceann scríbe, ag cur seoladh an innill roghnaithe in ionad an seoladh VIP.
3. Feidhmíonn íEdge foinse NAT, ag cur a sheoladh féin in ionad sheoladh an úsáideora a sheol an t-iarratas.
4. Seoltar an paicéad chuig an inneall roghnaithe.
5. Ní fhreagraíonn an t-inneall go díreach don úsáideoir, ach don Imeall, toisc gur athraíodh seoladh bunaidh an úsáideora go seoladh an chothromóra.
6. Tarchuireann ÍEdge freagra an fhreastalaí chuig an úsáideoir.
Tá an léaráid thíos.


Mód trédhearcach, nó inlíne. Sa chás seo, tá comhéadain ag an gcothromóir ar na líonraí inmheánacha agus seachtracha. Ag an am céanna, níl aon rochtain dhíreach ar an líonra inmheánach ón gceann seachtrach. Feidhmíonn an cothromóir ualaigh ionsuite mar gheata NAT do mheaisíní fíorúla ar an ngréasán inmheánach.

Is é seo a leanas an mheicníocht:
1. Cuireann an t-úsáideoir iarratas chuig an seoladh VIP (seoladh cothromóir) atá cumraithe ar an Imeall.
2. Roghnaíonn ÍEdge ceann de na hinnill agus feidhmíonn sé NAT ceann scríbe, ag cur seoladh an innill roghnaithe in ionad an seoladh VIP.
3. Seoltar an paicéad chuig an inneall roghnaithe.
4. Faigheann an t-inneall an t-iarratas le seoladh bunaidh an úsáideora (níor rinneadh an fhoinse NAT) agus freagraíonn sé go díreach é.
5. Glactar leis an trácht arís ag an gcothromóir ualaigh, mar i scéim inlíne feidhmíonn sé de ghnáth mar gheata réamhshocraithe don fheirm freastalaí.
6. Feidhmíonn ÍEdge foinse NAT chun trácht a sheoladh chuig an úsáideoir, ag baint úsáide as a VIP mar an seoladh IP foinse.
Tá an léaráid thíos.

Cleachtais

Tá 3 fhreastalaí ag mo bhinse tástála a ritheann Apache, atá cumraithe chun oibriú thar HTTPS. Déanfaidh Edge comhardú cruinn ar iarratais HTTPS, ag seachfhreastalaí gach iarratas nua chuig freastalaí nua.
Let's tús.

Teastas SSL a ghiniúint a úsáidfidh NSX Edge
Is féidir leat teastas bailí CA a iompórtáil nó ceann féin-shínithe a úsáid. Don triail seo bainfidh mé úsáid as féin-shínithe.

1. I gcomhéadan vCloud Director, téigh go dtí na socruithe seirbhísí Edge.
   
2. Téigh go dtí an táb Deimhnithe. Ón liosta gníomhartha, roghnaigh CSR nua a chur leis.
   
3. Líon isteach na réimsí riachtanacha agus cliceáil Coinnigh.
   
4. Roghnaigh an CSR nuachruthaithe agus roghnaigh an rogha CSR féinchomhartha.
   
5. Roghnaigh tréimhse bailíochta an deimhnithe agus cliceáil Coinnigh
   
6. Tá an teastas féin-shínithe le feiceáil sa liosta de na cinn atá ar fáil.
   

Próifíl Feidhmchláir a Shocrú
Tugann próifílí feidhmchlár smacht níos iomláine duit ar thrácht líonra agus déanann siad é a bhainistiú simplí agus éifeachtach. Is féidir iad a úsáid chun iompar a shainiú do chineálacha sonracha tráchta.

1. Téigh go dtí an táb Load Balancer agus cumasaigh an cothromóir. Ligeann an rogha Luasghéarú anseo don chothromóir cothromú L4 níos tapúla a úsáid in ionad L7.
   
2. Téigh go dtí an táb Próifíl Feidhmchláir chun próifíl an fheidhmchláir a shocrú. Cliceáil +.
   
3. Socraigh ainm na próifíle agus roghnaigh an cineál tráchta a gcuirfear an phróifíl i bhfeidhm ina leith. Lig dom roinnt paraiméadair a mhíniú.
   Marthanacht – sonraí seisiúin a stóráil agus a rianú, mar shampla: cén freastalaí sonrach sa chomhthiomsú atá ag freastal ar an iarratas úsáideora. Cinntíonn sé seo go seoltar iarratais úsáideoirí chuig an gcomhalta céanna linne ar feadh shaolré an tseisiúin nó seisiúin ina dhiaidh sin.
   Cumasaigh pas pas SSL – Nuair a roghnaítear an rogha seo, stopann NSX Edge deireadh a chur le SSL. Ina áit sin, tarlaíonn foirceannadh go díreach ar na freastalaithe atá á chothromú.
   Cuir isteach ceanntásc X-Ar Aghaidh-For HTTP – ligeann sé duit seoladh IP foinse an chliaint a cheanglaíonn leis an bhfreastalaí gréasáin a chinneadh tríd an gcothromóir ualaigh.
   Cumasaigh Taobh Snámha SSL – ligeann duit a shonrú go bhfuil an linn roghnaithe comhdhéanta de fhreastalaithe HTTPS.
   
4. Ós rud é go mbeidh mé ag cothromú tráchta HTTPS, ní mór dom Pool Side SSL a chumasú agus an deimhniú a ghintear roimhe seo a roghnú sa Deimhnithe Freastalaí Fíorúil -> Teastas Seirbhíse tab.
   
5. Mar an gcéanna le haghaidh Deimhnithe Linn -> Teastas Seirbhíse.
   

Cruthaímid linn freastalaithe, agus déanfar an trácht chucu a Linnte cothromaithe

1. Téigh go dtí an táb Linn Snámha. Cliceáil +.
   
2. Socraímid ainm an linn snámha, roghnaigh an algartam (úsáidfidh mé robin bhabhta) agus an cineál monatóireachta don inneall seiceála sláinte Léiríonn an rogha Trédhearcach an bhfuil IPanna foinse tosaigh na gcliant le feiceáil ag freastalaithe inmheánacha.
   • Má tá an rogha díchumasaithe, tagann an trácht do fhreastalaithe inmheánacha ó fhoinse IP an chothromóra.
   • Má tá an rogha cumasaithe, feiceann freastalaithe inmheánacha foinse IP na gcliant. Sa chumraíocht seo, caithfidh NSX Edge gníomhú mar an gheata réamhshocraithe chun a chinntiú go dtéann paicéid ar ais trí NSX Edge.

   Tacaíonn NSX leis na halgartaim comhardaithe seo a leanas:

   • IP_HASH – roghnú freastalaí bunaithe ar thorthaí feidhm hash le haghaidh IP foinse agus ceann scríbe gach paicéad.
   • LEASTCONN – cothromú naisc isteach, ag brath ar an líon atá ar fáil cheana féin ar fhreastalaí ar leith. Díreofar naisc nua chuig an bhfreastalaí leis an líon is lú naisc.
   • ROUND_ROBIN – seoltar naisc nua chuig gach freastalaí ar a seal, i gcomhréir leis an meáchan a shanntar dó.
   • URI – déantar an chuid ar chlé den URI (roimh an comhartha ceiste) a stuch agus a roinnt ar mheáchan iomlán na bhfreastalaithe sa chomhthiomsú. Léiríonn an toradh cé acu freastalaí a fhaigheann an t-iarratas, ag cinntiú go seoltar an t-iarratas chuig an bhfreastalaí céanna i gcónaí, chomh fada agus a bhíonn gach freastalaí ar fáil.
   • HTTPHEADER – cothromú bunaithe ar cheannteideal HTTP ar leith, ar féidir a shonrú mar pharaiméadar. Má tá an ceanntásc in easnamh nó mura bhfuil aon luach aige, cuirtear an algartam ROUND_ROBIN i bhfeidhm.
   • URL – Déanann gach iarratas HTTP GET cuardach don pharaiméadar URL a shonraítear mar argóint. Má leanann comhartha comhionann agus luach an paraiméadar, ansin déantar an luach a hash agus a roinnt ar mheáchan iomlán na bhfreastalaithe reatha. Léiríonn an toradh cén freastalaí a fhaigheann an t-iarratas. Baintear úsáid as an bpróiseas seo chun súil a choinneáil ar aitheantais úsáideora in iarratais agus chun a chinntiú go seoltar an t-aitheantas úsáideora céanna chuig an bhfreastalaí céanna i gcónaí, chomh fada agus a bhíonn gach freastalaí ar fáil.

   

3. Sa bhloc Baill, cliceáil + chun freastalaithe a chur leis an linn.
   
   
   Anseo ní mór duit a chur in iúl:
   • ainm freastalaí;
   • Seoladh IP an fhreastalaí;
   • an calafort ar a bhfaighidh an freastalaí trácht;
   • calafort le haghaidh seiceáil sláinte (Monatóireacht a dhéanamh ar sheiceáil sláinte);
   • meáchan - ag baint úsáide as an bparaiméadar seo is féidir leat an méid comhréireach tráchta a fuarthas do bhall ar leith den chomhthiomsú a choigeartú;
   • Naisc Max – uaslíon nasc leis an bhfreastalaí;
   • Naisc Íosta - an t-íoslíon nasc a chaithfidh an freastalaí a phróiseáil sula gcuirtear trácht ar aghaidh chuig an gcéad bhall eile den linn.

   
   
   Seo an chuma atá ar an linn deiridh de thrí fhreastalaithe.
   

Freastalaí Fíorúil á Chur Leis

1. Téigh go dtí an Freastalaithe Fíorúla tab. Cliceáil +.
   
2. Gníomhachtaimid an freastalaí fíorúil ag baint úsáide as Cumasaigh Freastalaí Fíorúil.
   Tugaimid ainm dó, roghnaigh an Próifíl Iarratais a cruthaíodh roimhe seo, Comhthiomsú agus cuir in iúl an seoladh IP a bhfaighidh an Freastalaí Fíorúil iarratais ón taobh amuigh. Sonraimid an prótacal HTTPS agus port 443.
   Paraiméadair roghnacha anseo:
   Teorainn Ceangail – uaslíon na nasc comhuaineach is féidir leis an bhfreastalaí fíorúil a phróiseáil;
   Teorainn Ráta Ceangail (CPS) – uaslíon na n-iarratas nua a thagann isteach in aghaidh an tsoicind.
   

Críochnaíonn sé seo cumraíocht an chothromóra; is féidir leat a fheidhmiúlacht a sheiceáil. Tá cumraíocht shimplí ag na freastalaithe a ligeann duit a thuiscint cén freastalaí ón linn a phróiseáil an t-iarratas. Le linn an tsocraithe, roghnaigh muid an algartam cothromaíochta Babhta Robin, agus tá an paraiméadar Meáchan do gach freastalaí comhionann le ceann amháin, mar sin déanfaidh an chéad fhreastalaí eile ón linn a phróiseáil gach iarratas ina dhiaidh sin.
Cuirimid seoladh seachtrach an chothromóra isteach sa bhrabhsálaí agus feicimid:


Tar éis duit an leathanach a athnuachan, próiseálfaidh an freastalaí seo a leanas an t-iarratas:


Agus arís - chun an tríú freastalaí a sheiceáil ón linn:


Agus tú ag seiceáil, is féidir leat a fheiceáil gurb é an deimhniú a sheolann Edge chugainn an ceann céanna a ghin muid ag an tús.

Stádas cothromaíochta á sheiceáil ó chonsól geata Edge. Chun seo a dhéanamh, cuir isteach linn snámha loadbalancer seirbhíse a thaispeáint.


Monatóireacht a dhéanamh ar Sheirbhís a chumrú chun stádas na bhfreastalaithe sa chomhthiomsú a sheiceáil
Trí Monatóireacht a dhéanamh ar Sheirbhísí is féidir linn monatóireacht a dhéanamh ar stádas na bhfreastalaithe sa chomhthiomsú inneall. Mura bhfuil an freagra ar iarratas mar a bhíothas ag súil leis, is féidir an freastalaí a thógáil amach as an gcomhthiomsú ionas nach bhfaighidh sé aon iarrataí nua.
De réir réamhshocraithe, tá trí mhodh fíoraithe cumraithe:

• monatóireacht TCP,
• Monatóir HTTP,
• HTTPS-monatóireacht a dhéanamh.

Déanaimis ceann nua a chruthú.

1. Téigh go dtí an cluaisín Monatóireachta Seirbhíse, cliceáil +.
   
2. Roghnaigh:
   • ainm don mhodh nua;
   • an t-eatramh ag a seolfar iarratais,
   • teorainn ama ag fanacht le freagra,
   • cineál monatóireachta - iarratas HTTPS ag baint úsáide as an modh GET, cód stádais ionchais - 200(OK) agus URL a iarraidh.
3. Críochnaíonn sé seo an Monatóir Seirbhíse nua a shocrú; anois is féidir linn é a úsáid agus linn á chruthú.
   

Rialacha Iarratais a Shocrú

Is bealach iad Rialacha Feidhmchláir chun trácht a ionramháil bunaithe ar thruicear áirithe. Leis an uirlis seo is féidir linn ardrialacha um chothromú ualaigh a chruthú nach féidir a dhéanamh trí phróifílí Feidhmchláir nó trí sheirbhísí eile atá ar fáil ar an Edge Gateway.

1. Chun riail a chruthú, téigh go dtí an cluaisín Rialacha Feidhmchláir den chothromóir.
   
2. Roghnaigh ainm, script a úsáidfidh an riail, agus cliceáil Coinnigh.
   
3. Tar éis an riail a chruthú, ní mór dúinn an Freastalaí Fíorúil atá cumraithe cheana féin a chur in eagar.
   
4. Sa chluaisín Casta, cuir an riail a chruthaigh muid.
   

Sa sampla thuas chumasaíomar tacaíocht tlsv1.

Cúpla sampla eile:

Trácht a atreorú chuig linn snámha eile.
Leis an script seo is féidir linn trácht a atreorú chuig comhthiomsú comhardaithe eile má tá an príomh linn síos. Le go n-oibreoidh an riail, ní mór il-linnte a chumrú ar an gcóimheá agus ní mór do gach ball den phríomh-chomhthiomsú a bheith sa stát síos. Ní mór duit ainm na linne a shonrú, ní a ID.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Trácht a atreorú chuig acmhainn sheachtrach.
Anseo atreoraíonn muid trácht chuig an suíomh Gréasáin seachtrach má tá gach ball den phríomh linn síos.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Níos mó samplaí fós anseo.

Sin go léir dom mar gheall ar an balancer. Má tá aon cheist agat, cuir ceist, táim réidh le freagairt.

Foinse: will.com