VMware NSX airson an fheadhainn bheaga. Pàirt 5: A 'rèiteachadh cothromachadh luchd

Pàirt a h-aon. ro-ràdhach
Pàirt a dhà. A’ rèiteachadh riaghailtean balla-teine ​​agus NAT
Pàirt a trì. A’ rèiteachadh DHCP
Pàirt a ceithir. Suidheachadh slighe

An turas mu dheireadh bhruidhinn sinn mu chomasan NSX Edge a thaobh slighe statach agus fiùghantach, agus an-diugh dèiligidh sinn ris a’ chothromachadh luchd.
Mus tòisich sinn a 'stèidheachadh, bu mhath leam do chuimhneachadh goirid mu na prìomh sheòrsaichean de chothromachadh.

Teòiridh

Mar as trice bidh a h-uile fuasgladh cothromachaidh pàighidh pàighidh an-diugh air a roinn ann an dà roinn: cothromachadh aig a’ cheathramh ìre (còmhdhail) agus an seachdamh (tagradh) den mhodail NO IF. Chan e am modail OSI an t-àite iomraidh as fheàrr nuair a thathar a’ toirt cunntas air dòighean cothromachaidh. Mar eisimpleir, ma tha cothromaiche L4 cuideachd a’ toirt taic do chrìochnachadh TLS, an tig e gu bhith na chothromachadh L7 an uairsin? Ach is e an rud a th’ ann.

• Cothromaiche L4 mar as trice tha e na neach-ionaid meadhanach a’ seasamh eadar an neach-dèiligidh agus seata de backends a tha rim faighinn, a chuireas crìoch air ceanglaichean TCP (is e sin, a ’freagairt gu neo-eisimeileach ri SYN), a’ taghadh backend agus a ’tòiseachadh seisean TCP ùr na stiùir, a’ cur SYN gu neo-eisimeileach. Is e an seòrsa seo aon de na cinn bunaiteach; tha roghainnean eile comasach.
• Cothromaiche L7 a’ cuairteachadh trafaic thairis air backends a tha rim faighinn “nas ionnsaichte” na tha an cothromachadh L4 a ’dèanamh. Faodaidh e co-dhùnadh dè an deireadh-sheachdain a thaghas tu stèidhichte air, mar eisimpleir, susbaint na teachdaireachd HTTP (URL, briosgaid, msaa).

Ge bith dè an seòrsa, faodaidh an neach-cothromachaidh taic a thoirt do na gnìomhan a leanas:

• Is e lorg seirbheis am pròiseas airson a bhith a’ dearbhadh an t-seata de backends a tha rim faighinn (Static, DNS, Consul, Etcd, msaa).
• A’ sgrùdadh gnìomhachd nan backends a chaidh a lorg (“ ping ”gnìomhach an deireadh-sheachdain a’ cleachdadh iarrtas HTTP, lorg fulangach air duilgheadasan ann an ceanglaichean TCP, làthaireachd grunn chòdan 503 HTTP anns na freagairtean, msaa).
• An cothromachadh fhèin (robin cruinn, taghadh air thuaiream, stòr IP hash, URI).
• Crìochnachadh TLS agus dearbhadh teisteanais.
• Roghainnean co-cheangailte ri tèarainteachd (dearbhadh, casg ionnsaigh DoS, cuingealachadh astair) agus mòran a bharrachd.

Tha NSX Edge a’ tabhann taic airson dà dhòigh cleachdadh cothromachaidh luchdan:

Modh proxy, no aon-ghàirdean. Anns a 'mhodh seo, bidh NSX Edge a' cleachdadh a sheòladh IP mar an seòladh tùsail nuair a chuireas e iarrtas gu aon de na backends. Mar sin, bidh an neach-cothromachaidh aig an aon àm a’ coileanadh gnìomhan Source and Destination NAT. Bidh an backend a’ faicinn a h-uile trafaic mar a chaidh a chuir bhon chothromachadh agus a ’freagairt gu dìreach ris. Ann an leithid de sgeama, feumaidh an cothromaiche a bhith san aon roinn lìonra leis na frithealaichean a-staigh.

Seo mar a thèid e:
1. Bidh an neach-cleachdaidh a 'cur iarrtas chun an t-seòlaidh VIP (seòladh cothromachaidh) a tha air a rèiteachadh air an Edge.
2. Bidh Edge a 'taghadh aon de na backends agus a' coileanadh NAT ceann-uidhe, a 'cur an àite an seòladh VIP le seòladh an backend taghte.
3. Edge a 'coileanadh NAT tùs, a' dol an àite seòladh an neach-cleachdaidh a chuir an t-iarrtas leis fhèin.
4. Tha am pasgan air a chuir chun backend taghte.
5. Chan eil an backend a’ freagairt gu dìreach ris an neach-cleachdaidh, ach ris an Edge, leis gu bheil seòladh tùsail an neach-cleachdaidh air atharrachadh gu seòladh an neach-cothromachaidh.
6. Bidh Edge a 'toirt seachad freagairt an fhrithealaiche don neach-cleachdaidh.
Tha an diagram gu h-ìosal.


Modh follaiseach, no in-loidhne. Anns an t-suidheachadh seo, tha eadar-aghaidh aig an neach-cothromachaidh air na lìonraidhean a-staigh agus a-muigh. Aig an aon àm, chan eil cothrom dìreach air an lìonra a-staigh bhon fhear a-muigh. Bidh an cothromachadh luchdan togte ag obair mar gheata NAT airson innealan brìgheil air an lìonra a-staigh.

Tha an uidheamachd mar a leanas:
1. Bidh an neach-cleachdaidh a 'cur iarrtas chun an t-seòlaidh VIP (seòladh cothromachaidh) a tha air a rèiteachadh air an Edge.
2. Bidh Edge a 'taghadh aon de na backends agus a' coileanadh NAT ceann-uidhe, a 'cur an àite an seòladh VIP le seòladh an backend taghte.
3. Tha am pasgan air a chuir chun backend taghte.
4. Bidh an backend a’ faighinn iarrtas le seòladh tùsail an neach-cleachdaidh (cha deach an tùs NAT a choileanadh) agus a’ freagairt gu dìreach ris.
5. Tha an trafaig a-rithist a 'gabhail ris leis an luchd balancer, oir ann an inline sgeama mar as trice ag obair mar an default gheata airson an tuathanas fhrithealaiche.
6. Edge coileanadh NAT tùs gus trafaig a chur chun an neach-cleachdaidh, a 'cleachdadh a VIP mar an tùs seòladh IP.
Tha an diagram gu h-ìosal.

Cleachdaich

Tha 3 frithealaichean aig a’ bheing deuchainn agam a’ ruith Apache, a tha air a dhealbhadh gus obrachadh thairis air HTTPS. Nì Edge cothromachadh robin cruinn air iarrtasan HTTPS, a’ cur gach iarrtas ùr gu frithealaiche ùr.
Feuch an tòisich sinn.

A’ gineadh teisteanas SSL a thèid a chleachdadh le NSX Edge
Faodaidh tu teisteanas CA dligheach a thoirt a-steach no fear fèin-shoidhnichte a chleachdadh. Airson an deuchainn seo cleachdaidh mi fèin-soidhnigeadh.

1. Anns an eadar-aghaidh vCloud Director, rachaibh gu roghainnean seirbheisean Edge.
   
2. Rach gu tab Teisteanasan. Bho liosta nan gnìomhan, tagh cuir CSR ùr ris.
   
3. Lìon a-steach na raointean riatanach agus cliog Cùm.
   
4. Tagh an CSR a chaidh a chruthachadh às ùr agus tagh an roghainn CSR fèin-shoidhnidh.
   
5. Tagh ùine dligheachd an teisteanais agus cliog air Keep
   
6. Nochdaidh an teisteanas fèin-shoidhnichte anns an liosta den fheadhainn a tha rim faighinn.
   

A 'suidheachadh Pròifil Iarrtais
Bheir pròifilean tagraidh smachd nas coileanta dhut air trafaic lìonraidh agus ga dhèanamh sìmplidh agus èifeachdach. Faodar an cleachdadh gus giùlan a mhìneachadh airson seòrsachan sònraichte de thrafaig.

1. Rach gu tab Load Balancer agus cuir an comas an balancer. Tha an roghainn Luathachaidh an seo a’ leigeil leis a’ chothromaiche cothromachadh L4 nas luaithe a chleachdadh an àite L7.
   
2. Rach gu tab pròifil an tagraidh gus pròifil an tagraidh a shuidheachadh. Cliog + .
   
3. Suidhich ainm a’ phròifil agus tagh an seòrsa trafaic airson an tèid am pròifil a chuir an sàs. Leig leam cuid de pharaimearan a mhìneachadh.
   Fuasgladh - a ’stòradh agus a’ cumail sùil air dàta seisean, mar eisimpleir: dè an frithealaiche sònraichte san amar a tha a ’frithealadh iarrtas neach-cleachdaidh. Bidh seo a’ dèanamh cinnteach gun tèid iarrtasan luchd-cleachdaidh a chuir chun aon bhall den amar fad beatha an t-seisein no seiseanan às deidh sin.
   Cuir an comas SSL passthrough - Nuair a thèid an roghainn seo a thaghadh, stadaidh NSX Edge bho bhith a’ toirt gu crìch SSL. An àite sin, bidh crìochnachadh a’ tachairt gu dìreach air na frithealaichean a tha gan cothromachadh.
   Cuir a-steach ceann-cinn X-Forwarded-For HTTP - a ’toirt cothrom dhut seòladh IP stòr an neach-dèiligidh a tha a’ ceangal ris an t-seirbheisiche lìn a dhearbhadh tron ​​​​chothromachadh luchd.
   Dèan comas air Pool Sside SSL - a’ leigeil leat sònrachadh gu bheil an amar taghte air a dhèanamh suas de luchd-frithealaidh HTTPS.
   
4. Leis gum bi mi a’ cothromachadh trafaic HTTPS, feumaidh mi Pool Side SSL a chomasachadh agus an teisteanas a chaidh a chruthachadh roimhe seo a thaghadh anns an Teisteanasan Mas-fhìor air Freiceadan -> Teisteanas Seirbheis tab.
   
5. San aon dòigh airson Teisteanasan Pool -> Teisteanas Seirbheis.
   

Bidh sinn a’ cruthachadh cruinneachadh de luchd-frithealaidh, air am bi an trafaic air a chothromachadh Pools

1. Rach gu tab Pools. Cliog + .
   
2. Shuidhich sinn ainm an linne, tagh an algairim (cleachdaidh mi robin cruinn) agus an seòrsa sgrùdaidh airson backend sgrùdadh slàinte.
   • Ma tha an roghainn ciorramach, thig trafaic airson frithealaichean a-staigh bho stòr IP an balancer.
   • Ma tha an roghainn air a chomasachadh, chì luchd-frithealaidh a-staigh stòr IP teachdaichean. Anns an rèiteachadh seo, feumaidh NSX Edge a bhith mar an geata àbhaisteach gus dèanamh cinnteach gu bheil pacaidean air an tilleadh a’ dol tro NSX Edge.

   Tha NSX a’ toirt taic do na h-algorithms cothromachaidh a leanas:

   • IP_HASH - taghadh frithealaiche stèidhichte air toraidhean gnìomh hash airson stòr agus ceann-uidhe IP gach pacaid.
   • LEASTCONN - cothromachadh cheanglaichean a tha a’ tighinn a-steach, a rèir an àireamh a tha ri fhaighinn mu thràth air frithealaiche sònraichte. Thèid ceanglaichean ùra a stiùireadh chun an fhrithealaiche aig a bheil an àireamh as lugha de cheanglaichean.
   • ROUND_ROBIN - thèid ceanglaichean ùra a chuir gu gach frithealaiche mu seach, a rèir an cuideam a chaidh a shònrachadh dha.
   • URI - tha am pàirt clì den URI (ron chomharra ceist) air a bhualadh agus air a roinn le cuideam iomlan luchd-frithealaidh san amar. Tha an toradh a’ nochdadh dè am frithealaiche a gheibh an t-iarrtas, a’ dèanamh cinnteach gu bheil an t-iarrtas an-còmhnaidh air a chuir chun aon fhrithealaiche, fhad ‘s a bhios na frithealaichean uile rim faighinn.
   • HTTPHEADER - cothromachadh stèidhichte air bann-cinn HTTP sònraichte, a dh'fhaodar a shònrachadh mar paramadair. Ma tha an bann-cinn a dhìth no ma tha luach sam bith ann, thèid an algairim ROUND_ROBIN a chuir an sàs.
   • URL - Bidh gach iarrtas HTTP GET a’ lorg am paramadair URL a tha air a shònrachadh mar argamaid. Ma thèid am paramadair a leantainn le soidhne co-ionann agus luach, tha an luach air a bhualadh agus air a roinn le cuideam iomlan luchd-frithealaidh ruith. Tha an toradh a’ sealltainn dè am frithealaiche a gheibh an t-iarrtas. Tha am pròiseas seo air a chleachdadh gus cunntas a chumail air IDan luchd-cleachdaidh ann an iarrtasan agus dèanamh cinnteach gun tèid an aon id neach-cleachdaidh a chuir chun aon fhrithealaiche an-còmhnaidh, fhad ‘s a bhios na frithealaichean uile rim faighinn.

   

3. Ann am bloc Buill, cliog + gus frithealaichean a chuir ris an amar.
   
   
   An seo feumaidh tu a shònrachadh:
   • ainm an fhrithealaiche;
   • Seòladh IP an fhrithealaiche;
   • am port air am faigh am frithealaiche trafaic;
   • port airson sgrùdadh slàinte (Sùil a chumail air sgrùdadh slàinte);
   • cuideam - le bhith a 'cleachdadh a' pharamadair seo faodaidh tu an ìre trafaig a gheibhear airson ball sònraichte den amar atharrachadh;
   • Ceanglaichean Max - an àireamh as motha de cheanglaichean ris an fhrithealaiche;
   • Ceanglaichean Min - an àireamh as lugha de cheanglaichean a dh'fheumas an t-seirbheisiche a phròiseasadh mus tèid trafaig a chuir air adhart chun ath bhall den amar.

   
   
   Seo mar a tha an cruinneachadh mu dheireadh de thrì frithealaichean coltach.
   

A’ cur Virtual Server ris

1. Rach gu tab Virtual Servers. Cliog + .
   
2. Bidh sinn a’ gnìomhachadh an fhrithealaiche mas-fhìor a’ cleachdadh Enable Virtual Server.
   Bheir sinn ainm dha, tagh am Pròifil Iarrtais a chaidh a chruthachadh roimhe, Pool agus comharraich an seòladh IP ris am faigh am frithealaiche mas-fhìor iarrtasan bhon taobh a-muigh. Bidh sinn a’ sònrachadh protocol HTTPS agus port 443.
   Paramadairean roghainneil an seo:
   Crìochan ceangail - an àireamh as motha de cheanglaichean aig an aon àm as urrainn don t-seirbheisiche brìgheil a phròiseasadh;
   Crìoch ìre ceangail (CPS) - an àireamh as motha de dh’ iarrtasan ùra a thig a-steach gach diog.
   

Cuiridh seo crìoch air rèiteachadh a’ chothromachaidh; faodaidh tu sgrùdadh a dhèanamh air a ghnìomhachd. Tha rèiteachadh sìmplidh aig na frithealaichean a leigeas leat tuigsinn dè an frithealaiche bhon amar a dh’ ullaich an t-iarrtas. Rè an stèidheachadh, thagh sinn an algorithm cothromachaidh Round Robin, agus tha am paramadair Cuideam airson gach frithealaiche co-ionann ri aon, agus mar sin bidh gach iarrtas às deidh sin air a phròiseasadh leis an ath fhrithealaiche bhon amar.
Cuiridh sinn a-steach seòladh taobh a-muigh an neach-cothromachaidh sa bhrobhsair agus chì sinn:


Às deidh an duilleag ùrachadh, thèid an t-iarrtas a phròiseasadh leis an t-seirbheisiche a leanas:


Agus a-rithist - gus sùil a thoirt air an treas frithealaiche bhon amar:


Nuair a nì thu sgrùdadh, chì thu gur e an teisteanas a tha Edge a’ cur thugainn an aon fhear a ghineadh sinn aig an fhìor thoiseach.

A’ sgrùdadh inbhe cothromachaidh bho chonsail geata Edge. Gus seo a dhèanamh, cuir a-steach taisbeanadh seirbheis loadbalancer pool.


A’ rèiteachadh Monitor Seirbheis gus sgrùdadh a dhèanamh air inbhe frithealaichean san amar
Le bhith a’ cleachdadh Monitor Seirbheis is urrainn dhuinn sùil a chumail air inbhe luchd-frithealaidh anns an amar backend. Mura h-eil am freagairt do iarrtas mar a bhiodh dùil, faodar am frithealaiche a thoirt a-mach às an linne gus nach faigh e iarrtasan ùra sam bith.
Gu gnàthach, tha trì dòighean dearbhaidh air an rèiteachadh:

• sgrùdaire TCP,
• sgrùdair HTTP,
• HTTPS-sgrùdadh.

Cruthaichidh sinn fear ùr.

1. Rach gu tab Sgrùdadh Seirbheis, cliog +.
   
2. Tagh:
   • ainm airson an dòigh ùr;
   • an ùine aig an tèid iarrtasan a chuir,
   • ùine a’ feitheamh ri freagairt,
   • seòrsa sgrùdaidh - iarrtas HTTPS a’ cleachdadh modh GET, còd inbhe ris a bheil dùil - 200 (OK) agus URL iarraidh.
3. Bidh seo a’ crìochnachadh stèidheachadh an Monitor Seirbheis ùr; a-nis is urrainn dhuinn a chleachdadh nuair a chruthaicheas sinn amar.
   

A 'suidheachadh riaghailtean tagraidh

Tha Riaghailtean Iarrtais mar dhòigh air trafaic a làimhseachadh stèidhichte air cuid de luchd-brosnachaidh. Leis an inneal seo is urrainn dhuinn riaghailtean cothromachaidh luchdan adhartach a chruthachadh a dh’ fhaodadh nach bi comasach tro phròifil tagraidh no seirbheisean eile a tha rim faighinn air Geata Edge.

1. Gus riaghailt a chruthachadh, rachaibh gu tab Riaghailtean Iarrtais an balancer.
   
2. Tagh ainm, sgriobt a chleachdas an riaghailt, agus cliog air Cùm.
   
3. Às deidh an riaghailt a chruthachadh, feumaidh sinn an Virtual Server a chaidh a dhealbhadh mar-thà a dheasachadh.
   
4. Anns an taba Adhartach, cuir ris an riaghailt a chruthaich sinn.
   

Anns an eisimpleir gu h-àrd leig sinn le taic tlsv1.

Eisimpleir no dhà eile:

Ath-sheòl trafaic gu amar eile.
Leis an sgriobt seo is urrainn dhuinn trafaic ath-stiùireadh gu amar cothromachaidh eile ma tha am prìomh amar sìos. Airson an riaghailt a bhith ag obair, feumaidh grunn lòin a bhith air an rèiteachadh air a 'chothromaiche agus feumaidh a h-uile ball den phrìomh amar a bhith anns an staid sìos. Feumaidh tu ainm na linne a shònrachadh, chan e an ID aige.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Ath-sheòl trafaic gu goireas a-muigh.
An seo bidh sinn ag ath-stiùireadh trafaic chun làrach-lìn taobh a-muigh ma tha a h-uile ball den phrìomh amar sìos.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Eadhon barrachd eisimpleirean an seo.

Tha sin uile dhomhsa mu dheidhinn an balancer. Ma tha ceist sam bith agad, faighnich, tha mi deiseil airson freagairt.

Source: www.habr.com