VMware NSX pou timoun piti yo. Pati 5: Konfigirasyon yon balanse chaj

Premye pati. entwodiksyon
Pati de. Konfigirasyon Firewall ak Règ NAT
Twazyèm pati. Konfigirasyon DHCP
Pati kat. Konfigirasyon routage

Dènye fwa nou te pale sou kapasite NSX Edge an tèm de routage estatik ak dinamik, e jodi a nou pral fè fas ak balanse chaj la.
Anvan nou kòmanse mete kanpe, mwen ta renmen yon ti tan raple ou sou kalite prensipal yo nan balanse.

Teyori

Tout solisyon balanse chaj jodi a yo pi souvan divize an de kategori: balanse nan katriyèm (transpò) ak setyèm (aplikasyon) nivo modèl la. OSWA SI. Modèl OSI a se pa pi bon pwen referans lè w ap dekri metòd balanse. Pa egzanp, si yon balans L4 sipòte tou revokasyon TLS, èske li vin tounen yon balans L7? Men se sa li ye.

• Balanse L4 pi souvan li se yon proxy mwayen ki kanpe ant kliyan an ak yon seri backend ki disponib, ki mete fen nan koneksyon TCP (ki se, poukont reponn a SYN), chwazi yon backend epi inisye yon nouvo sesyon TCP nan direksyon li, poukont li voye SYN. Kalite sa a se youn nan debaz yo; lòt opsyon yo posib.
• Balanse L7 distribye trafik atravè backend ki disponib "plis sofistike" pase balans L4 la fè. Li ka deside ki backend yo chwazi ki baze sou, pou egzanp, sa ki nan mesaj HTTP (URL, bonbon, elatriye).

Kèlkeswa kalite a, balans lan ka sipòte fonksyon sa yo:

• Dekouvèt sèvis se pwosesis pou detèmine seri backend ki disponib (estatik, dns, konsil, elatriye).
• Tcheke fonksyonalite backend yo detekte (aktif "ping" backend la lè l sèvi avèk yon demann HTTP, deteksyon pasif pwoblèm nan koneksyon TCP, prezans plizyè 503 kòd HTTP nan repons yo, elatriye).
• Balanse nan tèt li (round robin, seleksyon o aza, sous IP hash, URI).
• TLS revokasyon ak verifikasyon sètifika.
• Opsyon ki gen rapò ak sekirite (otantifikasyon, prevansyon atak DoS, limit vitès) ak plis ankò.

NSX Edge ofri sipò pou de mòd deplwaman balanse chaj:

Mòd prokurasyon, oswa yon sèl-bra. Nan mòd sa a, NSX Edge sèvi ak adrès IP li kòm adrès sous la lè w ap voye yon demann nan youn nan backend yo. Kidonk, balanse a ansanm fè fonksyon Sous ak Destinasyon NAT. Backend la wè tout trafik kòm voye soti nan balans lan epi li reponn dirèkteman nan li. Nan yon konplo konsa, balans lan dwe nan menm segman rezo a ak serveurs entèn yo.

Men ki jan li ale:
1. Itilizatè a voye yon demann nan adrès VIP (adrès balanse) ki configuré sou Edge la.
2. Edge chwazi youn nan backend yo epi fè destinasyon NAT, ranplase adrès VIP la ak adrès backend chwazi a.
3. Edge fè sous NAT, ranplase adrès itilizatè a ki te voye demann lan ak pwòp li yo.
4. Yo voye pake a nan backend chwazi a.
5. Backend la pa reponn dirèkteman nan itilizatè a, men nan Edge a, depi adrès orijinal itilizatè a te chanje nan adrès balanse a.
6. Edge transmèt repons sèvè a bay itilizatè a.
Dyagram nan anba a.


Transparan, oswa inline, mòd. Nan senaryo sa a, balanse a gen interfaces sou rezo entèn ak ekstèn yo. An menm tan an, pa gen aksè dirèk nan rezo entèn la soti nan yon sèl ekstèn. Ekilib chaj entegre a aji kòm yon pòtay NAT pou machin vityèl sou rezo entèn la.

Mekanis la se jan sa a:
1. Itilizatè a voye yon demann nan adrès VIP (adrès balanse) ki configuré sou Edge la.
2. Edge chwazi youn nan backend yo epi fè destinasyon NAT, ranplase adrès VIP la ak adrès backend chwazi a.
3. Yo voye pake a nan backend chwazi a.
4. Backend la resevwa yon demann ak adrès orijinal itilizatè a (sous NAT pa te fèt) epi li reponn dirèkteman.
5. Trafik la ankò aksepte pa balanse chaj la, depi nan yon konplo inline li anjeneral aji kòm pòtay la default pou fèm nan sèvè.
6. Edge fè sous NAT pou voye trafik bay itilizatè a, lè l sèvi avèk VIP li kòm adrès IP sous la.
Dyagram nan anba a.

Pratike

Ban tès mwen an gen 3 serveurs kap kouri Apache, ki se configuré pou travay sou HTTPS. Edge pral fè balanse round robin nan demann HTTPS, proxy chak nouvo demann nan yon nouvo sèvè.
Ann kòmanse.

Jenere yon sètifika SSL ke NSX Edge pral itilize
Ou ka enpòte yon sètifika CA valab oswa itilize yon sètifika ki siyen tèt ou. Pou tès sa a mwen pral itilize siyen pwòp tèt ou.

1. Nan koòdone vCloud Director, ale nan anviwònman sèvis Edge yo.
   
2. Ale nan tab Sètifika. Nan lis aksyon yo, chwazi ajoute yon nouvo CSR.
   
3. Ranpli jaden obligatwa yo epi klike sou Kenbe.
   
4. Chwazi CSR ki fèk kreye epi chwazi opsyon CSR pou siyen pwòp tèt ou.
   
5. Chwazi peryòd validite sètifika a epi klike sou Kenbe
   
6. Sètifika oto-siyen an parèt nan lis la ki disponib.
   

Mete kanpe pwofil aplikasyon an
Des aplikasyon yo ba ou plis kontwòl konplè sou trafik rezo a epi fè jere li senp epi efikas. Yo ka itilize pou defini konpòtman pou kalite espesifik nan trafik.

1. Ale nan tab la Load Balancer epi pèmèt balans lan. Akselerasyon an pèmèt opsyon isit la pèmèt balanse a sèvi ak pi vit balanse L4 olye pou yo L7.
   
2. Ale nan tab la pwofil aplikasyon pou mete pwofil aplikasyon an. Klike sou +.
   
3. Mete non pwofil la epi chwazi kalite trafik pou pwofil la ap aplike. Kite m eksplike kèk paramèt.
   Perseverans – estoke ak swiv done sesyon yo, pou egzanp: ki sèvè espesifik nan pisin lan ap fè sèvis demann itilizatè a. Sa asire ke demann itilizatè yo ap voye bay menm manm pisin lan pandan tout lavi sesyon an oswa sesyon ki vin apre yo.
   Pèmèt SSL pasaj – Lè yo chwazi opsyon sa a, NSX Edge sispann sispann SSL. Olye de sa, revokasyon rive dirèkteman sou serveurs yo ke yo te balanse.
   Antre X-Forwarded-For HTTP header – pèmèt ou detèmine adrès IP sous kliyan an konekte ak sèvè entènèt la atravè balans chaj la.
   Pèmèt Pool Side SSL – pèmèt ou presize ke pisin lan chwazi a konsiste de serveurs HTTPS.
   
4. Depi mwen pral balanse trafik HTTPS, mwen bezwen aktive Pool Side SSL epi chwazi sètifika a deja pwodwi nan Sètifika Sèvè Virtual -> Tab Sètifika Sèvis.
   
5. Menm jan an pou Sètifika Pool -> Sètifika Sèvis.
   

Nou kreye yon pisin nan serveurs, trafik la ki pral balanse pisin

1. Ale nan tab la Pisin. Klike sou +.
   
2. Nou mete non pisin lan, chwazi algorithm la (mwen pral sèvi ak round robin) ak kalite siveyans pou backend chèk sante a.Opsyon transparan nan endike si IP sous inisyal kliyan yo vizib nan sèvè entèn yo.
   • Si opsyon a enfim, trafik pou serveurs entèn yo soti nan IP sous balanse a.
   • Si opsyon a pèmèt, sèvè entèn yo wè IP sous kliyan yo. Nan konfigirasyon sa a, NSX Edge dwe aji kòm pòtay default pou asire ke pake retounen yo pase nan NSX Edge.

   NSX sipòte algorithm balanse sa yo:

   • IP_HASH – seleksyon sèvè ki baze sou rezilta yon fonksyon hash pou sous ak destinasyon IP chak pake.
   • LEASTCONN – balanse nan koneksyon fèk ap rantre, tou depann de nimewo ki deja disponib sou yon sèvè patikilye. Nouvo koneksyon yo pral dirije sou sèvè a ki gen mwens koneksyon yo.
   • ROUND_ROBIN – Nouvo koneksyon yo voye nan chak sèvè nan vire, an akò ak pwa a asiyen nan li.
   • URI – Pati gòch URI a (anvan mak kesyon an) koupe ak divize pa pwa total de serveurs nan pisin lan. Rezilta a endike ki sèvè ki resevwa demann lan, asire ke demann lan toujou ap dirije nan menm sèvè a, osi lontan ke tout serveurs rete disponib.
   • HTTPHEADER – balanse ki baze sou yon header HTTP espesifik, ki ka espesifye kòm yon paramèt. Si tèt la manke oswa pa gen okenn valè, yo aplike algorithm ROUND_ROBIN.
   • URL – Chak demann HTTP GET rechèch pou paramèt URL espesifye kòm yon agiman. Si paramèt la swiv pa yon siy egal ak yon valè, Lè sa a, valè a hache ak divize pa pwa total de serveurs kouri. Rezilta a endike ki sèvè ki resevwa demann lan. Pwosesis sa a yo itilize pou kenbe tras idantifikasyon itilizatè yo nan demann epi asire ke yo toujou voye menm id itilizatè a sou menm sèvè a, osi lontan ke tout sèvè yo rete disponib.

   

3. Nan blòk Manm yo, klike sou + pou ajoute sèvè nan pisin lan.
   
   
   Isit la ou bezwen presize:
   • non sèvè;
   • Adrès IP sèvè;
   • pò a sou ki sèvè a pral resevwa trafik;
   • pò pou chèk sante (Monitor healthcheck);
   • pwa - lè l sèvi avèk paramèt sa a ou ka ajiste kantite pwopòsyonèl trafik ou resevwa pou yon manm pisin espesifik;
   • Max Koneksyon - kantite maksimòm koneksyon ak sèvè a;
   • Min Koneksyon - kantite minimòm koneksyon ke sèvè a dwe trete anvan yo voye trafik bay pwochen manm pisin lan.

   
   
   Sa a se sa pisin final la nan twa serveurs sanble.
   

Ajoute Virtual sèvè

1. Ale nan tab la Virtual Servers. Klike sou +.
   
2. Nou aktive sèvè vityèl la lè l sèvi avèk Pèmèt sèvè vityèl.
   Nou ba li yon non, chwazi pwofil aplikasyon an te deja kreye, pisin epi endike adrès IP kote sèvè Virtual a pral resevwa demann soti deyò. Nou presize pwotokòl HTTPS la ak pò 443.
   Paramèt opsyonèl isit la:
   Limit koneksyon – kantite maksimòm koneksyon similtane sèvè vityèl la ka trete;
   Limit To Koneksyon (CPS) – kantite maksimòm nouvo demann fèk ap rantre pou chak segonn.
   

Sa a konplete konfigirasyon balans lan; ou ka tcheke fonksyonalite li yo. Sèvè yo gen yon konfigirasyon senp ki pèmèt ou konprann ki sèvè nan pisin lan trete demann lan. Pandan konfigirasyon, nou te chwazi algorithm balanse Round Robin, ak paramèt Pwa pou chak sèvè egal a youn, kidonk chak demann ki vin apre yo pral trete pa pwochen sèvè ki soti nan pisin lan.
Nou antre adrès ekstèn balanse a nan navigatè a epi wè:


Apre rafrechi paj la, demann lan pral trete pa sèvè sa a:


Epi ankò - tcheke twazyèm sèvè a soti nan pisin lan:


Lè w tcheke, ou ka wè ke sètifika Edge voye nou an se menm sètifika nou te pwodwi nan kòmansman an.

Tcheke estati balanse nan konsole pòtay Edge la. Pou fè sa, antre montre sèvis loadbalancer pisin.


Konfigirasyon monitè sèvis pou tcheke estati serveurs nan pisin lan
Lè l sèvi avèk Service Monitor nou ka kontwole estati a nan serveurs nan pisin nan backend. Si repons lan nan yon demann pa jan yo espere, yo ka retire sèvè a nan pisin lan pou li pa resevwa okenn nouvo demann.
Pa default, twa metòd verifikasyon yo configuré:

• TCP-monitè,
• monitè HTTP,
• HTTPS-moniteur.

Ann kreye yon nouvo.

1. Ale nan tab la Siveyans Sèvis, klike sou +.
   
2. Chwazi:
   • non pou nouvo metòd la;
   • entèval nan ki demann yo pral voye,
   • tan ap tann yon repons,
   • kalite siveyans - HTTPS demann lè l sèvi avèk metòd la GET, espere kòd estati - 200 (OK) ak URL demann.
3. Sa a konplete konfigirasyon nouvo monitè sèvis la; kounye a nou ka itilize li lè nou kreye yon pisin.
   

Mete kanpe règ aplikasyon yo

Règ aplikasyon yo se yon fason pou manipile trafik ki baze sou sèten deklanche. Avèk zouti sa a nou ka kreye règ avanse balans chaj ki ka pa posib atravè pwofil aplikasyon oswa lòt sèvis ki disponib sou Edge Gateway la.

1. Pou kreye yon règ, ale nan tab la Règ aplikasyon nan balans lan.
   
2. Chwazi yon non, yon script ki pral sèvi ak règ la, epi klike sou Kenbe.
   
3. Apre yo fin kreye règ la, nou bezwen edite sèvè Virtual deja configuré.
   
4. Nan tab la Avanse, ajoute règ nou te kreye a.
   

Nan egzanp ki anwo a nou te pèmèt sipò tlsv1.

Yon koup plis egzanp:

Redireksyon trafik nan yon lòt pisin.
Avèk script sa a nou ka redireksyon trafik nan yon lòt pisin balanse si pisin prensipal la desann. Pou règ la travay, plizyè pisin yo dwe configuré sou balanse a ak tout manm pisin prensipal la dwe nan eta a desann. Ou bezwen presize non pisin lan, pa ID li.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Redireksyon trafik nan yon resous ekstèn.
Isit la nou redireksyon trafik sou sit entènèt ekstèn la si tout manm pisin prensipal la desann.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Menm plis egzanp isit la.

Sa a tout pou mwen sou balans lan. Si ou gen nenpòt kesyon, mande, mwen pare pou reponn.

Sous: www.habr.com