VMware NSX maka ụmụntakịrị. Nkebi 5: Ịhazi nha nha nha

Akụkụ nke mbụ. mmeghe
Akụkụ nke abụọ. Na-ahazi Firewall na Iwu NAT
Akụkụ nke atọ. Na-ahazi DHCP
Akụkụ anọ. Nhazi ụzọ ụzọ

Oge ikpeazụ anyị kwuru banyere ikike nke NSX Edge n'ihe gbasara ụzọ kwụ ọtọ na nke siri ike, ma taa, anyị ga-emeso onye na-ebu ibu.
Tupu anyị amalite ịtọlite ​​​​, ọ ga-amasị m ichetara gị nkenke maka ụdị nhazi nke isi.

Akwụkwọ

A na-ekekarị ngwọta ịkwụ ụgwọ ụgwọ ịkwụ ụgwọ taa ụzọ abụọ: ịhazi nha na ọkwa nke anọ (ụgbọ njem) na nke asaa (ngwa) nke ụdị. MA Ọ B IF Ọ B .R.. Ụdị OSI abụghị ebe ntụaka kacha mma mgbe a na-akọwa usoro nhazi. Dịka ọmụmaatụ, ọ bụrụ na onye na-ahụ maka L4 na-akwado nkwụsị TLS, ọ ga-abụkwa ihe nkwụnye L7? Ma ọ bụ ihe ọ bụ.

• Ọnụ ego L4 Ọtụtụ mgbe, ọ bụ n'etiti proxy guzo n'etiti onye ahịa na a set nke dị backends, nke na-akwụsị TCP njikọ (ya bụ, onwe na-aza SYN), họrọ a backend na-amalite ọhụrụ TCP nnọkọ na ya ntụziaka, onwe na-eziga SYN. Ụdị a bụ otu n'ime ihe ndị bụ isi; nhọrọ ndị ọzọ ga-ekwe omume.
• Ọnụ ego L7 na-ekesa okporo ụzọ n'ofe azụ azụ dị “ọkaibe karịa” karịa nke L4 balancer na-eme. Ọ nwere ike ikpebi azụ azụ ị ga-ahọrọ dabere, dịka ọmụmaatụ, ọdịnaya nke ozi HTTP (URL, kuki, wdg).

N'agbanyeghị ụdị ọ bụla, onye nhazi ahụ nwere ike ịkwado ọrụ ndị a:

• Nchọpụta ọrụ bụ usoro nke ịchọpụta nhazi azụ azụ dị (Static, DNS, Consul, etc., wdg).
• Nyochaa ọrụ nke backends achọpụtara ("ping" na-arụ ọrụ nke azụ azụ site na iji arịrịọ HTTP, nchọpụta na-agafe agafe nke nsogbu na njikọ TCP, ọnụnọ nke ọtụtụ koodu 503 HTTP na nzaghachi, wdg).
• The itule onwe ya (gburugburu robin, random nhọrọ, isi IP hash, URI).
• Nkwụsị TLS na nkwenye asambodo.
• Nhọrọ ndị metụtara nchekwa (nnwale, mgbochi DoS, mmachi ọsọ) na ọtụtụ ndị ọzọ.

NSX Edge na-enye nkwado maka ụdị mbugharị ibu abụọ:

Ụdị proxy, ma ọ bụ otu-ogwe aka. Na ọnọdụ a, NSX Edge na-eji adreesị IP ya dị ka adreesị isi iyi mgbe ị na-eziga arịrịọ na otu n'ime azụ azụ. Ya mere, onye nhazi n'otu oge na-arụ ọrụ nke Source na Destination NAT. Ndị na-azụ azụ na-ahụ okporo ụzọ niile ka ezitere site n'aka onye nhazi wee zaghachi ya ozugbo. N'ime atụmatụ dị otú ahụ, onye na-agbazinye ego ga-abụrịrị n'otu mpaghara netwọk ahụ na sava dị n'ime.

Nke a bụ ka ọ na-aga:
1. Onye ọrụ na-eziga arịrịọ na adreesị VIP (adreesị balancer) nke ahaziri na Edge.
2. Edge na-ahọrọ otu n'ime backends na-eme ebe NAT, dochie VIP adreesị na adreesị nke ahọrọ backend.
3. Edge rụrụ isi iyi NAT, dochie adreesị nke onye ọrụ zitere arịrịọ na ya.
4. A na-eziga ngwugwu ahụ na azụ azụ ahọpụtara.
5. Akwụghachi azụ anaghị azaghachi onye ọrụ ozugbo, mana na Edge, ebe ọ bụ na agbanweela adreesị mbụ nke onye ọrụ na adreesị nke balancer.
6. Edge na-ebufe nzaghachi nkesa na onye ọrụ.
Eserese dị n'okpuru.


Ntugharị, ma ọ bụ inline, mode. Na nke a dịruru ná njọ, balancer nwere interfaces na esịtidem na mpụga netwọk. N'otu oge ahụ, ọ nweghị ohere ịbanye na netwọk dị n'ime site na mpụga. Ihe nkwụnye ibu arụnyere n'ime ya na-arụ ọrụ dị ka ọnụ ụzọ NAT maka igwe mebere na netwọkụ dị n'ime.

Usoro a bụ nke a:
1. Onye ọrụ na-eziga arịrịọ na adreesị VIP (adreesị balancer) nke ahaziri na Edge.
2. Edge na-ahọrọ otu n'ime backends na-eme ebe NAT, dochie VIP adreesị na adreesị nke ahọrọ backend.
3. A na-eziga ngwugwu ahụ na azụ azụ ahọpụtara.
4. The backend na-enweta arịrịọ na adreesị mbụ nke onye ọrụ (isi NAT emeghị ya) ma zaghachi ya ozugbo.
5. A na-anabata okporo ụzọ ahụ ọzọ site n'aka onye na-ebu ibu, ebe ọ bụ na n'ime atụmatụ inline ọ na-emekarị dị ka ọnụ ụzọ ndabara maka ugbo nkesa.
6. Edge rụrụ isi iyi NAT izipu okporo ụzọ onye ọrụ, na-eji VIP ya dị ka isi iyi IP adreesị.
Eserese dị n'okpuru.

Mee ihe

Oche ule m nwere sava 3 na-agba Apache, nke ahaziri ịrụ ọrụ n'elu HTTPS. Edge ga-eme nhazigharị robin nke arịrịọ HTTPS, na-ekwupụta arịrịọ ọhụrụ ọ bụla na sava ọhụrụ.
Ka anyi bido.

Ịmepụta asambodo SSL nke NSX Edge ga-eji
Ị nwere ike ibubata asambodo CA dị irè ma ọ bụ jiri nke ejiri aka ya bịa. Maka ule a, m ga-eji aka onwe m.

1. Na vCloud Director interface, gaa na ntọala ọrụ Edge.
   
2. Gaa na taabụ Asambodo. Site na listi omume, họrọ ịgbakwunye CSR ọhụrụ.
   
3. Dejupụta mpaghara achọrọ wee pịa Debe.
   
4. Họrọ ọhụrụ kere CSR na họrọ onwe-aka CSR nhọrọ.
   
5. Họrọ ndaba oge nke akwụkwọ na pịa Nọgidenụ
   
6. Asambodo ejiri aka ya bịa na-egosi na ndepụta nke dị.
   

Ịtọlite ​​profaịlụ ngwa
Profaịlụ ngwa na-enye gị njikwa zuru oke na okporo ụzọ netwọkụ ma mee ka ijikwa ya dị mfe ma dị irè. Enwere ike iji ha kọwaa omume maka ụdị okporo ụzọ akọwapụtara.

1. Gaa na taabụ Load Balancer ma mee ka onye na-agbazinye ihe. Nhọrọ enyere osooso ebe a na-enye onye na-eme ihe nleba anya ohere iji nhazi ngwa ngwa L4 kama L7.
   
2. Gaa na profaịlụ ngwa taabụ ka ịtọọ profaịlụ ngwa. Pịa +.
   
3. Tọọ aha profaịlụ ma họrọ ụdị okporo ụzọ nke a ga-etinye profaịlụ ya. Ka m kọwaa ụfọdụ paramita.
   Iguzosi ike - na-echekwa ma na-egwu data nnọkọ, dịka ọmụmaatụ: nke kpọmkwem nkesa na ọdọ mmiri na-eje ozi arịrịọ onye ọrụ. Nke a na-achọpụta na a na-ebugharị arịrịọ onye ọrụ n'aka onye otu ọdọ mmiri ahụ maka oge ndụ nke nnọkọ ma ọ bụ nnọkọ ndị ọzọ.
   Kwado SSL passthrough - Mgbe ahọpụtara nhọrọ a, NSX Edge kwụsịrị ịkwụsị SSL. Kama, nchupu na-apụta ozugbo na sava ndị a na-ahazi.
   Fanye X-Forwarded-Maka HTTP nkụnye eji isi mee - na-enye gị ohere ikpebi isi mmalite adreesị IP nke onye ahịa na-ejikọ na sava weebụ site na njikwa ibu.
   Kwado akụkụ ọdọ mmiri SSL - na-enye gị ohere ịkọwapụta na ọdọ mmiri ahọpụtara nwere sava HTTPS.
   
4. Ebe ọ bụ na m ga-edozi okporo ụzọ HTTPS, ọ dị m mkpa ịme ka Pool Side SSL wee họrọ akwụkwọ ikike emepụtara na mbụ na Asambodo Server mebere -> Asambodo ọrụ.
   
5. N'otu aka ahụ maka Asambodo ọdọ mmiri -> Asambodo ọrụ.
   

Anyị na-emepụta ọdọ mmiri nke sava, okporo ụzọ nke ga-abụ ọdọ mmiri kwesịrị ekwesị

1. Gaa na taabụ ọdọ mmiri. Pịa +.
   
2. Anyị na-edobe aha ọdọ mmiri, họrọ algọridim (M ga-eji round robin) na ụdị nlekota maka nyocha ahụike azụ. Nhọrọ Transparent na-egosi ma IP ndị mbụ nke ndị ahịa na-ahụ anya na sava n'ime.
   • Ọ bụrụ na nhọrọ ahụ nwere nkwarụ, okporo ụzọ maka ihe nkesa dị n'ime na-abịa site na isi iyi IP nke nkwụnye ego.
   • Ọ bụrụ na agbanyere nhọrọ ahụ, sava ime na-ahụ isi mmalite IP nke ndị ahịa. Na nhazi a, NSX Edge ga-emerịrị dị ka ọnụ ụzọ ndabara iji hụ na ngwugwu eweghachiri gafere NSX Edge.

   NSX na-akwado algọridim ndị a na-edozi:

   • IP_HASH - nhọrọ nkesa dabere na nsonaazụ nke ọrụ hash maka isi mmalite na ebe IP nke ngwugwu ọ bụla.
   • LEASTCONN - nhazi nke njikọ mbata, dabere na ọnụọgụ dị na otu nkesa. A ga-eduzi njikọ ọhụrụ na sava nke nwere njikọ kacha nta.
   • ROUND_ROBIN - A na-eziga njikọ ọhụrụ na nkesa ọ bụla n'otu n'otu, dịka ibu e kenyere ya.
   • URI - akụkụ aka ekpe nke URI (tupu akara ajụjụ) na-ekpochapụ ma kesaa ya site na mkpokọta ihe nkesa na ọdọ mmiri. Nsonaazụ na-egosi nke nkesa na-enweta arịrịọ ahụ, na-ahụ na a na-ebugharị arịrịọ ahụ mgbe niile na otu ihe nkesa ahụ, ọ bụrụhaala na sava niile dị.
   • HTTPHEADER – itule dabere na otu HTTP nkụnye eji isi mee, nke enwere ike ịkọwapụta dị ka oke. Ọ bụrụ na nkụnye eji isi mee na-efu ma ọ bụ enweghị uru ọ bụla, a na-etinye ROUND_ROBIN algọridim.
   • URL - Arịrịọ HTTP GET ọ bụla na-achọ paramita URL akọwapụtara dị ka arụmụka. Ọ bụrụ na akara akara na-esochi paramita ahụ na akara nha anya na uru, mgbe ahụ, a na-ewepụ uru ahụ ma kesaa ya site na mkpokọta oke nke sava na-agba ọsọ. Nsonaazụ na-egosi nke nkesa na-enweta arịrịọ ahụ. A na-eji usoro a iji dobe NJ onye ọrụ na arịrịọ ma hụ na a na-eziga otu id onye ọrụ mgbe niile na otu ihe nkesa ahụ, ọ bụrụhaala na sava niile dị.

   

3. Na ngọngọ ndị otu, pịa + ka ịgbakwunye sava na ọdọ mmiri.
   
   
   Ebe i kwesịrị igosi:
   • aha nkesa;
   • Adreesị IP nkesa;
   • ọdụ ụgbọ mmiri nke ihe nkesa ga-enweta okporo ụzọ;
   • ọdụ ụgbọ mmiri maka nlele ahụike (Nleba anya ahụike);
   • ibu - site na iji oke a, ị nwere ike ịhazigharị nha nha nke okporo ụzọ enwetara maka otu onye otu ọdọ mmiri;
   • Njikọ Max - ọnụ ọgụgụ kacha elu nke njikọ na ihe nkesa;
   • Njikọ Min – ọnụ ọgụgụ kacha nta nke njikọ nke ihe nkesa ga-ahazi tupu ebuga okporo ụzọ gaa na onye otu ọdọ mmiri na-esote.

   
   
   Nke a bụ ihe ọdọ mmiri ikpeazụ nke sava atọ dị ka.
   

Na-agbakwụnye ihe nkesa mebere

1. Gaa na Virtual Servers tab. Pịa +.
   
2. Anyị na-arụ ọrụ mebere nkesa na-eji Kwado mebere nkesa.
   Anyị na-enye ya aha, họrọ Profaịlụ Ngwa emebere mbụ, ọdọ mmiri wee gosi adreesị IP nke sava mebere ga-enweta arịrịọ site na mpụga. Anyị na-akọwapụta HTTPS protocol na ọdụ ụgbọ mmiri 443.
   Nhọrọ nhọrọ ebe a:
   Oke njikọ - ọnụ ọgụgụ kacha elu nke njikọ n'otu oge nke ihe nkesa mebere nwere ike ịhazi;
   Oke Ọnụego Njikọ (CPS) - ọnụ ọgụgụ kachasị nke arịrịọ mbata ọhụrụ kwa nkeji.
   

Nke a na-emecha nhazi nke nhazi ahụ; ị nwere ike ịlele ọrụ ya. Ihe nkesa ahụ nwere nhazi dị mfe nke na-enye gị ohere ịghọta ihe nkesa sitere na ọdọ mmiri kwadoro arịrịọ ahụ. N'oge nhazi, anyị họọrọ Round Robin itule algọridim, na oke ibu maka nkesa ọ bụla hà nhata otu, ya mere arịrịọ ọ bụla na-esote ga-edozi site na nkesa na-esote site na ọdọ mmiri ahụ.
Anyị na-abanye adreesị mpụga nke balancer na ihe nchọgharị wee hụ:


Mgbe emechara ibe ahụ ume ọhụrụ, ihe nkesa a ga-ahazi arịrịọ a:


Na ọzọ - ịlele nkesa nke atọ site na ọdọ mmiri:


Mgbe ị na-elele, ị nwere ike ịhụ na asambodo Edge na-ezigara anyị bụ otu nke anyị mepụtara na mbido.

Na-enyocha ọkwa nkwụnye ego site na Edge gateway console. Iji mee nke a, banye show ọrụ loadbalancer ọdọ mmiri.


Ịhazi Nyochaa Ọrụ iji lelee ọkwa nke sava na ọdọ mmiri
Iji Nyochaa Ọrụ anyị nwere ike nyochaa ọkwa nke sava na ọdọ mmiri azụ. Ọ bụrụ na nzaghachi nye arịrịọ adịghị ka a tụrụ anya ya, enwere ike wepụ ihe nkesa na ọdọ mmiri ka ọ ghara ịnata arịrịọ ọhụrụ ọ bụla.
Site na ndabara, a na-ahazi ụzọ nkwenye atọ:

• TCP-nlebaanya,
• Nyocha HTTP,
• HTTPS-nlebaanya.

Ka anyị mepụta nke ọhụrụ.

1. Gaa na taabụ nlekota oru ọrụ, pịa +.
   
2. Họrọ:
   • aha maka usoro ọhụrụ;
   • oge nke a ga-eziga arịrịọ,
   • oge agwụla echere nzaghachi,
   • ụdị nlekota - Arịrịọ HTTPS site na iji usoro GET, koodu ọkwa a na-atụ anya - 200 (OK) na ịrịọ URL.
3. Nke a mezuru ntọlite ​​​​nleba anya Ọrụ ọhụrụ; ugbu a anyị nwere ike iji ya mgbe ị na-eke ọdọ mmiri.
   

Ịtọlite ​​Iwu Ngwa

Iwu ngwa bụ ụzọ isi emegharị okporo ụzọ dabere na ụfọdụ ihe na-akpalite. Site na ngwá ọrụ a, anyị nwere ike ịmepụta iwu na-edozi ibu dị elu nke nwere ike ọ gaghị ekwe omume site na profaịlụ ngwa ma ọ bụ ọrụ ndị ọzọ dị na Edge Gateway.

1. Iji mepụta iwu, gaa na taabụ Iwu Ngwa nke onye na-edozi ihe.
   
2. Họrọ aha, edemede ga-eji iwu, wee pịa Debe.
   
3. Mgbe emechara iwu, anyị kwesịrị idezi ihe nkesa mebere nke ọma.
   
4. Na Advanced taabụ, tinye iwu anyị kere.
   

N'ihe atụ dị n'elu, anyị nyere nkwado tlsv1.

Ọmụmaatụ di na nwunye ọzọ:

Bugharịa okporo ụzọ gaa na ọdọ mmiri ọzọ.
Site na edemede a anyị nwere ike ibugharị okporo ụzọ gaa na ọdọ mmiri na-edozi ahụ ma ọ bụrụ na ọdọ mmiri bụ isi ala. Ka iwu na-arụ ọrụ, a ghaghị ịhazi ọtụtụ ọdọ mmiri na nkwụnye ego na ndị niile so na nnukwu ọdọ mmiri ga-adị na ala ala. Ịkwesịrị ịkọwa aha ọdọ mmiri, ọ bụghị ID ya.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Bugharịa okporo ụzọ gaa na akụrụngwa mpụga.
N'ebe a, anyị na-emegharị okporo ụzọ gaa na webụsaịtị dị n'èzí ma ọ bụrụ na ndị niile so na ọdọ mmiri dị ala.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Ọbụna ihe atụ ndị ọzọ ebe a.

Nke ahụ bụ ihe niile maka m gbasara onye nhazi. Ọ bụrụ na ị nwere ajụjụ ọ bụla, jụọ, adị m njikere ịza.

isi: www.habr.com