VMware NSX ji bo piçûkan. Beş 5: Veavakirina Balansek Barkirinê

Beşê yekê. danasînê
Part du. Veavakirina Firewall û qaîdeyên NAT
Beşa sêyem. Veavakirina DHCP
Beş çar. Sazkirina rêgezê

Cara paşîn me li ser kapasîteyên NSX Edge di warê rêveçûna statîk û dînamîkî de peyivî, û îro em ê bi balansa barkirinê re mijûl bibin.
Berî ku em dest bi sazkirinê bikin, ez dixwazim bi kurtî li ser cûreyên sereke yên hevsengiyê bi bîr bînim.

Theory

Hemî çareseriyên hevsengiya bargiraniya îro bi gelemperî li du kategoriyan têne dabeş kirin: hevsengiya di asta çaremîn (veguheztin) û heftemîn (sepan) modelê de. An jî ger. Modela OSI di dema danasîna rêbazên hevsengiyê de ne xala referansê ya çêtirîn e. Mînakî, heke balansek L4 jî bidawîbûna TLS piştgirî bike, gelo wê hingê ew dibe balansek L7? Lê ew çi ye.

• Balanser L4 pir caran ew proxyek navîn e ku di navbera xerîdar û komek paşverûyên berdest de radiweste, ku girêdanên TCP-ê diqedîne (ango, serbixwe bersivê dide SYN), paşvekêşek hildibijêre û danişînek TCP-ê ya nû di rêça xwe de dide destpêkirin, bi serbixwe SYN dişîne. Ev celeb yek ji wan bingehîn e; vebijarkên din mimkun in.
• Balanser L7 seyrûseferê li ser piştên berdest ji hevsengkera L4 "pişktir" belav dike. Ew dikare biryarê bide ka kîjan paşnavê hilbijêrin, mînakî, naveroka peyama HTTP (URL, cookie, hwd.).

Tevî celebê, balansek dikare fonksiyonên jêrîn piştgirî bike:

• Vedîtina karûbar pêvajoyek destnîşankirina komek paşnavên berdest e (Statîk, DNS, Konsul, Etcd, hwd.).
• Kontrolkirina fonksiyona paşnavên hatine tespîtkirin ("ping" çalak a paşîn bi karanîna daxwazek HTTP, tespîtkirina pasîf a pirsgirêkan di girêdanên TCP de, hebûna çend 503 kodên HTTP di bersivan de, hwd.).
• Hevsengî bi xwe (dorpêça, bijartina rasthatî, çavkaniyek IP-ya çavkaniyê, URI).
• Qedandina TLS û verastkirina sertîfîkayê.
• Vebijarkên girêdayî ewlehiyê (nasînkirin, pêşîlêgirtina êrîşa DoS, sînorkirina bilez) û hêj bêtir.

NSX Edge ji bo du awayên bicîhkirina balansa barkirinê piştgirî pêşkêşî dike:

Moda proxy, an yek-çek. Di vê modê de, NSX Edge navnîşana IP-ya xwe wekî navnîşana çavkaniyê bikar tîne dema ku daxwazek ji yek ji paşîn re dişîne. Bi vî rengî, balansker di heman demê de fonksiyonên Çavkanî û Deste NAT-ê pêk tîne. Piştgiriya hemî seyrûseferê wekî ku ji balanserê hatî şandin dibîne û rasterast bersivê dide wê. Di nexşeyek wusa de, balansek divê bi serverên navxweyî re di heman beşa torê de be.

Li vir çawa diçe:
1. Bikarhêner daxwazek ji navnîşana VIP-ê (navnîşana balanserê) ya ku li ser Edge-yê hatî mîheng kirin dişîne.
2. Edge yek ji paşperdeyan hildibijêre û NAT-ya mebestê pêk tîne, navnîşana VIP-ê bi navnîşana paşîna hilbijartî veguherîne.
3. Edge çavkaniya NAT-ê pêk tîne, navnîşana bikarhênerê ku daxwaz şandiye bi ya xwe diguhezîne.
4. Pakêtek ji paşnavê hilbijartî re tê şandin.
5. Piştgir rasterast bersivê nade bikarhêner, lê ji Edge re, ji ber ku navnîşana orîjînal a bikarhêner li navnîşana balanserê hatî guhertin.
6. Edge bersiva serverê ji bikarhênerê re dişîne.
Diagram li jêr e.


Moda zelal, an hundurîn. Di vê senaryoyê de, hevseng li ser torên hundurîn û derveyî têkiliyek heye. Di heman demê de, gihandina rasterast ji tora hundurîn ji ya derveyî tune. Balansa barkirinê ya çêkirî wekî dergehek NAT ji bo makîneyên virtual li ser tora navxweyî tevdigere.

Mekanîzma wiha ye:
1. Bikarhêner daxwazek ji navnîşana VIP-ê (navnîşana balanserê) ya ku li ser Edge-yê hatî mîheng kirin dişîne.
2. Edge yek ji paşperdeyan hildibijêre û NAT-ya mebestê pêk tîne, navnîşana VIP-ê bi navnîşana paşîna hilbijartî veguherîne.
3. Pakêtek ji paşnavê hilbijartî re tê şandin.
4. Piştgir daxwazek bi navnîşana orîjînal a bikarhêner distîne (çavkaniya NAT nehat kirin) û rasterast bersivê dide.
5. Trafîk dîsa ji hêla balanserê barkirinê ve tê pejirandin, ji ber ku di nexşeyek hundurîn de ew bi gelemperî wekî dergehê xwerû ji bo çandiniya serverê tevdigere.
6. Edge çavkaniya NAT-ê dike da ku seyrûseferê ji bikarhêner re bişîne, ku VIP-a xwe wekî navnîşana IP-ya çavkaniyê bikar tîne.
Diagram li jêr e.

Praktice

Bûka testa min 3 server hene ku Apache-yê dimeşînin, ku ji bo ku li ser HTTPS-ê bixebite hatî mîheng kirin. Edge dê hevsengkirina daxwazên HTTPS-ê pêk bîne, her daxwazek nû ji serverek nû re prox bike.
Ka em dest bidin hev.

Hilberîna sertîfîkayek SSL-ê ku dê ji hêla NSX Edge ve were bikar anîn
Hûn dikarin sertîfîkayek CA-ya derbasdar derxînin an jî yek-îmzakirî bikar bînin. Ji bo vê testê ez ê xwe-îmzakirî bikar bînim.

1. Di navgîniya Derhênerê vCloud de, biçin mîhengên karûbarên Edge.
   
2. Herin tabloya Sertîfîkayan. Ji navnîşa çalakiyan, lê zêdekirina CSR-ya nû hilbijêrin.
   
3. Qadên pêwîst dagirin û bikirtînin Keep.
   
4. CSR-ya nû hatî afirandin hilbijêrin û vebijarka CSR-ya xwe-nîşanê hilbijêrin.
   
5. Demjimêra derbasdariya sertîfîkayê hilbijêrin û bikirtînin Keep
   
6. Sertîfîkaya xwe-îmzakirî di navnîşa yên berdest de xuya dike.
   

Sazkirina Profîla Serlêdanê
Profîlên serîlêdanê li ser seyrûsefera torê kontrolek bêkêmasî dide we û birêvebirina wê hêsan û bandorker dike. Ew dikarin ji bo danasîna tevgerê ji bo celebên seyrûseferê werin bikar anîn.

1. Herin tabloya Load Balancer û balanker çalak bikin. Vebijarka çalakkirina Lezê li vir dihêle ku balansker li şûna L4 hevsengiya L7 zûtir bikar bîne.
   
2. Herin tabloya profîla Serlêdanê da ku profîla serîlêdanê saz bikin. Bikirtînin +.
   
3. Navê profîlê saz bikin û celebê seyrûsefera ku dê profîl ji bo wê were sepandin hilbijêrin. Bila ez çend parameteran rave bikim.
   Li sersekinî - Daneyên danişînê diparêze û dişopîne, mînakî: kîjan servera taybetî ya di hewzê de daxwaza bikarhênerê dike. Ev piştrast dike ku daxwazên bikarhêner ji bo heyama danişînê an danişînên paşîn ji heman endamê hewzê re têne rêve kirin.
   Derbasbûna SSL çalak bike - Dema ku ev vebijark were hilbijartin, NSX Edge bidawîkirina SSL-ê rawestîne. Di şûna wê de, bidawîbûn rasterast li ser serverên ku hevseng têne kirin pêk tê.
   Sernavê X-Forwarded-Ji bo HTTP têxe - dihêle hûn navnîşana IP-ya çavkaniyê ya xerîdar ku bi navgîniya barkirinê ve bi servera malperê ve girêdayî ye diyar bikin.
   Pool Side SSL çalak bike - destûrê dide te ku hûn diyar bikin ku hewza hilbijartî ji pêşkêşkerên HTTPS pêk tê.
   
4. Ji ber ku ez ê seyrûsefera HTTPS-ê hevseng bikim, pêdivî ye ku ez SSL-ya Pool Side çalak bikim û sertîfîkaya ku berê hatî hilberandin di Sertîfîkayên Pêşkêşkara Virtual -> Sertîfîkaya Karûbarê de hilbijêrin.
   
5. Bi heman awayî ji bo Sertîfîkayên Pool -> Sertîfîkaya Karûbar.
   

Em hewzek pêşkêşkeran diafirînin, seyrûsefera ku tê de dê hevseng be

1. Herin tabloya Pools. Bikirtînin +.
   
2. Em navê hewzê destnîşan dikin, algorîtmayê hildibijêrin (Ez ê dor bi kar bînim) û celebê şopandinê ji bo paşiya kontrolê ya tenduristiyê. Vebijarka Transparent destnîşan dike ka IP-ya çavkaniya destpêkê ya xerîdaran ji pêşkêşkerên hundurîn re xuya ye an na.
   • Ger vebijark neçalak be, seyrûsefera pêşkêşkerên hundurîn ji IP-ya çavkaniyê ya balanserê tê.
   • Ger vebijark çalak be, serverên hundurîn IP-ya çavkaniyê ya xerîdaran dibînin. Di vê veavakirinê de, NSX Edge divê wekî deriyê xwerû tevbigere da ku pê ewle bibe ku pakêtên vegerî di NSX Edge re derbas dibin.

   NSX algorîtmayên hevsengiya jêrîn piştgirî dike:

   • IP_HASH - Hilbijartina serverê li ser bingeha encamên fonksiyonek hash ji bo IP-ya çavkanî û mebesta her pakêtê.
   • LEASTCONN - hevsengkirina girêdanên hatinê, li gorî jimara ku berê li ser serverek taybetî peyda dibe. Têkiliyên nû dê ji servera ku bi girêdanên herî hindik re têne rêve kirin.
   • ROUND_ROBIN - Girêdanên nû li gorî giraniya ku jê re hatî destnîşan kirin ji her serverê re di dorê de têne şandin.
   • URI - beşa çepê ya URI-yê (berî nîşana pirsê) bi giraniya giştî ya pêşkêşkerên di hewzê de tê perçe kirin. Encam destnîşan dike ku kîjan server daxwazê ​​distîne, piştrast dike ku daxwaz her gav berbi heman serverê ve tê rêve kirin, heya ku hemî pêşkêşker berdest bimînin.
   • HTTPHEADER - hevsengkirina li ser sernavek taybetî ya HTTP, ku dikare wekî pîvanek were destnîşan kirin. Ger sernav winda bibe an nirxek wê tune be, algorîtmaya ROUND_ROBIN tê sepandin.
   • URL - Her daxwazek HTTP GET li parametreya URL-ê ya ku wekî arguman hatî destnîşan kirin digere. Ger li dû pîvanê nîşanek wekhev û nirxek were peyda kirin, wê hingê nirx bi giraniya giştî ya serverên xebitandinê tê dabeş kirin. Encam destnîşan dike ku kîjan server daxwazê ​​distîne. Ev pêvajo ji bo şopandina nasnameyên bikarhêner di daxwazan de tê bikar anîn û pê ewle dibe ku heman nasnameya bikarhêner her gav ji heman serverê re tê şandin, heya ku hemî pêşkêşker berdest bimînin.

   

3. Di bloka Endaman de, bikirtînin + da ku pêşkêşkeran li hewzê zêde bikin.
   
   
   Li vir hûn hewce ne ku diyar bikin:
   • navê server;
   • Navnîşana IP-ya serverê;
   • porta ku server dê seyrûseferê werbigire;
   • port ji bo kontrolkirina tenduristiyê (Monitoravdêriya tenduristiyê);
   • giranî - bi karanîna vê parametreyê hûn dikarin mîqdara rêjeyî ya seyrûsefera ku ji bo endamek hewzê hatî wergirtin eyar bikin;
   • Girêdanên Max - hejmara herî zêde ya girêdanên bi serverê re;
   • Têkiliyên Min - hindiktirîn hejmara girêdanên ku server pêdivî ye ku berî ku seyrûsefer ji endamê hewza din re were şandin.

   
   
   Ya ku hewza paşîn a sê pêşkêşkeran xuya dike ev e.
   

Zêdekirina Servera Virtual

1. Herin tabloya Pêşkêşkerên Virtual. Bikirtînin +.
   
2. Em servera virtual bi karanîna Pêşkêşkara Virtualê çalak bikin çalak dikin.
   Em navek lê didin, Profîla Serlêdanê ya ku berê hatî afirandin, Pool hildibijêrin û navnîşana IP-ya ku Pêşkêşkara Virtual dê daxwazên ji derve werdigire destnîşan dikin. Em protokola HTTPS û porta 443 diyar dikin.
   Parametreyên bijartî li vir:
   Girêdana Sînora - hejmara herî zêde ya girêdanên hevdem ên ku servera virtual dikare pêvajo bike;
   Sînorê Rêjeya Girêdanê (CPS) - Hejmara herî zêde ya daxwazên hatina nû di çirkeyê de.
   

Ev veavakirina balanserê temam dike; hûn dikarin fonksiyona wê kontrol bikin. Pêşkêşker xwedan vesazkirinek hêsan e ku dihêle hûn fêm bikin ka kîjan server ji hewzê daxwazê ​​pêvajo kiriye. Di dema sazkirinê de, me algorîtmaya hevsengiya Round Robin hilbijart, û pîvana Weight ji bo her serverek yek e, ji ber vê yekê her daxwazek paşîn dê ji hêla servera din a ji hewzê ve were pêvajo kirin.
Em navnîşana derveyî ya balanserê di gerokê de têkevin û dibînin:


Piştî nûvekirina rûpelê, daxwaz dê ji hêla servera jêrîn ve were hilberandin:


Û dîsa - ji bo kontrolkirina servera sêyemîn ji hewzê:


Dema ku kontrol dikin, hûn dikarin bibînin ku sertîfîkaya ku Edge ji me re dişîne heman e ku me di destpêkê de çêkir.

Kontrolkirina rewşa balanserê ji konsolê deriyê Edge. Ji bo vê yekê, têkevin xizmeta loadbalancer pool nîşan bide.


Veavakirina Çavdêriya Karûbarê ji bo kontrolkirina rewşa pêşkêşkerên di hewzê de
Bi karanîna Monitoravdêriya Karûbarê em dikarin rewşa pêşkêşkerên di hewza paşîn de bişopînin. Ger bersiva daxwazek ne wekî ku tê hêvî kirin be, server dikare ji hewzê were derxistin da ku ew daxwazên nû nestîne.
Bi xwerû, sê awayên verastkirinê têne mîheng kirin:

• TCP-monitor,
• çavdêriya HTTP,
• HTTPS-monîtor.

Werin em yekî nû ava bikin.

1. Herin tabloya Çavdêriya Karûbarê, bikirtînin +.
   
2. Helbijartin:
   • navê rêbaza nû;
   • navbera ku dê daxwaz bêne şandin,
   • dem li benda bersivê ye,
   • Tîpa çavdêriyê - Daxwaza HTTPS bi karanîna rêbaza GET, koda statûya çaverêkirî - 200 (OK) û URL-ê daxwaz dike.
3. Ev sazkirina Çavdêriya Karûbarê nû temam dike; naha em dikarin dema ku hewzek çêbikin wê bikar bînin.
   

Sazkirina Rêgezên Serlêdanê

Rêbazên Serlêdanê rêyek e ku meriv seyrûseferê li ser bingeha hin kêşanan manîpule bike. Bi vê amûrê re em dikarin qaîdeyên hevsengiya barkirinê ya pêşkeftî biafirînin ku dibe ku bi navgîniya profîlên Serlêdanê an karûbarên din ên ku li ser Edge Gateway hene ne gengaz be.

1. Ji bo afirandina qaîdeyek, biçin tabloya Rêgezên Serlêdanê ya balanserê.
   
2. Navek, skrîptek ku dê qaîdeyê bikar bîne hilbijêrin û bikirtînin Keep.
   
3. Piştî ku qaîdeyek hate afirandin, pêdivî ye ku em Pêşkêşkara Virtualê ya ku berê hatî mîheng kirin biguhezînin.
   
4. Di tabloya Pêşkeftî de, qaîdeya ku me çêkiriye lê zêde bike.
   

Di mînaka li jor de me piştgiriya tlsv1 çalak kir.

Çend mînakên din:

Beralîkirina trafîkê berbi hewzek din.
Bi vê skrîptê re ger hewza sereke dakeve em dikarin seyrûseferê beralî hewzek hevsengek din bikin. Ji bo ku qaîdeyek bixebite, pêdivî ye ku pir hewz li ser balanserê werin mîheng kirin û hemî endamên hewza sereke divê di rewşa xwarê de bin. Pêdivî ye ku hûn navê hewzê diyar bikin, ne nasnameya wê.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Veguheztina trafîkê berbi çavkaniyek derveyî.
Li vir ger ku hemî endamên hewza sereke dakevin, em seyrûseferê ber bi malpera derve ve vegerînin.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Nimûneyên hê bêtir vir.

Ew ji bo min hemî li ser balanserê ye. Ger pirsên we hebin, bipirsin, ez amade me ku bersiv bidim.

Source: www.habr.com