🥇VMware NSX pašiem mazākajiem. 5. daļa: Slodzes balansētāja konfigurēšana

Pirmā daļa. ievada
Otrā daļa. Ugunsmūra un NAT noteikumu konfigurēšana
Trešā daļa. DHCP konfigurēšana
Ceturtā daļa. Maršrutēšanas iestatīšana

Iepriekšējo reizi mēs runājām par NSX Edge iespējām statiskās un dinamiskās maršrutēšanas ziņā, un šodien mēs runāsim par slodzes balansētāju.
Pirms sākam iestatīšanu, es vēlos īsi atgādināt par galvenajiem balansēšanas veidiem.

Теория

Visi mūsdienu lietderīgās slodzes balansēšanas risinājumi visbiežāk tiek iedalīti divās kategorijās: balansēšana modeļa ceturtajā (transporta) un septītajā (pielietojuma) līmenī. OSI. OSI modelis nav labākais atskaites punkts, aprakstot balansēšanas metodes. Piemēram, ja L4 balansētājs atbalsta arī TLS izbeigšanu, vai tas kļūst par L7 balansētāju? Bet tas ir tas, kas tas ir.

Balansētājs L4 visbiežāk tas ir vidējais starpniekserveris, kas atrodas starp klientu un pieejamo aizmugursistēmu kopu, kas pārtrauc TCP savienojumus (tas ir, neatkarīgi reaģē uz SYN), izvēlas aizmugursistēmu un uzsāk jaunu TCP sesiju tā virzienā, neatkarīgi nosūtot SYN. Šis veids ir viens no pamata veidiem, ir iespējamas arī citas iespējas.
Balansētājs L7 sadala trafiku pa pieejamajām aizmugursistēmām “sarežģītāk” nekā L4 balansētājs. Tā var izlemt, kuru aizmugursistēmu izvēlēties, pamatojoties, piemēram, uz HTTP ziņojuma saturu (URL, sīkfailu utt.).

Neatkarīgi no veida balansētājs var atbalstīt šādas funkcijas:

Pakalpojumu atklāšana ir pieejamo aizmugursistēmu kopas noteikšanas process (statiskais, DNS, konsuls, utt.).
Atklāto aizmugursistēmu funkcionalitātes pārbaude (aktīvā aizmugursistēmas “ping”, izmantojot HTTP pieprasījumu, pasīva problēmu noteikšana TCP savienojumos, vairāku 503 HTTP kodu klātbūtne atbildēs utt.).
Pati līdzsvarošana (apļa pārbaude, nejauša atlase, avota IP hash, URI).
TLS darbības pārtraukšana un sertifikāta pārbaude.
Ar drošību saistītas iespējas (autentifikācija, DoS uzbrukumu novēršana, ātruma ierobežošana) un daudz kas cits.

NSX Edge piedāvā atbalstu diviem slodzes līdzsvara izvietošanas režīmiem:

Starpniekservera režīms vai vienas rokas režīms. Šajā režīmā NSX Edge izmanto savu IP adresi kā avota adresi, nosūtot pieprasījumu uz kādu no aizmugursistēmām. Tādējādi balansētājs vienlaikus veic avota un galamērķa NAT funkcijas. Aizmugursistēma redz visu trafiku, kas tiek nosūtīta no balansētāja, un reaģē tieši uz to. Šādā shēmā balansētājam jāatrodas vienā tīkla segmentā ar iekšējiem serveriem.

Lūk, kā tas notiek:
1. Lietotājs nosūta pieprasījumu uz VIP adresi (balansētāja adresi), kas ir konfigurēta Edge.
2. Edge atlasa vienu no aizmugursistēmām un veic galamērķa NAT, aizstājot VIP adresi ar izvēlētās aizmugursistēmas adresi.
3. Edge veic avota NAT, aizstājot pieprasījumu nosūtījušā lietotāja adresi ar savu.
4. Pakotne tiek nosūtīta uz izvēlēto aizmugursistēmu.
5. Aizmugursistēma nereaģē tieši uz lietotāju, bet gan uz Edge, jo lietotāja sākotnējā adrese ir mainīta uz balansētāja adresi.
6. Edge nosūta servera atbildi lietotājam.
Diagramma ir zemāk.

Caurspīdīgs vai iekļauts režīms. Šajā scenārijā balansētājam ir saskarnes iekšējos un ārējos tīklos. Tajā pašā laikā nav tiešas piekļuves iekšējam tīklam no ārējā. Iebūvētais slodzes līdzsvarotājs darbojas kā NAT vārteja virtuālajām mašīnām iekšējā tīklā.

Mehānisms ir šāds:
1. Lietotājs nosūta pieprasījumu uz VIP adresi (balansētāja adresi), kas ir konfigurēta Edge.
2. Edge atlasa vienu no aizmugursistēmām un veic galamērķa NAT, aizstājot VIP adresi ar izvēlētās aizmugursistēmas adresi.
3. Pakotne tiek nosūtīta uz izvēlēto aizmugursistēmu.
4. Aizmugursistēma saņem pieprasījumu ar lietotāja sākotnējo adresi (avota NAT netika veikts) un tieši atbild uz to.
5. Trafiku atkal pieņem slodzes balansētājs, jo iekļautajā shēmā tas parasti darbojas kā serveru fermas noklusējuma vārteja.
6. Edge veic avota NAT, lai nosūtītu trafiku lietotājam, izmantojot savu VIP kā avota IP adresi.
Diagramma ir zemāk.

Prakse

Manā testa stendā ir 3 serveri, kuros darbojas Apache, kas ir konfigurēts darbam, izmantojot HTTPS. Edge veiks HTTPS pieprasījumu apļveida līdzsvarošanu, katru jaunu pieprasījumu pārsūtot uz jaunu serveri.
Sāksim.

SSL sertifikāta ģenerēšana, ko izmantos NSX Edge
Varat importēt derīgu CA sertifikātu vai izmantot pašparakstītu sertifikātu. Šim testam izmantošu pašparakstīto.

VCloud Director saskarnē atveriet Edge pakalpojumu iestatījumus.
Dodieties uz cilni Sertifikāti. Darbību sarakstā atlasiet pievienot jaunu CSR.
Aizpildiet obligātos laukus un noklikšķiniet uz Saglabāt.
Atlasiet jaunizveidoto CSR un atlasiet pašparakstīšanas CSR opciju.
Izvēlieties sertifikāta derīguma termiņu un noklikšķiniet uz Saglabāt
Pašparakstītais sertifikāts tiek parādīts pieejamo sertifikātu sarakstā.

Lietojumprogrammas profila iestatīšana
Lietojumprogrammu profili sniedz pilnīgāku kontroli pār tīkla trafiku un padara to vienkāršu un efektīvu. Tos var izmantot, lai noteiktu konkrētu satiksmes veidu uzvedību.

Dodieties uz cilni Load Balancer un iespējojiet balansētāju. Šeit esošā opcija Paātrinājums iespējots ļauj balansētājam izmantot ātrāku L4 balansēšanu, nevis L7.
Dodieties uz cilni Lietojumprogrammas profils, lai iestatītu lietojumprogrammas profilu. Noklikšķiniet uz +.
Iestatiet profila nosaukumu un atlasiet trafika veidu, kuram profils tiks lietots. Ļaujiet man paskaidrot dažus parametrus.
Neatlaidība – saglabā un izseko sesijas datus, piemēram: kurš konkrētais serveris pūlā apkalpo lietotāja pieprasījumu. Tas nodrošina, ka lietotāju pieprasījumi tiek novirzīti vienam un tam pašam pūla dalībniekam sesijas vai turpmāko sesiju laikā.
Iespējot SSL caurlaidi – Ja ir atlasīta šī opcija, NSX Edge pārtrauc SSL pārtraukšanu. Tā vietā pārtraukšana notiek tieši serveros, kas tiek līdzsvaroti.
Ievietojiet X-Forwarded-For HTTP galveni – ļauj noteikt klienta avota IP adresi, kas savienojas ar tīmekļa serveri, izmantojot slodzes balansētāju.
Iespējot baseina puses SSL – ļauj norādīt, ka atlasītais pūls sastāv no HTTPS serveriem.
Tā kā es līdzsvarošu HTTPS trafiku, man ir jāiespējo baseina puses SSL un cilnē Virtuālā servera sertifikāti -> Pakalpojuma sertifikāts jāatlasa iepriekš ģenerētais sertifikāts.
Līdzīgi arī kopa sertifikātiem -> pakalpojuma sertifikāts.

Mēs izveidojam serveru pūlu, kura trafika tiks sabalansēta

Dodieties uz cilni Baseini. Noklikšķiniet uz +.
Iestatām pūla nosaukumu, atlasām algoritmu (izmantošu round robin) un monitoringa veidu veselības pārbaudes aizmugursistēmai Opcija Transparent norāda, vai klientu sākotnējie avota IP ir redzami iekšējiem serveriem.
- Ja opcija ir atspējota, iekšējo serveru trafiks nāk no balansētāja avota IP.
- Ja opcija ir iespējota, iekšējie serveri redz klientu avota IP. Šajā konfigurācijā NSX Edge jādarbojas kā noklusējuma vārtejai, lai nodrošinātu, ka atgrieztās paketes tiek cauri NSX Edge.
NSX atbalsta šādus balansēšanas algoritmus:
- IP_HASH – servera izvēle, pamatojoties uz jaucējfunkcijas rezultātiem katras paketes avota un mērķa IP.
- LEASTKONNA – ienākošo savienojumu balansēšana atkarībā no jau pieejamā skaita konkrētajā serverī. Jauni savienojumi tiks novirzīti uz serveri ar vismazāko savienojumu.
- ROUND_ROBIN – katram serverim pēc kārtas tiek nosūtīti jauni pieslēgumi atbilstoši tam piešķirtajam svaram.
- URI – URI kreisā daļa (pirms jautājuma zīmes) ir sajaukta un dalīta ar kopējo serveru svaru pūlā. Rezultāts norāda, kurš serveris saņem pieprasījumu, nodrošinot, ka pieprasījums vienmēr tiek novirzīts uz vienu un to pašu serveri, kamēr visi serveri ir pieejami.
- HTTPHEADER – balansēšana, pamatojoties uz konkrētu HTTP galveni, ko var norādīt kā parametru. Ja galvenes trūkst vai tai nav vērtības, tiek lietots ROUND_ROBIN algoritms.
- URL — Katrs HTTP GET pieprasījums meklē URL parametru, kas norādīts kā arguments. Ja parametram seko vienādības zīme un vērtība, tad vērtība tiek sajaukta un dalīta ar kopējo strādājošo serveru svaru. Rezultāts norāda, kurš serveris saņem pieprasījumu. Šis process tiek izmantots, lai sekotu lietotāju ID pieprasījumos un nodrošinātu, ka vienam un tam pašam serverim vienmēr tiek nosūtīts viens un tas pats lietotāja ID, ja vien visi serveri ir pieejami.
Blokā Dalībnieki noklikšķiniet uz +, lai pūlam pievienotu serverus.

Šeit jums jānorāda:
- servera nosaukums;
- Servera IP adrese;
- ports, pa kuru serveris saņems trafiku;
- osta veselības pārbaudei (Monitor healthcheck);
- svars – izmantojot šo parametru var pielāgot konkrētam pūla dalībniekam saņemto trafika proporcionālo apjomu;
- Max Connections – maksimālais savienojumu skaits ar serveri;
- Minimālais savienojumu skaits — minimālais savienojumu skaits, kas serverim jāapstrādā, pirms trafika tiek pārsūtīta nākamajam pūla dalībniekam.
Šādi izskatās galīgais trīs serveru kopums.

Virtuālā servera pievienošana

Dodieties uz cilni Virtuālie serveri. Noklikšķiniet uz +.
Mēs aktivizējam virtuālo serveri, izmantojot Iespējot virtuālo serveri.
Mēs piešķiram tam nosaukumu, atlasām iepriekš izveidoto Lietojumprogrammas profilu, Pūlu un norādām IP adresi, uz kuru Virtuālais serveris saņems pieprasījumus no ārpuses. Mēs norādām HTTPS protokolu un 443. portu.
Izvēles parametri šeit:
Savienojuma ierobežojums – maksimālais vienlaicīgu savienojumu skaits, ko virtuālais serveris var apstrādāt;
Savienojuma ātruma ierobežojums (CPS) – maksimālais jaunu ienākošo pieprasījumu skaits sekundē.

Tas pabeidz balansētāja konfigurāciju; jūs varat pārbaudīt tā funkcionalitāti. Serveriem ir vienkārša konfigurācija, kas ļauj saprast, kurš serveris no pūla apstrādāja pieprasījumu. Iestatīšanas laikā mēs izvēlējāmies Round Robin balansēšanas algoritmu, un svara parametrs katram serverim ir vienāds ar vienu, tāpēc katru nākamo pieprasījumu apstrādās nākamais serveris no pūla.
Pārlūkprogrammā ievadām balansētāja ārējo adresi un redzam:

Pēc lapas atsvaidzināšanas pieprasījumu apstrādās šāds serveris:

Un atkal - lai pārbaudītu trešo serveri no baseina:

Pārbaudot, jūs varat redzēt, ka sertifikāts, ko Edge mums nosūta, ir tas pats, ko mēs ģenerējām pašā sākumā.

Balsotāja statusa pārbaude no Edge vārtejas konsoles. Lai to izdarītu, ievadiet parādīt servisa slodzes balansēšanas baseinu.

Service Monitor konfigurēšana, lai pārbaudītu pūlā esošo serveru statusu
Izmantojot Service Monitor, mēs varam pārraudzīt serveru statusu aizmugures pūlā. Ja atbilde uz pieprasījumu nav tāda, kā gaidīts, serveri var izņemt no pūla, lai tas nesaņemtu jaunus pieprasījumus.
Pēc noklusējuma ir konfigurētas trīs verifikācijas metodes:

TCP monitors,
HTTP monitors,
HTTPS monitors.

Izveidosim jaunu.

Dodieties uz cilni Pakalpojuma uzraudzība, noklikšķiniet uz +.
Izvēlieties:
- jaunās metodes nosaukums;
- intervāls, kādā tiks nosūtīti pieprasījumi,
- noildze gaidot atbildi,
- uzraudzības veids – HTTPS pieprasījums, izmantojot GET metodi, paredzamais statusa kods – 200(OK) un pieprasījuma URL.
Tas pabeidz jaunā Service Monitor iestatīšanu; tagad mēs varam to izmantot, veidojot pūlu.

Pieteikšanās noteikumu iestatīšana

Lietojumprogrammas noteikumi ir veids, kā manipulēt ar trafiku, pamatojoties uz noteiktiem aktivizētājiem. Izmantojot šo rīku, mēs varam izveidot papildu slodzes līdzsvarošanas noteikumus, kas var nebūt iespējami, izmantojot lietojumprogrammu profilus vai citus pakalpojumus, kas pieejami Edge Gateway.

Lai izveidotu kārtulu, atveriet balansētāja cilni Lietojumprogrammas noteikumi.
Atlasiet nosaukumu, skriptu, kas izmantos kārtulu, un noklikšķiniet uz Saglabāt.
Kad kārtula ir izveidota, mums ir jārediģē jau konfigurētais virtuālais serveris.
Cilnē Papildu pievienojiet mūsu izveidoto kārtulu.

Iepriekš minētajā piemērā mēs iespējojām tlsv1 atbalstu.

Vēl pāris piemēri:

Pārvirzīt trafiku uz citu baseinu.
Izmantojot šo skriptu, mēs varam novirzīt trafiku uz citu balansēšanas pūlu, ja galvenais pūls nedarbojas. Lai kārtula darbotos, balansētājā ir jākonfigurē vairāki pūli, un visiem galvenā pūla dalībniekiem ir jābūt izslēgtā stāvoklī. Ir jānorāda kopas nosaukums, nevis tā ID.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0 use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME

Pārvirzīt trafiku uz ārēju resursu.
Šeit mēs novirzām trafiku uz ārējo vietni, ja visi galvenā pūla dalībnieki nedarbojas.

acl pool_down nbsrv(NAME_OF_POOL) eq 0 redirect location http://www.example.com if pool_down

Vēl vairāk piemēru šeit.

Tas man viss par balansieri. Ja ir kādi jautājumi, jautājiet, esmu gatavs atbildēt.

Avots: www.habr.com

VMware NSX mazajiem. 5. daļa: Slodzes balansētāja konfigurēšana

Теория

Prakse

Pievieno komentāru Atcelt atbildi