Tamin'ny farany dia niresaka momba ny fahaizan'ny NSX Edge isika amin'ny resaka static sy dynamic routing, ary anio isika dia hiatrika ny load balancer.
Alohan'ny hanombohantsika ny fametrahana dia tiako ny mampahatsiahy anao fohifohy momba ireo karazana fifandanjana lehibe.
-kevitra
Ny vahaolana fampifandanjana entana rehetra amin'izao fotoana izao dia matetika mizara ho sokajy roa: ny fifandanjana amin'ny ambaratonga fahefatra (fitaterana) sy fahafito (fampiharana) amin'ny modely. . Ny modely OSI dia tsy ny teboka tsara indrindra amin'ny famaritana ny fomba fampifandanjana. Ohatra, raha manohana ny fampitsaharana ny TLS ny mpandrindra L4, lasa mpandrindra L7 ve izany? Fa izany no izy.
- Mpandanja L4 Matetika izy io dia proxy afovoany mijoro eo anelanelan'ny mpanjifa sy andiana backends misy, izay mamarana ny fifandraisana TCP (izany hoe mamaly tsy miankina amin'ny SYN), mifidy backend ary manomboka fivoriana TCP vaovao amin'ny tari-dalana, mandefa SYN tsy miankina. Ity karazana ity dia iray amin'ireo fototra; safidy hafa azo atao.
- Mpandanja L7 mizara fifamoivoizana amin'ny backend misy "sarotra kokoa" noho ny L4 balancer. Izy io dia afaka manapa-kevitra hoe iza amin'ny backend no hofidina mifototra amin'ny, ohatra, ny votoatin'ny hafatra HTTP (URL, cookie, sns.).
Na inona na inona karazana, ny balancer dia afaka manohana ireto asa manaraka ireto:
- Ny fitadiavana serivisy dia ny dingana hamaritana ny andiana backend misy (Static, DNS, Consul, Etcd, sns.).
- Fanamarinana ny fiasan'ny backend hita ("ping" mavitrika amin'ny backend amin'ny fampiasana fangatahana HTTP, fitsirihana passive ny olana amin'ny fifandraisana TCP, ny fisian'ny kaody HTTP 503 maromaro misesy amin'ny valiny, sns.).
- Ny fandanjalanjana ny tenany (round robin, fifantenana kisendrasendra, loharano IP hash, URI).
- Famaranana TLS sy fanamarinana fanamarinana.
- Safidy mifandraika amin'ny fiarovana (fanamarinana, fisorohana ny fanafihana DoS, famerana ny hafainganam-pandeha) sy ny maro hafa.
NSX Edge dia manolotra fanohanana ho an'ny maodely fandefasana entana roa:
Mode proxy, na sandry iray. Amin'ity fomba ity, ny NSX Edge dia mampiasa ny adiresy IP-ny ho toy ny adiresy loharano rehefa mandefa fangatahana amin'ny iray amin'ireo backends. Noho izany, ny mpifandanja dia manatanteraka ny asan'ny Source sy Destination NAT. Ny backend dia mahita ny fifamoivoizana rehetra nalefa avy amin'ny balancer ary mamaly mivantana izany. Amin'ny tetika toy izany, ny mpifandanja dia tsy maintsy ao amin'ny sehatra tambajotra mitovy amin'ireo mpizara anatiny.
Toy izao ny fandehany:
1. Ny mpampiasa dia mandefa fangatahana amin'ny adiresy VIP (adiresy balancer) izay namboarina ao amin'ny Edge.
2. Mifidy ny iray amin'ireo lamosina i Edge ary manatanteraka ny tanjona NAT, manolo ny adiresy VIP amin'ny adiresin'ny lamosina voafantina.
3. Edge dia manao loharano NAT, manolo ny adiresin'ny mpampiasa nandefa ny fangatahana amin'ny azy manokana.
4. Ny fonosana dia alefa any amin'ny backend voafantina.
5. Ny backend dia tsy mamaly mivantana amin'ny mpampiasa, fa amin'ny Edge, satria ny adiresin'ny mpampiasa dia niova ho adiresin'ny balancer.
6. Mandefa ny valintenin'ny mpizara amin'ny mpampiasa ny Edge.
Eo ambany ny kisary.
Mode mangarahara, na inline. Amin'ity tranga ity, ny balancer dia manana fifandraisana amin'ny tambajotra anatiny sy ivelany. Mandritra izany fotoana izany, tsy misy fidirana mivantana amin'ny tambajotra anatiny avy amin'ny ivelany. Ny mpandanja entana naorina dia miasa ho vavahadin'ny NAT ho an'ny milina virtoaly amin'ny tambajotra anatiny.
Ny mekanisma dia toy izao manaraka izao:
1. Ny mpampiasa dia mandefa fangatahana amin'ny adiresy VIP (adiresy balancer) izay namboarina ao amin'ny Edge.
2. Mifidy ny iray amin'ireo lamosina i Edge ary manatanteraka ny tanjona NAT, manolo ny adiresy VIP amin'ny adiresin'ny lamosina voafantina.
3. Ny fonosana dia alefa any amin'ny backend voafantina.
4. Ny backend dia mahazo fangatahana miaraka amin'ny adiresin'ny mpampiasa (tsy natao ny loharano NAT) ary mamaly mivantana izany.
5. Eken'ny mpandrindra entana indray ny fifamoivoizana, satria amin'ny rafitra an-tserasera dia matetika izy io no vavahadin'ny toeram-piompiana mpizara.
6. Edge dia manao source NAT handefasana fifamoivoizana amin'ny mpampiasa, amin'ny fampiasana ny VIP azy ho adiresy IP loharano.
Eo ambany ny kisary.
fampiharana
Ny dabilio fitsapana ahy dia manana mpizara 3 mitantana Apache, izay namboarina hiasa amin'ny HTTPS. Ny Edge dia hanao fifandanjana round robin amin'ny fangatahana HTTPS, proxy ny fangatahana vaovao tsirairay amin'ny mpizara vaovao.
Andao hanomboka.
Mamorona taratasy fanamarinana SSL izay hampiasain'ny NSX Edge
Azonao atao ny manafatra mari-pankasitrahana CA manan-kery na mampiasa sonia manokana. Ho an'ity fitsapana ity dia hampiasa sonia tena aho.
- Ao amin'ny interface vCloud Director, mandehana any amin'ny sehatry ny serivisy Edge.
- Mandehana any amin'ny tabilao Certificates. Avy amin'ny lisitry ny hetsika, mifidiana manampy CSR vaovao.
- Fenoy ny saha ilaina ary tsindrio Keep.
- Safidio ny CSR vao noforonina ary safidio ny safidy CSR sonia tena.
- Safidio ny fe-potoana manankery ny taratasy fanamarinana ary tsindrio ny Keep
- Ny taratasy fanamarinana nosoniavin'ny tena dia hita ao amin'ny lisitry ny misy.
Fametrahana ny mombamomba ny fampiharana
Ny mombamomba ny fampiharana dia manome anao fifehezana feno kokoa amin'ny fifamoivoizana amin'ny tambajotra ary mahatonga ny fitantanana azy ho tsotra sy mahomby. Izy ireo dia azo ampiasaina hamaritana ny fitondran-tena ho an'ny karazana fifamoivoizana manokana.
- Mandehana any amin'ny tabilao Load Balancer ary avelao ny balancer. Ny safidy azo atao amin'ny Acceleration eto dia ahafahan'ny mpifandanja mampiasa fifandanjana L4 haingana kokoa fa tsy L7.
- Mandehana any amin'ny tabilao Application profile mba hametrahana ny mombamomba ny fampiharana. Tsindrio +.
- Apetraho ny anaran'ny mombamomba ary safidio ny karazana fifamoivoizana izay hampiharana ny mombamomba azy. MamelΓ ahy hanazava masontsivana vitsivitsy.
fikirizana - mitahiry sy manara-maso ny angon-drakitra fivoriana, ohatra: izay mpizara manokana ao amin'ny dobo no mikarakara ny fangatahan'ny mpampiasa. Izany dia miantoka fa ny fangatahan'ny mpampiasa dia alefa any amin'ny mpikambana ao amin'ny dobo iray ihany mandritra ny androm-piainany na fotoam-pivoriana manaraka.
Alefaso SSL passthrough β Rehefa voafantina io safidy io, dia mijanona amin'ny famaranana ny SSL ny NSX Edge. Raha ny tokony ho izy, ny fampitsaharana dia mitranga mivantana amin'ireo mpizara izay voalanjalanja.
Asio lohapejy X-Forwarded-For HTTP - mamela anao hamantatra ny adiresy IP loharanon'ny mpanjifa mifandray amin'ny mpizara tranonkala amin'ny alΓ lan'ny mpandrindra entana.
Alefaso ny SSL Side Pool β mamela anao hamaritra fa ny dobo voafantina dia misy mpizara HTTPS.
- Koa satria hampifandanja ny fifamoivoizana HTTPS aho, dia mila mamela ny Pool Side SSL aho ary misafidy ny taratasy fanamarinana efa novokarina teo aloha ao amin'ny Sertifidin'ny Server Virtual -> Sertifikatan'ny serivisy.
- Toy izany koa ho an'ny Certificat Pool -> Sertifikat Service.
Mamorona dobo mpizara izahay, ny fifamoivoizana izay ho lasa Pool voalanjalanja
- Mandehana any amin'ny tabilao Pools. Tsindrio +.
- Nametraka ny anaran'ny dobo izahay, safidio ny algorithm (ampiasaiko ny round robin) ary ny karazana fanaraha-maso ny backend fanaraha-maso ara-pahasalamana.
- Raha toa ka kilemaina ny safidy, ny fifamoivoizana ho an'ny mpizara anatiny dia avy amin'ny loharano IP an'ny balancer.
- Raha alefa ny safidy, ny mpizara anatiny dia mahita ny loharano IP an'ny mpanjifa. Amin'ity fanamafisana ity, ny NSX Edge dia tsy maintsy miasa ho toy ny vavahady default mba hahazoana antoka fa mandalo amin'ny NSX Edge ny fonosana naverina.
NSX dia manohana ireto algorithm manaraka ireto:
- IP_HASH - fifantenana mpizara mifototra amin'ny valin'ny asa hash ho an'ny loharano sy toerana alehan'ny IP isaky ny fonosana.
- LEASTCONN - fampifandanjana ny fifandraisana miditra, miankina amin'ny isa efa misy amin'ny server iray manokana. Ny fifandraisana vaovao dia halefa any amin'ny mpizara manana fifandraisana vitsy indrindra.
- ROUND_ROBIN - fifandraisana vaovao dia alefa any amin'ny mpizara tsirairay avy, mifanaraka amin'ny lanja nomena azy.
- URI β ny tapany havia amin'ny URI (eo anoloan'ny marika fanontaniana) dia voasokajy ary zaraina amin'ny totalin'ny lanjan'ny mpizara ao anaty dobo. Ny vokatra dia manondro izay mpizara mandray ny fangatahana, miantoka fa ny fangatahana dia alefa amin'ny lohamilina iray ihany, raha mbola misy ny mpizara rehetra.
- HTTPHEADER - fifandanjana mifototra amin'ny lohatenin'ny HTTP manokana, izay azo faritana ho mari-pamantarana. Raha tsy hita na tsy misy sandany ny lohapejy dia ampiharina ny algorithm ROUND_ROBIN.
- URL - Ny fangatahana HTTP GET tsirairay dia mikaroka ny mari-pamantarana URL voatondro ho tohan-kevitra. Raha arahin'ny famantarana mitovy sy ny sandany ny mari-pamantarana, dia hasiana ny sanda ary zaraina amin'ny totalin'ny lanjan'ny mpizara mandeha. Ny valiny dia manondro izay mpizara mandray ny fangatahana. Ity dingana ity dia ampiasaina hanaraha-maso ny ID mpampiasa amin'ny fangatahana ary hiantohana fa ny ID mpampiasa iray ihany dia alefa any amin'ny server iray ihany, raha mbola misy ny server rehetra.
- Ao amin'ny sakana Mpikambana, tsindrio + raha te hampiditra mpizara amin'ny dobo.
Eto ianao dia mila manondro:- anaran'ny mpizara;
- adiresy IP server;
- ny seranan-tsambo izay handraisan'ny mpizara fifamoivoizana;
- seranan-tsambo ho an'ny fisavana ara-pahasalamana (Monitor healthcheck);
- lanja - amin'ny fampiasana an'io mari-pamantarana io dia azonao atao ny manitsy ny habetsaky ny fifamoivoizana voaray ho an'ny mpikambana iray manokana;
- Max Connections - isa ambony indrindra amin'ny fifandraisana amin'ny mpizara;
- Min Connections - ny isan'ny fifandraisana kely indrindra tsy maintsy ataon'ny mpizara alohan'ny handefasana ny fifamoivoizana amin'ny mpikambana ao amin'ny dobo manaraka.
Toy izao ny endriky ny dobo farany amin'ny mpizara telo.
Manampy Server Virtual
- Mandehana any amin'ny tabilao Virtual Servers. Tsindrio +.
- Mampihetsika ny mpizara virtoaly izahay amin'ny alΓ lan'ny Enable Virtual Server.
Omentsika anarana izany, safidio ny Profile Application efa noforonina, Pool ary manondro ny adiresy IP izay hahazoan'ny Server Virtual fangatahana avy any ivelany. Manondro ny protocol HTTPS sy port 443 izahay.
Parameter azo atao eto:
Fifandraisana fetra - ny isa ambony indrindra amin'ny fifandraisana miaraka izay azon'ny mpizara virtoaly atao;
Famerana ny tahan'ny fifandraisana (CPS) - ny isa ambony indrindra amin'ny fangatahana vaovao miditra isan-tsegondra.
Izany dia mameno ny fanamafisana ny balancer; azonao atao ny manamarina ny asany. Ny lohamilina dia manana fandrindrana tsotra izay ahafahanao mahafantatra hoe iza avy amin'ny dobo no manodina ny fangatahana. Nandritra ny fametrahana dia nisafidy ny algorithm fandanjana Round Robin izahay, ary mitovy amin'ny iray ny mari-pamantarana Weight ho an'ny mpizara tsirairay, ka ny fangatahana manaraka dia hokarakarain'ny mpizara manaraka avy amin'ny dobo.
Ampidiro ao amin'ny navigateur ny adiresy ivelany an'ny balancer ary jereo:
Aorian'ny fanavaozana ny pejy dia hokarakarain'ity mpizara manaraka ity ny fangatahana:
Ary indray - hanamarina ny mpizara fahatelo avy amin'ny dobo:
Rehefa manamarina ianao dia ho hitanao fa ny taratasy fanamarinana nalefan'i Edge anay dia mitovy amin'ny novokarinay tany am-boalohany.
Fanamarinana ny satan'ny balancer avy amin'ny console gateway Edge. Mba hanaovana izany, midira asehoy ny dobo loadbalancer serivisy.
Fanamafisana ny Service Monitor hanamarina ny satan'ny mpizara ao anaty dobo
Amin'ny fampiasana Service Monitor dia afaka manara-maso ny satan'ny mpizara ao amin'ny dobo backend isika. Raha tsy araka ny nampoizina ny valin'ny fangatahana dia azo esorina ao anaty dobo ny mpizara mba tsy hahazoany fangatahana vaovao.
Amin'ny alΓ lan'ny default, fomba fanamarinana telo no amboarina:
- TCP-monitor,
- HTTP Monitor,
- HTTPS-monitor.
Andao hamorona vaovao.
- Mandehana any amin'ny tabilao Fanaraha-maso serivisy, tsindrio +.
- Mifidiana:
- anarana ho an'ny fomba vaovao;
- ny elanelam-potoana handefasana ny fangatahana,
- fe-potoana miandry valiny,
- karazana fanaraha-maso - fangatahana HTTPS amin'ny alΓ lan'ny fomba GET, fehezan-dalΓ na andrasana - 200 (OK) ary URL fangatahana.
- Izany dia mamita ny fametrahana ny Service Monitor vaovao; ankehitriny dia afaka mampiasa izany isika rehefa mamorona dobo.
Fametrahana fitsipika fampiharana
Ny fitsipiky ny fampiharana dia fomba iray hanodinana ny fifamoivoizana mifototra amin'ny trigger sasany. Miaraka amin'ity fitaovana ity dia afaka mamorona fitsipika fampifandanjana entana mandroso izay mety tsy ho vita amin'ny alΓ lan'ny mombamomba ny fampiharana na serivisy hafa hita ao amin'ny Edge Gateway.
- Raha te hamorona fitsipika dia mandehana any amin'ny tabilao Application Rules an'ny balancer.
- Mifidiana anarana, script izay hampiasa ny fitsipika, ary tsindrio Keep.
- Aorian'ny famoronana ny fitsipika dia mila manova ny Server Virtual efa namboarina.
- Ao amin'ny tabilao Advanced, ampio ny fitsipika noforoninay.
Ao amin'ny ohatra etsy ambony dia navelanay ny fanohanana tlsv1.
Ohatra roa hafa:
Avereno mankany amin'ny dobo hafa ny fifamoivoizana.
Amin'ity script ity dia afaka mamindra ny fifamoivoizana mankany amin'ny dobo fandanjalanjana hafa isika raha toa ka midina ny dobo lehibe. Mba hampandehanana ny fitsipika dia tsy maintsy amboarina amin'ny mpifandanja ny dobo maromaro ary ny mpikambana rehetra ao amin'ny dobo lehibe dia tsy maintsy ao anaty fanjakana midina. Mila mamaritra ny anaran'ny dobo ianao fa tsy ny ID azy.
acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME
Avereno mankany amin'ny loharano ivelany ny fifamoivoizana.
Eto izahay dia mamindra ny fifamoivoizana mankany amin'ny tranokala ivelany raha toa ka midina avokoa ny mpikambana rehetra ao amin'ny dobo lehibe.
acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down
Ohatra bebe kokoa .
Izay ihany no ahy momba ny balancer. Raha manana fanontaniana ianao dia manontania fa vonona hamaly aho.
Source: www.habr.com