VMware NSX ya ana aang'ono. Gawo 5: Kukonza Zosungitsa Katundu

Gawo loyamba. mawu oyamba
Gawo lachiwiri. Kukonza Malamulo a Firewall ndi NAT
Gawo lachitatu. Kupanga DHCP
Gawo lachinayi. Kupanga njira

Nthawi yapitayi tidalankhula za kuthekera kwa NSX Edge pamayendedwe osasunthika komanso osunthika, ndipo lero tithana ndi zolemetsa.
Tisanayambe kukhazikitsa, ndikufuna kukukumbutsani mwachidule za mitundu ikuluikulu yofananira.

Chiphunzitso

Mayankho onse amasiku ano owerengera ndalama nthawi zambiri amagawidwa m'magulu awiri: kusanja pagawo lachinayi (loyendetsa) ndi lachisanu ndi chiwiri (ntchito) lachitsanzo. KAPENA NGATI. Mtundu wa OSI simalo abwino ofotokozera pofotokoza njira zofananira. Mwachitsanzo, ngati balancer ya L4 imathandiziranso kutha kwa TLS, kodi imakhala yolinganiza ya L7? Koma ndi chimene icho chiri.

• Balancer L4 nthawi zambiri ndi proxy yapakatikati yomwe imayimilira pakati pa kasitomala ndi seti ya backends yomwe ilipo, yomwe imathetsa kugwirizana kwa TCP (ndiko kuti, kuyankha paokha ku SYN), kumasankha kumbuyo ndikuyambitsa gawo latsopano la TCP kumbali yake, kutumiza SYN momasuka. Mtundu uwu ndi umodzi mwazofunikira; zosankha zina ndizotheka.
• Balancer L7 imagawira magalimoto kudutsa kumbuyo komwe kulipo "kwapamwamba kwambiri" kuposa momwe L4 balancer imachitira. Ikhoza kusankha kumbuyo komwe mungasankhe kutengera, mwachitsanzo, zomwe zili mu uthenga wa HTTP (URL, cookie, etc.).

Mosasamala mtundu, balancer ikhoza kuthandizira ntchito zotsatirazi:

• Kupeza ntchito ndi njira yodziwira zotsalira zomwe zilipo (Static, DNS, Consul, Etcd, etc.).
• Kuyang'ana magwiridwe antchito a ma backends omwe apezeka ("ping" yogwira ntchito yakumbuyo pogwiritsa ntchito pempho la HTTP, kuzindikira kwapang'onopang'ono kwa zovuta pamalumikizidwe a TCP, kupezeka kwa ma code angapo a 503 HTTP pamayankho, ndi zina).
• Kudziwongolera komweko (wozungulira, kusankha mwachisawawa, gwero la IP hashi, URI).
• Kutha kwa TLS ndi kutsimikizira satifiketi.
• Zosankha zokhudzana ndi chitetezo (kutsimikizika, kupewa kuukira kwa DoS, kuchepetsa liwiro) ndi zina zambiri.

NSX Edge imapereka chithandizo cha njira ziwiri zoyendetsera katundu:

Proxy mode, kapena mkono umodzi. Munjira iyi, NSX Edge imagwiritsa ntchito adilesi yake ya IP ngati adilesi yoyambira potumiza pempho ku imodzi mwama backend. Chifukwa chake, owerengera nthawi imodzi amagwira ntchito za Source ndi Destination NAT. The backend amawona magalimoto onse akutumizidwa kuchokera ku balancer ndikuyankha mwachindunji. Muchiwembu choterocho, wolinganiza ayenera kukhala mu gawo lomwelo la intaneti ndi ma seva amkati.

Umu ndi momwe zimakhalira:
1. Wogwiritsa ntchito amatumiza pempho ku adilesi ya VIP (balancer adilesi) yomwe imakonzedwa pa Edge.
2. Mphepete imasankha imodzi mwazotsatira ndikuchita kopita NAT, m'malo mwa adilesi ya VIP ndi adilesi ya backend yosankhidwa.
3. Edge imapanga gwero la NAT, m'malo mwa adilesi ya wogwiritsa ntchito yemwe adatumiza pempho lake.
4. Phukusili limatumizidwa ku backend yosankhidwa.
5. Kumbuyo sikumayankha mwachindunji kwa wogwiritsa ntchito, koma ku Edge, popeza adiresi yoyambirira ya wogwiritsa ntchito yasinthidwa kukhala adiresi ya balancer.
6. Edge imatumiza kuyankha kwa seva kwa wogwiritsa ntchito.
Chithunzichi chili pansipa.


Transparent, kapena inline, mode. Muzochitika izi, balancer ili ndi zolumikizira pamaneti amkati ndi akunja. Panthawi imodzimodziyo, palibe mwayi wopita ku intaneti yamkati kuchokera kunja. Chojambulira chosungiramo katundu chimakhala ngati chipata cha NAT pamakina enieni pa netiweki yamkati.

Makinawa ndi awa:
1. Wogwiritsa ntchito amatumiza pempho ku adilesi ya VIP (balancer adilesi) yomwe imakonzedwa pa Edge.
2. Mphepete imasankha imodzi mwazotsatira ndikuchita kopita NAT, m'malo mwa adilesi ya VIP ndi adilesi ya backend yosankhidwa.
3. Phukusili limatumizidwa ku backend yosankhidwa.
4. Kumbuyo kumalandira pempho ndi adiresi yoyambirira ya wogwiritsa ntchito (gwero la NAT silinachitike) ndikuyankha mwachindunji.
5. Magalimoto amavomerezedwanso ndi oyendetsa katundu, chifukwa mu ndondomeko ya inline nthawi zambiri amakhala ngati chipata chosasinthika cha famu ya seva.
6. Edge imapanga gwero la NAT kutumiza magalimoto kwa wogwiritsa ntchito, pogwiritsa ntchito VIP yake monga magwero a IP adilesi.
Chithunzichi chili pansipa.

Yesetsani

Benchi yanga yoyesera ili ndi ma seva atatu omwe akuyendetsa Apache, omwe amakonzedwa kuti azigwira ntchito pa HTTPS. Edge idzachita zozungulira zopempha za HTTPS, ndikuyimira pempho lililonse latsopano ku seva yatsopano.
Tiyeni tiyambe.

Kupanga satifiketi ya SSL yomwe idzagwiritsidwe ntchito ndi NSX Edge
Mutha kuitanitsa satifiketi yovomerezeka ya CA kapena kugwiritsa ntchito yomwe mwasaina nokha. Pamayesowa ndigwiritsa ntchito kudzilembera ndekha.

1. Mu mawonekedwe a vCloud Director, pitani ku zoikamo za Edge services.
   
2. Pitani ku tabu ya Zikalata. Kuchokera pamndandanda wa zochita, sankhani kuwonjezera CSR yatsopano.
   
3. Lembani magawo ofunikira ndikudina Sungani.
   
4. Sankhani CSR yomwe yangopangidwa kumene ndikusankha chosankha cha CSR.
   
5. Sankhani nthawi yovomerezeka ya satifiketi ndikudina Sungani
   
6. Satifiketi yodzisayina yokha imapezeka pamndandanda wazomwe zilipo.
   

Kukhazikitsa Mbiri Yapulogalamu
Mbiri yamapulogalamu imakupatsirani kuwongolera kokwanira pamayendedwe apaintaneti ndikupanga kuwongolera kosavuta komanso kothandiza. Atha kugwiritsidwa ntchito kutanthauzira machitidwe amitundu ina yamagalimoto.

1. Pitani ku Load Balancer tabu ndikuyatsa balancer. Njira Yothandizira Kuthamangitsa apa imalola wowerengera kuti agwiritse ntchito mwachangu L4 kusanja m'malo mwa L7.
   
2. Pitani ku tabu ya mbiri ya Application kuti muyike mbiri ya pulogalamuyo. Dinani +.
   
3. Khazikitsani dzina la mbiriyo ndikusankha mtundu wa magalimoto omwe mbiriyo idzagwiritsidwe. Ndiloleni ndifotokoze zina.
   Kulimbikira - masitolo ndi kutsata deta ya gawo, mwachitsanzo: ndi seva iti yomwe ili padziwe yomwe ikuthandizira pempho la wogwiritsa ntchito. Izi zimatsimikizira kuti zopempha za ogwiritsa ntchito zimatumizidwa kwa membala yemweyo wagawo kwa moyo wonse wa gawoli kapena magawo otsatira.
   Yambitsani kudutsa kwa SSL - Njira iyi ikasankhidwa, NSX Edge imasiya kuyimitsa SSL. M'malo mwake, kuyimitsa kumachitika mwachindunji pa ma seva omwe akulinganiza.
   Ikani X-Forwarded-For HTTP mutu - imakupatsani mwayi wodziwa adilesi ya IP ya kasitomala wolumikizana ndi seva yapaintaneti kudzera muzowongolera zolemetsa.
   Yambitsani Pool Side SSL - imakulolani kuti muwonetsere kuti dziwe losankhidwa lili ndi ma seva a HTTPS.
   
4. Popeza ndikhala ndikuwongolera kuchuluka kwa magalimoto a HTTPS, ndiyenera kuyatsa Pool Side SSL ndikusankha satifiketi yomwe idapangidwa kale mu Virtual Server Certificates -> Setifiketi ya Utumiki.
   
5. Momwemonso Zikalata za Pool -> Satifiketi Yothandizira.
   

Timapanga dziwe la ma seva, magalimoto omwe amakhala Madziwe oyenerera

1. Pitani ku tabu ya Pools. Dinani +.
   
2. Timayika dzina la dziwe, sankhani algorithm (ndigwiritsa ntchito robin yozungulira) ndi mtundu wa kuyang'anitsitsa kwa backend yathanzi.Njira ya Transparent imasonyeza ngati ma IP oyambirira a makasitomala akuwonekera kwa ma seva amkati.
   • Ngati chisankhocho chayimitsidwa, kuchuluka kwa ma seva amkati kumachokera ku IP ya balancer.
   • Ngati njirayo yayatsidwa, ma seva amkati amawona gwero la IP lamakasitomala. Pakusinthidwa uku, NSX Edge iyenera kukhala ngati chipata chokhazikika kuti zitsimikizire kuti mapaketi obwerera amadutsa NSX Edge.

   NSX imathandizira ma aligorivimu otsatirawa:

   • IP_HASH - kusankha kwa seva kutengera zotsatira za ntchito ya hashi kwa gwero ndi kopita IP pa paketi iliyonse.
   • LEASTCONN - kulinganiza zolumikizira zomwe zikubwera, kutengera nambala yomwe ilipo kale pa seva inayake. Malumikizidwe atsopano adzalunjikitsidwa ku seva yokhala ndi zolumikizira zochepa kwambiri.
   • ROUND_ROBIN - maulumikizidwe atsopano amatumizidwa ku seva iliyonse motsatira, molingana ndi kulemera komwe wapatsidwa.
   • URI - gawo lakumanzere la URI (chizindikirocho chisanachitike) chimathamangitsidwa ndikugawidwa ndi kulemera kwa ma seva mu dziwe. Chotsatiracho chimasonyeza kuti ndi seva iti yomwe imalandira pempho, kuonetsetsa kuti pempholi nthawi zonse limatumizidwa ku seva yomweyo, malinga ngati ma seva onse akupezeka.
   • HTTPHEADER - kusanja kutengera mutu wina wa HTTP, womwe ungatchulidwe ngati parameter. Ngati mutu ukusowa kapena ulibe mtengo uliwonse, ROUND_ROBIN algorithm imagwiritsidwa ntchito.
   • ulalo - Pempho lililonse la HTTP GET limasaka parameter ya URL yotchulidwa ngati mkangano. Ngati chizindikirocho chikutsatiridwa ndi chizindikiro chofanana ndi mtengo, ndiye kuti mtengowo umaphwanyidwa ndikugawidwa ndi kulemera kwa ma seva othamanga. Zotsatira zikuwonetsa seva yomwe ilandila pempho. Njirayi imagwiritsidwa ntchito kuyang'anira ma ID a ogwiritsa ntchito pazofunsira ndikuwonetsetsa kuti id yomweyi imatumizidwa ku seva yomweyo, bola ngati ma seva onse akupezeka.

   

3. Mu block ya Mamembala, dinani + kuti muwonjezere ma seva padziwe.
   
   
   Apa muyenera kusonyeza:
   • dzina la seva;
   • Adilesi ya IP ya seva;
   • doko limene seva idzalandira magalimoto;
   • doko loyang'anira thanzi (Monitor healthcheck);
   • kulemera - pogwiritsa ntchito chizindikirochi mutha kusintha kuchuluka kwa magalimoto omwe alandilidwa kwa membala wina wa dziwe;
   • Max Connections - chiwerengero chachikulu cha maulumikizidwe ku seva;
   • Min Connections - chiwerengero chochepa cha maulumikizi omwe seva imayenera kukonzanso magalimoto asanatumizidwe kwa membala wotsatira wa dziwe.

   
   
   Izi ndi zomwe dziwe lomaliza la ma seva atatu likuwonekera.
   

Kuwonjezera Virtual Server

1. Pitani ku tabu ya Virtual Servers. Dinani +.
   
2. Timatsegula seva yeniyeni pogwiritsa ntchito Enable Virtual Server.
   Timachipatsa dzina, sankhani Mbiri Yakale yopangidwa kale, Pool ndikuwonetsa adilesi ya IP yomwe Virtual Server ilandila zopempha kuchokera kunja. Timalongosola HTTPS protocol ndi port 443.
   Zosankha zomwe mungasankhe apa:
   Malire a kulumikizana - kuchuluka kwa maulumikizidwe anthawi imodzi omwe seva yeniyeni imatha kukonza;
   Connection Rate Limit (CPS) - kuchuluka kwa zopempha zatsopano zomwe zikubwera pamphindikati.
   

Izi zimamaliza kasinthidwe ka balancer; mutha kuyang'ana magwiridwe antchito ake. Ma seva ali ndi masinthidwe osavuta omwe amakulolani kuti mumvetsetse kuti ndi seva iti yochokera padziwe yomwe idakonza pempholo. Pakukhazikitsa, tinasankha Round Robin balancing algorithm, ndi Weight parameter kwa seva iliyonse ndi yofanana ndi imodzi, kotero pempho lililonse lotsatira lidzakonzedwa ndi seva yotsatira kuchokera padziwe.
Timalowetsa adilesi yakunja ya balancer mu msakatuli ndikuwona:


Mukatsitsimutsanso tsambali, pempholi lidzakonzedwa ndi seva zotsatirazi:


Ndipo kachiwiri - kuti muwone seva yachitatu kuchokera padziwe:


Mukayang'ana, mutha kuwona kuti satifiketi yomwe Edge amatitumizira ndi yomwe tidapanga koyambirira.

Kuyang'ana mkhalidwe wa balancer kuchokera ku Edge gateway console. Kuti muchite izi, lowetsani onetsani service loadbalancer dziwe.


Kukonza Service Monitor kuti muwone momwe ma seva alili padziwe
Pogwiritsa ntchito Service Monitor titha kuyang'anira momwe ma seva alili mu dziwe lakumbuyo. Ngati yankho la pempho silinayembekezere, seva ikhoza kuchotsedwa padziwe kuti isalandire zopempha zatsopano.
Mwachikhazikitso, njira zitatu zotsimikizira zimakhazikitsidwa:

• TCP-monitor,
• HTTP Monitor,
• HTTPS-monitor.

Tiyeni tipange yatsopano.

1. Pitani ku tabu Yoyang'anira Ntchito, dinani +.
   
2. Sankhani:
   • dzina la njira yatsopano;
   • nthawi yomwe zopempha zidzatumizidwa,
   • nthawi yodikira kuyankha,
   • mtundu wowunika - pempho la HTTPS pogwiritsa ntchito njira ya GET, nambala yoyembekezeka - 200(OK) ndi ulalo wofunsira.
3. Izi zimamaliza kukhazikitsidwa kwa Service Monitor yatsopano; tsopano titha kuyigwiritsa ntchito popanga dziwe.
   

Kukhazikitsa Malamulo a Ntchito

Malamulo a Ntchito ndi njira yosinthira kuchuluka kwa magalimoto potengera zoyambitsa zina. Ndi chida ichi titha kupanga malamulo oyendetsera katundu omwe sangatheke kudzera mu mbiri ya Application kapena ntchito zina zomwe zikupezeka pa Edge Gateway.

1. Kuti mupange lamulo, pitani ku Tabu ya Malamulo a Ntchito ya balancer.
   
2. Sankhani dzina, script yomwe idzagwiritse ntchito lamuloli, ndikudina Sungani.
   
3. Lamuloli litapangidwa, tiyenera kusintha Virtual Server yomwe yakhazikitsidwa kale.
   
4. Mu tabu Yapamwamba, yonjezerani lamulo lomwe tidapanga.
   

Muchitsanzo pamwambapa tathandizira tlsv1 thandizo.

Zitsanzo zina zingapo:

Sinthani kuchuluka kwa magalimoto ku dziwe lina.
Ndi script iyi titha kuwongolera magalimoto kupita ku dziwe lina lofananira ngati dziwe lalikulu lili pansi. Kuti lamuloli ligwire ntchito, maiwe angapo ayenera kukhazikitsidwa pa balancer ndipo mamembala onse a dziwe lalikulu ayenera kukhala pansi. Muyenera kutchula dzina la dziwe, osati ID yake.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Sinthani kuchuluka kwa magalimoto kuzinthu zakunja.
Apa tikulozera magalimoto kutsamba lakunja ngati mamembala onse a dziwe lalikulu ali pansi.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Ngakhalenso zitsanzo apa.

Ndizo zonse za ine za balancer. Ngati muli ndi mafunso, funsani, ndine wokonzeka kuyankha.

Source: www.habr.com