VMware NSX ننڍڙن لاء. حصو 5: لوڊ بيلنس کي ترتيب ڏيڻ

حصو پهريون. تعارفي
حصو ٻيو. فائر وال ۽ NAT ضابطن کي ترتيب ڏيڻ
حصو ٽيون. DHCP ترتيب ڏيڻ
حصو چوٿون. رستي جي ترتيب

آخري دفعو اسان جامد ۽ متحرڪ رستن جي لحاظ کان اين ايس ايڪس ايج جي صلاحيتن بابت ڳالهايو، ۽ اڄ اسان لوڊ بيلنس سان معاملو ڪنداسين.
ان کان اڳ جو اسان ترتيب ڏيڻ شروع ڪريون، مان توهان کي مختصر طور تي بيلنس جي بنيادي قسمن بابت ياد ڏيارڻ چاهيندس.

اصول

اڄ جا سڀ پيل لوڊ بيلنسنگ حل اڪثر ڪري ٻن ڀاڱن ۾ ورهايل آهن: ماڊل جي چوٿين (ٽرانسپورٽ) ۽ ستين (ايپليڪيشن) سطح تي توازن او ايس آء. او ايس آئي ماڊل بهترين حوالو نقطو نه آهي جڏهن بيلنس طريقن کي بيان ڪندي. مثال طور، جيڪڏهن هڪ L4 بيلنس پڻ سپورٽ ڪري ٿو TLS ختم ڪرڻ، ڇا اهو پوءِ L7 بيلنس بڻجي وڃي ٿو؟ پر اھو اھو آھي جيڪو اھو آھي.

• بيلنسر L4 گهڻو ڪري اهو ڪلائنٽ جي وچ ۾ هڪ وچولي پراڪسي بيٺو آهي ۽ دستياب بيڪ اينڊس جي هڪ سيٽ، جيڪو TCP ڪنيڪشن کي ختم ڪري ٿو (جيڪو آزاد طور تي SYN جو جواب ڏئي ٿو)، هڪ پس منظر چونڊي ٿو ۽ هڪ نئون TCP سيشن شروع ڪري ٿو ان جي هدايت ۾، آزاد طور تي SYN موڪلڻ. هي قسم بنيادي مان هڪ آهي؛ ٻيا اختيار ممڪن آهن.
• بيلنسر L7 ٽريفڪ کي دستياب پس منظر ۾ ورهائي ٿو ”وڌيڪ نفيس“ L4 بيلنس جي ڀيٽ ۾. اهو فيصلو ڪري سگهي ٿو ته ڪهڙي پس منظر جي بنياد تي چونڊيو وڃي، مثال طور، HTTP پيغام جو مواد (URL، ڪوڪي، وغيره).

قسم جي قطع نظر، بيلنس ھيٺ ڏنل ڪمن کي سپورٽ ڪري سگھي ٿو:

• سروس دريافت دستياب پس منظر جي سيٽ کي طئي ڪرڻ جو عمل آهي (جامد، ڊي اين ايس، ڪنسل، وغيره وغيره).
• معلوم ٿيل پٺاڻن جي ڪارڪردگي جي جانچ ڪندي (هڪ HTTP درخواست استعمال ڪندي پس منظر جو فعال "پنگ"، TCP ڪنيڪشن ۾ مسئلن جي غير فعال سڃاڻپ، جوابن ۾ ڪيترن ئي 503 HTTP ڪوڊ جي موجودگي، وغيره).
• خود توازن (گول رابن، بي ترتيب چونڊ، ذريعو IP هش، URI).
• TLS ختم ٿيڻ ۽ سرٽيفڪيٽ جي تصديق.
• سيڪيورٽي سان لاڳاپيل اختيارن (تصديق، DoS حملي جي روڪٿام، رفتار کي محدود ڪرڻ) ۽ گهڻو ڪجهه.

NSX Edge پيش ڪري ٿو سپورٽ ٻن لوڊ بيلنس جي ترتيب واري طريقن لاءِ:

پراکسي موڊ، يا هڪ بازو. ھن موڊ ۾، NSX ايج پنھنجي IP پتي کي ماخذ پتي جي طور تي استعمال ڪري ٿو جڏھن ھڪڙي پس منظر ۾ ھڪڙي درخواست موڪلڻ لاء. اهڙيء طرح، بيلنس هڪ ئي وقت ماخذ ۽ منزل NAT جا ڪم انجام ڏئي ٿو. پس منظر سڀني ٽرئفڪ کي ڏسندو آهي جيئن بيلنسر کان موڪليو ويو ۽ سڌو سنئون جواب ڏئي ٿو. اهڙي منصوبي ۾، بيلنس هڪ ئي نيٽ ورڪ جي حصي ۾ اندروني سرور سان گڏ هجڻ گهرجي.

هتي اهو ڪيئن ٿئي ٿو:
1. استعمال ڪندڙ هڪ درخواست موڪلي ٿو VIP ايڊريس (بيلنس ايڊريس) جيڪو ايج تي ترتيب ڏنل آهي.
2. ايج هڪ پس منظر مان چونڊي ٿو ۽ منزل NAT انجام ڏئي ٿو، VIP پتي کي منتخب ٿيل پس منظر جي ايڊريس سان تبديل ڪندي.
3. ايج ماخذ NAT انجام ڏئي ٿو، صارف جي ايڊريس کي تبديل ڪري ٿو جيڪو پنهنجي پاڻ سان درخواست موڪلي ٿو.
4. پيڪيج منتخب ٿيل پس منظر ڏانھن موڪليو ويو آھي.
5. پس منظر سڌو سنئون صارف کي جواب نٿو ڏئي، پر ايج ڏانهن، ڇو ته صارف جو اصل پتو بيلنس جي ايڊريس تي تبديل ڪيو ويو آهي.
6. ايج سرور جي جواب کي صارف ڏانهن منتقل ڪري ٿو.
خاڪو هيٺ ڏنل آهي.


شفاف، يا ان لائن، موڊ. هن منظر ۾، بيلنسر اندروني ۽ بيروني نيٽ ورڪ تي انٽرفيس آهي. ساڳئي وقت، ٻاهرين نيٽ ورڪ کان اندروني نيٽ ورڪ تائين ڪا سڌي رسائي ناهي. اندروني نيٽ ورڪ تي ورچوئل مشينن لاءِ NAT گيٽ وي جي طور تي تعمير ٿيل لوڊ بيلنس ڪم ڪري ٿو.

ميڪانيزم هن ريت آهي:
1. استعمال ڪندڙ هڪ درخواست موڪلي ٿو VIP ايڊريس (بيلنس ايڊريس) جيڪو ايج تي ترتيب ڏنل آهي.
2. ايج هڪ پس منظر مان چونڊي ٿو ۽ منزل NAT انجام ڏئي ٿو، VIP پتي کي منتخب ٿيل پس منظر جي ايڊريس سان تبديل ڪندي.
3. پيڪيج منتخب ٿيل پس منظر ڏانھن موڪليو ويو آھي.
4. پس منظر صارف جي اصل ايڊريس سان هڪ درخواست وصول ڪري ٿو (ذريعو NAT انجام نه ڏنو ويو) ۽ سڌو سنئون جواب ڏئي ٿو.
5. ٽريفڪ ٻيهر لوڊ بيلنسر طرفان قبول ڪئي وئي آهي، ڇاڪاڻ ته ان لائن اسڪيم ۾ اهو عام طور تي سرور فارم لاءِ ڊفالٽ گيٽ وي طور ڪم ڪندو آهي.
6. ايج صارف کي ٽريفڪ موڪلڻ لاءِ ذريعو NAT انجام ڏئي ٿو، ان جي VIP کي ماخذ IP پتي طور استعمال ڪندي.
خاڪو هيٺ ڏنل آهي.

مشق

منهنجي ٽيسٽ بينچ ۾ 3 سرورز آهن Apache هلائيندڙ، جيڪي HTTPS تي ڪم ڪرڻ لاءِ ترتيب ڏنل آهن. ايج HTTPS درخواستن جي گول رابن توازن کي انجام ڏيندو، هر نئين درخواست کي نئين سرور ڏانهن پراکسي ڪندي.
اچو ته شروع ڪريون

ھڪڙو SSL سرٽيفڪيٽ ٺاھيو جيڪو استعمال ڪيو ويندو NSX Edge
توهان هڪ صحيح CA سرٽيفڪيٽ درآمد ڪري سگهو ٿا يا استعمال ڪري سگهو ٿا هڪ خود دستخط ٿيل. ھن ٽيسٽ لاءِ مان استعمال ڪندس خود دستخط ٿيل.

1. vCloud ڊائريڪٽر انٽرفيس ۾، وڃو ايج سروسز سيٽنگون.
   
2. ڏانھن وڃو سرٽيفڪيٽ ٽيب. مان عملن جي فهرست, منتخب ڪريو شامل ڪرڻ هڪ نئون CSR .
   
3. گھربل فيلڊ ۾ ڀريو ۽ ڪلڪ ڪريو Keep.
   
4. نئين ٺاهيل CSR چونڊيو ۽ سيلف سائن سي ايس آر اختيار چونڊيو.
   
5. سرٽيفڪيٽ جي صحيح مدت چونڊيو ۽ ڪلڪ ڪريو رکو
   
6. پاڻمرادو دستخط ٿيل سرٽيفڪيٽ موجودن جي فهرست ۾ ظاهر ٿئي ٿو.
   

ايپليڪيشن پروفائل کي ترتيب ڏيڻ
ايپليڪيشن پروفائلز توهان کي نيٽ ورڪ ٽرئفڪ تي وڌيڪ مڪمل ڪنٽرول ڏئي ٿو ۽ ان کي منظم ڪرڻ آسان ۽ موثر بڻائي ٿو. اهي مخصوص قسم جي ٽرئفڪ لاء رويي جي وضاحت ڪرڻ لاء استعمال ڪري سگھجن ٿيون.

1. لوڊ بيلنسر ٽيب ڏانھن وڃو ۽ بيلنس کي فعال ڪريو. Acceleration enabled آپشن ھتي بيلنس کي اجازت ڏئي ٿو ته تيز L4 بيلنس استعمال ڪري L7 جي بدران.
   
2. ايپليڪيشن پروفائل سيٽ ڪرڻ لاء ايپليڪيشن پروفائل ٽيب ڏانھن وڃو. ڪلڪ ڪريو +.
   
3. پروفائل جو نالو مقرر ڪريو ۽ ٽرئفڪ جو قسم چونڊيو جنھن لاءِ پروفائل لاڳو ڪيو ويندو. مون کي ڪجهه وضاحت ڪرڻ ڏيو.
   تڪليف - اسٽور ۽ ٽريڪ سيشن ڊيٽا، مثال طور: پول ۾ ڪهڙو مخصوص سرور صارف جي درخواست جي خدمت ڪري رهيو آهي. اهو يقيني بڻائي ٿو ته صارف جون درخواستون ساڳئي پول ميمبر ڏانهن سيشن جي زندگيءَ يا ايندڙ سيشن لاءِ روٽ ڪيون وينديون آهن.
   SSL پاسٿرو کي فعال ڪريو - جڏهن هي اختيار چونڊيو ويو آهي، NSX Edge SSL کي ختم ڪرڻ بند ڪري ٿو. ان جي بدران، ختم ٿيڻ سڌو سنئون سرور تي ٿئي ٿو جيڪي متوازن ٿي رهيا آهن.
   X-Forwarded-For HTTP هيڊر داخل ڪريو - توهان کي ويب سرور سان ڳنڍڻ واري ڪلائنٽ جو ذريعو IP پتو طئي ڪرڻ جي اجازت ڏئي ٿو لوڊ بيلنس ذريعي.
   پول سائڊ SSL کي فعال ڪريو - توھان کي بيان ڪرڻ جي اجازت ڏئي ٿو ته منتخب ٿيل پول HTTPS سرورن تي مشتمل آھي.
   
4. جيئن ته مان HTTPS ٽرئفڪ کي توازن ڏيندس، مون کي پول سائڊ SSL کي فعال ڪرڻ جي ضرورت آهي ۽ ورچوئل سرور سرٽيفڪيٽ -> سروس سرٽيفڪيٽ ٽيب ۾ اڳ ۾ ٺاهيل سرٽيفڪيٽ چونڊيو.
   
5. ساڳي طرح پول سرٽيفڪيٽن لاءِ -> سروس سرٽيفڪيٽ.
   

اسان سرورز جو هڪ تلاءُ ٺاهيندا آهيون، جنهن ڏانهن ٽريفڪ متوازن هوندي

1. پولز ٽيب ڏانھن وڃو. ڪلڪ ڪريو +.
   
2. اسان پول جو نالو مقرر ڪيو، الگورٿم چونڊيو (آئون گول رابن استعمال ڪندس) ۽ صحت جي چڪاس جي پس منظر لاءِ مانيٽرنگ جو قسم. شفاف آپشن ظاهر ڪري ٿو ته ڇا ڪلائنٽ جا ابتدائي ماخذ IPs اندروني سرورز تي نظر اچن ٿا.
   • جيڪڏهن اختيار غير فعال آهي، اندروني سرورز لاء ٽرئفڪ بيلنسر جي ماخذ IP مان ايندي آهي.
   • جيڪڏهن اختيار فعال آهي، اندروني سرورز ڪلائنٽ جو ذريعو IP ڏسندا. هن ترتيب ۾، NSX Edge کي لازمي طور تي ڪم ڪرڻ گهرجي ڊفالٽ گيٽ وي کي يقيني بڻائڻ لاءِ ته واپسي ٿيل پيڪٽس NSX ايج ذريعي گذري وڃن.

   NSX ھيٺ ڏنل بيلنسنگ الگورتھم کي سپورٽ ڪري ٿو:

   • IP_HASH - سرور جي چونڊ هر پيڪٽ جي ماخذ ۽ منزل IP لاءِ هيش فنڪشن جي نتيجن جي بنياد تي.
   • گھٽ ۾ گھٽ - ايندڙ ڪنيڪشن جو توازن، هڪ خاص سرور تي اڳ ۾ ئي موجود نمبر تي منحصر ڪري ٿو. نون ڪنيڪشنز کي هدايت ڪئي ويندي سرور ڏانهن تمام گھٽ ڪنيڪشن سان.
   • ROUND_ROBIN - نوان ڪنيڪشن هر سرور ڏانهن موڙ ۾ موڪليا ويا آهن، ان جي مقرر ڪيل وزن جي مطابق.
   • يو آر ايل - URI جو کاٻي حصو (سوال جي نشان کان اڳ) کي هٽايو ويو آهي ۽ پول ۾ سرور جي ڪل وزن سان ورهايو ويو آهي. نتيجو ظاهر ڪري ٿو ته ڪهڙو سرور درخواست وصول ڪري ٿو، انهي کي يقيني بڻائي ٿو ته درخواست هميشه ساڳئي سرور ڏانهن روٽ ڪئي وئي آهي، جيستائين سڀئي سرور موجود آهن.
   • HTTPHEADER - هڪ مخصوص HTTP هيڊر جي بنياد تي توازن، جنهن کي هڪ پيٽرولر طور بيان ڪري سگهجي ٿو. جيڪڏهن هيڊر غائب آهي يا ڪو قدر نه آهي، ROUND_ROBIN الگورتھم لاڳو ڪيو ويندو.
   • URL جو - هر HTTP GET درخواست URL پيراميٽر لاءِ ڳولهي ٿو جيڪو دليل طور بيان ڪيو ويو آهي. جيڪڏهن پيرا ميٽر جي پٺيان هڪ برابر نشاني ۽ هڪ قدر آهي، ته پوء قيمت کي هٽايو ويو آهي ۽ هلندڙ سرور جي ڪل وزن سان ورهايو ويو آهي. نتيجو ظاهر ڪري ٿو ته ڪهڙو سرور درخواست وصول ڪري ٿو. اهو عمل استعمال ڪيو ويندو آهي صارف جي ID جي ٽريڪ رکڻ لاءِ درخواستن ۾ ۽ انهي ڳالهه کي يقيني بڻائڻ لاءِ ته هڪ ئي يوزر آئي ڊي هميشه ساڳئي سرور ڏانهن موڪلي وئي آهي، جيستائين سڀئي سرور موجود رهن.

   

3. ميمبرن جي بلاڪ ۾، پول ۾ سرور شامل ڪرڻ لاء + ڪلڪ ڪريو.
   
   
   هتي توهان کي اشارو ڪرڻو پوندو:
   • سرور جو نالو؛
   • سرور IP پتو؛
   • بندرگاهه جنهن تي سرور ٽرئفڪ حاصل ڪندو؛
   • صحت جي چڪاس لاءِ پورٽ (مانيٽر هيلٿ چيڪ)؛
   • وزن - هن پيٽرولر کي استعمال ڪندي توهان هڪ مخصوص پول ميمبر لاءِ حاصل ڪيل ٽرئفڪ جي متناسب مقدار کي ترتيب ڏئي سگهو ٿا؛
   • وڌ ۾ وڌ ڪنيڪشن - سرور سان ڪنيڪشن جو وڌ ۾ وڌ تعداد؛
   • منٽ ڪنيڪشن - ڪنيڪشن جو گھٽ ۾ گھٽ تعداد جيڪو سرور کي پروسيس ڪرڻ کان اڳ ٽريفڪ اڳيان ايندڙ پول ميمبر ڏانھن موڪليو وڃي.

   
   
   اھو اھو آھي جيڪو ٽن سرورن جو آخري تلاءُ ڏسڻ ۾ اچي ٿو.
   

ورچوئل سرور شامل ڪرڻ

1. ورچوئل سرورز ٽئب ڏانھن وڃو. ڪلڪ ڪريو +.
   
2. اسان ورچوئل سرور کي فعال ڪريون ٿا استعمال ڪندي ورچوئل سرور کي فعال ڪريو.
   اسان ان کي نالو ڏيون ٿا، اڳ ۾ ٺهيل ايپليڪيشن پروفائل چونڊيو، پول ۽ IP پتي جي نشاندهي ڪريو جنهن تي ورچوئل سرور ٻاهران درخواستون وصول ڪندو. اسان وضاحت ڪريون ٿا HTTPS پروٽوڪول ۽ پورٽ 443.
   هتي اختياري پيراگراف:
   ڪنيڪشن جي حد - وڌ ۾ وڌ تعداد گڏ ڪنيڪشن جو مجازي سرور پروسيس ڪري سگھي ٿو؛
   ڪنيڪشن جي شرح جي حد (سي پي ايس) - في سيڪنڊ نئين ايندڙ درخواستن جو وڌ ۾ وڌ تعداد.
   

هي بيلنس جي ترتيب کي مڪمل ڪري ٿو؛ توهان ان جي ڪارڪردگي کي جانچ ڪري سگهو ٿا. سرورز وٽ هڪ سادي ترتيب آهي جيڪا توهان کي سمجهڻ جي اجازت ڏئي ٿي ته پول مان ڪهڙي سرور درخواست تي عمل ڪيو. سيٽ اپ دوران، اسان چونڊيو گول رابن بيلنسنگ الگورٿم، ۽ هر سرور لاء وزن پيٽرولر هڪ جي برابر آهي، تنهنڪري هر ايندڙ درخواست تي عمل ڪيو ويندو پول کان ايندڙ سرور طرفان.
اسان برائوزر ۾ بيلنسر جو خارجي پتو داخل ڪريو ۽ ڏسو:


صفحي کي ريفريش ڪرڻ کان پوء، درخواست تي عمل ڪيو ويندو ھيٺ ڏنل سرور:


۽ ٻيهر - پول مان ٽيون سرور چيڪ ڪرڻ لاء:


جڏهن چيڪ ڪندي، توهان ڏسي سگهو ٿا ته سرٽيفڪيٽ جيڪو ايج اسان کي موڪلي ٿو اهو ساڳيو آهي جيڪو اسان شروعات ۾ پيدا ڪيو آهي.

ايج گيٽ وي ڪنسول مان بيلنس جي حيثيت جي جانچ ڪندي. هن کي ڪرڻ لاء، داخل ڪريو ڏيکاريو خدمت لوڊ بيلنس پول.


پول ۾ سرورز جي حالت کي جانچڻ لاءِ سروس مانيٽر کي ترتيب ڏيڻ
سروس مانيٽر استعمال ڪندي اسان پس منظر پول ۾ سرورز جي حالت مانيٽر ڪري سگھون ٿا. جيڪڏهن هڪ درخواست جو جواب توقع جي مطابق نه آهي، سرور کي پول مان ڪڍي سگهجي ٿو ته جيئن اها ڪا به نئين درخواست نه ملي.
ڊفالٽ طور، ٽي تصديق جا طريقا ترتيب ڏنل آھن:

• TCP مانيٽر،
• HTTP مانيٽر،
• HTTPS مانيٽر.

اچو ته هڪ نئون ٺاهيو.

1. وڃو سروس مانيٽرنگ ٽيب، ڪلڪ ڪريو +.
   
2. چونڊيو:
   • نئين طريقي جو نالو؛
   • وقفو جنهن تي درخواستون موڪليا ويندا،
   • جواب جي انتظار ۾ وقت ختم،
   • مانيٽرنگ جو قسم - GET طريقو استعمال ڪندي HTTPS درخواست، متوقع اسٽيٽس ڪوڊ - 200 (OK) ۽ URL جي درخواست.
3. ھي نئين سروس مانيٽر جي سيٽ اپ کي مڪمل ڪري ٿو؛ ھاڻي اسان ان کي استعمال ڪري سگھون ٿا جڏھن پول ٺاھيو.
   

ايپليڪيشن ضابطن کي ترتيب ڏيڻ

ايپليڪيشن ضابطا ٽرئفڪ کي ترتيب ڏيڻ جو هڪ طريقو آهي جيڪو ڪجهه خاص محرڪن جي بنياد تي. هن ٽول سان اسان ترقي يافته لوڊ بيلنسنگ ضابطا ٺاهي سگهون ٿا جيڪي ايج گيٽ وي تي دستياب ايپليڪيشن پروفائلز يا ٻين خدمتن ذريعي ممڪن نه هجن.

1. ھڪڙو قاعدو ٺاھڻ لاء، ڏانھن وڃو ايپليڪيشن ضابطن جي بيلنس جي ٽيب.
   
2. ھڪڙو نالو چونڊيو، ھڪڙو رسم الخط جيڪو قاعدو استعمال ڪندو، ۽ ڪلڪ ڪريو رکو.
   
3. قاعدو ٺاھڻ کان پوء، اسان کي اڳ ۾ ئي ترتيب ڏنل ورچوئل سرور کي تبديل ڪرڻ جي ضرورت آھي.
   
4. Advanced ٽئب ۾، اسان ٺاهيل قاعدو شامل ڪريو.
   

مٿين مثال ۾ اسان tlsv1 سپورٽ کي فعال ڪيو.

ڪجھ وڌيڪ مثال:

ٽريفڪ کي ٻي تلاءَ ڏانھن ريڊائر ڪريو.
هن اسڪرپٽ سان اسان ٽرئفڪ کي ٻي بيلنسنگ پول ڏانهن منتقل ڪري سگهون ٿا جيڪڏهن مکيه تلاءُ هيٺ آهي. ضابطي جي ڪم ڪرڻ لاء، گھڻن تلاء کي بيلنس تي ترتيب ڏيڻ لازمي آھي ۽ مکيه تلاء جا سڀئي ميمبر ھيٺئين حالت ۾ ھجن. توھان کي پول جو نالو بيان ڪرڻ جي ضرورت آھي، نه ان جي سڃاڻپ.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


ٽريفڪ کي خارجي وسيلن ڏانهن منتقل ڪريو.
هتي اسان ٽريفڪ کي خارجي ويب سائيٽ ڏانهن منتقل ڪريون ٿا جيڪڏهن مکيه پول جا سڀئي ميمبر هيٺ آهن.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

اڃا به وڌيڪ مثال هتي.

اهو سڀ ڪجهه مون لاءِ بيلنس جي باري ۾ آهي. جيڪڏهن توهان وٽ ڪو سوال آهي، پڇو، مان جواب ڏيڻ لاء تيار آهيان.

جو ذريعو: www.habr.com