🥇VMware NSX mo tamaiti laiti. Vaega 5: Fa'atulagaina o se Paleni Uta

Vaega muamua. fa'atomuaga
Vaega lona lua. Fa'atulagaina o Firewall ma Tulafono a le NAT
Vaega tolu. Fa'atonu le DHCP
Vaega fa. Seti ala

O le taimi mulimuli na matou talanoa ai e uiga i le gafatia o le NSX Edge i tulaga o le faʻaogaina ma le malosi, ma o aso nei o le a tatou feagai ma le paleni o uta.
Ae tatou te leʻi amata faʻatulagaina, ou te fia faʻamanatu faʻapuupuu ia te oe e uiga i ituaiga autu o le paleni.

Leory

O fofo uma o le paleni o totogi i aso nei e masani ona vaevaeina i ni vaega se lua: paleni i le tulaga lona fa (feaveaʻi) ma le lona fitu (faʻaoga) tulaga o le faʻataʻitaʻiga. PE AFAI. O le faʻataʻitaʻiga OSI e le o se faʻamatalaga sili ona lelei pe a faʻamatalaina auala paleni. Mo se fa'ata'ita'iga, afai e lagolagoina fo'i e le paleni L4 le fa'amutaina o le TLS, pe avea loa lea ma se paleni L7? Ae o le mea tonu lava lea.

Paleni L4 o le tele o taimi o se sui ogatotonu e tu i le va o le kalani ma se seti o backends avanoa, lea e faamutaina fesootaiga TCP (o lona uiga, tutoatasi tali atu i le SYN), filifili se backend ma amataina se sauniga TCP fou i lona taitaiga, tutoatasi auina atu SYN. O lenei ituaiga o se tasi o mea autu; isi filifiliga e mafai.
Paleni L7 fa'asoaina fefa'ataua'iga i tua atu avanoa "sili atu ona fa'apitoa" nai lo le L4 paleni. E mafai ona filifili po o fea pito i tua e filifili e faʻatatau i, mo se faʻataʻitaʻiga, mea o loʻo i totonu o le savali HTTP (URL, kuki, ma isi).

Po o le a lava le ituaiga, e mafai e le paleni ona lagolagoina galuega nei:

Au'aunaga su'esu'e o le fa'agasologa lea o le fuafuaina o le seti o pito i tua o lo'o avanoa (Static, DNS, Consul, Etcd, etc.).
Siakiina le faʻatinoga o pito i tua o loʻo maua (" ping "gaoioiga o le pito i tua e faʻaaoga ai se talosaga HTTP, suʻesuʻeina o faʻafitauli i fesoʻotaʻiga TCP, o le i ai o le tele o 503 HTTP codes i tali, ma isi).
O le paleni o ia lava (round robin, random selection, source IP hash, URI).
TLS fa'amuta ma fa'amaonia tusi pasi.
Filifiliga e fesoʻotaʻi ma le saogalemu (faʻamaoni, puipuiga o osofaiga a le DoS, faʻatapulaʻaina o le saoasaoa) ma sili atu.

O le NSX Edge e ofoina atu le lagolago mo auala e lua o le faʻatulagaina o uta:

Faiga sui, po'o le lima e tasi. I lenei faiga, NSX Edge faʻaaoga lona tuatusi IP e avea ma tuatusi faʻapogai pe a tuʻuina atu se talosaga i se tasi o pito i tua. O le mea lea, o le paleni o loʻo faʻatinoina i le taimi lava e tasi galuega a le Source and Destination NAT. O le pito i tua e vaʻai i fefaʻatauaiga uma e pei ona lafo mai le paleni ma tali saʻo i ai. I sea faiga, e tatau ona i ai le paleni i le vaega tutusa o fesoʻotaʻiga ma 'auʻaunaga i totonu.

O le auala lenei e alu ai:
1. E tuʻuina atu e le tagata faʻaoga se talosaga i le tuatusi VIP (tuatusi paleni) o loʻo faʻatulagaina i luga o le Edge.
2. E filifilia e Edge se tasi o pito pito i tua ma faia le NAT taunuuga, sui le tuatusi VIP ma le tuatusi o le pito i tua ua filifilia.
3. Edge fa'atino le puna NAT, sui le tuatusi o le tagata fa'aoga na auina atu le talosaga i ana lava.
4. E auina atu le afifi i le pito i tua ua filifilia.
5. E le tali saʻo le pito i tua i le tagata faʻaoga, ae i le Edge, talu ai ua suia le tuatusi muamua a le tagata faʻaoga i le tuatusi o le paleni.
6. E tu'uina atu e Edge le tali a le 'au'aunaga i le tagata fa'aoga.
O lo'o i lalo le ata.

Malamalama, po'o totonu, faiga. I lenei faʻataʻitaʻiga, o le paleni e iai fesoʻotaʻiga i luga o fesoʻotaʻiga i totonu ma fafo. I le taimi lava e tasi, e leai se avanoa tuusao i le fesoʻotaʻiga i totonu mai le fafo. O le faʻaputuina o uta o loʻo galue o se faitotoa NAT mo masini masini i luga o fesoʻotaiga i totonu.

O le masini e faapea:
1. E tuʻuina atu e le tagata faʻaoga se talosaga i le tuatusi VIP (tuatusi paleni) o loʻo faʻatulagaina i luga o le Edge.
2. E filifilia e Edge se tasi o pito pito i tua ma faia le NAT taunuuga, sui le tuatusi VIP ma le tuatusi o le pito i tua ua filifilia.
3. E auina atu le afifi i le pito i tua ua filifilia.
4. E maua e le pito i tua se talosaga ma le tuatusi muamua a le tagata faʻaoga (puna NAT e leʻi faia) ma tali saʻo i ai.
5. Ua toe talia le fe'avea'i e le load balancer, talu ai i se polokalame inline e masani lava ona avea ma faitotoa fa'aletonu mo le fa'ato'aga server.
6. Edge fa'atino le puna NAT e lafo ai fefa'atauaiga i le tagata fa'aoga, fa'aaoga lona VIP e fai ma tuatusi IP puna.
O lo'o i lalo le ata.

Faataitai

O laʻu nofoa suʻega e 3 'auʻaunaga o loʻo faʻaogaina Apache, lea ua faʻatulagaina e galue i luga ole HTTPS. Edge o le a faia le paleni faʻasolosolo o talosaga HTTPS, sui talosaga fou taʻitasi i se server fou.
Tatou amata.

Fausia se tusi faamaonia SSL o le a faʻaaogaina e NSX Edge
E mafai ona e fa'aulufale mai se tusi faamaonia CA pe fa'aaoga se tusi saini e oe lava. Mo lenei su'ega o le a ou fa'aogaina le saini a le tagata lava ia.

I le vCloud Director interface, alu i le Edge services settings.
Alu i le Tusi Faamaonia tab. Mai le lisi o gaioiga, filifili le fa'aopoopoina o se CSR fou.
Faatumu ia fanua mana'omia ma kiliki le Taofi.
Filifili le CSR fou na faia ma filifili le filifiliga a le tagata lava ia CSR.
Filifili le vaitaimi aoga o le tusi faamaonia ma kiliki Tausia
O le tusi pasi saini a le tagata lava ia o loʻo faʻaalia i le lisi o mea avanoa.

Fa'atulagaina le Fa'amatalaga Fa'amatalaga
O fa'amatalaga o talosaga e tu'uina atu ai ia te oe le fa'atonuga atoatoa i luga o feso'ota'iga feso'ota'iga ma fa'afaigofie ma lelei le fa'afoeina. E mafai ona fa'aaogaina e fa'amatala ai amioga mo ituaiga fa'apitoa o feoaiga.

Alu i le Load Balancer tab ma mafai ai le paleni. Ole filifiliga fa'avavevave i'i e mafai ai e le tagata paleni ona fa'aoga vave le paleni L4 nai lo le L7.
Alu i le Application profile tab e seti ai le tusi talosaga. Kiliki +.
Seti le igoa o le talaaga ma filifili le ituaiga o fefaʻatauaiga o le a faʻaoga ai le faʻamatalaga. Se'i ou faamatala atu nisi vaega.
Tumau - teuina ma siaki faʻamaumauga o sauniga, mo se faʻataʻitaʻiga: o le fea server patino i totonu o le vaitaele o loʻo tautuaina le talosaga a le tagata. E fa'amautinoaina o talosaga a le au fa'aoga e fa'asalalau atu i le tagata lava lea e tasi mo le olaga atoa o le vasega po'o isi sauniga.
Fa'aagaaga SSL passthrough - Pe a filifilia lenei filifiliga, NSX Edge taofi le faʻamutaina SSL. Ae, fa'amutaina e tupu sa'o i luga o 'au'aunaga o lo'o paleni.
Fa'aofi X-Forwarded-Mo le ulutala HTTP - faʻatagaina oe e fuafua le tuatusi IP puna o le kalani e fesoʻotaʻi i le upega tafaʻilagi e ala i le paleni o uta.
Fa'aagaoi le SSL Itu Ta'ele - faʻatagaina oe e faʻamaonia o le vaitaele filifilia e aofia ai sapalai HTTPS.
Talu ai o le a ou faapaleniina fefaʻatauaʻiga HTTPS, ou te manaʻomia le faʻaogaina o le Pool Side SSL ma filifili le tusi pasi na faia muamua i le Virtual Server Certificates -> Service Certificate tab.
E faapena foi mo Pool Certificates -> Service Certificate.

Matou te faia se vaitaele o servers, o le feoaiga i ai o le a paleni Pools

Alu i le Pools tab. Kiliki +.
Matou te setiina le igoa o le vaitaele, filifili le algorithm (O le a ou faʻaogaina le round robin) ma le ituaiga o mataʻituina mo le siakiina o le soifua maloloina i tua.
- Afai e le atoatoa le filifiliga, o fefaʻatauaiga mo 'auʻaunaga i totonu e sau mai le puna IP o le paleni.
- Afai e mafai le filifiliga, o loʻo vaʻaia e 'auʻaunaga i totonu le puna IP o tagata faʻatau. I lenei fa'atulagaga, e tatau ona fai le NSX Edge e fai ma faitoto'a fa'aletonu e fa'amautinoa ai o pepa toe fa'afo'i mai e ui atu i le NSX Edge.
E lagolagoina e le NSX ia fa'ata'otoga fa'apaleni:
- IP_HASH - filifiliga a le 'auʻaunaga e faʻavae i luga o taunuʻuga o le hash function mo le puna ma le taunuʻuga IP o afifi taʻitasi.
- LEASTCONN - faapaleniina o fesoʻotaʻiga o loʻo oʻo mai, e faʻatatau i le numera o loʻo avanoa i luga o se server faapitoa. O feso'ota'iga fou o le a fa'asino atu i le 'au'aunaga e itiiti ni feso'ota'iga.
- ROUND_ROBIN - o fesoʻotaʻiga fou e auina atu i 'auʻaunaga taʻitasi, e tusa ai ma le mamafa ua tuʻuina atu i ai.
- Auri - o le itu agavale o le URI (i luma o le faailoga fesili) ua faʻapipiʻiina ma vaevaeina i le aofaʻi o le mamafa o sapalai i totonu o le vaitaele. O le fa'ai'uga e fa'ailoa mai ai po'o fea le 'au'aunaga na te mauaina le talosaga, fa'amautinoa o lo'o fa'agasolo pea le talosaga i le 'au'aunaga lava e tasi, pe a fa'apea o lo'o avanoa uma 'au'aunaga.
- HTTPHEADER - paleni faʻavae i luga o se ulutala HTTP faʻapitoa, lea e mafai ona faʻamaonia o se parakalafa. Afai e misi le ulutala pe leai se aoga, o le ROUND_ROBIN algorithm e faʻaaogaina.
- URL - O talosaga taʻitasi HTTP GET suʻesuʻe mo le faʻailoga URL ua faʻamaonia e fai ma finauga. Afai o le parakalafa e mulimulitaʻia e se faʻailoga tutusa ma se tau, ona faʻapipiʻiina lea o le tau ma vaevaeina i le aofaʻi o le mamafa o faʻagaioiga taʻavale. O le fa'ai'uga e fa'ailoa mai ai po'o fea le 'au'aunaga e maua le talosaga. O lenei faiga e faʻaaogaina e siaki ai ID faʻaoga i talosaga ma faʻamautinoa o loʻo tuʻuina atu le ID faʻaoga tutusa i le server lava e tasi, pe a faʻapea o loʻo avanoa uma servers.
I le poloka a le Sui Usufono, kiliki + e faʻaopoopo ai 'auʻaunaga i le vaitaele.

O iinei e tatau ona e faʻaalia:
- igoa o le server;
- tuatusi IP server;
- le taulaga lea o le a maua ai e le 'auʻaunaga feoaiga;
- uafu mo le siakiina o le soifua maloloina (Monitor healthcheck);
- mamafa - faʻaaogaina lenei parakalafa e mafai ona e faʻafetaui le aofaʻi o fefaʻatauaiga na maua mo se sui o le vaitaele;
- Max Connections - numera maualuga o fesoʻotaʻiga i le 'auʻaunaga;
- Min Connections - o le numera aupito maualalo o fesoʻotaʻiga e tatau i le 'auʻaunaga ona faʻatautaia aʻo leʻi tuʻuina atu fefaʻatauaiga i le isi sui o le vaitaele.
O le mea lea e foliga mai o le vaitaele mulimuli o sapalai e tolu.

Fa'aopoopoina le Server Virtual

Alu i le Virtual Servers tab. Kiliki +.
Matou te faʻagaoioia le server virtual e faʻaaoga ai Enable Virtual Server.
Matou te tuʻuina atu i ai se igoa, filifili le Faʻamatalaga Talosaga na faia muamua, Pool ma faʻaalia le tuatusi IP lea o le a maua ai e le Virtual Server talosaga mai fafo. Matou te faʻamaonia le HTTPS protocol ma le port 443.
Fa'ailoga e filifili ai iinei:
Tapulaa So'oga - le numera maualuga o fesoʻotaʻiga tutusa e mafai e le server virtual ona faʻagasolo;
Fa'atapula'a o Feso'ota'iga (CPS) - le numera maualuga o talosaga fou o loʻo oʻo mai i le sekone.

O lenei mea e faʻamaeʻa ai le faʻatulagaina o le paleni; e mafai ona e siakiina lona gaioiga. O loʻo i ai i le 'auʻaunaga se faʻatulagaga faigofie e mafai ai ona e malamalama poʻo le fea server mai le vaitaele na faʻatautaia le talosaga. I le taimi o le seti, na matou filifilia le Round Robin balancing algorithm, ma o le Weight parameter mo server taʻitasi e tutusa ma le tasi, o lea o talosaga taʻitasi mulimuli ane o le a faʻatautaia e le isi server mai le vaitaele.
Matou te ulufale i le tuatusi fafo o le paleni i le masini ma vaʻai:

A maeʻa ona faʻafouina le itulau, o le a faʻagasolo le talosaga e le server lea:

Ma toe - e siaki le server lona tolu mai le vaitaele:

Pe a siaki, e mafai ona e vaʻai o le tusi pasi na tuʻuina mai e Edge ia i matou e tutusa lava ma matou faia i le amataga.

Siaki le tulaga paleni mai le Edge gateway console. Ina ia faia lenei mea, ulufale fa'aali le vaita'ele loadbalancer tautua.

Fa'atulagaina le Mataituina o Auaunaga e siaki ai le tulaga o 'au'aunaga i totonu o le vaita'ele
Fa'aaogaina o le Service Monitor e mafai ona tatou mata'ituina le tulaga o 'au'aunaga ile vaita'ele pito i tua. Afai o le tali atu i se talosaga e leʻo pei ona faʻamoemoeina, e mafai ona ave le server mai le vaitaele ina ia le mauaina ni talosaga fou.
E ala i le faaletonu, e tolu auala faʻamaonia ua faʻatulagaina:

TCP-mataitu,
mataitu HTTP,
HTTPS-mataitu.

Sei o tatou faia se mea fou.

Alu i le Au'aunaga Mata'ituina tab, kiliki +.
Filifili:
- igoa mo le auala fou;
- ole va ole taimi ole a lafo ai talosaga,
- taimi fa'atali mo se tali,
- ituaiga mataʻituina - HTTPS talosaga e faʻaaoga ai le GET method, faʻamoemoeina tulaga code - 200(OK) ma talosaga URL.
Ua maeʻa le seti o le Mataʻituina Auaunaga fou; o lea e mafai ona matou faʻaaogaina pe a fatuina se vaitaele.

Fa'atulagaina Tulafono Fa'atonu

Talosaga Talosaga o se auala e faʻaogaina ai feoaiga e faʻavae i luga o nisi faʻaoso. Faatasi ai ma lenei meafaigaluega e mafai ai ona tatou fatuina tulafono faʻapaleni uta maualuga atonu e le mafai e ala i faʻamatalaga Talosaga poʻo isi auaunaga o loʻo maua ile Edge Gateway.

Ina ia faia se tulafono, alu i le Talosaga Tulafono lisi o le paleni.
Filifili se igoa, se tusitusiga o le a faʻaaogaina le tulafono, ma kiliki Taofi.
A maeʻa ona faia le tulafono, e manaʻomia ona faʻasaʻo le Virtual Server ua uma ona faʻatulagaina.
I le Advanced tab, faʻaopoopo le tulafono na matou fatuina.

I le faʻataʻitaʻiga o loʻo i luga, matou te faʻatagaina le tlsv1 lagolago.

O nisi faʻataʻitaʻiga se lua:

Toe fa'asino le ta'avale i le isi vaita'ele.
Faatasi ai ma lenei tusitusiga e mafai ona tatou toe faʻafeiloaʻi feoaiga i se isi vaitaele paleni pe afai o le vaitaele autu o loʻo i lalo. Ina ia galue le tulafono, e tatau ona faʻapipiʻi le tele o vaitaele i luga o le paleni ma tagata uma o le vaitaele autu e tatau ona i ai i lalo. E tatau ona e fa'ailoa le igoa ole vaita'ele, ae le o lona ID.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0 use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME

Toe fa'afeiloa'i feoaiga i se punaoa i fafo.
O iinei matou te toe faʻafeiloaʻi ai fefaʻatauaiga i luga o le upega tafaʻilagi i fafo pe afai o loʻo i lalo uma tagata o le vaitaele autu.

acl pool_down nbsrv(NAME_OF_POOL) eq 0 redirect location http://www.example.com if pool_down

E sili atu faʻataʻitaʻiga iinei.

Pau lava lena ia te au e uiga i le paleni. Afai ei ai ni au fesili, fesili, ua ou sauni e tali.

puna: www.habr.com

VMware NSX mo tamaiti laiti. Vaega 5: Fa'atulagaina o se Paleni Uta

Leory

Faataitai

Faaopoopo i ai se faamatalaga faalēaogāina tali