VMware NSX ee kuwa yaryar. Qaybta 5: Habaynta Isku-dheellitirka Xamuulka

Qaybta koowaad. hordhac ah
Qaybta labaad. Habaynta Firewall iyo Xeerarka NAT
Qaybta saddexaad. Dejinta DHCP
Qaybta afraad. Habaynta habaynta

Markii ugu dambeysay waxaan ka hadalnay awoodaha NSX Edge marka loo eego jiheynta joogtada ah iyo dhaqdhaqaaqa firfircoon, maantana waxaan la macaamili doonaa dheellitirka culeyska.
Kahor intaanan bilaabin dejinta, waxaan jeclaan lahaa inaan si kooban kuu xasuusiyo noocyada ugu muhiimsan ee dheelitirka.

Aragtida

Dhammaan xal-u-dheellitirka culeyska mushaharka ee maanta ayaa inta badan loo qaybiyaa laba qaybood: isu-dheellitirka heerarka afraad (gaadiidka) iyo toddobaad (codsiga) ee moodeelka. AMA HADDII. Qaabka OSI ma aha tixraaca ugu fiican marka la tilmaamayo hababka dheellitirka. Tusaale ahaan, haddii dheelitiriyaha L4 uu sidoo kale taageero joojinta TLS, miyay markaa noqotaa dheellitir L7? Laakiin waa waxa ay tahay.

• Dheelitirka L4 Inta badan waa wakiil dhexdhexaad ah oo u dhexeeya macmiilka iyo qayb ka mid ah dhabarka dambe ee la heli karo, kaas oo joojiya isku xirka TCP (taasi waa, si madax-bannaan uga jawaaba SYN), doorta dhabarka oo bilaabaya fadhiga TCP cusub ee jihada, si madax-bannaan u diraya SYN. Noocani waa mid ka mid ah kuwa aasaasiga ah; doorashooyin kale ayaa suurtagal ah.
• Dheelitirka L7 waxay u qaybisaa taraafikada dhamaan dhinacyada danbe ee la heli karo "ka sii casrisan" marka loo eego dheelitiriyaha L4. Waxay go'aansan kartaa dhabarka dambe ee ay dooranayso iyadoo ku saleysan, tusaale ahaan, waxa ku jira fariinta HTTP (URL, buskud, iwm.).

Iyadoo aan loo eegin nooca, miisaan-hayaha ayaa taageeri kara hawlaha soo socda:

• Helitaanka adeeggu waa habka lagu go'aaminayo jaangooyooyinka dhabarka dambe ee la heli karo (Static, DNS, Qunsulka, iwm.).
• Hubinta shaqeynta dhabarka dambe ee la ogaaday ("ping" firfircoon ee dhabarka iyadoo la adeegsanayo codsiga HTTP, ogaanshaha aan qarsooneyn ee dhibaatooyinka xiriirinta TCP, joogitaanka dhowr lambar oo 503 HTTP ah ee jawaabaha, iwm.).
• Isku dheelitirka laftiisa (wareega wareega, xulashada random, isha IP hash, URI).
• Joojinta TLS iyo xaqiijinta shahaadada.
• Ikhtiyaarada la xidhiidha amniga (xaqiijinta, ka hortagga weerarka DoS, xaddidida xawaaraha) iyo qaar kaloo badan.

NSX Edge waxay siisaa taageero laba qaab oo dheellitirka culeyska geynta:

Habka wakiil, ama hal-gacan. Habkan, NSX Edge waxay isticmaashaa ciwaanka IP-ga oo ah ciwaanka isha marka ay u dirayso codsi mid ka mid ah dhabarka. Sidaa darteed, dheelli-tirehu wuxuu isla mar fuliyaa hawlaha Source iyo Destination NAT. Dhabarka dambe wuxuu u arkaa dhammaan taraafikada sida laga soo diray dheelitiriyaha oo si toos ah uga jawaaba. Nidaamkan oo kale, miisaan-ilaaliyehu waa inuu ku jiraa isla qaybta shabakadda ee server-yada gudaha.

Waa kan sida ay u dhacdo:
1. Isticmaaluhu wuxuu codsi u soo diraa ciwaanka VIP-da (ciwaanka dheelitirka) kaas oo lagu habeeyay Edge.
2. Edge wuxuu doortaa mid ka mid ah dhabarka oo wuxuu sameeyaa NAT meesha loo socdo, isagoo ku beddelaya ciwaanka VIP ciwaanka dhabarka la doortay.
3. Edge wuxuu qabtaa isha NAT, isagoo bedelaya ciwaanka isticmaalaha soo diray codsigiisa.
4. Xidhmada waxaa loo diraa dhabarka la doortay.
5. Dhabarku si toos ah ugama jawaabo adeegsadaha, laakiin Edge, maadaama ciwaanka asalka ah ee isticmaaluhu loo beddelay ciwaanka dheellitirka.
6. Edge wuxuu u gudbiyaa jawaabta server-ka isticmaalaha.
Jaantusku waa hoos


Qaab hufan, ama khadka tooska ah. Muuqaalkan, dheelli-tirehu waxa uu leeyahay is-dhexgal shabakadaha gudaha iyo dibadda. Isla mar ahaantaana, ma jirto marin toos ah oo shabakadda gudaha ah oo ka timid tan dibadda. Isku-dheellitirka culeyska ku dhex jira wuxuu u shaqeeyaa sidii albaabka NAT ee mashiinnada farsamada ee shabakada gudaha.

Nidaamku waa sida soo socota:
1. Isticmaaluhu wuxuu codsi u soo diraa ciwaanka VIP-da (ciwaanka dheelitirka) kaas oo lagu habeeyay Edge.
2. Edge wuxuu doortaa mid ka mid ah dhabarka oo wuxuu sameeyaa NAT meesha loo socdo, isagoo ku beddelaya ciwaanka VIP ciwaanka dhabarka la doortay.
3. Xidhmada waxaa loo diraa dhabarka la doortay.
4. Backend wuxuu helay codsi leh ciwaanka asalka ah ee isticmaalaha ( isha NAT lama samayn) oo si toos ah uga jawaaba.
5. Taraafikada waxaa mar kale aqbalaya culeyska culeyska, maadaama nidaamka khadka ah uu caadi ahaan u dhaqmo sida albaabka caadiga ah ee beerta serverka.
6. Edge waxay qabataa isha NAT si ay ugu dirto taraafikada isticmaalaha, iyada oo adeegsanaysa VIP-da isha IP-ga.
Jaantusku waa hoos

Tababarka

Kursiga imtixaanku wuxuu leeyahay 3 adeegayaal oo ku shaqeeya Apache, kaas oo loo habeeyey inuu ka shaqeeyo HTTPS. Edge wuxuu sameyn doonaa isku dheelitirka wareega codsiyada HTTPS, isagoo wakiil ka ah codsi kasta oo cusub server cusub.
Aynu bilowno.

Soo saarista shahaado SSL oo ay isticmaali doonto NSX Edge
Waxaad soo dejisan kartaa shahaado CA ansax ah ama waxaad isticmaali kartaa mid iskiis saxiixday. Tijaabadaan waxaan isticmaali doonaa mid iskiis u saxiixday.

1. Isku xirka Agaasimaha vCloud, aad goobaha adeegyada Edge.
   
2. Tag tabka Shahaadooyinka Liiska falalka, dooro ku darida CSR cusub.
   
3. Buuxi meelaha loo baahan yahay oo guji Keep.
   
4. Dooro CSR-ka cusub ee la sameeyay oo dooro ikhtiyaarka CSR-ga iskii.
   
5. Dooro muddada ansaxinta shahaadada oo guji Hayso
   
6. Shahaadada is-saxiixday waxay ka muuqataa liiska kuwa la heli karo.
   

Dejinta Xogta Codsiga
Bogagga codsiyadu waxay ku siinayaan koontarool dhamaystiran oo ku saabsan taraafikada shabakada waxayna ka dhigaan maaraynta mid fudud oo waxtar leh. Waxaa loo isticmaali karaa in lagu qeexo hab-dhaqanka noocyada gaarka ah ee taraafikada.

1. Tag tab Balancer Load oo awood isu-dheellitirka Doorashada karti-u-qaadista ee halkan waxay u oggolaanaysaa miisaan-hayaha inuu isticmaalo dheellitirnaanta L4 dhaqso leh halkii L7.
   
2. Tag bogga arjiga si aad u dejiso astaanta codsiga. Guji +.
   
3. Deji magaca astaanta oo dooro nooca taraafikada kaas oo profile-ka lagu dabaqi doono. Aan sharaxo halbeegyada qaar.
   adkaysiga - kaydiya oo raadraaca xogta fadhiga, tusaale ahaan: server-kee gaarka ah ee barkada ku jira ayaa u adeegaya codsiga isticmaalaha. Tani waxay hubinaysaa in codsiyada isticmaalaha loo maro isla xubin barkada inta nool ee fadhiga ama fadhiyada xiga.
   Daar marin marinka SSL - Marka doorashadan la doorto, NSX Edge waxay joojisaa joojinta SSL. Taa beddelkeeda, joojinta waxay si toos ah ugu dhacdaa server-yada la isku dheeli tirayo.
   Geli X-Forwarded-Madaxa HTTP - Waxay kuu oggolaaneysaa inaad go'aamiso isha IP-ga ee macmiilka ku xiraya server-ka shabakadda iyada oo loo marayo dheellitirka culeyska.
   Daar Pool Side SSL - Waxay kuu ogolaaneysaa inaad sheegto in barkada la doortay ay ka kooban tahay server-yada HTTPS.
   
4. Maadaama aan dheellitirayo taraafikada HTTPS, waxaan u baahanahay inaan awood u yeesho Pool Side SSL oo aan dooro shahaadada hore loo soo saaray ee Shahaadooyinka Server-ka Virtual -> tab Shahaadada Adeegga.
   
5. Si la mid ah Shahaadooyinka barkadda -> Shahaadada Adeegga.
   

Waxaan abuurnaa barkad adeegayaal ah, taraafikada taas oo noqon doonta barkadaha dheellitiran

1. Aad tabka barkadaha. Guji +.
   
2. Waxaan dejineynaa magaca barkada, dooro algorithm-ka (waxaan isticmaali doonaa wareega wareega) iyo nooca la socodka baaritaanka caafimaadka dhabarka Xulashada Daah-furnaanta waxay muujineysaa in isha bilowga ah ee IP-ga macaamiisha ay u muuqato server-yada gudaha.
   • Haddii ikhtiyaarku uu naafo yahay, taraafikada server-yada gudaha waxay ka imanayaan isha IP ee dheelitiriyaha.
   • Haddii ikhtiyaarka la oggolaado, server-yada gudaha waxay arkaan isha IP ee macaamiisha. Qaabayntan, NSX Edge waa in ay u dhaqantaa sidii albaabka hore si loo hubiyo in baakadaha soo laabtay ay maraan NSX Edge.

   NSX waxay taageertaa algorithms-yada dheellitirka ee soo socda:

   • IP_HASH - xulashada server-ka oo ku saleysan natiijooyinka shaqada xashiishka ee isha iyo meesha IP ee xirmo kasta.
   • LEASTCONN - isu dheellitirnaanta xidhiidhada soo gelaya, iyadoo ku xidhan tiradii hore loogu heli jiray server gaar ah. Xidhiidhada cusub ayaa lagu jihayn doonaa serverka leh xidhiidhada ugu yar.
   • ROUND_ROBIN - Xidhiidho cusub ayaa loo diraa server kasta markooda, iyadoo la raacayo miisaanka loo qoondeeyay.
   • URI - qaybta bidix ee URI (kahor calaamada su'aasha) waa la xaday oo loo qaybiyay wadarta miisaanka server-yada barkada. Natiijadu waxay tilmaamaysaa server-ka helay codsiga, iyadoo la hubinayo in codsiga mar walba lagu wareejiyo isla server-ka, ilaa inta dhammaan server-yada ay sii jiraan.
   • HTTPHEADER - isu dheelli tirka ku salaysan madax HTTP gaar ah, kaas oo lagu qeexi karo halbeeg ahaan. Haddii madaxu maqan yahay ama aanu lahayn wax qiimo ah, ROUND_ROBIN algorithmaadka waa la dabaqayaa.
   • URL - Codsi kasta oo HTTP GET ah wuxuu raadiyaa cabbirka URL ee lagu tilmaamay dood ahaan. Haddii halbeegga ay raacdo calaamad siman iyo qiime, markaas qiimihii waa la xaday oo waxaa loo qaybiyaa wadarta miisaanka server-yada socda. Natiijadu waxay muujinaysaa server-ka helay codsiga. Habkan waxa loo istcimaalaa in lagu hayo aqoonsiga isticmaalaha marka la codsado iyo in la hubiyo in isla id isticmaale mar walba loo diro isla serfer, ilaa inta dhammaan adeegayaasha ay sii jiraan.

   

3. Xubinta xannibaadda, dhagsii + si aad ugu darto server-yada barkadda.
   
   
   Halkan waxaad u baahan tahay inaad ku qeexdo:
   • magaca server;
   • Ciwaanka IP-ga ee adeegaha;
   • dekedda uu server-ku ka heli doono gaadiidka;
   • deked loogu talagalay hubinta caafimaadka (La soco jeegaga caafimaadka);
   • miisaanka - adoo isticmaalaya cabbirkan waxaad hagaajin kartaa saamiga saamiga ee taraafikada ee loo helay xubin barkada gaarka ah;
   • Xiriirinta ugu badan - tirada ugu badan ee isku xirka serverka;
   • Min Connections – tirada ugu yar ee isku xidhka ee ay tahay in adeeguhu farsameeyo ka hor inta aan taraafikada loo gudbin xubinta barkada soo socota.

   
   
   Tani waa waxa barkada ugu dambeysa ee seddexda server ay u egtahay.
   

Ku darida Server Virtual

1. Tag tab Server-ka Virtual. Guji +.
   
2. Waxa aanu hawlgelinay server-ka dalwadda ah anagoo adeegsanayna Enable Virtual Server.
   Waxaan siinaa magac, dooro Profile-ka Codsiga ee hore loo abuuray, Pool oo aan muujino cinwaanka IP-ga kaas oo Server-ka Virtual uu ka heli doono codsiyada dibadda. Waxaan qeexnay borotokoolka HTTPS iyo dekedda 443.
   Halbeegyada ikhtiyaariga ah halkan:
   Xadka Xidhiidhka - tirada ugu badan ee isku xidhka isku mar ah ee server-ka dalwaddu uu farsamayn karo;
   Xadka Heerka Isku xidhka (CPS) - tirada ugu badan ee codsiyada cusub ee imanaya ilbiriqsikii.
   

Tani waxay dhamaystiraysaa qaabeynta dheelitiriyaha; waxaad hubin kartaa shaqeyntiisa. Adeegayaashu waxay leeyihiin qaabayn fudud oo kuu ogolaanaysa inaad fahanto server-ka barkada ka baaraandegay codsiga. Inta lagu jiro habaynta, waxaanu dooranay isku dheelitirka wareega Robin ee algorithm, iyo cabbirka miisaanka ee server kastaa wuxuu la mid yahay hal, markaa codsi kasta oo xiga waxaa ka baaraandegi doona serverka xiga ee barkadda.
Waxaan geli ciwaanka dibadda ee dheelitiriyaha browserka oo arag:


Ka dib markii la cusbooneysiiyo bogga, codsiga waxaa ka baaraandegi doona server-ka soo socda:


Oo mar labaad - si aad u hubiso server saddexaad ee barkadda:


Markaad hubiso, waxaad arki kartaa in shahaadada ay Edge noo soo dirto ay la mid tahay tii aan soo saarnay bilowgii hore.

Hubinta heerka dheelitiriyaha laga bilaabo konsolka albaabka Edge. Si tan loo sameeyo, geli show pool loadbalancer adeegga.


Habaynta Kormeeraha Adeegga si loo hubiyo heerka adeegayaasha barkadda dhexdeeda
Isticmaalka Kormeeraha Adeegga waxaan la socon karnaa heerka adeegayaasha barkada dambe. Haddii jawaabta codsiga aysan ahayn sidii la filayay, server-ka waxaa laga saari karaa barkada si uusan u helin wax codsiyo cusub ah.
Sida caadiga ah, saddex hab oo xaqiijin ah ayaa loo habeeyey:

• Kormeeraha TCP,
• HTTP Monitor,
• HTTPS-kormeerka.

Aan abuurno mid cusub.

1. Tag tab Kormeerka Adeegga, dhagsii +.
   
2. Dooro:
   • magaca habka cusub;
   • inta u dhaxaysa codsiyada lagu diri doono,
   • waqti sugitaan jawaab,
   • nooca la socodka - Codsiga HTTPS iyadoo la adeegsanayo habka GET, koodhka heerka la filayo - 200 (OK) oo codso URL.
3. Tani waxay dhamaystiraysaa habaynta Kormeeraha Adeegga cusub; hadda waxaan isticmaali karnaa marka la abuurayo barkad.
   

Dejinta Xeerarka Codsiga

Xeerarka codsigu waa hab lagu maamulo taraafikada iyadoo lagu salaynayo kiciyeyaasha qaarkood. Qalabkan waxaan ku abuuri karnaa shuruuc horumarsan oo dheellitirka culeyska kuwaas oo laga yaabo in aysan suurtagal ahayn iyada oo loo marayo profiles Applications ama adeegyada kale ee laga heli karo Edge Gateway.

1. Si aad u abuurto qaanuun, aad tabka Xeerarka Codsiga ee dheelitiriyaha.
   
2. Dooro magac, qoraal isticmaali doona xeerka, oo guji Keep.
   
3. Ka dib marka la sameeyo qaanuunka, waxaan u baahanahay inaan wax ka bedelno Server-ka Virtual Server-ka ee horay loo habeeyay.
   
4. Tabaha sare, ku dar xeerka aan abuurnay.
   

Tusaalaha kore waxaan awoodnay tlsv1 taageerada.

Dhowr tusaale oo kale:

Taraafikada u wareeji barkad kale.
Qoraalkan waxaan ku hagaajin karnaa taraafikada barkad kale oo dheellitiran haddii barkada weyni hoos u dhacdo. Si uu sharcigu u shaqeeyo, barkado badan waa in lagu hagaajiyaa dheelitirka dhammaan xubnaha barkada weyn waa inay ku jiraan gobolka hoose. Waxaad u baahan tahay inaad sheegto magaca barkada, ma aha aqoonsigeeda.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Taraafikada u jiheeya kheyraadka dibadda.
Halkan waxaan ku hagaajineynaa taraafikada shabakada dibadda haddii dhammaan xubnaha barkada weyn ay hoos u dhacaan.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Xitaa tusaaleyaal badan halkan.

Taasi waa aniga oo dhan oo ku saabsan dheelitirka. Haddii aad wax su'aalo ah qabtid, weydii, diyaar ayaan u ahay inaan ka jawaabo.

Source: www.habr.com