VMware NSX bakeng sa bana ba banyenyane. Karolo ea 5: Ho Lokisa Balancer ea Mojaro

Karolo ea pele. selelekela
Karolo ea bobeli. Ho lokisa Firewall le Melao ea NAT
Karolo ea boraro. Ho lokisa DHCP
Karolo ea bone. Tlhophiso ea litsela

Lekhetlong la ho qetela re buile ka bokhoni ba NSX Edge mabapi le mokhoa o tsitsitseng le o matla, 'me kajeno re tla sebetsana le tekanyo ea mojaro.
Pele re qala ho theha, ke rata ho u hopotsa ka bokhutšoanyane ka mefuta e meholo ea ho leka-lekanya.

Khopolo

Litharollo tsohle tsa kajeno tsa ho leka-lekanya meputso hangata li arotsoe ka mekhahlelo e 'meli: ho leka-lekanya maemong a bone (lipalangoang) le a bosupa (a kopo) a mohlala. KAPA HAEBA. Mohlala oa OSI ha se sebaka se setle sa litšupiso ha o hlalosa mekhoa ea ho leka-lekanya. Mohlala, haeba tekanyo ea L4 le eona e ts'ehetsa pheliso ea TLS, na e fetoha sekala sa L7? Empa ke seo e leng sona.

• Balancer L4 hangata ke moemeli ea bohareng ea emeng pakeng tsa moreki le sete sa li-backend tse fumanehang, tse felisang likhokahano tsa TCP (ke hore, ka boikemelo e arabelang ho SYN), e khetha backend mme e qale seboka se secha sa TCP ka tataiso ea eona, e romella SYN e ikemetseng. Mofuta ona ke o mong oa tsa mantlha; likhetho tse ling lia khoneha.
• Balancer L7 e aba sephethephethe ho li-backend tse fumanehang "tse rarahane ho feta" ho feta tekanyo ea L4. E ka etsa qeto ea hore na u ka khetha backend efe ho latela, mohlala, litaba tsa molaetsa oa HTTP (URL, cookie, joalo-joalo).

Ho sa tsotellehe hore na ke mofuta ofe, balancer e ka tšehetsa mesebetsi e latelang:

• Ho sibolloa ha litšebeletso ke mokhoa oa ho khetholla sehlopha sa li-backend tse fumanehang (Static, DNS, Consul, Etcd, joalo-joalo).
• Ho hlahloba ts'ebetso ea li-backends tse fumanoeng ("ping" e sebetsang ea backend e sebelisang kopo ea HTTP, ho lemoha feela mathata a likhokahano tsa TCP, boteng ba likhoutu tse 'maloa tsa 503 HTTP likarabong, joalo-joalo).
• Ho leka-lekanya ka boeona (robin e pota-potileng, khetho e sa reroang, mohloli oa IP hash, URI).
• Ho felisoa ha TLS le netefatso ea setifikeiti.
• Likhetho tse amanang le ts'ireletso (tiisetso, thibelo ea tlhaselo ea DoS, ho fokotsa lebelo) le tse ling tse ngata.

NSX Edge e fana ka ts'ehetso bakeng sa mekhoa e 'meli ea ho tsamaisa meroalo:

Mokhoa oa proxy, kapa letsoho le le leng. Ka mokhoa ona, NSX Edge e sebelisa aterese ea eona ea IP e le aterese ea mohloli ha e romella kopo ho e 'ngoe ea li-backend. Kahoo, balancer ka nako e le 'ngoe e etsa mesebetsi ea Mohloli le Sebaka sa NAT. The backend e bona sephethephethe sohle se rometsoe ho tsoa ho balancer mme se arabela ka ho toba ho sona. Lenaneong le joalo, balancer e tlameha ho ba karolong e le 'ngoe ea marang-rang le li-server tse ka hare.

Mona ke kamoo e tsamaeang kateng:
1. Mosebelisi o romela kopo ho aterese ea VIP (aterese ea balancer) e hlophisitsoeng ho Edge.
2. Edge o khetha e 'ngoe ea li-backends' me o etsa sebaka sa NAT, a nkela aterese ea VIP sebaka ka aterese ea backend e khethiloeng.
3. Edge e etsa mohloli oa NAT, e nkela aterese ea mosebelisi ea rometseng kopo ka ea eona.
4. Sephutheloana se romelloa ho backend e khethiloeng.
5. Backend ha e arabe ka ho toba ho mosebedisi, empa ho Edge, kaha aterese ea pele ea mosebedisi e fetotsoe ho aterese ea balancer.
6. Edge e fetisetsa karabelo ea seva ho mosebelisi.
Setšoantšo se ka tlase.


Transparent, kapa inline, mode. Boemong bona, balancer e na le li-interfaces ho marang-rang a ka hare le a ka ntle. Ka nako e ts'oanang, ha ho na mokhoa o tobileng oa ho kena marang-rang a ka hare ho tloha ka ntle. Tekanyo ea mojaro e hahelletsoeng e sebetsa joalo ka heke ea NAT bakeng sa mechini e fumanehang marang-rang a kahare.

Mechini e tjena:
1. Mosebelisi o romela kopo ho aterese ea VIP (aterese ea balancer) e hlophisitsoeng ho Edge.
2. Edge o khetha e 'ngoe ea li-backends' me o etsa sebaka sa NAT, a nkela aterese ea VIP sebaka ka aterese ea backend e khethiloeng.
3. Sephutheloana se romelloa ho backend e khethiloeng.
4. The backend e fumana kopo e nang le aterese ea pele ea mosebedisi (mohloli oa NAT ha oa etsoa) mme o arabela ka ho toba ho eona.
5. Sephethephethe se boetse se amoheloa ke tekanyo ea mojaro, kaha morerong oa inline hangata o sebetsa e le tsela e sa feleng ea polasi ea seva.
6. Edge e etsa mohloli NAT ho romela sephethephethe ho mosebedisi, ho sebelisa VIP ea eona e le aterese ea IP ea mohloli.
Setšoantšo se ka tlase.

Itloaetse

Benche ea ka ea liteko e na le li-server tse 3 tse tsamaisang Apache, tse lokiselitsoeng ho sebetsa holim'a HTTPS. Edge e tla etsa ho leka-lekanya likopo tsa HTTPS, e fana ka kopo e 'ngoe le e' ngoe e ncha ho seva e ncha.
Ha re qaleng.

Ho hlahisa setifikeiti sa SSL se tla sebelisoa ke NSX Edge
O ka reka kantle ho naha setifikeiti se sebetsang sa CA kapa wa sebedisa se saenneng. Bakeng sa teko ena ke tla sebelisa ho saena.

1. Ka vCloud Director interface, e-ea ho litlhophiso tsa lits'ebeletso tsa Edge.
   
2. Eya ho tab ya Ditifikeiti. Ho tsoa lethathamong la liketso, khetha ho eketsa CSR e ncha.
   
3. Tlatsa likarolo tse hlokahalang ebe o tobetsa Keep.
   
4. Khetha CSR e sa tsoa etsoa ebe u khetha khetho ea CSR ea ho ingolisa.
   
5. Khetha nako ea ho nepahala ha setifikeiti ebe o tobetsa Keep
   
6. Setifikeiti se itekenetseng se hlaha lenaneng la tse fumanehang.
   

Ho theha Profaele ea Ts'ebeliso
Liprofaele tsa kopo li u fa taolo e felletseng holim'a sephethephethe sa marang-rang le ho etsa hore ho e laola ho be bonolo le ho sebetsa. Li ka sebelisoa ho hlalosa boitšoaro bakeng sa mefuta e itseng ea sephethephethe.

1. Eya ho "Load Balancer" tab 'me u nolofalletse ho leka-lekanya. Khetho e lumelletsoeng ea Acceleration mona e lumella motho ea leka-lekaneng ho sebelisa ho leka-lekanya L4 kapele ho e-na le L7.
   
2. Eya ho tab ya profaele ya tshebediso ho seta profaele ya tshebediso. Tobetsa +.
   
3. Beha lebitso la profil ebe u khetha mofuta oa sephethephethe seo profil e tla sebelisoa ho sona. E re ke hlalose liparamente tse ling.
   Mamello - data ea seshene ea mabenkele le lipina, mohlala: ke seva sefe se ikhethileng ka letamong se sebeletsang kopo ea mosebelisi. Sena se netefatsa hore likopo tsa basebelisi li fetisetsoa ho setho se le seng sa pool bakeng sa bophelo bohle ba lenaneo kapa mananeo a latelang.
   Lumella ho feta ha SSL - Ha khetho ena e khethoa, NSX Edge e emisa ho emisa SSL. Ho e-na le hoo, ho felisoa ho etsahala ka ho toba ho li-server tse ntseng li leka-lekana.
   Kenya hlooho ea X-Forwarded-For HTTP - e u lumella ho tseba hore na aterese ea IP ea mohloli ke efe ea mofani ea hokelang ho seva sa webo ka sekala sa mojaro.
   Numella Lehlakore la Letamo la SSL - e u lumella ho hlakisa hore letamo le khethiloeng le na le li-server tsa HTTPS.
   
4. Kaha ke tla be ke leka-lekanya sephethephethe sa HTTPS, ke hloka ho nolofalletsa Pool Side SSL ebe ke khetha setifikeiti se hlahisitsoeng nakong e fetileng ho Setifikeiti sa Virtual Server -> Setifikeiti sa Tšebeletso.
   
5. Ka ho tšoanang bakeng sa Litifikeiti tsa Letamo -> Setifikeiti sa Tšebeletso.
   

Re theha letamo la li-server, sephethephethe seo ho sona ho tla ba le Matamo a leka-lekaneng

1. Eya ho Letamo tab ya. Tobetsa +.
   
2. Re beha lebitso la letamo, khetha algorithm (ke tla sebelisa round robin) le mofuta oa ho shebella bakeng sa ho hlahloba bophelo bo botle.Khetho ea Transparent e bontša hore na mohloli oa pele oa IPs oa bareki o bonahala ho li-server tse ka hare.
   • Haeba khetho e holofetse, sephethephethe bakeng sa li-server tse ka hare se tsoa mohloling oa IP oa balancer.
   • Haeba khetho e nolofalitsoe, li-server tse ka hare li bona mohloli oa IP oa bareki. Tokisong ena, NSX Edge e tlameha ho sebetsa joalo ka heke ea kamehla ea ho netefatsa hore lipakete tse khutlisitsoeng li feta NSX Edge.

   NSX e ts'ehetsa li-algorithms tse latelang tsa ho leka-lekanya:

   • IP_HASH - khetho ea seva e ipapisitseng le liphetho tsa ts'ebetso ea hash bakeng sa mohloli le sebaka sa IP sa pakete ka 'ngoe.
   • LEASTCONN - ho leka-lekanya likhokahano tse kenang, ho latela palo e seng e fumaneha ho seva se itseng. Lihokelo tse ncha li tla lebisoa ho seva ka likhokahano tse fokolang haholo.
   • ROUND_ROBIN - likhokahano tse ncha li romelloa ho seva e 'ngoe le e' ngoe ka ho latellana, ho latela boima bo fanoeng ho eona.
   • URI - karolo e ka ho le letšehali ea URI (pele ho letšoao la potso) e hashed 'me e arotsoe ke boima bohle ba lisebelisoa ka letamong. Sephetho se bontša hore na ke seva sefe se amohelang kopo, ho netefatsa hore kopo e lula e fetisetsoa ho seva se le seng, hafeela li-server tsohle li ntse li fumaneha.
   • HTTPHEADER - ho leka-lekanya ho latela sehlooho se itseng sa HTTP, se ka hlalosoang e le parameter. Haeba hlooho e le sieo kapa e se na boleng, ROUND_ROBIN e sebelisoa.
   • URL - Kopo e 'ngoe le e' ngoe ea HTTP GET e batla paramente ea URL e boletsoeng e le khang. Haeba parameter e lateloa ke letšoao le lekanang le boleng, joale boleng bo hashed le ho aroloa ke boima bohle ba lisebelisoa tse sebetsang. Sephetho se bontša hore na ke seva sefe se amohelang kopo. Ts'ebetso ena e sebelisetsoa ho boloka tlaleho ea li-ID tsa mosebelisi likopong le ho netefatsa hore ID e tšoanang ea mosebelisi e lula e romelloa ho seva se le seng, ha feela li-server kaofela li ntse li fumaneha.

   

3. Sebokeng sa Litho, tobetsa + ho eketsa li-server letamong.
   
   
   Mona o hloka ho sheba:
   • lebitso la seva;
   • Aterese ea IP ea seva;
   • koung eo seva e tla amohela sephethephethe ho eona;
   • boema-kepe bakeng sa tlhahlobo ea bophelo (Monitor healthcheck);
   • boima - ho sebelisa parameter ena o ka fetola palo e lekanang ea sephethephethe se amoheloang bakeng sa setho se itseng sa letamo;
   • Max Connections - palo e kholo ea likhokahano ho seva;
   • Min Connections - palo e fokolang ea likhokahano tseo seva e lokelang ho li sebetsa pele sephethephethe se fetisetsoa ho setho se latelang sa letamo.

   
   
   Sena ke seo letamo la ho qetela la li-server tse tharo le shebahalang ka lona.
   

Ho eketsa Virtual Server

1. Eya ho tab ya Virtual Servers. Tobetsa +.
   
2. Re kenya tšebetsong seva ea sebele re sebelisa Enable Virtual Server.
   Re e reha lebitso, khetha Profaele ea Kopo e entsoeng pele, Letamo 'me u bontše aterese ea IP eo Virtual Server e tla fumana likōpo tse tsoang ka ntle ho eona. Re hlakisa protocol ea HTTPS le port 443.
   Li-parameter tsa boikhethelo mona:
   Moeli oa Khokahano - palo e kholo ea likhokahano tsa nako e le 'ngoe tseo seva e ka sebetsanang le tsona;
   Khokahano Rate Limit (CPS) - palo e kholo ea likopo tse ncha tse kenang motsotsoana.
   

Sena se phethela tlhophiso ea balancer; o ka hlahloba ts'ebetso ea eona. Li-server li na le tlhophiso e bonolo e u lumellang hore u utloisise hore na ke seva sefe se tsoang letamong se sebelitseng kopo. Nakong ea ho seta, re khethile Round Robin ho leka-lekanya algorithm, 'me parameter ea Weight bakeng sa seva ka seng e lekana le e le' ngoe, kahoo kopo e 'ngoe le e' ngoe e latelang e tla sebetsoa ke seva se latelang ho tloha letamong.
Re kenya aterese ea kantle ea balancer ho sebatli mme re bone:


Kamora ho qala leqephe hape, kopo e tla sebetsoa ke seva e latelang:


Hape hape - ho lekola seva ea boraro ho tsoa letamong:


Ha u sheba, u ka bona hore setifikeiti seo Edge a re romellang sona se tšoana le seo re se hlahisitseng qalong.

Ho hlahloba boemo ba balancer ho tswa ho Edge gateway console. Ho etsa sena, kenya bonts'a letamo la ts'ebeletso ea loadbalancer.


Configuring Service Monitor ho hlahloba boemo ba li-server ka letamong
Re sebelisa Service Monitor re ka hlokomela boemo ba li-server ka letamong la backend. Haeba karabo ea kopo e sa lebeletsoe, seva se ka ntšoa ka letamo e le hore se se ke sa fumana likōpo tse ncha.
Ka mokhoa o ikhethileng, mekhoa e meraro ea netefatso e lokiselitsoe:

• TCP-monitor,
• Mohloli oa HTTP,
• HTTPS-monitor.

Ha re theheng e ncha.

1. Eya ho tab ya Tlhokomelo ya Tshebeletso, tobetsa +.
   
2. Khetha:
   • lebitso la mokhoa o mocha;
   • nako eo likopo li tla romelloa ka eona,
   • nako e felile e emetse karabo,
   • mofuta oa ho beha leihlo - kopo ea HTTPS e sebelisa mokhoa oa GET, khoutu ea boemo bo lebelletsoeng - 200(OK) le URL ea kopo.
3. Sena se phethela ho hlophisoa ha Service Monitor e ncha; joale re ka e sebelisa ha re theha letamo.
   

Ho theha Melao ea Kopo

Melao ea Ts'ebeliso ke mokhoa oa ho theola sephethephethe ho ipapisitse le lintho tse ling tse susumetsang. Ka sesebelisoa sena re ka theha melao e tsoetseng pele ea ho leka-lekanya mojaro e ka 'nang ea se khonehe ka litlaleho tsa Kopo kapa litšebeletso tse ling tse fumanehang ho Edge Gateway.

1. Ho theha molao, e-ea ho "Melao ea Kopo" tab ea balancer.
   
2. Khetha lebitso, mongolo o tla sebelisa molao, ebe o tobetsa Boloka.
   
3. Kamora hore molao o thehoe, re hloka ho hlophisa Virtual Server e seng e lokisitsoe.
   
4. Ho Advanced tab, eketsa molao oo re o entseng.
   

Mohlala o ka holimo re nolofalitse ts'ehetso ea tlsv1.

Mehlala e meng e 'meli:

Lebisa sephethephethe ho ea letamong le leng.
Ka mongolo ona re ka tsamaisa sephethephethe ho letamo le leng la ho leka-lekanya haeba letamo le leholo le theohile. Hore molao o sebetse, matamo a mangata a tlameha ho hlophisoa ho leka-lekana 'me litho tsohle tsa letamo le leholo li tlameha ho ba boemong bo tlaase. U hloka ho hlakisa lebitso la letamo, eseng ID ea lona.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Lebisa sephethephethe ho sesebelisoa sa kantle.
Mona re fetisetsa sephethephethe ho websaeteng ea kantle haeba litho tsohle tsa letamo le leholo li theohile.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Le ho feta mehlala mona.

Ke tsohle bakeng sa ka ka ho leka-lekanya. Haeba u na le lipotso, botsa, ke ikemiselitse ho araba.

Source: www.habr.com