VMware NSX kwa watoto wadogo. Sehemu ya 5: Kusanidi Kisawazisha Mizigo

Sehemu ya kwanza. utangulizi
Sehemu ya pili. Inasanidi Firewall na Sheria za NAT
Sehemu ya tatu. Inasanidi DHCP
Sehemu ya nne. Mpangilio wa njia

Mara ya mwisho tulizungumza juu ya uwezo wa NSX Edge kwa suala la uelekezaji wa tuli na wa nguvu, na leo tutashughulika na usawazishaji wa mzigo.
Kabla ya kuanza kuanzisha, ningependa kukukumbusha kwa ufupi kuhusu aina kuu za kusawazisha.

Nadharia

Suluhisho zote za leo za kusawazisha upakiaji mara nyingi hugawanywa katika vikundi viwili: kusawazisha katika viwango vya nne (usafiri) na saba (maombi) vya modeli. AU IKIWA. Mfano wa OSI sio sehemu bora ya kumbukumbu wakati wa kuelezea njia za kusawazisha. Kwa mfano, ikiwa kisawazisha cha L4 pia kinakubali kusitishwa kwa TLS, je, kitakuwa kikisawazisha cha L7? Lakini ndivyo ilivyo.

• Kisawazisha L4 mara nyingi ni wakala wa kati aliyesimama kati ya mteja na seti ya viambajengo vinavyopatikana, ambayo hukatisha miunganisho ya TCP (yaani, hujibu kwa kujitegemea kwa SYN), huchagua mandharinyuma na kuanzisha kipindi kipya cha TCP katika mwelekeo wake, kwa kutuma SYN kwa kujitegemea. Aina hii ni moja wapo ya msingi; chaguzi zingine zinawezekana.
• Kisawazisha L7 husambaza trafiki kwenye sehemu za nyuma zinazopatikana "za kisasa zaidi" kuliko sawazisha la L4. Inaweza kuamua ni mazingira gani ya nyuma ya kuchagua kulingana na, kwa mfano, yaliyomo kwenye ujumbe wa HTTP (URL, kidakuzi, n.k.).

Bila kujali aina, usawazishaji unaweza kusaidia kazi zifuatazo:

• Ugunduzi wa huduma ni mchakato wa kuamua seti ya vitu vya nyuma vinavyopatikana (Static, DNS, Consul, Etcd, nk.).
• Kuangalia utendakazi wa viambajengo vilivyogunduliwa ("ping" hai ya backend kwa kutumia ombi la HTTP, ugunduzi wa shida katika miunganisho ya TCP, uwepo wa nambari kadhaa za HTTP 503 kwenye majibu, n.k.).
• Kusawazisha yenyewe (robin ya pande zote, uteuzi wa nasibu, hashi ya IP ya chanzo, URI).
• Kukomesha TLS na uthibitishaji wa cheti.
• Chaguzi zinazohusiana na usalama (uthibitishaji, kuzuia mashambulizi ya DoS, kupunguza kasi) na mengi zaidi.

NSX Edge inatoa msaada kwa njia mbili za uwekaji wa mizani ya mzigo:

Hali ya proksi, au mkono mmoja. Katika hali hii, NSX Edge hutumia anwani yake ya IP kama anwani ya chanzo wakati wa kutuma ombi kwa moja ya sehemu za nyuma. Kwa hivyo, usawazishaji wakati huo huo hufanya kazi za Chanzo na Marudio ya NAT. Upande wa nyuma unaona trafiki yote kama imetumwa kutoka kwa sawazisha na hujibu moja kwa moja kwake. Katika mpango huo, usawazishaji lazima awe katika sehemu moja ya mtandao na seva za ndani.

Hivi ndivyo inavyoendelea:
1. Mtumiaji hutuma ombi kwa anwani ya VIP (anwani ya usawa) ambayo imeundwa kwenye Edge.
2. Edge huchagua moja ya njia za nyuma na hufanya marudio ya NAT, ikibadilisha anwani ya VIP na anwani ya nyuma iliyochaguliwa.
3. Edge hufanya chanzo cha NAT, kuchukua nafasi ya anwani ya mtumiaji ambaye alituma ombi na yake mwenyewe.
4. Kifurushi kinatumwa kwa nyuma iliyochaguliwa.
5. Nyuma ya nyuma haijibu moja kwa moja kwa mtumiaji, lakini kwa Edge, kwa kuwa anwani ya awali ya mtumiaji imebadilishwa kwa anwani ya mizani.
6. Edge hupeleka majibu ya seva kwa mtumiaji.
Mchoro upo hapa chini.


Uwazi, au ndani, hali. Katika hali hii, usawazishaji una miingiliano kwenye mitandao ya ndani na nje. Wakati huo huo, hakuna upatikanaji wa moja kwa moja kwenye mtandao wa ndani kutoka kwa nje. Kisawazisha kilichojumuishwa ndani hufanya kama lango la NAT la mashine pepe kwenye mtandao wa ndani.

Utaratibu ni kama ifuatavyo:
1. Mtumiaji hutuma ombi kwa anwani ya VIP (anwani ya usawa) ambayo imeundwa kwenye Edge.
2. Edge huchagua moja ya njia za nyuma na hufanya marudio ya NAT, ikibadilisha anwani ya VIP na anwani ya nyuma iliyochaguliwa.
3. Kifurushi kinatumwa kwa nyuma iliyochaguliwa.
4. Mazingira ya nyuma hupokea ombi na anwani asili ya mtumiaji (chanzo cha NAT hakijatekelezwa) na hujibu moja kwa moja kwake.
5. Trafiki inakubaliwa tena na usawazishaji wa mzigo, kwani katika mpango wa ndani kawaida hufanya kama lango la msingi la shamba la seva.
6. Edge hufanya chanzo cha NAT kutuma trafiki kwa mtumiaji, kwa kutumia VIP yake kama anwani ya IP ya chanzo.
Mchoro upo hapa chini.

Mazoezi

Benchi langu la majaribio lina seva 3 zinazoendesha Apache, ambayo imesanidiwa kufanya kazi kupitia HTTPS. Edge itafanya usawazishaji wa duara wa maombi ya HTTPS, ikitumia kila ombi jipya kwa seva mpya.
Wacha tuanze.

Inazalisha cheti cha SSL ambacho kitatumiwa na NSX Edge
Unaweza kuleta cheti halali cha CA au utumie cheti ulichosaini mwenyewe. Kwa jaribio hili nitatumia kujiandikisha.

1. Katika kiolesura cha Mkurugenzi wa vCloud, nenda kwenye mipangilio ya huduma za Edge.
   
2. Nenda kwenye kichupo cha Vyeti. Kutoka kwenye orodha ya vitendo, chagua kuongeza CSR mpya.
   
3. Jaza sehemu zinazohitajika na ubofye Weka.
   
4. Chagua CSR mpya iliyoundwa na uchague chaguo la CSR la kujitia saini.
   
5. Chagua muda wa uhalali wa cheti na ubofye Weka
   
6. Cheti cha kujiandikisha kinaonekana kwenye orodha ya zinazopatikana.
   

Kuweka Wasifu wa Programu
Wasifu wa programu hukupa udhibiti kamili zaidi wa trafiki ya mtandao na kufanya kuidhibiti kuwa rahisi na bora. Zinaweza kutumika kufafanua tabia kwa aina maalum za trafiki.

1. Nenda kwenye kichupo cha Sawazisha Mzigo na uwashe kisawazisha. Chaguo lililowezeshwa la Kuongeza kasi hapa huruhusu kiweka usawa kutumia kusawazisha kwa kasi ya L4 badala ya L7.
   
2. Nenda kwenye kichupo cha wasifu wa Programu ili kuweka wasifu wa programu. Bofya +.
   
3. Weka jina la wasifu na uchague aina ya trafiki ambayo wasifu utatumika. Hebu nieleze baadhi ya vigezo.
   Kuendelea - huhifadhi na kufuatilia data ya kikao, kwa mfano: ni seva gani maalum kwenye bwawa inayohudumia ombi la mtumiaji. Hii inahakikisha kwamba maombi ya mtumiaji yanaelekezwa kwa mwanachama sawa wa kikundi kwa muda wote wa kipindi au vipindi vinavyofuata.
   Washa upitishaji wa SSL - Chaguo hili linapochaguliwa, NSX Edge huacha kusitisha SSL. Badala yake, kukomesha hutokea moja kwa moja kwenye seva ambazo zinasawazishwa.
   Chomeka kichwa cha X-Forwarded-Kwa HTTP - hukuruhusu kuamua chanzo cha anwani ya IP ya mteja anayeunganisha kwenye seva ya wavuti kupitia kisawazisha cha mzigo.
   Washa SSL ya Upande wa Dimbwi - hukuruhusu kutaja kuwa dimbwi lililochaguliwa lina seva za HTTPS.
   
4. Kwa kuwa nitakuwa nikisawazisha trafiki ya HTTPS, ninahitaji kuwasha SSL ya Upande wa Dimbwi na kuchagua cheti kilichotolewa hapo awali kwenye Vyeti vya Seva ya Mtandao -> kichupo cha Cheti cha Huduma.
   
5. Vile vile kwa Vyeti vya Dimbwi -> Cheti cha Huduma.
   

Tunaunda bwawa la seva, trafiki ambayo itakuwa Mabwawa ya usawa

1. Nenda kwenye kichupo cha Madimbwi. Bofya +.
   
2. Tunaweka jina la bwawa, chagua algoriti (Nitatumia robin ya pande zote) na aina ya ufuatiliaji wa hali ya nyuma ya ukaguzi wa afya. Chaguo la Uwazi linaonyesha kama IP za awali za wateja zinaonekana kwa seva za ndani.
   • Ikiwa chaguo limezimwa, trafiki kwa seva za ndani hutoka kwa IP ya chanzo cha sawazisha.
   • Ikiwa chaguo limewezeshwa, seva za ndani huona IP chanzo cha wateja. Katika usanidi huu, NSX Edge lazima ifanye kama lango chaguo-msingi ili kuhakikisha kuwa pakiti zilizorejeshwa zinapitia NSX Edge.

   NSX inasaidia algorithms zifuatazo za kusawazisha:

   • IP_HASH - uteuzi wa seva kulingana na matokeo ya kazi ya heshi kwa IP ya chanzo na lengwa la kila pakiti.
   • LEASTCONN - kusawazisha miunganisho inayoingia, kulingana na nambari ambayo tayari inapatikana kwenye seva fulani. Viunganisho vipya vitaelekezwa kwa seva na viunganisho vichache zaidi.
   • ROUND_ROBIN - viunganisho vipya hutumwa kwa kila seva kwa upande wake, kwa mujibu wa uzito uliopewa.
   • URI - sehemu ya kushoto ya URI (kabla ya alama ya swali) imeharakishwa na kugawanywa na uzito wa jumla wa seva kwenye bwawa. Matokeo yanaonyesha ni seva gani inayopokea ombi, na kuhakikisha kuwa ombi linaelekezwa kwa seva moja kila wakati, mradi seva zote zinaendelea kupatikana.
   • HTTPHEADER - kusawazisha kulingana na kichwa maalum cha HTTP, ambacho kinaweza kutajwa kama kigezo. Ikiwa kichwa kinakosekana au hakina thamani yoyote, kanuni ya ROUND_ROBIN itatumika.
   • URL - Kila ombi la HTTP GET hutafuta kigezo cha URL kilichobainishwa kama hoja. Ikiwa parameter inafuatwa na ishara sawa na thamani, basi thamani ni hashed na kugawanywa na uzito wa jumla wa seva zinazoendesha. Matokeo yanaonyesha ni seva gani inapokea ombi. Utaratibu huu unatumika kufuatilia vitambulisho vya mtumiaji katika maombi na kuhakikisha kuwa kitambulisho sawa cha mtumiaji kinatumwa kwa seva moja kila wakati, mradi seva zote zitaendelea kupatikana.

   

3. Katika kizuizi cha Wanachama, bofya + ili kuongeza seva kwenye bwawa.
   
   
   Hapa unahitaji kubainisha:
   • jina la seva;
   • Anwani ya IP ya seva;
   • bandari ambayo seva itapokea trafiki;
   • bandari kwa ukaguzi wa afya (Monitor healthcheck);
   • uzito - kwa kutumia parameter hii unaweza kurekebisha kiasi cha uwiano wa trafiki iliyopokelewa kwa mwanachama maalum wa bwawa;
   • Viunganisho vya Juu - idadi kubwa ya viunganisho kwenye seva;
   • Min Connections - idadi ya chini ya miunganisho ambayo seva inapaswa kuchakatwa kabla ya trafiki kutumwa kwa mwanachama mwingine wa bwawa.

   
   
   Hivi ndivyo kundi la mwisho la seva tatu linavyoonekana.
   

Inaongeza Seva Halisi

1. Nenda kwenye kichupo cha Seva za Mtandao. Bofya +.
   
2. Tunawasha seva pepe kwa kutumia Wezesha Seva ya Mtandaoni.
   Tunaipa jina, chagua Profaili ya Maombi iliyoundwa hapo awali, Dimbwi na uonyeshe anwani ya IP ambayo Seva ya Mtandao itapokea maombi kutoka nje. Tunabainisha itifaki ya HTTPS na bandari 443.
   Vigezo vya hiari hapa:
   Kikomo cha Muunganisho - idadi ya juu ya miunganisho ya wakati mmoja ambayo seva ya kawaida inaweza kusindika;
   Kiwango cha Kiwango cha Muunganisho (CPS) - idadi ya juu zaidi ya maombi mapya yanayoingia kwa sekunde.
   

Hii inakamilisha usanidi wa kusawazisha; unaweza kuangalia utendakazi wake. Seva zina usanidi rahisi unaokuruhusu kuelewa ni seva gani kutoka kwenye bwawa iliyochakata ombi. Wakati wa kusanidi, tulichagua algoriti ya kusawazisha ya Round Robin, na kigezo cha Uzito kwa kila seva ni sawa na moja, kwa hivyo kila ombi linalofuata litachakatwa na seva inayofuata kutoka kwenye bwawa.
Tunaingiza anwani ya nje ya msawazishaji kwenye kivinjari na uone:


Baada ya kuonyesha upya ukurasa, ombi litachakatwa na seva ifuatayo:


Na tena - kuangalia seva ya tatu kutoka kwa dimbwi:


Unapoangalia, unaweza kuona kwamba cheti ambacho Edge hututumia ni ile ile tuliyotoa mwanzoni.

Inaangalia hali ya kusawazisha kutoka kwa kiweko cha lango la Edge. Ili kufanya hivyo, ingiza onyesha bwawa la kusawazisha huduma.


Inasanidi Monitor ya Huduma ili kuangalia hali ya seva kwenye bwawa
Kwa kutumia Huduma ya Monitor tunaweza kufuatilia hali ya seva kwenye hifadhi ya nyuma. Ikiwa jibu la ombi si kama inavyotarajiwa, seva inaweza kutolewa nje ya bwawa ili isipokee maombi yoyote mapya.
Kwa chaguo-msingi, mbinu tatu za uthibitishaji zimesanidiwa:

• Mfuatiliaji wa TCP,
• Kichunguzi cha HTTP,
• Kichunguzi cha HTTPS.

Hebu tuunde mpya.

1. Nenda kwenye kichupo cha Ufuatiliaji wa Huduma, bofya +.
   
2. Chagua:
   • jina la njia mpya;
   • muda ambao maombi yatatumwa,
   • muda wa kusubiri majibu,
   • aina ya ufuatiliaji - ombi la HTTPS kwa kutumia mbinu ya GET, msimbo wa hali unaotarajiwa - 200(OK) na URL ya ombi.
3. Hii inakamilisha usanidi wa Kifuatiliaji kipya cha Huduma; sasa tunaweza kukitumia tunapounda bwawa.
   

Kuweka Kanuni za Maombi

Sheria za Maombi ni njia ya kudhibiti trafiki kulingana na vichochezi fulani. Kwa zana hii tunaweza kuunda sheria za hali ya juu za kusawazisha mzigo ambazo huenda zisiwezekane kupitia wasifu wa Programu au huduma zingine zinazopatikana kwenye Lango la Edge.

1. Ili kuunda sheria, nenda kwenye kichupo cha Kanuni za Maombi cha kusawazisha.
   
2. Chagua jina, hati ambayo itatumia sheria, na ubofye Weka.
   
3. Baada ya sheria kuundwa, tunahitaji kuhariri Seva ya Virtual iliyopangwa tayari.
   
4. Katika kichupo cha Advanced, ongeza sheria tuliyounda.
   

Katika mfano hapo juu tuliwezesha usaidizi wa tlsv1.

Mifano michache zaidi:

Elekeza trafiki kwenye bwawa lingine.
Kwa hati hii tunaweza kuelekeza trafiki kwenye bwawa lingine la kusawazisha ikiwa bwawa kuu liko chini. Ili sheria ifanye kazi, mabwawa mengi lazima yawekwe kwenye usawazishaji na wanachama wote wa bwawa kuu lazima wawe katika hali ya chini. Unahitaji kutaja jina la bwawa, sio kitambulisho chake.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Elekeza upya trafiki kwa rasilimali ya nje.
Hapa tunaelekeza trafiki kwenye tovuti ya nje ikiwa washiriki wote wa kundi kuu wako chini.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Hata mifano zaidi hapa.

Hiyo yote ni kwangu kuhusu kusawazisha. Ikiwa una maswali yoyote, uliza, niko tayari kujibu.

Chanzo: mapenzi.com