🥇VMware NSX fun awọn ọmọ kekere. Apá 5: Tito leto a Fifuye Iwontunws.funfun

Apa kinni. iforo
Apa keji. Tito leto ogiriina ati Awọn ofin NAT
Apa keta. DHCP iṣeto ni
Apa kerin. Ṣiṣeto ipa-ọna

Ni akoko ikẹhin ti a sọrọ nipa awọn agbara ti NSX Edge ni awọn ofin ti aimi ati ipa ọna agbara, ati loni a yoo ṣe pẹlu iwọntunwọnsi fifuye.
Ṣaaju ki a to bẹrẹ iṣeto, Emi yoo fẹ lati leti ni ṣoki nipa awọn oriṣi akọkọ ti iwọntunwọnsi.

Yii

Gbogbo awọn ipinnu iwọntunwọnsi isanwo isanwo ti ode oni ni igbagbogbo pin si awọn ẹka meji: iwọntunwọnsi ni kẹrin (irinna) ati awọn ipele keje (ohun elo) ti awoṣe TABI IF. Awoṣe OSI kii ṣe aaye itọkasi ti o dara julọ nigbati o n ṣalaye awọn ọna iwọntunwọnsi. Fun apẹẹrẹ, ti iwọntunwọnsi L4 tun ṣe atilẹyin ifopinsi TLS, ṣe lẹhinna o di iwọntunwọnsi L7? Sugbon o jẹ ohun ti o jẹ.

Oniwontunwonsi L4 Ni ọpọlọpọ igba o jẹ aṣoju aarin ti o duro laarin alabara ati ṣeto awọn ẹhin ti o wa, eyiti o fopin si awọn asopọ TCP (iyẹn ni, ni ominira dahun SYN), yan ẹhin ati bẹrẹ igba TCP tuntun ni itọsọna rẹ, fifiranṣẹ ni ominira SYN. Iru yii jẹ ọkan ninu awọn ipilẹ; awọn aṣayan miiran ṣee ṣe.
Oniwontunwonsi L7 n pin awọn ijabọ kọja awọn ẹhin ti o wa “diẹ sii fafa” ju iwọntunwọnsi L4 ṣe. O le pinnu iru ẹhin lati yan da lori, fun apẹẹrẹ, awọn akoonu inu ifiranṣẹ HTTP (URL, kuki, ati bẹbẹ lọ).

Laibikita iru, iwọntunwọnsi le ṣe atilẹyin awọn iṣẹ wọnyi:

Awari iṣẹ jẹ ilana ti ṣiṣe ipinnu ṣeto awọn ẹhin ti o wa (Static, DNS, Consul, etc.).
Ṣiṣayẹwo iṣẹ ṣiṣe ti awọn ẹhin ti a rii (“ping” ti nṣiṣe lọwọ ti ẹhin nipa lilo ibeere HTTP, wiwa palolo ti awọn iṣoro ni awọn asopọ TCP, wiwa ti ọpọlọpọ awọn koodu HTTP 503 ninu awọn idahun, ati bẹbẹ lọ).
Iwọntunwọnsi funrararẹ (robin yika, yiyan laileto, hash IP orisun, URI).
Ifopinsi TLS ati ijẹrisi ijẹrisi.
Awọn aṣayan ti o ni ibatan si aabo (ifọwọsi, idena ikọlu DoS, opin iyara) ati pupọ diẹ sii.

NSX Edge nfunni ni atilẹyin fun awọn ipo imuṣiṣẹ iwọn iwọntunwọnsi meji:

Ipo aṣoju, tabi ọkan-apa. Ni ipo yii, NSX Edge nlo adiresi IP rẹ bi adirẹsi orisun nigba fifiranṣẹ ibeere kan si ọkan ninu awọn ẹhin. Nitorinaa, iwọntunwọnsi ni nigbakannaa ṣe awọn iṣẹ ti Orisun ati Nla Nla. Awọn backend ri gbogbo awọn ijabọ bi a rán lati oniwontunwonsi ati idahun taara si o. Ninu iru ero yii, iwọntunwọnsi gbọdọ wa ni apa nẹtiwọọki kanna pẹlu awọn olupin inu.

Eyi ni bii o ṣe lọ:
1. Olumulo naa firanṣẹ ibeere kan si adirẹsi VIP (adirẹsi iwọntunwọnsi) ti o tunto lori Edge.
2. Eti yan ọkan ninu awọn backends ati ki o ṣe nlo NAT, rirọpo awọn VIP adirẹsi pẹlu awọn adirẹsi ti awọn ti o yan backend.
3. Edge ṣe orisun NAT, rọpo adirẹsi ti olumulo ti o firanṣẹ ibeere pẹlu tirẹ.
4. A fi package ranṣẹ si ẹhin ti o yan.
5. Afẹyinti ko dahun taara si olumulo, ṣugbọn si Edge, niwon a ti yipada adirẹsi atilẹba ti olumulo si adiresi iwontunwonsi.
6. Edge ndari awọn olupin ká esi si olumulo.
Awọn aworan atọka ni isalẹ.

Sihin, tabi inline, mode. Ni oju iṣẹlẹ yii, iwọntunwọnsi ni awọn atọkun lori inu ati awọn nẹtiwọọki ita. Ni akoko kanna, ko si iwọle taara si nẹtiwọọki inu lati ọkan ita. Iwontunwonsi fifuye ti a ṣe sinu n ṣiṣẹ bi ẹnu-ọna NAT fun awọn ẹrọ foju lori nẹtiwọọki inu.

Ilana naa jẹ bi atẹle:
1. Olumulo naa firanṣẹ ibeere kan si adirẹsi VIP (adirẹsi iwọntunwọnsi) ti o tunto lori Edge.
2. Eti yan ọkan ninu awọn backends ati ki o ṣe nlo NAT, rirọpo awọn VIP adirẹsi pẹlu awọn adirẹsi ti awọn ti o yan backend.
3. A fi package ranṣẹ si ẹhin ti o yan.
4. Afẹyinti gba ibeere kan pẹlu adirẹsi atilẹba ti olumulo (orisun NAT ko ṣe) ati dahun taara si.
5. Awọn ijabọ ti wa ni lẹẹkansi gba nipasẹ awọn fifuye iwọntunwọnsi, niwon ni ohun opopo eni ti o maa n sise bi awọn aiyipada ẹnu-ọna fun awọn olupin oko.
6. Edge ṣe orisun NAT lati firanṣẹ ijabọ si olumulo, lilo VIP rẹ bi adiresi IP orisun.
Awọn aworan atọka ni isalẹ.

Ṣaṣeṣe

Ibujoko idanwo mi ni awọn olupin mẹta ti nṣiṣẹ Apache, eyiti o tunto lati ṣiṣẹ lori HTTPS. Edge yoo ṣe iwọntunwọnsi iyipo robin ti awọn ibeere HTTPS, ṣe aṣoju ibeere tuntun kọọkan si olupin tuntun kan.
Jẹ ká bẹrẹ.

Ṣiṣẹda ijẹrisi SSL kan ti yoo ṣee lo nipasẹ NSX Edge
O le gbe iwe-ẹri CA ti o wulo wọle tabi lo ọkan ti o fowo si. Fun idanwo yii Emi yoo lo ti ara ẹni.

Ni wiwo Oludari vCloud, lọ si awọn eto iṣẹ Edge.
Lọ si taabu Awọn iwe-ẹri. Lati atokọ ti awọn iṣe, yan fifi CSR tuntun kun.
Fọwọsi awọn aaye ti a beere ki o tẹ Jeki.
Yan CSR tuntun ti o ṣẹda ati yan aṣayan CSR ami-ara-ẹni.
Yan awọn Wiwulo akoko ti awọn ijẹrisi ki o si tẹ Jeki
Iwe-ẹri ti o fowo si ara ẹni han ninu atokọ ti awọn ti o wa.

Ṣiṣeto Profaili Ohun elo
Awọn profaili ohun elo fun ọ ni iṣakoso pipe diẹ sii lori ijabọ nẹtiwọọki ati jẹ ki ṣiṣakoso rẹ rọrun ati munadoko. Wọn le ṣee lo lati ṣalaye ihuwasi fun awọn iru ijabọ pato.

Lọ si awọn Fifuye Iwontunws.funfun taabu ki o si jeki awọn iwọntunwọnsi. Aṣayan ṣiṣẹ isare nibi ngbanilaaye iwọntunwọnsi lati lo iwọntunwọnsi L4 yiyara dipo L7.
Lọ si profaili Ohun elo taabu lati ṣeto profaili ohun elo. Tẹ +.
Ṣeto orukọ profaili naa ki o yan iru ijabọ fun eyiti profaili yoo lo. Jẹ ki n ṣe alaye diẹ ninu awọn paramita.
itẹramọṣẹ - awọn ile itaja ati awọn orin data igba, fun apẹẹrẹ: iru olupin kan pato ninu adagun-odo ti n ṣe iranṣẹ ibeere olumulo. Eyi ni idaniloju pe awọn ibeere olumulo ni a darí si ọmọ ẹgbẹ adagun-odo kanna fun igbesi aye igba tabi awọn akoko ti o tẹle.
Mu SSL passthrough ṣiṣẹ - Nigbati o ba yan aṣayan yii, NSX Edge da idaduro SSL duro. Dipo, ifopinsi waye taara lori awọn olupin ti o jẹ iwọntunwọnsi.
Fi X-Dari-Fun akọsori HTTP sii - gba ọ laaye lati pinnu adiresi IP orisun ti alabara ti o sopọ si olupin wẹẹbu nipasẹ iwọntunwọnsi fifuye.
Jeki Pool Side SSL - faye gba o lati pato pe adagun ti o yan ni awọn olupin HTTPS.
Niwọn igba ti Emi yoo ṣe iwọntunwọnsi ijabọ HTTPS, Mo nilo lati mu SSL Side Pool ṣiṣẹ ki o yan ijẹrisi ti ipilẹṣẹ tẹlẹ ninu Awọn iwe-ẹri olupin Foju -> taabu Iṣẹ ijẹrisi.
Bakanna fun Awọn iwe-ẹri Pool -> Iwe-ẹri Iṣẹ.

A ṣẹda adagun ti awọn olupin, ijabọ si eyiti yoo jẹ Awọn adagun iwọntunwọnsi

Lọ si taabu Awọn adagun-omi. Tẹ +.
A ṣeto orukọ adagun-odo, yan algorithm (Emi yoo lo robin yika) ati iru ibojuwo fun ẹhin ayẹwo ilera. Aṣayan Transparent tọka boya awọn IPs orisun akọkọ ti awọn alabara han si awọn olupin inu.
- Ti aṣayan naa ba jẹ alaabo, ijabọ fun awọn olupin inu wa lati orisun IP ti iwọntunwọnsi.
- Ti aṣayan ba ṣiṣẹ, awọn olupin inu wo orisun IP ti awọn alabara. Ninu iṣeto yii, NSX Edge gbọdọ ṣiṣẹ bi ẹnu-ọna aiyipada lati rii daju pe awọn apo-iwe ti o pada kọja nipasẹ NSX Edge.
NSX ṣe atilẹyin awọn algoridimu iwọntunwọnsi atẹle:
- IP_HASH - Aṣayan olupin ti o da lori awọn abajade ti iṣẹ hash fun orisun ati ibi IP ti apo kọọkan.
- LEASTCONN - iwọntunwọnsi awọn asopọ ti nwọle, da lori nọmba ti o wa tẹlẹ lori olupin kan pato. Awọn asopọ titun yoo wa ni itọsọna si olupin pẹlu awọn asopọ ti o kere julọ.
- ROUND_ROBIN - awọn asopọ tuntun ni a firanṣẹ si olupin kọọkan ni titan, ni ibamu pẹlu iwuwo ti a yàn si.
- Uri - apa osi ti URI (ṣaaju ami ibeere) ti hashed ati pin nipasẹ iwuwo lapapọ ti awọn olupin ni adagun-odo. Abajade naa tọkasi olupin wo ti o gba ibeere naa, ni idaniloju pe ibeere naa nigbagbogbo ni ipasẹ si olupin kanna, niwọn igba ti gbogbo olupin wa.
- HTTPHEADER - iwọntunwọnsi ti o da lori akọsori HTTP kan pato, eyiti o le sọ bi paramita kan. Ti akọsori ba sonu tabi ko ni iye eyikeyi, a lo algorithm ROUND_ROBIN.
- URL - Awọn ibeere HTTP GET kọọkan wa fun paramita URL ti a sọ bi ariyanjiyan. Ti paramita naa ba tẹle pẹlu ami dogba ati iye kan, lẹhinna iye naa jẹ hashed ati pin nipasẹ iwuwo lapapọ ti awọn olupin nṣiṣẹ. Abajade tọkasi iru olupin ti o gba ibeere naa. Ilana yii jẹ lilo lati tọju abala awọn ID olumulo ni awọn ibeere ati rii daju pe id olumulo kanna ni a firanṣẹ nigbagbogbo si olupin kanna, niwọn igba ti gbogbo awọn olupin wa.
Ninu Àkọsílẹ Awọn ọmọ ẹgbẹ, tẹ + lati ṣafikun awọn olupin si adagun-odo.

Nibi o nilo lati pato:
- orukọ olupin;
- Adirẹsi IP olupin;
- ibudo lori eyiti olupin yoo gba ijabọ;
- ibudo fun ayẹwo ilera (Abojuto ilera);
- iwuwo - lilo paramita yii o le ṣatunṣe iye iwọn ti ijabọ ti a gba fun ọmọ ẹgbẹ adagun kan pato;
- Awọn isopọ to pọju - nọmba ti o pọju awọn asopọ si olupin;
- Awọn isopọ Min – nọmba awọn asopọ ti o kere julọ ti olupin gbọdọ ṣe ilana ṣaaju gbigbe ijabọ si ọmọ ẹgbẹ adagun atẹle.
Eyi ni ohun ti adagun ikẹhin ti awọn olupin mẹta dabi.

Fifi foju Server

Lọ si Foju Servers taabu. Tẹ +.
A mu olupin foju ṣiṣẹ nipa lilo Jeki olupin foju ṣiṣẹ.
A fun ni orukọ kan, yan Profaili Ohun elo ti a ṣẹda tẹlẹ, Pool ati tọka adirẹsi IP si eyiti olupin Foju yoo gba awọn ibeere lati ita. A pato ilana HTTPS ati ibudo 443.
Awọn paramita iyan nibi:
Ifilelẹ asopọ - nọmba ti o pọju ti awọn asopọ nigbakanna ti olupin foju le ṣe;
Iwọn Iwọn Asopọmọra (CPS) - nọmba ti o pọju ti awọn ibeere ti nwọle titun fun iṣẹju-aaya.

Eyi pari iṣeto ti iwọntunwọnsi; o le ṣayẹwo iṣẹ ṣiṣe rẹ. Awọn olupin naa ni iṣeto ti o rọrun ti o fun ọ laaye lati ni oye iru olupin lati inu adagun ti o ṣe ilana ibeere naa. Lakoko iṣeto, a yan algorithm iwọntunwọnsi Yika Robin, ati pe paramita iwuwo fun olupin kọọkan jẹ dogba si ọkan, nitorinaa ibeere kọọkan ti o tẹle yoo ni ilọsiwaju nipasẹ olupin atẹle lati adagun-odo naa.
A tẹ adirẹsi ita ti iwọntunwọnsi sinu ẹrọ aṣawakiri ati wo:

Lẹhin mimu oju-iwe naa pada, ibeere naa yoo jẹ ilọsiwaju nipasẹ olupin atẹle:

Ati lẹẹkansi - lati ṣayẹwo olupin kẹta lati adagun-odo:

Nigbati o ba ṣayẹwo, o le rii pe ijẹrisi ti Edge fi ranṣẹ si wa jẹ ọkan kanna ti a ṣe ipilẹṣẹ ni ibẹrẹ.

Ṣiṣayẹwo ipo iwọntunwọnsi lati ẹnu-ọna ẹnu-ọna Edge. Lati ṣe eyi, tẹ sii show iṣẹ loadbalancer pool.

Ṣiṣeto Atẹle Iṣẹ lati ṣayẹwo ipo awọn olupin ni adagun-odo
Lilo Atẹle Iṣẹ a le ṣe atẹle ipo awọn olupin ni adagun ẹhin. Ti idahun si ibeere ko ba jẹ bi o ti ṣe yẹ, olupin naa le mu jade kuro ninu adagun naa ki o ko gba awọn ibeere tuntun eyikeyi.
Nipa aiyipada, awọn ọna ijẹrisi mẹta ni a tunto:

TCP-atẹle,
HTTP atẹle,
HTTPS-atẹle.

Jẹ ká ṣẹda titun kan.

Lọ si taabu Abojuto Iṣẹ, tẹ +.
Yan:
- orukọ fun ọna tuntun;
- Aarin ninu eyiti awọn ibeere yoo firanṣẹ,
- akoko ti nduro fun esi,
- iru ibojuwo - ibeere HTTPS ni lilo ọna GET, koodu ipo ti a nireti - 200 (O DARA) ati URL beere.
Eyi pari iṣeto ti Atẹle Iṣẹ tuntun; ni bayi a le lo nigba ṣiṣẹda adagun-omi kan.

Ṣiṣeto Awọn Ofin Ohun elo

Awọn ofin ohun elo jẹ ọna lati ṣe afọwọyi ijabọ ti o da lori awọn okunfa kan. Pẹlu ọpa yii a le ṣẹda awọn ofin iwọntunwọnsi fifuye ilọsiwaju ti o le ma ṣee ṣe nipasẹ Awọn profaili Ohun elo tabi awọn iṣẹ miiran ti o wa lori ẹnu-ọna Edge.

Lati ṣẹda ofin kan, lọ si taabu Awọn ofin Ohun elo ti iwọntunwọnsi.
Yan orukọ kan, iwe afọwọkọ ti yoo lo ofin, ki o tẹ Jeki.
Lẹhin ti a ṣẹda ofin, a nilo lati ṣatunkọ olupin Foju ti a ti tunto tẹlẹ.
Ninu taabu To ti ni ilọsiwaju, ṣafikun ofin ti a ṣẹda.

Ni apẹẹrẹ loke a ṣe atilẹyin tlsv1.

Awọn apẹẹrẹ meji diẹ sii:

Àtúnjúwe ijabọ si miiran pool.
Pẹlu iwe afọwọkọ yii a le ṣe atunṣe ijabọ si adagun iwọntunwọnsi miiran ti adagun-odo akọkọ ba wa ni isalẹ. Fun ofin lati ṣiṣẹ, ọpọlọpọ awọn adagun omi gbọdọ wa ni tunto lori iwọntunwọnsi ati gbogbo awọn ọmọ ẹgbẹ ti adagun akọkọ gbọdọ wa ni ipo isalẹ. O nilo lati pato orukọ ti adagun-odo, kii ṣe ID rẹ.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0 use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME

Darí ijabọ si ohun ita awọn oluşewadi.
Nibi a ṣe atunṣe ijabọ si oju opo wẹẹbu ita ti gbogbo awọn ọmọ ẹgbẹ ti adagun nla ba wa ni isalẹ.

acl pool_down nbsrv(NAME_OF_POOL) eq 0 redirect location http://www.example.com if pool_down

Paapaa awọn apẹẹrẹ diẹ sii nibi.

Ti o ni gbogbo fun mi nipa awọn iwontunwonsi. Ti o ba ni ibeere eyikeyi, beere, Mo ṣetan lati dahun.

orisun: www.habr.com

VMware NSX fun awọn ọmọ kekere. Apá 5: Tito leto a Fifuye Iwontunws.funfun

Yii

Ṣaṣeṣe

Fi ọrọìwòye kun Fagilee esi