LSLB | Bauernhöfe | Update | L4xNAT-Profil

GESCHRIEBEN VON Zevenet | 15. Mai 2019

Globale Einstellungen für das L4xNAT-Farmprofil

Mit dem L4xNAT-Farmprofil kann eine LSLB-Farm erstellt werden, die auf Ebene 4 mit sehr hoher Leistung und viel mehr gleichzeitigen Verbindungen als Load-Balancer-Kerne in Ebene 7 wie HTTP-Farmprofile arbeitet. Diese Leistungsverbesserung von Layer-4 wird anstelle der erweiterten Inhaltsverarbeitung erzielt, die das Layer-7-Farmprofil verwalten kann.

Darüber hinaus unterstützt das L4xNAT-Farmprofil Multiports mit Bereichen und Liste der Ports anhand von 7-Layer-Farmprofilen, die nur einen einzigen Port unterstützen.

In diesem Abschnitt werden die spezifischen Optionen zum Konfigurieren eines L4xNAT-Farmprofils beschrieben. Es wird empfohlen, Farmguardian mit diesem Profil zu verwenden, um den Status jedes in der Farm konfigurierten Backends zu überprüfen, da dieses Profil keine native Integritätsprüfung implementiert.

In dieser Ansicht können Sie den Farmstatus ermitteln, die Farm neu starten, starten oder stoppen. Beachten Sie die zu diesem Zweck hinzugefügten Schaltflächen für die rechte obere Ecke:

Das Kategorie Farbbedeutung ist wie folgt:

  • Green: Meint UP. Die Farm läuft und alle Backends sind in Betrieb, oder die Umleitung ist konfiguriert.
  • Rot: Meint AB. Farm ist gestoppt.
  • Black: Meint KRITISCH. Die Farm ist UP, aber es ist kein Backend verfügbar oder sie befinden sich im Wartungsmodus
  • Blue: Meint AUFGABENSTELLUNG. Farm läuft, aber mindestens ein Backend ist ausgefallen.
  • Orange: Meint WARTUNG. Die Farm läuft, aber mindestens ein Backend befindet sich im Wartungsmodus.

Diese Farbcodes sind auf der gesamten grafischen Benutzeroberfläche gleich. Sie können sie besser in der Erklärung sehen LSLB Farms Section

Grundlegende Konfiguration

Die Parameter für das grundlegende L4xNAT-Farmprofil sind folgende:

Name. Es ist das Identifikationsfeld und eine Beschreibung des Farmdienstes. Um diesen Wert zu ändern, müssen Sie die Farm zunächst stoppen. Stellen Sie sicher, dass der neue Farmname noch nicht verwendet wird. Andernfalls wird eine Fehlermeldung angezeigt.

Virtuelle IP und Port. Hierbei handelt es sich um die virtuelle IP-Adresse und / oder den virtuellen PORT, an die die Farm gebunden ist und die im Load Balancer-System überwacht wird. Stellen Sie zum Ändern dieser Felder sicher, dass die neue virtuelle IP-Adresse und der neue virtuelle Port nicht verwendet werden. Nach dem Anwenden der Änderungen wird der Farmdienst automatisch neu gestartet.

Um einen Bereich von virtuellen Ports oder einen bestimmten virtuellen Port im L4xNAT-Farmprofil auswählen zu können, muss ein Protokolltyp ausgewählt werden. Wenn das Protokoll auf "alle" gesetzt ist, überwacht die Farm alle Ports von der virtuellen IP, der virtuelle Port kann nicht bearbeitet und mit dem Zeichen festgelegt werden *.
Sobald TCP, UDP oder ein anderes Protokoll ausgewählt ist, kann ein Port angegeben werden, der aus mehreren Ports besteht, Ports liegen zwischen: oder alle Ports mit *. Eine andere Kombination als * ist ebenfalls gültig.

Erweiterte Konfiguration

Protokolltyp. Dieses Feld gibt das Layer-4-Protokoll an, das ausgeglichen werden soll. Standardmäßig ist die Farm für das TCP-Protokoll verfügbar.

  • Alle. Die Farm wartet über alle Protokolle auf eingehende Verbindungen zur aktuellen virtuellen IP und zu den Ports. Wenn Sie diese Option ausgewählt haben, wird der virtuelle Port standardmäßig auf den Wert '*' geändert und kann nicht bearbeitet werden, sodass die Farm auf alle Ports wartet.
  • TCP. Wenn diese Option aktiviert ist, überwacht die Farm eingehende TCP-Verbindungen zur aktuellen virtuellen IP-Adresse und zu den aktuellen Ports.
  • UDP. Wenn diese Option aktiviert ist, wartet die Farm auf eingehende UDP-Verbindungen zur aktuellen virtuellen IP-Adresse und zu den aktuellen Ports.
  • SCTP. Wenn Sie diese Option aktivieren, überwacht die Farm eingehende SCTP-Verbindungen zur aktuellen virtuellen IP.
  • SIP. Wenn diese Option aktiviert ist, wartet die Farm standardmäßig auf eingehende UDP-Pakete für die aktuelle virtuelle IP und den aktuellen Port 5060. Anschließend werden die SIP-Header für jedes Paket analysiert, um eine ordnungsgemäße Verteilung an die Back-Ends zu gewährleisten.
  • fTP. Wenn diese Option aktiviert ist, überwacht die Farm standardmäßig eingehende TCP-Verbindungen zur aktuellen virtuellen IP-Adresse und zum aktuellen Port 21 und analysiert anschließend die FTP-Header für jedes Paket, um eine korrekte Verteilung an die Back-Ends zu gewährleisten. Zwei Modi werden unterstützt: Aktiv und Passiv.
  • TFTP. Wenn diese Option aktiviert ist, wartet die Farm standardmäßig auf eingehende UDP-Pakete für die aktuelle virtuelle IP und den aktuellen Port 69 und analysiert dann die TFTP-Header für jedes Paket, um sie korrekt an die Backends zu verteilen.
  • AMANDA. Wenn Sie diese Option aktivieren, überwacht die Farm eingehende UDP-Pakete auf die aktuelle virtuelle IP-Adresse und analysiert dann die AMANDA-Header für jedes Paket, um die korrekte Verteilung an die Back-Ends zu gewährleisten.
  • H323. Wenn Sie diese Option aktivieren, wartet die Farm auf eingehende TCP- und UDP-Pakete für die aktuelle virtuelle IP und den aktuellen virtuellen Port.
  • IRC. Wenn Sie diese Option aktivieren, überwacht die Farm eingehende TCP-Verbindungen zur aktuellen virtuellen IP-Adresse und zum aktuellen virtuellen Port und analysiert dann die IRC-Header für jedes Paket, um die korrekte Verteilung an die Back-Ends zu gewährleisten.
  • NETBIOS-NS. Wenn Sie diese Option aktivieren, überwacht die Farm eingehende UDP-Pakete auf der aktuellen virtuellen IP-Adresse und dem aktuellen virtuellen Port und analysiert dann die NETBIOS-NS-Header für jedes Paket, um eine korrekte Verteilung an die Backends zu gewährleisten.
  • PPTP. Wenn Sie diese Option aktivieren, überwacht die Farm eingehende TCP-Verbindungen zur aktuellen virtuellen IP-Adresse und zum aktuellen virtuellen Port und analysiert dann die PPTP-Header für jedes Paket, um eine korrekte Verteilung an die Back-Ends zu gewährleisten.
  • SANE. Wenn Sie diese Option aktivieren, überwacht die Farm eingehende TCP-Verbindungen zur aktuellen virtuellen IP-Adresse und zum aktuellen virtuellen Port und analysiert dann die SANE-Header für jedes Paket, um eine korrekte Verteilung an die Back-Ends zu gewährleisten.
  • SNMP. Wenn diese Option aktiviert ist, überwacht die Farm eingehende UDP-Pakete auf die aktuelle virtuelle IP-Adresse und den aktuellen virtuellen Port und analysiert dann die SNMP-Header für jedes Paket, um eine korrekte Verteilung an die Backends zu gewährleisten.

NAT-Typ. Dieses Feld gibt den NAT-Typ an, dh wie die Layer-4-Topologie arbeitet. Die Auswahl der Option, die besser zu Ihrem Service und Ihrer Infrastruktur passt, hängt von der definierten Netzwerkarchitektur ab. Standardmäßig arbeitet die Farm im NAT-Modus.

  • NAT. Der NAT-Modus oder der allgemein als SNAT (Quell-NAT) bezeichnete Modus verwendet die IP-Adresse des Load Balancer als Quell-IP-Adresse der Backend-Verbindung. Daher kennt das Backend die Client-IP-Adresse nicht bei TCP, UDP oder einem anderen 4-Protokoll. Auf diese Weise reagiert das Backend auf den Lastausgleicher, um die Antwort auf die Anforderung zu senden. Diese Topologie ermöglicht die Bereitstellung eines einarmigen Load-Balancer (Lastausgleich nur mit 1-Netzwerkschnittstelle).

Layer 4-Quell-NAT-lb-Topologie

  • DTA. Der DNAT-Modus (Destination NAT) verwendet die Client-IP-Adresse als Quell-IP-Adresse der Backend-Verbindung. Daher antwortet das Backend direkt auf die Client-IP. In diesem Fall muss die IP-Adresse des Lastenausgleichs als Backend-Standardgateway konfiguriert werden und das Backend-Netzwerk vom Client-Service-Netzwerk isoliert. Diese Topologie wird verwendet, um Transparenz zwischen Clients und Backends zu gewährleisten.

Schicht 4-Ziel-NAT-lb-Topologie

  • DSR. Im DSR-Modus (Direct Server Return) stellt der Client eine Verbindung zum VIP her. Anschließend ändert der Load Balancer seine Ziel-MAC-Adresse für die Back-End-MAC-Adresse (der Server muss sich auf demselben Verbindungsmedium wie der Load Balancer befinden) und leitet sie an das Back-End weiter ohne es zu ändern IP-Adresse. Das Backend antwortet direkt auf die Petition, ohne den Load Balancer zu durchlaufen.

    Anforderungen an DSR:

    • VIP und Backends müssen sich im selben Netzwerk befinden
    • Backends müssen eine Loopback-Schnittstelle mit derselben IP-Adresse wie der im Load Balancer konfigurierte VIP konfigurieren und arp in dieser Schnittstelle deaktivieren
    • # ifconfig lo:0 192.168.0.99 netmask 255.255.255.255 -arp up

    • Muss ungültige ARP-Antworten im Backend deaktivieren.
    • # echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
      # echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

  • Zustandslose DNAT. In Stateless DNAT wechselt der Load Balancer die Zieladresse für die Backend-Adresse und leitet sie wie DNAT an das Backend weiter, verwaltet jedoch keinerlei Verbindungsinformationen. Die DNAT-Konfiguration reduziert die Belastung des Systems, da es in einem frühen Datenpfad ausgeführt wird. Dies ist der am häufigsten angegebene NAT-Modus für Layer 4-Protokolle mit hoher Last und weder verbindungsorientierten noch streamorientierten Protokollen, da es sich um RTP handelt.

Logs. Aktivieren Sie die Protokollierungsoption, um die in der Farm empfangenen Verbindungen zu speichern. Dies wird nur zu Debug- oder Überwachungszwecken empfohlen, da dies den Datenverkehr verlangsamt, der vom Lastenausgleich verarbeitet werden kann.

Diensteinstellungen

Der in der L4-Schicht erstellte Dienst bietet die folgenden Optionen, die zur Verwaltung des Datenpfads und des Verbindungsverhaltens konfiguriert werden können.

Load Balance Scheduler. Dieses Feld gibt den Lastausgleichsalgorithmus an, der zur Ermittlung des Backend-Servers verwendet werden soll. Standardmäßig ist der Gewichtungsalgorithmus der standardmäßig ausgewählte Algorithmus.

  • Gewicht: Verbindung linearer Versand nach Gewicht. Balance-Verbindungen in Abhängigkeit von dem Gewichtswert, der jedem Backend zugewiesen wurde. Die Anforderungen werden unter Verwendung eines Wahrscheinlichkeitsalgorithmus unter Verwendung der definierten Gewichtung übermittelt.
  • Least Connections: Verbindung immer zum Server mit der geringsten Verbindung. Es wählt das Backend mit der geringsten Anzahl aktiver Verbindungen aus, um sicherzustellen, dass die Verkehrslast der aktiven Anforderungen auf die meisten verfügbaren Verbindungen des realen Servers verteilt wird.
  • Quell-Hash: Hash pro Quell-IP und Quell-Port. Verteilen Sie mithilfe eines Hash-Schedulers Pakete, die mit derselben Quell-IP und demselben Quell-Port übereinstimmen, auf dasselbe Backend.
  • Simple Source Hash: Nur Hash pro Quell-IP. Verteilen Sie Pakete, die mit derselben Quell-IP übereinstimmen, mithilfe eines Hash-Schedulers auf dasselbe Backend.
  • Symmetrischer Hash: Roundtrip-Hash pro IP und Port. Verteilen Sie Pakete, die mit der gleichen Quell-IP und dem gleichen Port sowie der gleichen Ziel-IP und dem gleichen Port übereinstimmen, so dass eine Verbindung auf beide Arten hergestellt werden kann (bei eingehenden und ausgehenden Verbindungen).
  • Round Robin: Sequentielle Backend-Auswahl. Es gleicht jede eingehende Verbindung mit einem Backend aus und wechselt sequentiell zwischen den Backends.
  • Least Connections: Verbindung immer zum Server mit der geringsten Verbindung. Es wählt das Backend mit der geringsten Anzahl aktiver Verbindungen aus, um sicherzustellen, dass die Verkehrslast der aktiven Anforderungen auf die meisten verfügbaren Verbindungen des realen Servers verteilt wird.

Beharrlichkeit

Das Beharrlichkeit Optionen sind die folgenden.

Persistenzmodus. Dieses Feld legt fest, ob in der konfigurierten Farm Persistenz verwendet wird. Standardmäßig wird keine Persistenz verwendet.

  • Keine Beharrlichkeit. Die Farm verwendet keine Persistenz zwischen dem Client und dem Backend.
  • IP: Quell-IP. Mit dieser Option weist die Farm je nach Quelle für jede eingehende Verbindung dasselbe Backend zu IP-Adresse nur.
  • Port: Quellport. Mit dieser Option weist die Farm für jede eingehende Verbindung dasselbe Backend zu, abhängig von Quellport nur.
  • MAC: Quell-MAC. Mit dieser Option weist die Farm je nach Verbindungsschicht für jede eingehende Verbindung dasselbe Backend zu MAC-Adresse des Pakets.
  • Quell-IP und Quell-Port. Mit dieser Option weist die Farm für jede eingehende Verbindung dasselbe Back-End zu, je nachdem, Quell-IP und Quellport.
  • Quell-IP und Ziel-Port. Mit dieser Option weist die Farm für jede eingehende Verbindung dasselbe Back-End zu, je nachdem, Quell-IP und Zielhafen.

Persistenzsitzung Zeit zu leben. Wenn eine Persistenz ausgewählt ist, wird dieses Feld angezeigt. Dieser Feldwert gibt die Anzahl der Sekunden an, die die Persistenz zwischen der Clientquelle und dem Backend beibehalten wird.

Farmguardian

L4xNAT-Farmen bieten keine native Integritätsprüfung für Backends, daher ist die Farmguardian-Konfiguration für diese Art von virtuellen Diensten erforderlich.

Einige integrierte oder angepasste erweiterte Integritätsprüfungen können diesem Dienst aus bereits erstellten Farmguardian-Überprüfungen zugewiesen werden.

Weitere Informationen zu Farmguardian finden Sie im Überwachung >> Farmguardian Abschnitt.

Beachten Sie, dass der Farmguardian nach Auswahl automatisch auf die Farm angewendet wird.

Backends

In diesem Abschnitt wird die gesamte Konfiguration der bereits konfigurierten Backends für die Farm angezeigt, die geändert werden, und es werden neue Backends für die Farm hinzugefügt.

HINZUFÜGEN BACKEND. Diese Schaltfläche zeigt das Formular Backend hinzufügen an, um der Farmkonfiguration ein neues Backend hinzuzufügen.

  • Alias. In diesem Feld wird die Dropdown-Liste mit allen verfügbaren Backend-Aliasnamen angezeigt.
  • IP. Netzwerkschicht-IP, die für die Weiterleitung des Datenverkehrs an das Backend verwendet wird.
  • Hafen. Port zur Weiterleitung des Datenverkehrs an das Backend.
  • Priorisierter. Prioritätswert, kann ein beliebiger ganzzahliger Wert zwischen 1 (Wert mit der höchsten Priorität) und 9 (Wert mit der niedrigsten Priorität) sein.
  • Gewicht. Die Backend-Gewichtung für die Verkehrsverteilung, wenn der Gewichtungsalgorithmus festgelegt ist. Es bestimmt, wie bevorzugt das Backend gegenüber anderen Backends ist. Dieses Feld ermöglicht ganzzahlige Werte zwischen 1 (niedrigster Wert) und 9 (höherer Wert).
  • Max. Conns. Anzahl der Verbindungen, die mit dem Backend verbunden werden dürfen.

Dropdown-Liste für Massenaktionen. Wenn Sie auf die Dropdown-Schaltfläche rechts von klicken HINZUFÜGEN BACKEND, sehen Sie die folgenden Aktionen, die gleichzeitig für ein oder mehrere Backends ausgeführt werden können.

Dropdown-Liste für Massenaktionen

  • Bearbeiten. Öffnen Sie das Bearbeitungsformular wie das Hinzufügen-Formular, um einen beliebigen Backend-Wert zu ändern.
  • Wartung aktivieren. Diese Aktion ist verfügbar, wenn das Backend aktiv ist. Es versetzt einen echten Backend-Server in den Wartungsmodus, sodass keine neuen Verbindungen zu ihm umgeleitet werden. Es gibt zwei verschiedene Methoden, um den Wartungsmodus zu aktivieren:
    • Entleeren Sie Modus. Behält bestehende Verbindungen und Persistenz bei, behält aber keine neuen Verbindungen bei.
    • Schnittmodus. Löst alle aktiven Verbindungen direkt gegen das Backend und schließt alle Verbindungen zwischen dem Backend und den Clients
  • Wartung deaktivieren. Diese Aktion ist nur verfügbar, wenn sich das Backend im Wartungsmodus befindet. Dadurch können neue Verbindungen erneut an den Back-End-Server weitergeleitet werden.
  • Löschen. Löschen Sie den Backend-Server des virtuellen Dienstes. Wenn das Backend einen Alias ​​hat, wird der Alias ​​nicht gelöscht.

Backends. Diese Tabelle zeigt alle bereits in der Farm konfigurierten Backends.

  • ID. Der Index verweist auf das Backend in der Farmkonfiguration.
  • Alias. Backend-Alias, wenn zuvor ein Alias ​​für das Backend definiert wurde.
  • IP. Die IP-Adresse des Backends, an das die Verbindung weitergeleitet wird.
  • Hafen. Dies ist der Portwert, an den die Verbindung im Backend umgeleitet wird. Ob leer Wert oder '*' Wenn dieser Wert festgelegt ist, werden Verbindungen an denselben Port umgeleitet, der empfangen wurde.
  • Priorisierter. Dies ist der Prioritätswert für den Back-End-Server. Der akzeptierte Prioritätswert liegt zwischen 1 und 9. Ein geringerer Wert gibt dem aktuellen realen Server eine höhere Priorität an. Standardmäßig wird ein Prioritätswert von 1 festgelegt.
  • Gewicht. Dies ist der Gewichtswert für den aktuellen realen Server, der nur dann nützlich ist, wenn Gewichtsalgorithmus aktiviert. Ein höherer Gewichtungswert gibt an, dass mehr Verbindungen an das aktuelle Backend gesendet wurden. Standardmäßig wird ein Gewichtswert von 1 festgelegt. Der verfügbare Wertebereich reicht von 1 bis 9.
  • Max. Conns. Dieser Wert gibt die maximale Anzahl von Flows oder hergestellten Verbindungen zu einem bestimmten Backend an. Wenn das Limit der mit einem bestimmten Backend verbundenen Clients erreicht wurde, wird es abgelehnt und der Client muss erneut eine Verbindung zu einem anderen geeigneten Backend herstellen. Der Standardwert ist 0, was unbegrenzt bedeutet.
  • Aktionen. Die verfügbaren Aktionen pro Backend sind:
    • Bearbeiten. Öffnen Sie das Bearbeitungsformular wie das Hinzufügen-Formular, um einen beliebigen Backend-Wert zu ändern.
    • Wartung aktivieren. Diese Aktion ist verfügbar, wenn das Backend aktiv ist. Es versetzt einen echten Backend-Server in den Wartungsmodus, sodass keine neuen Verbindungen zu ihm umgeleitet werden. Es gibt zwei verschiedene Methoden, um den Wartungsmodus zu aktivieren:
      • Entleeren Sie Modus. Behält bestehende Verbindungen und Persistenz bei, behält aber keine neuen Verbindungen bei.
      • Schnittmodus. Löst alle aktiven Verbindungen direkt gegen das Backend und schließt alle Verbindungen zwischen dem Backend und den Clients
    • Wartung deaktivieren. Diese Aktion ist nur verfügbar, wenn sich das Backend im Wartungsmodus befindet. Dadurch können neue Verbindungen erneut an den Back-End-Server weitergeleitet werden.
    • Löschen. Löschen Sie den Backend-Server des virtuellen Dienstes. Wenn das Backend einen Alias ​​hat, wird der Alias ​​nicht gelöscht.

IPDS-Regeln für L4xNAT-Farmen

In diesem Abschnitt können Sie IPDS-Regeln aktivieren. Die Liste zeigt die verschiedenen Schutzarten und ein Auswahlfeld, um sie zu aktivieren. Weitere Informationen finden Sie im IPDS >> Blacklists-Regeln, IPDS >> DoS-Regeln or IPDS >> RBL-Regeln spezifische Dokumentation.

zevenet ipds view

Für jede der drei Arten von IPDS-Regeln, Blacklist, DoS und RBL, gibt es zwei Tabellen, Available and enabled und ein Kettensymbol, das zu seiner umleitet IPDS Sektion. Unter Verfügbare Tabelle werden alle verfügbaren Regeln der gleichen Art angezeigt, die auf die Farm angewendet werden können. Unter der aktivierten Tabelle wird jede Regel des gleichen Typs angezeigt, die auf die Farm angewendet wird. Außerdem gibt es für jede Regel eine Statuskugel, die angibt, ob die Regel angehalten wurde rot oder laufen in Grün.

Sie können auf jede Regel zugreifen, indem Sie auf ihren Namen klicken, um die Regelparameter zu ändern oder die Regel zu starten / stoppen. Es ist nicht möglich, unter dieser Farmansicht eine neue Regel zu erstellen. Sie sollten dies über die IPDS Abschnitt.

Sie können eine Regel hinzufügen, indem Sie auf die gewünschte Regel und dann auf den rechten Einzelpfeil klicken oder auf mehrere, indem Sie die Umschalttaste gedrückt halten und die Regeln auswählen, die Sie hinzufügen möchten. Anschließend müssen Sie auf den rechten Einzelpfeil klicken. Sie können auch alle verfügbaren Blacklists hinzufügen, indem Sie auf den rechten Doppelpfeil klicken.

Um eine oder mehrere Regeln zu löschen, wählen Sie sie aus und klicken Sie auf den Pfeil nach links oder auf den Doppelpfeil, um alle zu entfernen.

Teilen:

Dokumentation unter den Bedingungen der GNU Free Documentation License.

War dieser Artikel hilfreich?

Verwandte Artikel