Vue d'ensemble #

Linux Virtual Server (LVS), également connu sous le nom de ipvsadm permet aux administrateurs système de configurer la distribution du trafic Web sur plusieurs serveurs au sein de l'écosystème Linux. Tandis que LVS offre de nombreux avantages tels qu'une augmentation capacité, fiabilité et évolutivité, son utilisation présente de nombreux inconvénients potentiels. Ces inconvénients comprennent complexité, point de défaillance unique, équilibrage de charge limité méthodes, et soutien limité de sa communauté.

Dans l'ensemble, à mesure que la demande de services Web augmente, un ADC à part entière comme RELIANOID est nécessaire non seulement pour fournir des solutions d'équilibrage de charge, mais également Sécurité, la haute disponibilité, GSLB et performances accrues. Cet article vous guidera sur la façon de configurer les modules d'équilibrage de charge dans RELIANOID adjacent à ceux de LVS.

Prérequis #

Ce sont les exigences de base pour transférer des configurations depuis ipvsadm à RELIANOID ADC.

1. Une instance de RELIANOID ADC doit être installé sur votre PC, sur système nu, dans un environnement virtuel ou sur un plateforme cloud. Pour un déploiement sur site, demander une évaluation.
2. Vous devez avoir accès à l'interface graphique Web. Si vous ne le faites pas, suivez ce rapide guide d'installation.
3. Vous devez être un utilisateur actif de ipvsadm et avoir une connaissance de base de ses concepts.
4. Vous devez être capable de créer un serveur virtuel dans le RELIANOID équilibreur de charge. Suivez ce guide : Configuration du serveur virtuel de couche 4 et de couche 7.

Concepts de base #

Prestation virtuelle : Un service virtuel est un cluster de serveurs réels qui fonctionnent ensemble pour fournir une réponse aux demandes des clients. Un service virtuel est identique à un Services in RELIANOID ADC. Accédez-y via LSLB >> Modifier >> Service.

Réalisateur: Il s'agit d'une instance du noyau Linux exécutant le ipvsadm équilibreur de charge. Cette instance est responsable de la gestion de tous les processus et est capable de communiquer avec d'autres instances en cas de haute disponibilité. Un directeur est un Nœud/Instance lorsqu'on fait référence à RELIANOID ADC.

Serveurs réels : Les serveurs réels sont les serveurs physiques ou VPS qui gèrent les demandes entrantes, les traitent et fournissent une réponse aux clients via un service virtuel. Ces serveurs sont appelés Backends lors de l'utilisation RELIANOID ADC.

Serveur virtuel: Un serveur virtuel est une entité logique qui contient un ou un groupe de services virtuels. C'est le point d'entrée du trafic entrant et il est responsable de la distribution du trafic vers un groupe de Backends ou de vrais serveurs. Un serveur virtuel est identique à un Ferme lors de l'utilisation RELIANOID équilibreur de charge.

La haute disponibilité: La haute disponibilité fait référence à la capacité d'un système à continuer à fonctionner sans interruption, même si un ou plusieurs de ses composants tombent en panne. Il faut installer et configurer le gardé en vie package sur leur système pour permettre une haute disponibilité. RELIANOID utilise une grappe de paires de nœuds qui travaillent ensemble dans un maître/sauvegarde relation.

Ipvs-scheduler : Il s'agit d'ensembles d'algorithmes d'équilibrage de charge pris en charge dans l'équilibreur de charge LVS. RELIANOID est livré avec beaucoup de fonctionnalités intégrées planificateurs d'équilibrage de charge que vous pouvez configurer via son interface graphique.

Exemples de configurations : mode SNAT #

NAT source (SNAT) est un type de traduction d'adresses réseau qui permet à un périphérique réseau, tel qu'un pare-feu, un commutateur, un routeur ou un équilibreur de charge de traduire le adresse IP source d'un serveur principal dans l'en-tête d'un paquet sortant d'une adresse IP privée à une adresse IP publique. Ce NAT est utilisé dans de nombreuses situations pour permettre aux périphériques d'un réseau privé pour communiquer avec Internet sans limiter les avantages. Certains de ces avantages incluent :

1. Sécurité renforcée: Le NAT source masque l'adresse IP des serveurs principaux dans un paquet sortant, ce qui rend difficile pour les attaquants d'identifier l'un des appareils au sein d'un réseau privé.
2. Performance améliorée: En répartissant le trafic sur plusieurs serveurs principaux, le NAT source permet d'améliorer les performances d'un réseau en réduisant les charges sur un seul serveur.
3. Évolutivité accrue : En permettant à plusieurs serveurs principaux et autres périphériques locaux de partager une seule adresse IP externe, Source NAT permet la consolidation du centre de données sans dépenser beaucoup d'argent pour les adresses IP publiques.

Dans cette section, nous réaliserons des configurations SNAT avec LVS et démontrerons des configurations similaires en utilisant RELIANOID ADC.

Configurations Ipvsadm #

Serveurs réels :
>>192.168.88.150:5060
>>192.168.88.151:5060

Prestation virtuelle :
>>192.168.88.190:5060

1. Pour utiliser le mode SNAT dans ipvsadm, exécutez la commande "sudo nano /etc/sysctl.conf".
2. Décommentez la ligne avec "net.ipv4,ip_forward=1" pour activer le transfert IP.
3. Exécuter la commande sysctl-p pour que les changements prennent effet.

Prenez note des drapeaux suivants. -C permet à l'utilisateur d'effacer toute la table en cas de nouveau départ. -A permet d'ajouter un service à l'équilibreur de charge ipvsadm. -a permet à l'utilisateur d'ajouter de vrais serveurs à un service créé dans l'équilibreur de charge.

4. Exécuter la commande ipvsadm -C
5. Ajouter un service en exécutant la commande ipvsadm -A -t 192.168.88.190:5060 -s rr

-t flags signifie une connexion tcp, -s représente l'algorithme d'ordonnancement et rr représente l'algorithme round robin.

6. Ajoutez deux vrais serveurs :

 ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.150:5060 -m ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.151:5060 -m

Pour utiliser le mode SNAT, ajoutez le -m drapeau à la fin des commandes lors de l'ajout d'un serveur réel à un service virtuel. Les -m flags représente la mascarade qui est essentiellement SNAT .
Notez qu'en mode SNAT, l'adresse IP source du client n'est pas modifiée.

Confirmez l'implantation des serveurs virtuels sur la table de liste à l'aide de sudo ipvsadm-l

RELIANOID les configurations #

Pour utiliser le mode SNAT dans RELIANOID équilibreur de charge :

1. Allez dans LSLB au menu.
2. Cliquez sur le Fermes sous-menu.
3. Cliquez sur l'icône du crayon d'un L4xNAT profil que vous avez créé précédemment. Si ce n'est pas le cas, suivez ce guide : Configuration du serveur virtuel de couche 4 et de couche 7.
4. au sein de la Global paramètres, cliquez sur le Avancé .



5. Changer Type de NAT à NAT.
6. Cliquez sur Appliquer bouton pour enregistrer les configurations.

Note: Par défaut, l'équilibreur de charge fonctionne dans NAT qui représente NAT source on RELIANOID Équilibreur de charge.

Pour en savoir plus sur les configurations de couche 4 et le mode SNAT dans RELIANOID ADC, lis Configurations L4xNAT.

Exemples de configurations : mode DSR #

Le retour direct du serveur fait référence à une configuration dans laquelle l'équilibreur de charge envoie des demandes client aux serveurs principaux au sein d'un service, mais le Backends répondre directement aux clients, en contournant l'équilibreur de charge.

Dans une DSR configuration, l'équilibreur de charge agit comme un distributeur de trafic, en envoyant les demandes des clients au bon backend serveurs, mais il n'agit pas comme un proxy de trafic. Au lieu de cela, les serveurs renvoient leurs réponses directement aux clients.

Ce sont les quelques raisons pour lesquelles on envisagerait d'utiliser DSR plus de SNAT dans un équilibreur de charge.

1. Performance améliorée: Le contournement de l'équilibreur de charge sur le chemin de retour peut améliorer les performances du système, car l'équilibreur de charge n'a pas besoin de traiter et de transférer les réponses des serveurs.
2. Architecture simplifiée : L'utilisation de Direct Server Return peut simplifier l'architecture du système, car il élimine la nécessité pour l'équilibreur de charge d'agir comme un proxy inverse.
3. Sécurité améliorée: Dans certains cas, le retour direct au serveur peut améliorer la sécurité en permettant aux serveurs d'envoyer des réponses directement aux clients, plutôt que d'acheminer les réponses via l'équilibreur de charge. Cela peut rendre plus difficile pour les attaquants d'intercepter ou de falsifier les réponses.

Dans cette section, nous réaliserons des configurations DSR avec LVS et démontrerons des configurations similaires en utilisant RELIANOID ADC.

Configurations Ipvsadm #

Serveurs réels :
>>192.168.88.150:5060
>>192.168.88.151:5060

Serveur virtuel:
> 192.168.88.190: 5060

1. Pour utiliser le mode DR dans ipvsadm, exécutez la commande "sudo nano /etc/sysctl.conf".
2. Décommentez la ligne avec "net.ipv4,ip_forward=1" pour activer le transfert IP.
3. Répondre à un appel d'arpégiateur n'est pas nécessaire dans Mode DR. Ajoutez ces lignes au fichier de configuration pour bloquer les requêtes arp.

net.ipv4.conf.all.arp_ignore=1 net.ipv4.conf.all.arp_announce=2

4. 5. Exécuter la commande sysctl-p pour que les changements prennent effet.
5. Ajouter un service en exécutant la commande

   ipvsadm -A -t 192.168.88.190:5060 -s rr

   -t flags signifie une connexion tcp, -s représente l'algorithme d'ordonnancement et rr représente l'algorithme round robin.

6. 7. Ajouter deux vrais serveurs

 ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.150:5060 -g ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.151:5060 -g

Pour utiliser le mode DR, ajoutez le -g flag à chaque configuration de serveur réel.

7. Configurez une interface de boucle à l'aide de l'adresse IP du service.

ifconfig lo:0 192.168.88.190 masque de réseau 255.255.255.255

8. Confirmez l'implantation des serveurs virtuels sur la table de liste à l'aide de

   sudo ipvsadm -lcn

RELIANOID les configurations #

Pour activer le mode DSR dans RELIANOID ADC:

1. Allez dans LSLB dans le menu du panneau Web.
2. Cliquez sur Fermes.
3. Cliquez sur l'icône Crayon sur le L4xNAT profil que vous souhaitez modifier. Si vous n'en avez pas encore créé, lisez ce guide : Configurations de serveur virtuel de couche 4 et de couche 7.
4. au sein de la Global paramètres, cliquez sur le Avancé Languette.
5. 5. Changez le Type de NAT à DSR.



6. Cliquez sur Appliquer bouton pour enregistrer les configurations.
7. au sein de la RELIANOID interface de ligne de commande, activez un interface de bouclage pour la Ferme. Utilisez cette commande et la VIP associée.

# ifconfig lo:0 192.168.88.190 masque de réseau 255.255.255.255 -arp up

8. Désactivez les réponses ARP non valides aux backends.

# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore # echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

Pour en savoir plus sur les configurations de couche 4 et le mode DSR dans RELIANOID ADC, lis Configurations L4xNAT

XNUMX. Ressources supplémentaires #

Utilisation du programme Let's encrypt pour générer automatiquement un certificat SSL.
Équilibrage de charge Datalink/Uplink Avec RELIANOID ADC.
Équilibrage de charge DNS avec RELIANOID ADC.
Protection des applications Web contre les attaques DDoS.
Surveillance des applications, de la santé et du réseau dans RELIANOID ADC.
Configuration des certificats SSL pour l'équilibreur de charge.
Configuration du pare-feu applicatif Web.