Contents [show]
概要
Linux 仮想サーバー (LVS)、別名 ipvsadm システム管理者は、Linux エコシステム内の複数のサーバーにまたがる Web トラフィックの分散を構成できます。 その間 LVS 増額などのメリットがたくさん 容量, 信頼性、 スケーラビリティ、それを使用することには多くの潜在的な欠点があります。 これらの欠点には、 複雑さ, 単一障害点, 負荷分散の制限 メソッド、および 限られたサポート そのコミュニティから。
全体として、Web サービスの需要が高まるにつれて、本格的な ADC のような ゼベネット 負荷分散ソリューションを提供するだけでなく、 セキュリティ, 高可用性, GSLB、 パフォーマンスの向上. この記事では、ZEVENET のモジュールに隣接する ZEVENET の負荷分散モジュールを構成する方法について説明します。 LVS.
前提条件
これらは、構成を転送するための基本的な要件です。 ipvsadm 〜へ ゼブネット ADC.
- ZEVENET ADC のインスタンスは、PC、ベアメタル、仮想環境、または クラウドプラットフォーム. オンプレミス展開の場合、 評価をリクエストする.
- Web グラフィカル インターフェイスにアクセスできる必要があります。 そうでない場合は、このクイックに従ってください インストールガイド.
- あなたはのアクティブなユーザーでなければなりません ipvsadm その概念の基本的な知識を持っています。
- ZEVENETロードバランサーで仮想サーバーを作成できる必要があります。 このガイドに従ってください: レイヤー 4 およびレイヤー 7 の仮想サーバー構成.
基本概念
仮想サービス: 仮想サービスは、連携してクライアントの要求に応答する実サーバーのクラスターです。 仮想サービスは カスタマーサービス ZEVENET ADCで。 を通じてアクセスする LSLB >> 編集 >> サービス.
取締役: これは、Linux カーネルを実行しているインスタンスです。 ipvsadm ロードバランサー。 このインスタンスはすべてのプロセスを管理し、高可用性の場合に他のインスタンスと通信できます。 取締役は、 ノード/インスタンス ZEVENET ADCを参照する場合。
実サーバー: 実サーバーは、着信要求を処理して処理し、仮想サービスを介してクライアントに応答を返す物理サーバーまたは VPS です。 これらのサーバーは バックエンド ZEVENET ADCを使用する場合。
仮想サーバー: 仮想サーバーは、XNUMX つまたは複数の仮想サーバーを含む論理エンティティです。 仮想サービス. これは着信トラフィックのエントリ ポイントであり、トラフィックをクラスタに分散する役割を果たします。 バックエンド または実サーバー。 仮想サーバーは 牧場 ZEVENETロードバランサーを使用する場合。
高可用性: 高可用性とは、XNUMX つまたは複数のコンポーネントに障害が発生した場合でも、システムが中断することなく動作し続ける能力を指します。 をインストールして構成する必要があります。 キープアライブ システムにパッケージ化して、高可用性を実現します。 ZEVENETは クラスタ で一緒に動作するノードペアの マスター/バックアップ 関係。
Ipvs スケジューラ: これらは、LVS ロード バランサー内でサポートされる負荷分散アルゴリズムのセットです。 ZEVENETには多くの組み込み機能が付属しています 負荷分散スケジューラ GUI から設定できます。
構成例: SNAT モード
ソース NAT (SNAT) はネットワーク アドレス変換の一種で、ファイアウォール、スイッチ、ルーター、ロード バランサーなどのネットワーク デバイスがアドレスを変換できるようにします。 送信元IPアドレス アウトバウンド パケットのヘッダー内のバックエンド サーバーのプライベート IP アドレスからパブリック IP アドレスへ。 この NAT は、さまざまな状況でデバイスを許可するために使用されます。 プライベートネットワーク 利益を制限することなく、インターネットと通信すること。 これらの利点のいくつかは次のとおりです。
- セキュリティ強化: ソース NAT は、アウトバウンド パケット内のバックエンド サーバーの IP アドレスを隠し、攻撃者がプライベート ネットワーク内のデバイスを特定することを困難にします。
- 強化されたパフォーマンス: 複数のバックエンド サーバーにトラフィックを分散することで、ソース NAT は単一サーバーの負荷を軽減し、ネットワークのパフォーマンスを向上させます。
- スケーラビリティの向上: ソース NAT は、複数のバックエンド サーバーと他のローカル デバイスが単一の外部 IP アドレスを共有できるようにすることで、パブリック IP に多額の費用をかけずにデータ センターの統合を可能にします。
このセクションでは、LVS で SNAT 構成を作成し、ZEVENET ADC を使用して同様の構成を示します。
Ipvsadm 構成
実サーバー:
>>192.168.88.150:5060
>>192.168.88.151:5060
仮想サービス:
>>192.168.88.190:5060
- ipvsadm で SNAT モードを使用するには、次のコマンドを実行します。 「sudo nano /etc/sysctl.conf」.
- 次の行のコメントを解除します 「net.ipv4,ip_forward=1」 IP 転送を有効にします。
- コマンドを実行する sysctl -p 変更が有効になるようにします。
- コマンドを実行する ipvsadm -C
- コマンドを実行してサービスを追加します ipvsadm -A -t 192.168.88.190:5060 -s rr
- XNUMX つの実サーバーを追加します。
次のフラグに注意してください。 -C 新たに開始する場合に、ユーザーがテーブル全体をクリアできるようにします。 -A サービスを ipvsadm ロード バランサーに追加できるようにします。 -a ユーザーは、ロード バランサー内で作成されたサービスに実サーバーを追加できます。
-t flags は tcp 接続を意味し、 -s スケジューリングアルゴリズムを表し、 rr ラウンド ロビン アルゴリズムを表します。
ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.150:5060 -m ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.151:5060 -m
SNAT モードを使用するには、 -m 実サーバーを仮想サービスに追加するときに、コマンドの最後にフラグを付けます。 の -m flags は本質的にマスカレードを表します SNAT モード。
SNAT モードでは、クライアントの送信元 IP アドレスは変更されないことに注意してください。
を使用して、リスト テーブルで仮想サーバーの確立を確認します。 sudo ipvsadm -l
ZEVENET構成
ZEVENET ロード バランサで SNAT モードを使用するには:
- LSLB メニューで
- クリックします。 農場 サブメニュー。
- の鉛筆アイコンをクリックします。 L4xNAT 以前に作成したプロファイル。 そうでない場合は、次のガイドに従ってください。 レイヤー 4 およびレイヤー 7 の仮想サーバー構成。
- 以内 グローバル 設定で、 高機能 ボタン。
- 変更する NATの種類 〜へ NAT.
- ストリーミングを停止する場合は上部の お申し込み ボタンをクリックして構成を保存します。
Note: デフォルトでは、ロード バランサは NAT これは ソースNAT ZEVENETロードバランサーで。
ZEVENET ADC のレイヤー 4 構成と SNAT モードの詳細については、こちらをお読みください。 L4xNAT 構成.
構成例: DSR モード
Direct Server Return は、ロード バランサーがクライアント リクエストをサービス内のバックエンド サーバーに送信する構成を指しますが、 バックエンド ロードバランサーをバイパスして、クライアントに直接応答します。
で DSR ロード バランサはトラフィック ディストリビュータとして機能し、クライアント要求を適切な バックエンド サーバーですが、トラフィック プロキシとしては機能しません。 代わりに、サーバーは応答をクライアントに直接送り返します。
これらは、使用を検討するいくつかの理由です DSR が SNAT ロードバランサーで。
- 改良された性能: リターン パスでロード バランサーをバイパスすると、システムのパフォーマンスが向上します。これは、ロード バランサーがサーバーからの応答を処理して転送する必要がないためです。
- 簡素化されたアーキテクチャ: Direct Server Return を使用すると、ロード バランサーがリバース プロキシとして機能する必要がなくなるため、システムのアーキテクチャを簡素化できます。
- セキュリティの向上: 場合によっては、Direct Server Return により、サーバーが応答をロード バランサー経由でルーティングするのではなく、クライアントに直接送信できるようにすることで、セキュリティを向上させることができます。 これにより、攻撃者が応答を傍受または改ざんすることがより困難になる可能性があります。
このセクションでは、LVS で DSR 構成を作成し、ZEVENET ADC を使用して同様の構成を示します。
Ipvsadm 構成
実サーバー:
>>192.168.88.150:5060
>>192.168.88.151:5060
仮想サーバー:
> 192.168.88.190:5060
- ipvsadm で DR モードを使用するには、次のコマンドを実行します。 「sudo nano /etc/sysctl.conf」.
- 次の行のコメントを解除します 「net.ipv4,ip_forward=1」 IP 転送を有効にします。
- では、アナウンス arp コールへの応答は不要です。 DRモード. これらの行を構成ファイルに追加して、arp 要求をブロックします。
- 5. コマンドを実行する sysctl -p 変更が有効になるようにします。
- コマンドを実行してサービスを追加します
ipvsadm -A -t 192.168.88.190:5060 -s rr
-t flags は tcp 接続を意味し、 -s スケジューリングアルゴリズムを表し、 rr ラウンド ロビン アルゴリズムを表します。
- 7. 実サーバーをXNUMX台追加
- サービスの IP アドレスを使用してループ インターフェイスを設定します。
- を使用して、リスト テーブルで仮想サーバーの確立を確認します。
sudo ipvsadm -lcn
net.ipv4.conf.all.arp_ignore=1 net.ipv4.conf.all.arp_announce=2
ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.150:5060 -g ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.151:5060 -g
DR モードを使用するには、 -g 各実サーバー構成にフラグを立てます。
ifconfig lo:0 192.168.88.190 netmask 255.255.255.255
ZEVENET構成
ZEVENET ADC で DSR モードを有効にするには:
- LSLB Web パネル メニュー。
- をクリックしてください 農場.
- の鉛筆アイコンをクリックします。 L4xNAT 編集したいプロファイル。 まだ作成していない場合は、次のガイドをお読みください。 レイヤー 4 およびレイヤー 7 の仮想サーバー構成.
- 以内 グローバル 設定で、 高機能 タブ。
- 5. 変更 NATタイプ 〜へ DSR.
- ストリーミングを停止する場合は上部の お申し込み ボタンをクリックして構成を保存します。
- ZEVENETコマンドラインインターフェース内で、 ループバックインターフェイス ファームのために。 このコマンドと関連する VIP を使用します。
- バックエンドへの無効な ARP 応答を無効にします。
# ifconfig lo:0 192.168.88.190 netmask 255.255.255.255 -arp up
# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore # echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce
ZEVENET ADC のレイヤー 4 構成と DSR モードの詳細については、こちらをお読みください。 L4xNAT 構成
その他のリソース
Let's encrypt プログラムを使用して、SSL 証明書を自動生成します。
ZEVENET ADCによるデータリンク/アップリンク負荷分散。
ZEVENET ADCによるDNS負荷分散。
DDoS 攻撃から Web アプリケーションを保護します。
ZEVENET ADC でのアプリケーション、ヘルス、およびネットワークの監視。
ロード バランサーの SSL 証明書を構成します。
ウェブ アプリケーション ファイアウォールの構成。