概要 #

Microsoft Azure による負荷分散には 3 つのカテゴリがあります。 Azure ロードバランサー （ネットワークロードバランサー） アプリケーションゲートウェイ（アプリケーションロードバランサー）、および トラフィックマネージャー（DNSロードバランサー）。Azureはクラウドネイティブであり、オンプレミスのインフラストラクチャ間のトラフィックを処理できるため、理想的な選択肢です。しかし、Azureを負荷分散に使用する場合、多くの欠点があります。そのいくつかを以下に示します。

1. 複雑： Azure Load Balancer は、アプリケーション アーキテクチャ全体の複雑さを増大させます。例えば、複数の負荷分散リソースを設定・管理し、正常性プローブと負荷分散ルールを構成して、それらを単一のリソース グループに配置する必要がある場合があります。これらのリソース グループの構成には高度な専門知識が必要であり、効率的に処理されない場合、一部のシステムに障害が発生する可能性があります。
2. 限定的なカスタマイズ： Azure Load Balancer は、限定的な負荷分散アルゴリズムと正常性プローブのセットを提供します。さらにカスタマイズが必要な場合は、次のような他のオプションを検討してください。 ZVNクラウド.
3. Azure への依存関係: Azure Load Balancer を使用してオンプレミスと Azure リソース間、または Azure リージョン間のトラフィックを負荷分散する場合、Azure のインフラストラクチャとサービスに依存することになります。これは、単一のクラウド プロバイダーへの依存を最小限に抑えたい場合、懸念事項となる可能性があります。

ADCの比較についてさらに詳しく RELIANOID この記事では、Microsoft Azure について説明します。 Microsoft NLBと RELIANOID 比較.

前提条件 #

Azureから構成を転送するには、これらの基本要件を満たす必要があります。 RELIANOIDのフル機能の ADC。

1. のインスタンス RELIANOID ADCはPC、ベアメタル、仮想環境にインストールするか、アクティブな ZVNクラウド アカウント。 評価をリクエストする オンプレミス展開用。
2. Webグラフィカルインターフェースにアクセスする必要があります。アクセスできない場合は、次の手順に従ってください。 インストールガイド。
3. Microsoft Azure の現在のユーザーであり、以下のセクションで説明する概念を理解している必要があります。
4. 仮想サーバーを作成できる必要があります RELIANOID ロードバランサー。簡単なガイドは次のとおりです。 レイヤー4およびレイヤー7仮想サーバー構成.

お願い
RELIANOID テンプレートは Azure クラウド マーケットプレイス BYOLライセンスの下での展開 RELIANOID Azure クラウド上ではシームレスであり、懸念が生じることはありません。

基本概念 #

ヘルスプローブ: ヘルスプローブは、Microsoft Azureが仮想マシンインスタンスが稼働しているかどうか、またその上で実行されているサービスが正常かどうかを確認するために使用する機能です。これらのメカニズムは、 ICMP および プロトコル固有 これらのインスタンスにリクエストを送信し、それに応じて 200 了解 サービスが正常に機能していることを示すステータス コード。 RELIANOID 使用 ファームガーディアン 健康状態を監視する機能 バックエンド.

Azure ロード バランサー: Azure Load Balancer はレイヤー 4 で機能します (TCP / UDP）。レイヤー4ロードバランサーを作成するには RELIANOID ADCを作成する必要があります LSLBファーム ととも​​に L4xNAT プロフィール。

アプリケーションゲートウェイ: アプリケーションゲートウェイは、次のようなセキュリティ機能を実装することで、レイヤ7トラフィックの管理を可能にします。 SSL終了 ウェブアプリケーションファイアウォール（WAF）アプリケーションやデータベースを悪意のある攻撃から保護します。 SQLインジェクション またはクロスサイトスクリプティング（XXS）。レイヤー7ロードバランサーを作成するには RELIANOID ADCを作成する必要があります LSLBファーム ととも​​に HTTP プロフィール。

トラフィック マネージャー: Azure Traffic Manager を使用すると、管理者は異なるリージョンにある複数のサービスエンドポイント間のトラフィック分散を制御できます。このモジュールは DNS を使用し、構成されたルーティング方法とエンドポイントの現在の状態に基づいて、クライアント要求を最適なエンドポイントに誘導します。 RELIANOID ADCは GSLB さまざまな地域にあるさまざまなデータ センターにトラフィックをルーティングするファーム。

バックエンドプール: バックエンドプールとは、負荷分散されたトラフィックの宛先として使用できるリソースのグループです。これらのリソースは主に仮想マシンインスタンスであり、Web経由でクライアントからのリクエストを処理するコードが含まれています。バックエンドプールは、 サービス in RELIANOID ADC。

仮想マシンインスタンス: 仮想マシンインスタンスは、Webからのクライアントリクエストを処理するエンドポイント/宛先サーバーです。これらのサーバーは バックエンド 使用している場合 RELIANOID ADC。

リソース グループ: リソースグループは、Microsoft Azure内のリソースの集合です。これらのリソースは、 健康プローブ, 仮想ネットワーク, バーチャルマシン インスタンスなどを使用する場合 RELIANOID ADCでは、完全に機能するロードバランサーを作成するためのすべてのリソースがADC内に統合されているため、リソースグループを作成する必要はありません。 RELIANOID ADC。アプライアンス全体はリソースの集合体です。

構成例: DDoS 保護 #

DDoS攻撃は恐ろしい！いつ攻撃されるか分からない ボットネット スウォーム攻撃。しかし、確かなのは、大量のリクエストを大量に送りつけ、システム全体をダウンさせることが目的であるということです。これらのリクエストは、デスクトップ、サーバー、IoTデバイス、あるいはハッカーがプログラムを仕掛けることができるあらゆるデバイスから送信される可能性があります。このスウォーム攻撃は数百万台のデバイスで発生する可能性があるため、特にHTTPフラッド攻撃の場合、正規ユーザーとボットを区別することが困難になることがよくあります。

RELIANOID ADCは、次のような攻撃に対抗するためにDDoS保護機能を備えて設計されています。 SYN-FINフラッド攻撃, 死のping, HTTP フラッド, ICMP(ping)フラッド、その他多くの高度なDDoS攻撃。Microsoft Azureをご利用の場合、DDoS対策プランが予算を超えており、予測不可能なため、より安定したプランに切り替える必要があるかもしれません。 RELIANOID ADC。このセクションでは、DDoS防御を設定する方法について説明します。 RELIANOID Microsoft Azure と比較した ADC。

Microsoft Azureの構成 #

特殊な仮想ネットワークに対する DDoS 保護を得るには、別途 DDoS プランの料金を支払う必要があり、請求額が簡単に膨らむ可能性があるため、このプランを賢く使用する必要があります。

1. Azureの検索バーに次のように入力します。 DDoS保護.
2. ソフトウェアの制限をクリック DDoS防御プラン.
3. クリックする必要があります 創造する DDoS 保護プランを追加するボタン。
4. ドロップダウンリストから サブスクリプションプラン 仮想ネットワーク用。
5. ドロップダウンリストから リソースグループ ネットワークが属する地域。
6. インスタンスの詳細インスタンスを入力してください お名前 および 地域.
7. これらの詳細を入力した後、 レビュー+作成
8. すでに設定している場合、 仮想ネットワーク 監視する Azure で、作成した仮想ネットワークに移動します。
9. DDoS保護をクリック 設定 そのネットワークの。
10. デフォルトでは、DDoS防御の標準プランは無効になっています。 有効にする ラジオボタン。
11. まず DDoS防御プラン をクリックして Save

RELIANOID 構成 #

1. DDoS防御を構築するには RELIANOID ADC、 IPDS メニューのセクションをクリックして展開します。
2. 以下を行うには、 DoS攻撃 オプション。
3. 以下を行うには、 DoSルールを作成する
4. 入力します お名前 DoS ルールを簡単に識別します。
5. DoSルールは4つあります。ルールを選択してください。この例では、 ソース IP ごとの合計接続制限。 をクリックして Apply

   

6. 1回のTCPハンドシェイク後に送信元IPアドレスに許可する同時接続の総数を入力します。
7. クリック Apply ボタンをクリックして構成を保存します。
8. 1 つの DoS 保護ルールに基づいて、XNUMX 行目と同様のプロセスに従って他のルールを作成できます。これらの他のルールには次のものが含まれます。
   • 偽のTCPフラグをチェックする
   • ソース IP ごとの合計接続制限。
   • 1秒あたりのRSTリクエストの制限
   • 1秒あたりの接続制限。
9. ルールの一部またはすべてを作成したら、 農場 各ルールの設定内のタブ。
10. ルールを適用したいファームを 利用可能な農場 セクションへ 有効な農場 のセクションから無料でダウンロードできます。

    

11. 右上には、 セクション。 クリック グリーンプレイ ルールを有効にするには、 ステータス 色インジケーターが赤から緑に変わります

DDoS 保護ルールの詳細については、このドキュメントをご覧ください。 IPDS | DoS | アップデート.

設定例: 監視とアラート #

プライベートネットワーク、ロードバランサ、ファイアウォール、ヘルスチェックをようやく設定できました。次は何をすればいいでしょうか？ メトリクスアプリケーションデリバリーコントローラ内のすべてのアクティビティやリソースの使用状況を追跡するには、 データ評価トラフィックの負荷、CPU とメモリの使用状況、アクティビティ ログ、ネットワーク ログなどを追跡する必要があります。全体として、監視システムは、システム管理者がプライベート ネットワークに出入りするトラフィックの流れや、アプリケーション サーバーが効率的に機能しているかどうかを監視するためのプラットフォームを提供します。

監視システムは堅牢で、グラフ、円グラフ、棒グラフなどで視覚化されます。このデータの自動化により、 アラートとメール通知 セキュリティ上の脅威が発生した場合に備えます。

このセクションでは、監視グラフを使用してネットワーク内のアクティビティとネットワーク上のアプリケーションを追跡する方法について説明します。 RELIANOID Azure 監視と比較した ADC。

Azure の監視とアラートの概念 #

このセクションでは、Azure監視のコンセプトについてさらに詳しく説明します。後のセクションでは、これらのコンセプトを使用して、監視のデモを行います。 RELIANOID ADC。

Azureで監視を有効にするには、 監視 セクションを参照してください。検索バーで簡単に検索すれば、そこにたどり着くことができます。

Azureを使用した監視データはさまざまな形式で提供されます。 メトリック, アラート, アクティビティログ, システムログ.

私達の メトリック セクションは、リソースグループ内の様々なリソースからデータを収集します。監視を設定して追跡することができます。 ネットワークの使用, CPU使用率, Memory usage, 本国行きの および 外国行きの 交通量、または平均 プロセッサ速度.

An 警告 異常なアクティビティが発生した場合、SMSメッセージまたはメールで管理者に通知します。ネットワークトラフィックの急増やブルートフォース攻撃などが考えられます。

アクティビティログ 管理者が仮想マシンの起動、停止、有効化、無効化、リソースの変更、リソース グループの追加などのアクティビティを追跡できるようにします。

ログ コアアプリケーションの詳細を提供します。たとえば、アプリケーションログ、データベースログ、VMログなどです。

これらの概念を使ってみましょう RELIANOID ロードバランサー上のアクティビティを監視する方法を示します。

RELIANOID 説明と構成 #

私達の 監視 のモジュール RELIANOID ADCは3つのセクションを展開します。 グラフ, 統計, ファームガーディアンズ.

グラフ #

グラフセクションでは、アプライアンスで使用されるリソースのグラフ表示が表示されます(システム）、そのネットワーク インターフェース、そして個人 農場 ロードバランサー上で構成されます。

システムグラフには、 CPU, 負荷, RAM, スワップ 使用状況。1日、過去1週間、過去1ヶ月、過去1年間に使用されたリソースの数を表示できます。

グラフには、過去 24 時間の CPU によるリソース使用率が表示されます。

インターフェース セクションには、選択したネットワーク インターフェース上で過去 24 時間、XNUMX 週間、XNUMX か月、または XNUMX 年間にロード バランサーに出入りしたトラフィックの量が表示されます。

グラフには、過去 24 時間以内にインターフェースを通過したトラフィックが表示されます。

農場セクションでは、 保留中 および 設立 選択したファームから前日、前週、前月、または前年内のファームへの接続。

以下のグラフは、選択したファームへの過去 24 時間内の保留中および確立済みの接続の合計数を示しています。

モニタリング グラフの詳細な説明については、次のドキュメントをお読みください。 監視 | グラフ

統計 #

統計セクションでは、グラフに表示されているデータの数値表現が表示されます。より詳しい説明はこちらをご覧ください。 モニタリング統計.

ファームガーディアン #

Farmguardian セクションでは、ADC ノード上の特定のサービスのヘルス チェックをカスタマイズできます。
カスタムを作成してデモンストレーションしてみましょう SIP 健康診断。

1. 以下を行うには、 ファームガーディアン サブメニュー。
2. 適切な お名前 ヘルスチェックを識別します。
3. RELIANOID ADCはすでに チェックシップ ヘルスモニター。 コピー farmguardian フィールドを選択し、 チェックシップ テンプレート。ロードバランサー上に存在しない完全にカスタムのヘルスチェックを作成したい場合は、ファームガーディアンのヘルスチェックをコピーするをそのままにしておきます。 –農場守護者なし–
4. クリック Apply
5. 出て Command 変更なし。完全にカスタマイズされたヘルスチェックの場合は、ヘルスチェックを実行するためのカスタムコマンドを入力します。

1. 編集 タイムアウト および インターバル 適切な値に設定します。
2. 以下を行うには、 ログを有効にする トグルボタン。
3. クリック Apply ボタンをクリックしてカスタムヘルスチェックを作成します。

その他のリソース #

Web アプリケーション ファイアウォールの構成。
ロード バランサーの SSL 証明書を構成します。
Let's Encrypt プログラムを使用して SSL 証明書を自動生成します。
データリンク/アップリンク負荷分散 RELIANOID ADC。
DNS負荷分散 RELIANOID ADC。