概要 #

Linux仮想サーバー（LVS）とも呼ばれる ipvsadm システム管理者は、Linuxエコシステム内の複数のサーバー間でのウェブトラフィックの分散を設定できます。 LVS 増加などの多くの利点があります 容量, 信頼性, スケーラビリティ、それを使用することで多くの潜在的な欠点があります。これらの欠点には以下が含まれます。 複雑さ, 単一障害点, 制限された負荷分散 メソッド、および 限られたサポート コミュニティから。

全体的に、ウェブサービスの需要が増加するにつれて、 RELIANOID 負荷分散ソリューションを提供するだけでなく、 セキュリティ, 高可用性, GSLB, パフォーマンスの向上この記事では、負荷分散モジュールの設定方法について説明します。 RELIANOID 隣接する LVS.

前提条件 #

これらは、構成を転送するための基本要件です。 ipvsadm 〜へ RELIANOID ADC.

1. のインスタンス RELIANOID ADCはPC、ベアメタル、仮想環境、または クラウドプラットフォームオンプレミス展開の場合、 評価をリクエストする.
2. Webグラフィカルインターフェースにアクセスできる必要があります。アクセスできない場合は、以下の手順に従ってください。 インストールガイド.
3. あなたはアクティブユーザーである必要があります ipvsadm そしてその概念に関する基本的な知識を持っていること。
4. 仮想サーバーを作成できる必要があります RELIANOID ロードバランサー。次のガイドに従ってください。 レイヤー4およびレイヤー7仮想サーバー構成.

基本概念 #

仮想サービス: 仮想サービスとは、クライアントのリクエストに応答するために連携して動作する実サーバーのクラスターです。仮想サービスは、 サービス in RELIANOID ADC。アクセスするには LSLB >> 編集 >> サービス.

取締役： これはLinuxカーネルのインスタンスであり、 ipvsadm ロードバランサー。このインスタンスはすべてのプロセスを管理する役割を担い、高可用性が必要な場合は他のインスタンスと通信することができます。ディレクターは ノード/インスタンス 参照する場合 RELIANOID ADC。

実際のサーバー: リアルサーバーとは、受信したリクエストを処理し、仮想サービスを通じてクライアントにレスポンスを返す物理サーバーまたはVPSです。これらのサーバーは バックエンド 使用している場合 RELIANOID ADC。

仮想サーバー: 仮想サーバーは、1つまたは複数のサーバーを含む論理エンティティです。 仮想サービス。これは、着信トラフィックの入り口であり、トラフィックをクラスタに分配する役割を担っています。 バックエンド または実サーバー。仮想サーバーは 農場 使用している場合 RELIANOID ロードバランサー。

高可用性： 高可用性とは、システムのコンポーネントが1つ以上故障した場合でも、システムが中断することなく動作を継続できる能力を指します。 キープアライブ 高可用性を実現するためにシステムにパッケージを導入します。 RELIANOID 使用する 連携して動作するノードペアの マスター/バックアップ 関係。

Ipvsスケジューラ: これらは、LVS ロードバランサー内でサポートされている負荷分散アルゴリズムのセットです。 RELIANOID 多くの内蔵機能を搭載 負荷分散スケジューラ GUI を通じて設定できます。

設定例: SNAT モード #

ソースNAT（SNAT）は、ファイアウォール、スイッチ、ルーター、ロードバランサーなどのネットワークデバイスが、ネットワークアドレスを変換できるようにするネットワークアドレス変換の一種です。 送信元IPアドレス 送信パケットのヘッダー内のバックエンドサーバーのIPアドレスをプライベートIPアドレスからパブリックIPアドレスに変更します。このNATは、多くの状況で、ローカルネットワーク上のデバイスが プライベートネットワーク インターネットで通信しながら、いかなるメリットも制限しません。メリットには以下のようなものがあります。

1. セキュリティ強化： ソース NAT は、送信パケット内のバックエンド サーバーの IP アドレスを隠すため、攻撃者がプライベート ネットワーク内のデバイスを識別することが困難になります。
2. 強化されたパフォーマンス： ソース NAT は、トラフィックを複数のバックエンド サーバーに分散することで、単一サーバーの負荷を軽減し、ネットワークのパフォーマンスを向上させます。
3. スケーラビリティの向上: 複数のバックエンド サーバーとその他のローカル デバイスが単一の外部 IP アドレスを共有できるようにすることで、ソース NAT はパブリック IP に多くのコストをかけずにデータ センターの統合を可能にします。

このセクションでは、LVSでSNAT構成を作成し、同様の構成を以下で説明します。 RELIANOID ADC。

Ipvsadm 構成 #

実際のサーバー:
>>192.168.88.150:5060
>>192.168.88.151:5060

仮想サービス:
>>192.168.88.190:5060

1. ipvsadmでSNATモードを使用するには、次のコマンドを実行します。 「sudo nano /etc/sysctl.conf」.
2. 次の行のコメントを解除します 「net.ipv4,ip_forward=1」 IP 転送を有効にします。
3. コマンドを実行する sysctl -p 変更が有効になるようにします。

次のフラグに注意してください。 -C ユーザーは、新規開始の場合にテーブル全体をクリアすることができます。 -A ipvsadm ロードバランサーにサービスを追加できるようになります。 -a ユーザーは、ロードバランサー内で作成されたサービスに実際のサーバーを追加できます。

4. コマンドを実行する ipvsadm -C
5. コマンドを実行してサービスを追加します ipvsadm -A -t 192.168.88.190:5060 -s rr

-t flagsはTCP接続を意味します。 -s スケジューリングアルゴリズムを表し、 rr ラウンドロビンアルゴリズムを表します。

6. 2 つの実サーバーを追加します。

 ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.150:5060 -m ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.151:5060 -m

SNATモードを使用するには、 -m 実サーバーを仮想サービスに追加する際に、コマンドの最後にフラグを付けます。 -m フラグは、本質的にはマスカレードを表します SNAT モード。
SNAT モードでは、クライアントの送信元 IP アドレスは変更されないことに注意してください。

リストテーブルで仮想サーバーの確立を確認するには、 sudo ipvsadm -l

RELIANOID 構成 #

SNATモードを使用するには RELIANOID ロードバランサー:

1. に行く LSLB メニューで
2. 以下を行うには、 農場 サブメニュー。
3. 鉛筆アイコンをクリックします L4xNAT 先ほど作成したプロフィール。まだ作成していない場合は、次のガイドに従ってください。 レイヤー 4 およびレイヤー 7 仮想サーバーの構成。
4. 以内 Global 設定するには、 高機能



5. 前日比 NATの種類 〜へ NAT.
6. クリック Apply ボタンをクリックして構成を保存します。

注意： デフォルトでは、ロードバランサは NAT これは ソースNAT on RELIANOID ロードバランサー。

レイヤー4構成とSNATモードの詳細については、 RELIANOID ADC、読み取り L4xNAT構成.

構成例: DSRモード #

ダイレクトサーバーリターンとは、ロードバランサーがサービス内のバックエンドサーバーにクライアントリクエストを送信する構成を指しますが、 バックエンド ロードバランサをバイパスしてクライアントに直接応答します。

で DSR 構成により、ロードバランサはトラフィックディストリビュータとして機能し、クライアントのリクエストを適切な バックエンド サーバーにトラフィックを転送しますが、トラフィックプロキシとしては機能しません。代わりに、サーバーはクライアントに直接応答を返します。

これらは、使用を検討するいくつかの理由です DSR が SNAT ロードバランサー内。

1. 改良された性能： 戻りパスでロード バランサをバイパスすると、ロード バランサがサーバーからの応答を処理して転送する必要がないため、システムのパフォーマンスが向上します。
2. 簡素化されたアーキテクチャ: Direct Server Return を使用すると、ロード バランサーがリバース プロキシとして機能する必要がなくなるため、システムのアーキテクチャを簡素化できます。
3. セキュリティの向上： Direct Server Return は、サーバーがロードバランサーを経由せずにクライアントに直接応答を送信できるようにすることで、セキュリティを向上させることができます。これにより、攻撃者による応答の傍受や改ざんが困難になります。

このセクションでは、LVSを使用してDSR構成を作成し、同様の構成を以下を使用して説明します。 RELIANOID ADC。

Ipvsadm 構成 #

実際のサーバー:
>>192.168.88.150:5060
>>192.168.88.151:5060

仮想サーバー:
> 192.168.88.190：5060

1. ipvsadmでDRモードを使用するには、次のコマンドを実行します。 「sudo nano /etc/sysctl.conf」.
2. 次の行のコメントを解除します 「net.ipv4,ip_forward=1」 IP 転送を有効にします。
3. ARPコールのアナウンスに応答することは不要です DRモードARP 要求をブロックするには、構成ファイルにこれらの行を追加します。

net.ipv4.conf.all.arp_ignore=1 net.ipv4.conf.all.arp_announce=2

4. 5. コマンドを実行する sysctl -p 変更が有効になるようにします。
5. コマンドを実行してサービスを追加します

   ipvsadm -A -t 192.168.88.190:5060 -s rr

   -t flagsはTCP接続を意味します。 -s スケジューリングアルゴリズムを表し、 rr ラウンドロビンアルゴリズムを表します。

6. 7. 2台の実サーバーを追加

 ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.150:5060 -g ipvsadm -a -t 192.168.88.190:5060 -r 192.168.88.151:5060 -g

DRモードを使用するには、 -g 各実サーバー構成にフラグを設定します。

7. サービスの IP アドレスを使用してループ インターフェイスを構成します。

ifconfig lo:0 192.168.88.190 ネットマスク 255.255.255.255

8. リストテーブルで仮想サーバーの確立を確認するには、

   sudo ipvsadm -lcn

RELIANOID 構成 #

DSRモードを有効にするには RELIANOID ADC：

1. に行く LSLB ウェブパネルメニューで。
2. ソフトウェアの制限をクリック 農場.
3. 鉛筆アイコンをクリックします L4xNAT 編集したいプロフィール。まだ作成していない場合は、こちらのガイドをお読みください。 レイヤー4およびレイヤー7の仮想サーバー構成.
4. 以内 Global 設定するには、 高機能 タブ。
5. 5. 以下のスクリーンショットに示すように、ジョブタイプを NATタイプ 〜へ DSR.



6. クリック Apply ボタンをクリックして構成を保存します。
7. 以内 RELIANOID コマンドラインインターフェースでは、 ループバックインターフェイス ファーム用。このコマンドと関連する VIP を使用します。

# ifconfig lo:0 192.168.88.190 ネットマスク 255.255.255.255 -arp アップ

8. バックエンドへの無効な ARP 応答を無効にします。

# エコー 1 > /proc/sys/net/ipv4/conf/all/arp_ignore # エコー 2 > /proc/sys/net/ipv4/conf/all/arp_announce

レイヤー4構成とDSRモードの詳細については、 RELIANOID ADC、読み取り L4xNAT構成

その他のリソース #

Let's Encrypt プログラムを使用して SSL 証明書を自動生成します。
データリンク/アップリンク負荷分散 RELIANOID ADC。
DNS負荷分散 RELIANOID ADC。
DDoS 攻撃からの Web アプリケーション保護。
アプリケーション、ヘルス、ネットワーク監視 RELIANOID ADC。
ロード バランサーの SSL 証明書を構成します。
Web アプリケーション ファイアウォールの構成。