Článek přečtěte do 8 min.

Služba Oracle Cloud Infrastructure (OCI) Network Load Balancer

Od svého uvedení rychle získala široké přijetí. Nástroj pro vyrovnávání zatížení sítě je kritickou součástí síťové architektury. Je navržen tak, aby efektivně rozděloval zátěž příchozího síťového provozu a požadavky klientů na více backendových serverů nebo zdrojů, optimalizoval jejich využití kapacity a zajistil společnou spolehlivost a vysokou dostupnost backendových funkcí.

OCI Network Load Balancer

Od svého založení podporuje backendy ve svém místním regionu. Backendy mohou být ve stejné virtuální cloudové síti (VCN) jako nástroj pro vyrovnávání zatížení sítě nebo v jiné síti VCN připojené k nástroji pro vyrovnávání zatížení sítě VCN pomocí místních peeringových bran (LPG). S potěšením oznamujeme, že rozšířili  podporu pro backendy nástroje pro vyrovnávání zatížení sítě na všechna místa dostupná nástrojem pro vyrovnávání zatížení sítě prostřednictvím brány dynamického směrování OCI (DRG), včetně následujících scénářů:

  • Cross-VCN konektivita: Nástroj pro vyrovnávání zatížení sítě a backendy v různých sítích VCN se nyní mohou propojovat prostřednictvím DRG, což eliminuje potřebu LPG v návrzích sítí s vyrovnáváním zatížení sítě OCI.
  • Podpora mezi regiony: Nástroje pro vyrovnávání zatížení sítě nyní mohou mít backendy ve vzdálených oblastech, které jsou dosažitelné prostřednictvím vzdáleného peeringového připojení (RPC) a ke kterému je připojeno DRG jeho VCN.
  • Místní backendy: Nástroje pro vyrovnávání zatížení sítě nyní mohou mít backendy v místní síti připojené k DRG prostřednictvím virtuálních okruhů FastConnect nebo tunelů IPsec.

Tato vylepšení efektivně umožňují nasazení backendů nástroje pro vyrovnávání zatížení sítě v jakékoli síti za DRG. Neexistuje žádné praktické omezení toho, jak daleko mohou backendy existovat, pokud může nástroj pro vyrovnávání zatížení sítě dosáhnout backendů prostřednictvím DRG. Tyto nově přidané flexibility zjednodušují návrhy zákaznických sítí pomocí vyrovnávačů zatížení sítě OCI a rozšiřují použití nástroje pro vyrovnávání zatížení sítě OCI na rozmanitější scénáře.

Následující části tohoto blogového příspěvku vás provedou tím, jak přidat backendy nástroje pro vyrovnávání zatížení sítě, abyste využili těchto vylepšení a poskytli podrobné informace o odemčených scénářích návrhu s příklady, které předvedou základní konfigurace sítě.

Přidání backendů nástroje pro vyrovnávání zatížení sítě s IP adresami

Normálně, když zákazníci přidají nový backend do backendové sady nástroje pro vyrovnávání zatížení sítě, mohou buď přímo vybrat instanci OCI Compute jako nový backend, nebo zadat její IP adresu. Při přidávání vzdáleného backendu dosažitelného nástrojem pro vyrovnávání zatížení sítě prostřednictvím DRG, jako je místní instance nebo instance ve vzdálené VCN, je druhá metoda jedinou dostupnou možností. Nové backendy musí být přidány pomocí jejich IP adres.

Následující ukázková obrazovka konzoly ukazuje, jak přidat vzdálený backend do backendové sady nástroje pro vyrovnávání zatížení sítě. V tomto příkladu je typ backendu nastaven na IP adresu a zadává se IP adresa vzdálené instance.

Přidání backendu založeného na IP v konzole Oracle Cloud Console.

Pokud k sadě backendu potřebujete přidat backend založený na IP adrese, musí být pro sadu back-endu deaktivována ochrana zdroje. Při přidávání tohoto backendu do konzoly Oracle Cloud Console se zobrazí zpráva podobná té v příkladu. Pokud má sada back-endu zapnutou ochranu zdroje, možnost typu back-endu IP adresy nebude dostupná. Než budete moci přidat backendy založené na IP adresách, musíte nejprve provést akci, která jej zakáže pro sadu back-endů. Je-li ochrana zdroje vypnutá, nástroj pro vyrovnávání zatížení sítě nahradí zdrojovou IP adresu svou vlastní privátní IP adresou před předáním provozu z klientů do svých backendů. Výsledkem je, že backendy vidí soukromou IP adresu pro vyrovnávání zatížení sítě jako zdroj provozu. Pokud ve vašem návrhu backendy potřebují vědět o původní zdrojové IP adrese, obraťte se na svůj tým pro účty Oracle pro alternativní řešení.

Nástroj pro vyrovnávání zatížení sítě OCI s backendy v jiném VCN přes DRG

Mnoho zákazníků se strategicky rozhodlo nasadit nástroje pro vyrovnávání zatížení sítě OCI a jejich backendy v samostatných sítích VCN. Mohou například nasadit nástroje pro vyrovnávání zátěže veřejné sítě v centralizovaném VCN orientovaném na internet a přitom ponechat backendové instance pouze v interních VCN. Dříve tento návrh vyžadoval propojení vyrovnávače zatížení sítě a backendových VCN přes LPG. Tento požadavek brání zákazníkům využívat výhod zjednodušené inter-VCN konektivity s DRG. Vzhledem k tomu, že se virtuální síť škáluje s více virtuálními sítěmi, nástroji pro vyrovnávání zatížení sítě a backendovými sadami, může se místní návrh peeringu stát složitým nebo může představovat překážku pro další škálování. S nejnovějším vylepšením je tato překážka odstraněna a umožňuje zákazníkům zefektivnit návrh své sítě pomocí DRG pro veškerou konektivitu mezi VCN, včetně mezi vyrovnávači zatížení sítě a backendovými VCN.

Následující diagram znázorňuje nastavení nástroje pro vyrovnávání zatížení veřejné sítě s backendy umístěnými v samostatném interním VCN připojeném pomocí DRG. Zdůrazňuje základní konfigurace směrování a zabezpečení jak na straně nástroje pro vyrovnávání zatížení sítě, tak na straně backendu, což je klíčové pro směrování IP a umožňuje mezi nimi provoz kontroly stavu.

Backendy v jiné VCN připojené pomocí DRG

Pro směrování musí mít směrovací tabulka VCN podsítě nástroje pro vyrovnávání zatížení sítě cestu do backendové podsítě (nebo její VCN) s použitím DRG jako cíle dalšího skoku. Naopak, směrovací tabulka backendové podsítě by měla mít cestu do podsítě nástroje pro vyrovnávání zatížení sítě (nebo její VCN), opět s DRG jako cílem dalšího skoku. Na DRG mohou obě přílohy VCN používat automaticky vygenerovanou směrovací tabulku DRG pro přílohy VCN. Umožňuje dynamické směrování mezi nimi.

Pokud jde o zabezpečení, protože proces kontroly stavu je iniciován nástrojem pro vyrovnávání zatížení sítě, který odesílá požadavky na kontrolu stavu backendům, podsíť nástroje pro vyrovnávání zatížení sítě potřebuje explicitní výstupní pravidlo ve svém seznamu zabezpečení sítě, aby povolilo požadavek na kontrolu stavu backendům. Alternativně, pokud je skupina zabezpečení sítě (NSG) na nástroji pro vyrovnávání zatížení sítě použita pro zásady zabezpečení namísto seznamu zabezpečení podsítě, je třeba přidat stejné výstupní pravidlo do NSG. Pokud je výstupní pravidlo stavové, není potřeba explicitní vstupní pravidlo, které by umožnilo odezvy na kontrolu stavu z backendů.

Podobně musí mít seznam zabezpečení backendové podsítě nebo NSG backendů explicitní pravidlo pro vstup, aby bylo možné povolit požadavky na kontrolu stavu od nástroje pro vyrovnávání zatížení sítě. Pokud je toto vstupní pravidlo stavové, neguje potřebu explicitního výstupního pravidla, které umožní, aby se provoz odezvy na kontrolu stavu vrátil zpět do nástroje pro vyrovnávání zatížení sítě. V tomto příkladu je kontrola stavu spuštěna na portu TCP 80. Podsíť nástroje pro vyrovnávání zatížení sítě má tedy stavové výstupní pravidlo pro povolení provozu do backendové podsítě na cílovém portu TCP 80 a backendová podsíť má stavové vstupní pravidlo pro povolení provozu. z podsítě nástroje pro vyrovnávání zatížení sítě do cílového portu TCP 80. Nástroj pro vyrovnávání zatížení sítě i podsítě typu backend také musí mít vhodné zásady zabezpečení, aby umožnily produkční provoz, který zatížení nástroje pro vyrovnávání zatížení sítě sdílí s backendy.

Nástroj pro vyrovnávání zatížení sítě OCI s backendy ve vzdálené oblasti

Nástroje pro vyrovnávání zatížení sítě OCI nyní podporují backendy, které jsou nasazeny ve vzdálené oblasti. Tato flexibilita může odemknout některé kreativní návrhy sítí. Zákazník může například nasadit podmnožinu backendů ve vzdálené oblasti, aby pokryl místní selhání instance nebo sítě.

Následující příklad ukazuje nástroj pro vyrovnávání zatížení sítě v oblasti OCI US-West s backendy ve vzdálené oblasti US-East. Kontrola stavu sady back-endu se spouští na portu TCP 80. I zde platí požadavky na směrování a seznam zabezpečení VCN uvedené v posledním scénáři návrhu, back-endy ve VCN prostřednictvím DRG. Musíte také propojit DRG ve dvou oblastech pomocí vzdáleného peeringového připojení (RPC). Pokud použijete automaticky generované směrovací tabulky DRG pro přílohy VCN a RPC tak, jak jsou, budou trasy VCN v obou oblastech automaticky šířeny na druhou stranu a importovány do směrovacích tabulek DRG pro přílohy VCN. Pokud jste provedli změny zásad distribuce importu v automaticky generovaných směrovacích tabulkách DRG nebo používáte své vlastní směrovací tabulky DRG pro přílohy VCN nebo přílohy RPC, ujistěte se, že vaše směrovací tabulky DRG mají potřebné zásady distribuce, aby směrování DRG tabulka pro importní trasy VCN z příloh RPC a naopak.

Diagram A: Konfigurace směrování a zabezpečení pro nástroj pro vyrovnávání zatížení sítě a backendové podsítě

Diagram B: DRG směrovací tabulky s potřebnými trasami

Nástroj pro vyrovnávání zatížení sítě OCI s místními backendy

Podpora pro on-premises backendy byla často požadovaným vylepšením pro vyrovnávání zatížení sítě OCI, protože zákazníci chtějí používat nástroje pro vyrovnávání zatížení sítě spravované OCI k škálování svých aplikací nebo služeb, které jsou hostovány v jejich místních sítích. Oblíbeným případem použití této schopnosti je nástroj pro vyrovnávání zatížení sítě OCI pro frontend clusteru místních serverů DNS, správu kapacity a zajištění redundance.

Následující diagram ilustruje tento koncept v praxi. Zobrazuje soukromé nastavení DNS, ve kterém jsou místní servery DNS backendy nástroje pro vyrovnávání zatížení sítě OCI. Místní síť je připojena k regionu OCI prostřednictvím virtuálních okruhů FastConnect.

Místní nasazení backendů.

V konfiguraci směrování v našem příkladu je kritické přidání statické trasy pro místní backendovou podsíť do směrovací tabulky podsítě nástroje pro vyrovnávání zatížení sítě. Dalším cílem této cesty je DRG.

Diagram také zdůrazňuje potřebné trasy v tabulkách DRG pro připojení VCN nástroje pro vyrovnávání zatížení sítě a připojení virtuálního okruhu FastConnect. Směrovací tabulka pro přílohu VCN nástroje pro vyrovnávání zatížení sítě potřebuje trasu pro místní backendovou podsíť s připojením virtuálního okruhu FastConnect jako dalším skokem, zatímco tabulka směrování pro přílohu virtuálního okruhu FastConnect potřebuje trasu pro nástroj pro vyrovnávání zatížení sítě. podsíť nebo VCN CIDR s připojením VCN pro vyrovnávání zatížení sítě jako další směr. Pokud použijete automaticky generované směrovací tabulky DRG pro tyto dvě přílohy s jejich výchozími zásadami distribuce importu, budou tyto trasy automaticky naplněny schopnostmi dynamického směrování DRG. Pokud jste změnili zásady distribuce importu těchto automaticky generovaných směrovacích tabulek nebo používáte své vlastní směrovací tabulky DRG, ujistěte se, že mají příslušné zásady distribuce importu, aby mezi sebou správně importovaly trasy, jako je například směrovací tabulka přílohy FastConnect importuje trasy. z přílohy VCN nástroje pro vyrovnávání zatížení sítě. Protože DRG se učí místní síťové trasy od zákaznického místního zařízení (CPE) prostřednictvím BGP, musíte také zajistit, aby směrování BGP na CPE bylo správně nakonfigurováno, aby inzerovalo místní backendovou podsíť do DRG.

Kontrola stavu v tomto příkladu používá protokol DNS a port UDP 53, jak je znázorněno na následujícím obrázku:

Kontrola stavu DNS

Kontrola stavu DNS je další nově přidaná funkce v OCI Network Load Balancer. Můj kolega Tim Sammut publikoval skvělý blog o použití nástroje OCI Network Load Balancer pro redundanci DNS a převzetí služeb při selhání (zde). Přečtěte si jej, abyste se dozvěděli více o případu použití DNS s OCI Network Load Balancer.

Služba DNS má tendenci generovat extrémně velké objemy krátkodobých připojení pro dotazy a odpovědi DNS mezi klienty a servery DNS. Mohou to být desítky tisíc nebo dokonce miliony požadavků nebo spojení za sekundu (CPS). Použití pravidel stavového seznamu zabezpečení pro provoz DNS při této vysoké rychlosti CPS může vyčerpat prostředky tabulky sledování připojení na nástrojích pro vyrovnávání zatížení sítě nebo na výpočetních hostitelích back-endu, které se používají k vynucení stavových pravidel. Nejlepším postupem pro službu DNS nebo jakékoli jiné služby s podobnými vysokými rychlostmi CPS je tedy použití bezstavových zásad zabezpečení, které vyžadují, aby uživatelé vytvořili explicitní pravidla povolení pro směry vstupu i výstupu. Následující obrázek ukazuje navrhovaná pravidla bezstavového seznamu zabezpečení pro podsíť nástroje pro vyrovnávání zatížení sítě nebo NSG nástroje pro vyrovnávání zatížení sítě v našem příkladu:

Zásady zabezpečení pro místní backendy DNS

Závěr

Vylepšení v tomto příspěvku úspěšně odstranila historická omezení spojená s backendy nástroje pro vyrovnávání zatížení sítě OCI a rozšířila jejich možnosti nasazení a možnosti připojení. Ve spojení s dalšími nedávno představenými funkcemi Network Load Balancer, jako jsou kontroly stavu DNS, tato vylepšení umožňují našim zákazníkům rozšířit rozsah aplikací OCI Network Load Balancer a umožňují nové případy použití. Tato vylepšení přispívají ke zjednodušení návrhu sítě zákazníků na OCI.

Zdroj: Oracle