一步步实现SDDC-Edge负载均衡

Posted 大居学V

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了一步步实现SDDC-Edge负载均衡相关的知识,希望对你有一定的参考价值。

实验摘要:

1>In-Line Edge负载均衡器的配置 [难度复杂度]

2>One-Arm Edge负载均衡器的配置 [难度★复杂度★★★]


正文:

在上一篇的介绍中,迷你SDDC环境的逻辑网络和物理网络已经实现三层互通,具备了部署业务的基本条件。

在实际业务场景中,出于系统稳定性和可用性的考量,企业会选择部署负载均衡器来实现业务负载平衡。拿NSX DC产品来说,既支持与第三方硬件厂商解决方案的集成(如F5),也可以选择由NSX DC原生组件承载负载均衡器的角色。

如下图所示,我将部署2台Edge,分别作为Web业务服务器和App业务服务器的负载均衡设备:

其中Web业务服务器的负载均衡设备,将由上一篇文章中演示创建的dev-esg承载,可以看到该Edge串联在逻辑网络中,所有的流量均会经过该设备,是一台In-Line负载均衡器。

在本文中,我还将新建一台Edge Services Gateway,但不将它串联进逻辑网络,而是选择以单臂或者说旁挂模式连接到dev-app-tier逻辑交换机上,只有相关的访问流量才会经过该负载均衡器。

对于NSX-T来说,包括负载均衡在内的多种服务,可以通过T0 SR或者T1 SR实现,在以后的分享中,我也会演示在NSX-T的使用场景下,如何实现多台服务器的负载均衡。


主题:迷你SDDC环境搭建

任务32:In-Line Edge负载均衡器的配置


现在,我将首先演示利用上篇部署的dev-esg,部署承载Web服务的负载均衡器。

一步步实现SDDC-Edge负载均衡

  • 进入到Load Balancer负载均衡器配置界面,在默认的Global Configuration页面,点击Edit编辑全局设置

一步步实现SDDC-Edge负载均衡

  • 勾选Enable Load Balancer,激活这台Edge的负载均衡功能

一步步实现SDDC-Edge负载均衡

  • 进入Application Profiles页面,创建一个应用配置文件

一步步实现SDDC-Edge负载均衡

  • NSX DC支持七层负载均衡,定义配置文件名为profile-web-vms,类型为七层协议HTTP;

  • 一般来说,为了统计访问量,可以选择勾选插入X-Forwarded字段;同时,管理员可以出于对安全的考量,为HTTP通信加密,客户端将会通过HTTPS协议访问业务。

一步步实现SDDC-Edge负载均衡

  • 完成应用配置文件定义后,进入Pools页面,点击绿色加好,添加负载均衡的服务器池

一步步实现SDDC-Edge负载均衡

  • 定义服务器池命名为pool-web-vms,将Web01和Web02添加到这个服务器池,作为负载均衡的成员服务器;管理员也可以为负载均衡定义多种算法,如常见的Round-Robin

一步步实现SDDC-Edge负载均衡

  • 完成添加操作后,服务器池将会自动编号并出现在Pools页面的清单中;管理员可以编辑服务器池,添加新的成员服务器

一步步实现SDDC-Edge负载均衡

  • 点击绿色加号,创建虚拟服务器

一步步实现SDDC-Edge负载均衡

一步步实现SDDC-Edge负载均衡

  • 将虚拟服务器与之前定义的应用配置文件profile-web-vms和服务器池pool-web-vms关联;

  • 如果管理员希望借助HTTPS加密访问流量的,可以选择HTTPS作为访问协议,端口默认是443,前提是至少创建了一张自签名证书或者上传了服务器证书,用于HTTP流量的加密

一步步实现SDDC-Edge负载均衡

完成上述配置后,当用户访问http://172.20.12.200,In-Line负载均衡器会把访问流量负载均衡到Web01服务器或Web02服务器。

一步步实现SDDC-Edge负载均衡


主题:迷你SDDC环境搭建

任务33:One-Arm Edge负载均衡器的配置

阶段1:部署One-Arm Edge Services Gateway


在实现Web服务器负载均衡后,我们还需要对App服务器实现负载均衡,这个功能将由一台One-Arm单臂ESG实现。

与之前部署dev-esg步骤类似,首先要部署一台Edge Services Gateway设备,并命名为dev-lb-app:

  • 过程基本与创建dev-esg相同,我就不赘述了,请各位参看截图

一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡

  • 由于这台Edge是以单臂模式实现负载均衡,不需要串联进逻辑网络,因此只需要定义一个Internal Interface内部接口即可

一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡

  • 只有一个内部接口的Edge设备无法定义默认的网关

一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡

  • 确认dev-lb-app各项设置无误后,点击完成,等待dev-lb-app设备部署完成

一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡


主题:迷你SDDC环境搭建

任务33:One-Arm Edge负载均衡器的配置

阶段2:One-Arm Edge负载均衡器的配置


现在,我将借助刚才部署的dev-lb-app,实现App01和App02两台虚拟机的负载均衡。

  • 同样地,首先在全局配置下,激活dev-lb-app Edge的负载均衡功能

一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡

  • 定义应用配置文件;与之前的设置不同,这次是针对4层的负载均衡,因此选择类型为TCP

一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡

  • 定义服务器池pol-app-vms,将App01和App02设置为池成员

一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡

  • 在我的演示环境中,App01服务器和App02服务器对外以TCP80端口提供服务

一步步实现SDDC-Edge负载均衡

  • 同样的,管理员日后可以编辑该服务器池,添加新的App服务器,实现多服务器的负载均衡

一步步实现SDDC-Edge负载均衡

一步步实现SDDC-Edge负载均衡


一步步实现SDDC-Edge负载均衡

至此,One-Arm负载均衡器的配置基本结束;

不知道是否有细心的朋友发现,在dev-lb-app设备的部署和配置过程中,有一个会对业务产生致命影响的漏洞存在。

对此,我先卖个关子,请各位先浏览下文的测试内容:

一步步实现SDDC-Edge负载均衡

  • 访问Web01虚拟机的命令行,进行相同的测试,可以发现Web01无法与dev-lb-app实现三层互访;

    如果管理员在Web02进行测试,其结果也是相同的;在“文中,我们验证过:dev-web-tier与dev-app-tier之间的三层互访,已经由dev-dlr这台分布式逻辑路由器实现;为什么现在Web01和dev-lb-app之间无法互通呢?

一步步实现SDDC-Edge负载均衡

原因很简单:

一步步实现SDDC-Edge负载均衡

  • 完成静态路由的设置后,不要忘记发布更改

一步步实现SDDC-Edge负载均衡

一步步实现SDDC-Edge负载均衡

演示了两种负载均衡模式的部署和配置后,各位不难发现:虽然负载均衡的模式不同,但是配置步骤基本相似;如果管理员对One-Arm负载均衡进行网络流量分析,看到的数据流是否与之前In-Line负载均衡模式下的相同呢?

一步步实现SDDC-Edge负载均衡

上图所示,是一个典型的One-Arm负载均衡架构,数据流走向包括:


在Web服务器和App服务器的负载均衡设置均完成后,通过JUMP服务器访问http://172.20.12.200,用户可以看到如下界面:

  • 演示环境一共有5台虚拟机,分别是2台Web虚拟机,2台App虚拟机和1台DB虚拟机;

  • 一共有2台负载均衡设备(Edge),分别承载Web业务和App业务的负载均衡

  • 当前用户在访问3Tier应用的时候,是通过Web02-App01-DB01的服务器链实现业务访问的

一步步实现SDDC-Edge负载均衡

当然,在实际的生产环境中,一般会对HTTP访问进行加密,同时以域名代替IP的方式发布给用户。

下方是迷你SDDC环境所有涉及到的服务器和虚拟机清单:

除此以外,出于对安全性的考量,我还需要为3-Tier-App业务设置分布式防火墙规则,借助于NSX的安全微分段实现对业务虚拟机的保护;

  • 规则示例如下:

规则命名

目的

服务/端口

策略

生效对象

备注

Allow-any-to-web

Any

Dev-Web-Tier

HTTP

In/

Allow

Dev-Web-Tier


Allow-web-to-appvip

Dev-Web-Tier

APPVIP

HTTP

In/

Allow

Dev-App-Tier


Allow-appvip-to-app

APPVIP

Dev-App-Tier

HTTP

In/

Allow

Dev-App-Tier


Allow-app-to-db

Dev-App-Tier

Dev-DB-Tier

mysql

In/

Allow

Dev-DB-Tier


Block-others

Any

Dev-Web-Tier

Dev-App-Tier

Dev-DB-Tier

Any

In/Block

Dev-Web-Tier

Dev-App-Tier

Dev-DB-Tier


由于我对迷你SDDC环境承载的3-Tier-App业务非常了解,根据Web-App-DB的网络数据流走向,我可以比较快速和精准地完成分布式防火墙规则的设置;

通过上述示例和下图,各位不难发现,VMware NSX DC的软件定义防火墙规则可以针对任何虚拟化参数进行设置,其中包括:安全组、七层应用、固定IP、逻辑交换网络、四层端口等;强大的灵活性,也是NSX DC分布式防火墙吸引用户选择的原因之一

那么问题来了:

如果您是一位刚入职的安全管理员,对之前已经上线的业务并不十分了解您该如何借助VMware NSX DC解决方案,定义分布式防火墙规则,精准快速地实现对业务的安全防护呢?
在本系列的最后一篇分享中,我将演示在VMware NSX DC与vRealize Network Insight集成的架构中,如何精准快速地实现安全微分段,实现对业务的安全防护,敬请期待~

以上是关于一步步实现SDDC-Edge负载均衡的主要内容,如果未能解决你的问题,请参考以下文章

使用 负载均衡器 Ribbon 实现负载均衡

循序渐进讲解负载均衡vivoGateway(VGW)

使用Nginx实现负载均衡

VRRP的负载均衡模式(一)

怎么实现服务器的负载均衡

负载均衡原理与技术实现