Em uma configuração SLB de um braço, o SNAT é usado para forçar o tráfego de retorno a passar pelo SLB. Isso tem um aspecto negativo: simplesmente que os logs da web não podem capturar o IP do cliente verdadeiro, a menos que sejam passados no cabeçalho XFF (X-Forwarded-For) e o servidor da web possa fazer logon.
Uma alternativa é usar o PBR (roteamento baseado em políticas) para obter o tráfego de retorno de volta ao SLB, mas tento evitar o PBR, a menos que não exista outra / melhor solução Na plataforma 6500E com SUP720 / PFC3B - e eu sei o particular A versão do IOS também pode ser um fator - o PBR adiciona alguma latência ao fazer o SNAT, assumindo que o PBR é todo feito em hardware? Se o PBR for feito em hardware usando apenas os comandos suportados por ele hoje, é possível que o upgrade do IOS no futuro possa mudar o PBR para ser feito em software / comutado por processo?
Hoje, nossos balanceadores de carga têm a maioria das VLANs de servidores da Web diretamente atrás deles - g / w padrão apontando para SLB - e outros servidores como SQL em VLANs não SLB. No entanto, esse tráfego da web sql transita pelo SLB. Nosso objetivo seria evitar cruzar o SLB e apenas manter o tráfego SQL separado e ainda manter o verdadeiro cliente nos logs da web. Prefiro não introduzir a complexidade da solução de problemas com o PBR e possivelmente ter essa alteração de hardware para software processada no futuro. Com exceção do XFF e do SNAT mencionados anteriormente, a PBR é a única opção aqui e qual é a melhor maneira de manter a PBR bem configurada?
fonte
Respostas:
O Sup720 suporta PBR em HW , a latência adicional (se houver) é insignificante porque o PBR não adiciona mais filas de interface. Acho que a PBR tornaria as coisas mais difíceis do que precisam (e ainda não tenho certeza se funcionaria ... as especificidades dessa opção não são totalmente claras)
PBR não é a única opção. Sua opção proposta não é clara, mas o PBR normalmente se resume a nada mais do que uma maneira mais sofisticada de fazer o roteamento estático.
Normalmente, essa é a melhor topologia para serviços com balanceamento de carga que requerem consultas SQL ...
Diagrama:
Essa topologia possui benefícios adicionais:
Qualquer topologia de balanceador de carga com um braço é uma opção menos desejável, pois você acaba cortando pela metade o rendimento máximo por causa da topologia com um braço.
Edição para pergunta sobre HW vs SW comutação no Sup720
Este é um tópico profundo, mas darei a versão resumida ... Sup720 aplica uma ACL em cada direção (entrada / saída) e a ACL deve caber no TCAM com base no algoritmo de mesclagem escolhido pela plataforma. O Gerenciador de recursos do Sup720 (ou seja, fm) é responsável por mediar os recursos no TCAM e informar se você tem uma adjacência de pontapé (ou seja, comutação SW) ou se a combinação de protocolo e direção é alternada no HW. Para isolar se
show fm fie int <L3_intf_name> | i ^Interf|Result|Flow|Config
(você deve examinar as direções de entrada e saída para todas as interfaces na Etapa 1 ). Seu tráfego será HW comutado se os valores no CAPS corresponderem aos valores que você vê abaixo ... observe que a saída do comando que estou usando é muito semelhante à que você vê emshow fm fie summary
...A interface acima não mostra a saída de saída, mas isso é irrelevante ... a saída é semelhante à direção de entrada. Ricky Micky escreveu uma excelente explicação da 'interface sh fm fie' se você quiser obter mais detalhes sobre a dinâmica dos resultados de mesclagem / bancos do TCAM.
fonte
sh fm fie summary
... ou ler a minha resposta para mais informações ...Se o seu balanceador de carga oferecer suporte, o Direct Server Return também faria o que você deseja. Ele precisa ser suportado pelo seu balanceador de carga e há algumas preocupações com o sistema operacional. Isso envolve a colocação de interfaces de 'loopback' em cada servidor com todos os endereços IP do VIP, o balanceador de carga e os endereços reais do servidor, usando apenas o endereço MAC do servidor real para encaminhar o pacote, pois o servidor possui a interface de loopback com o VIP nele, o servidor aceita o pacote.
Você precisa consultar o documento do fornecedor LB específico e suas equipes de servidores devem poder gerenciar o adaptador virtual (não usamos esse recurso porque não achamos que nosso provisionamento de servidor automatizado pudesse gerenciar um adaptador de loopback da Microsoft.
Mas isso não usa o NAT no LB e você não precisa fazer o PBR.
fonte