3 votes

jonathanserafini avatar

Recommandation d'un routeur pour virtualiser 800 IPs

Demandé el 19 de Février, 2011
Quand la question a-t-elle été
331 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai récemment envisagé d'acquérir de nouveaux équilibreurs de charge pour notre environnement, car nous prévoyons de doubler notre clientèle au cours des 12 prochains mois.

Actuellement, nous avons 400 IPS publics qui servent 800 clusters (2 clusters/IP en raison des ports) sur des équilibreurs de points Coyote, et distribuent les connexions à 3 serveurs web qui servent environ 6GBytes sortants et 2Gbytes entrants par jour. Si nous doublons le nombre d'IPS, cela fera environ 800 IP, peut-être 1600 clusters, et environ 6 serveurs par cluster (pour un total de 9600 soi-disant "vrais serveurs" en utilisant le jargon de Barracuda).

En raison de la quantité de clusters, la plupart des solutions que j'ai examinées (Coyote, Barracuda, Loadbalancer.org) ne semblent pas sûres de pouvoir gérer la croissance prévue, principalement en raison des contrôles de santé effectués sur les serveurs... ce qui est tout à fait logique quand on y pense.

Les bonnes gens de loadbalancer.org nous ont donc recommandé de décharger les 400 à 800 IP publiques, dont nous avons besoin pour les solutions de commerce électronique SSL, sur un routeur orienté vers l'avant. À partir de là, le routeur pourrait faire quelques manipulations pour router EXT_IP:443 vers INT_IP:INT_PORT, ce qui nous permettrait de réduire la configuration de l'équilibreur de charge à 1 ou 2 clusters, résolvant ainsi le problème du contrôle de santé.

Est-ce que cette idée a du sens pour vous ? Ou avez-vous d'autres recommandations à faire ?

Deuxièmement, quel routeur recommanderiez-vous pour une telle entreprise ? Je chercherais quelque chose qui a une forme de mécanisme de basculement intégré.

Dans un autre ordre d'idées, je dois admettre que je suis extrêmement satisfait des réponses que j'ai reçues de loadbalancer.org. Leurs réponses à mes questions étaient étonnamment utiles (je n'ai pas eu l'impression de parler à un vendeur qui essayait de me pousser à quelque chose). ( Non je ne travaille pas pour eux, et malheureusement et ils ne m'envoient pas non plus de matériel gratuit).

Demandé el 19 de Février, 2011 par jonathanserafini

Réponses

Trop de publicités?

2voto

NegativeFriction avatar
NegativeFriction Points 293

J'ai fait pratiquement la même chose en utilisant vyatta.

J'ai fait la même chose en utilisant pfsense - mais vyatta est peut-être un peu plus mature pour des raisons de support.

Le coût est très faible par rapport aux autres options... envoyez-moi un courriel pour plus de détails.

Répondu el 20 de Février, 2011 par NegativeFriction (293 Points )

1voto

Chopper3 avatar
Chopper3 Points 99341

Je suggérerais les ACE/ASA de Cisco, les ServerIron de Foundry (maintenant Brocade) et les ZXTM de Zeus (qui sont coûteux, mais qui ont un coût élevé). maudite rapide et compétent.

Toutes ces solutions peuvent répondre à vos besoins, mais aucune n'est gratuite.

Répondu el 19 de Février, 2011 par Chopper3 (99341 Points )

1voto

munaz avatar
munaz Points 23

J'ai une configuration un peu similaire, où j'ai la plupart d'un bloc d'IPs /22 défini sur un boîtier F5 BigIP, avec un mappage un à un de l'IP externe vers un numéro de port interne sur chacune de mes machines backend.

Dans mon cas, les ports faisaient tous partie de la même instance Apache -- j'ai défini des contrôles de santé uniquement pour le port de base. S'il n'était pas opérationnel, aucun des autres ne l'était non plus, ce qui faisait échouer la rotation de tout le nœud backend.

Vous pourriez utiliser un routeur frontal comme vous le décrivez pour effectuer ce travail de NAT, mais vous auriez toujours besoin de définir des clusters pour chaque combinaison intermédiaire hôte:port -- avec l'état actuel de la prise en charge de SNI dans les clients, lorsque vous utilisez SSL, vous avez besoin d'un certificat mappé à un port. En général, le port est 443, ce qui permet de faire une IP par site, mais avec la couche intermédiaire du routeur/LB, vous pouvez déplacer librement les ports, mais vous devez en avoir plusieurs centaines.

Répondu el 20 de Février, 2011 par munaz (23 Points )

0voto

Ask Bjørn Hansen avatar
Ask Bjørn Hansen Points 460

Nous utilisons à la fois Vyatta (comme routeur BGP) et pfSense (pare-feu/NAT/VPN) et, à partir de la semaine prochaine, les appliances loadbalancer.org (répartition de la charge) :-)

Le problème n'est-il pas que vous avez besoin d'un système hautement disponible avec basculement pour des milliers d'IP et de certificats SSL ? Vyatta et pfSense (etc.) se contenteront de faire le transfert de port, mais il faut aussi appliquer le "transport" SSL, non ? Si Coyote/Loadbalancer.org/etc ne peut pas le faire, vous devrez soit dépenser beaucoup d'argent pour l'un des fournisseurs les plus chers (en supposant qu'ils le puissent...) ou (mieux ?) "construire votre propre système".

Utilisez keepalived pour déplacer les adresses IP entre un petit nombre de boîtes et faites en sorte que, par exemple, nginx fonctionne comme un proxy SSL qui renvoie les requêtes à votre équilibreur de charge (sur tout port approprié). Il peut même définir/forcer certains en-têtes, de sorte que la configuration de votre équilibreur de charge peut rester très simple et vous n'avez qu'à vérifier ces en-têtes sur votre backend.

Répondu el 2 de Mars, 2011 par Ask Bjørn Hansen (460 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X