Обзор

Балансировка нагрузки с Microsoft Azure бывает трех категорий; Балансировщик нагрузки Azure (балансировщик сетевой нагрузки), Шлюз приложений(балансировщик нагрузки приложений) и Traffic Manager(балансировщик нагрузки DNS). Azure идеально подходит для работы в облаке и может обслуживать трафик между локальной инфраструктурой. Однако у использования Azure для балансировки нагрузки есть много недостатков, и некоторые из них включают:

1. Сложность: Azure Load Balancer усложняет общую архитектуру приложения. Например, вам может потребоваться настроить несколько ресурсов с балансировкой нагрузки и управлять ими, настроить проверки работоспособности и правила балансировки нагрузки и поместить их в одну группу ресурсов. Настройка этих групп ресурсов требует высоких технических знаний, и при неэффективной работе некоторые системы могут выйти из строя.
2. Ограниченная настройка: Azure Load Balancer предоставляет набор ограниченных алгоритмов балансировки нагрузки и тестов работоспособности. Если вам нужно больше настроек, ищите другие варианты, такие как ZVNcloud.
3. Зависимость от Azure: Если вы используете Azure Load Balancer для балансировки трафика между локальными ресурсами и ресурсами Azure или между регионами Azure, вы будете зависеть от инфраструктуры и служб Azure. Это может быть проблемой, если вы стремитесь свести к минимуму свою зависимость от одного облачного провайдера.

Узнайте больше о сравнении ADC между ZEVENET и Microsoft Azure в этой статье: Сравнение Microsoft NLB и ZEVENET.

Предпосылки

Необходимо выполнить эти основные требования для переноса конфигураций из Azure в полнофункциональный ADC ZEVENET.

1. Экземпляр ZEVENET ADC должен быть установлен на вашем ПК, на «голом железе», в виртуальной среде или иметь активную ZVNcloud . Запросить оценку для локального развертывания.
2. Необходимо иметь доступ к графическому веб-интерфейсу. Если вы этого не сделаете, следуйте этому быстрому Инструкция по установке.
3. Нужно быть текущим пользователем Microsoft Azure и быть знакомым с концепциями, которые мы обсудим в разделе ниже.
4. Необходимо иметь возможность создать виртуальный сервер в балансировщике нагрузки ZEVENET. Вот краткое руководство: Конфигурация виртуального сервера уровня 4 и уровня 7.

Внимание
ZEVENET имеет шаблон в Облачная торговая площадка Azure по лицензии BYOL. Развертывание ZEVENET в облаках Azure происходит без проблем и не должно вызывать никаких проблем.

Базовые концепты

Зонд здоровья: Проверка работоспособности — это функция, используемая Microsoft Azure для проверки работоспособности экземпляра виртуальной машины и работающей на ней службы. Эти механизмы функционируют, отправляя ICMP и Конкретный протокол запросы к этим Экземплярам, ​​а в ответ они получают 200 Ok код состояния, показывающий, что служба работает нормально. ZEVENET использует Farmguardian возможность контролировать состояние здоровья Backends.

Балансировщик нагрузки Azure: Azure Load Balancer функционирует на уровне 4 (TCP / UDP). Чтобы создать балансировщик нагрузки уровня 4 в ZEVENET ADC, необходимо создать Ферма LSLB с L4xNAT профиль.

Шлюз приложений: Шлюз приложений позволяет управлять трафиком уровня 7, реализуя такие функции безопасности, как SSL-терминация и брандмауэр веб-приложений (WAF) для защиты приложения или базы данных от вредоносных атак, таких как SQL-инъекция или Межсайтовый скрипт(XXS). Чтобы создать балансировщик нагрузки уровня 7 в ZEVENET ADC, необходимо создать Ферма LSLB с HTTP профиль.

Менеджер трафика: Диспетчер трафика Azure позволяет администратору управлять распределением трафика между несколькими конечными точками службы в разных регионах. Этот модуль использует DNS для направления клиентских запросов к наиболее подходящей конечной точке на основе настроенного метода маршрутизации и текущего состояния конечных точек. ZEVENET ADC использует GSLB Ферма для маршрутизации трафика в различные центры обработки данных, расположенные в разных регионах.

Бэкэнд-пул: Бэкенд-пул — это группа ресурсов, которую можно использовать в качестве назначения для входящего трафика с балансировкой нагрузки. Эти ресурсы в основном представляют собой экземпляры виртуальных машин с кодом, обслуживающим запросы от клиентов через Интернет. Бэкенд-пул — это то же самое, что Сервис в ЗЕВЕНЕТ АЦП.

Экземпляр виртуальной машины: Экземпляр виртуальной машины — это конечный/целевой сервер, на котором обрабатываются клиентские запросы из Интернета. Эти серверы известны как Backends при использовании ZEVENET ADC.

Группа ресурсов: Группа ресурсов — это набор ресурсов в Microsoft Azure. Эти ресурсы могут быть зонды здоровья, виртуальные сети, виртуальная машина экземпляры и т. д. При использовании ZEVENET ADC нет необходимости создавать группу ресурсов, поскольку все ресурсы для создания полнофункционального балансировщика нагрузки интегрированы в ZEVENET ADC. Само устройство представляет собой набор ресурсов.

Примеры конфигураций: Защита от DDoS-атак

DDoS-атаки страшны! Никогда нельзя знать, когда Ботнет роевые атаки. Но в чем мы уверены, так это в том, что они стремятся вывести из строя всю систему, завалив ее потоком запросов. Эти запросы могут исходить от настольных компьютеров, серверов, устройств IoT или любых устройств, которые хакеры могут заблокировать в своей программе. Поскольку этот рой может возникать с миллионами устройств, часто бывает трудно отделить законных пользователей от ботов, особенно для атаки HTTP-флуда.

ZEVENET ADC разработан с защитой от DDoS с целью борьбы с такими атаками, как SYN-FIN флуд-атаки, Пинг смерти, HTTP-флуд, ICMP(ping) флуди многие другие сложные DDoS-атаки. Если вы используете Microsoft Azure, вы можете понять, что план защиты от DDoS выходит за рамки вашего бюджета и непредсказуем, поэтому вы можете переключиться на более стабильный план с ZEVENET ADC. В этом разделе мы обсудим, как настроить защиту от DDoS в ZEVENET ADC по сравнению с Microsoft Azure.

Конфигурации Microsoft Azure

Чтобы получить защиту от DDoS для специализированной виртуальной сети, нужно заплатить за отдельный план DDoS, и он должен использовать этот план с умом, так как счета могут легко накапливаться.

1. В строке поиска Azure введите Защита от DDoS.
2. Нажмите на План защиты от DDoS-атак.
3. Нужно нажать на Создавай кнопку, чтобы добавить план защиты от DDoS.
4. Выберите план подписки для вашей виртуальной сети.
5. Выберите группа ресурсов в котором находится ваша сеть.
6. Если вы Сведения об экземпляре, Введите экземпляр Имя и фамилия и Регион.
7. После заполнения этих данных необходимо нажать кнопку Обзор + Создать кнопку.
8. Предположим, вы уже настроили Виртуальная сеть в Azure, которую вы хотите отслеживать, перейдите к созданной виртуальной сети.
9. Нажмите на защиту от DDoS. Настройки этой сети.
10. По умолчанию стандартный план защиты от DDoS отключен. Нужно нажать на Включите переключатель.
11. Выберите План защиты от DDoS-атак И нажмите Сохраните кнопку.

ZEVENET Конфигурации

1. Чтобы создать защиту от DDoS в ZEVENET ADC, перейдите на IPDS раздел меню и нажмите, чтобы развернуть его.
2. Нажмите на DoS Вариант.
3. Нажмите на Создать правило DoS кнопку.
4. Введите Имя и фамилия который легко идентифицирует правило DoS.
5. Существует четыре правила DoS, выберите правило. В этом примере мы выберем Общее количество подключений на источник IP. И нажмите Применить кнопку.

   

6. Введите общее количество одновременных подключений, которое вы хотите, чтобы исходный IP-адрес имел после одного TCP-рукопожатия.
7. Нажмите Применить кнопку для сохранения настроек.
8. Из четырех правил защиты от DoS вы можете создать другие, следуя аналогичному процессу из строки 1. Эти другие правила включают в себя:
   • Проверьте поддельные флаги TCP
   • Общий лимит подключений на исходный IP-адрес.
   • Лимит RST запроса в секунду
   • Предел соединения в секунду.
9. После создания любого или всех правил нажмите кнопку Фермы вкладку в настройках каждого правила.
10. Перетащите Фермы, к которым вы хотите применить правило, из Доступные фермы раздела с Включенные фермы .

    

11. В правом верхнем углу есть Действия раздел. Нажмите Зеленая игра кнопку, чтобы правило вступило в силу. Статус цвет индикатора изменится с красного на зеленый

Подробнее о правилах защиты от DDoS-атак читайте в этой документации. IPDS | DoS | Обновить.

Пример конфигурации: мониторинг и оповещения

Наконец вы настроили частную сеть, балансировщик нагрузки, брандмауэр и проверки работоспособности. Что теперь? Как вы следите за метрика? Чтобы отслеживать каждое действие или использование ресурсов в контроллере доставки приложений, мы должны выполнить оценка данных. Мы должны отслеживать нагрузку трафика, использование ЦП и памяти, журналы активности, сетевые журналы и т. д. В целом, система мониторинга предоставляет системным администраторам платформу для наблюдения за тем, как трафик поступает и выходит из частной сети, а также работают ли серверы приложений. эффективно функционируют.

Система мониторинга является надежной, с визуализацией в виде графиков, круговых диаграмм, столбчатых диаграмм и т. д. Автоматизация этих данных может использоваться для запуска оповещения и уведомления по электронной почте в случае возникновения какой-либо угрозы безопасности.

В этом разделе мы обсудим, как использовать графики мониторинга для отслеживания активности в сети и приложений в ней. Мы обсудим мониторинг с помощью ZEVENET ADC по сравнению с Azure Monitoring.

Концепции мониторинга Azure и оповещений

В этом разделе мы обсудим дополнительные концепции мониторинга Azure. В следующем разделе мы будем использовать эти концепции для демонстрации мониторинга с помощью ZEVENET ADC.

Чтобы включить мониторинг в Azure, необходимо перейти к мониторинг раздел. Быстрый поиск через строку поиска приведет вас туда.

Данные мониторинга с помощью Azure поступают в различных форматах. Это может быть через Метрика, Оповещения, Журналы активности Системные журналы.

Компания Метрика раздел собирает данные из различных ресурсов в группы ресурсов. Можно настроить мониторинг для отслеживания использование сети, использование процессора, Использование памяти, Входящий и исходящий трафик, или средний скорость процессора.

An Оповещение уведомляет администратора через смс-сообщения или по электронной почте в случае необычной активности. Это может быть всплеск сетевого трафика, брутфорс-атаки и т. д.

Журналы активности помогите администраторам отслеживать такие действия, как запуск, остановка, включение, отключение виртуальных машин, изменение ресурсов, добавление групп ресурсов и т. д.

Журналы предоставить подробную информацию из основных приложений. Например, это могут быть журналы приложений, журналы базы данных или журналы виртуальных машин.

Давайте используем эти концепции с ZEVENET, чтобы показать, как вы можете отслеживать активность вашего балансировщика нагрузки.

ZEVENET Описания и конфигурации

Компания мониторинг модуль в ZEVENET ADC представлен 3 разделами, Графики, Статистика Farmguardians.

Графики

В разделе «График» представлена ​​графическая визуализация ресурсов, используемых устройством (Система), его сеть Интерфейсы, И индивидуальный Фермы настроен на балансировщике нагрузки.

Системные графики показывают аналитику о ЦП, нагрузка, Оперативная память SWAP Применение. Можно просмотреть количество ресурсов, использованных в течение дня, предыдущей недели, месяца или года.

На графике показано использование ресурсов ЦП за предыдущие 24 часа.

Раздел интерфейса отображает количество входящего и исходящего трафика балансировщика нагрузки за последние 24 часа, неделю, месяц или год на выбранном сетевом интерфейсе.

На графике показан входящий и исходящий трафик через интерфейс за последние 24 часа.

В разделе Фермы отображается общее количество в ожидании и Установленный подключения к ферме в течение предыдущего дня, недели, месяца или года с выбранной фермы.

На приведенном ниже графике показано общее количество ожидающих и установленных подключений к выбранной ферме за последние 24 часа.

Чтобы получить более подробное объяснение графиков мониторинга, прочитайте эту документацию: Мониторинг | диаграммы

Статистика

Раздел «Статистика» показывает числовое представление данных, показанных на графиках. Вот более подробное объяснение о Мониторинг статистики.

Farmguardian

Раздел Farmguardian позволяет настраивать проверки работоспособности для конкретной службы на своем узле ADC.
Давайте продемонстрируем, создав пользовательский SIP проверка здоровья.

1. Нажмите на Farmguardian подменю.
2. Введите подходящий Имя и фамилия который идентифицирует эту проверку работоспособности.
3. ZEVENET ADC уже имеет контрольный глоток монитор здоровья. Нажать на Копия фармгарда поле и выберите контрольный глоток шаблон. Если вы хотите выполнить полностью настраиваемую проверку работоспособности, которой нет в балансировщике нагрузки, оставьте для параметра Копировать проверку работоспособности Farmguardian значение –Нет фармгарда–
4. Нажмите Применить кнопку.
5. Оставь Command неизменный. Для полностью настраиваемой проверки работоспособности введите пользовательскую команду для выполнения проверки работоспособности.

1. Редактировать Истек и Интервал до подходящего значения.
2. Нажмите на Включить журналы Кнопка-переключатель.
3. Нажмите Применить Кнопка для создания пользовательской проверки работоспособности.

Дополнительные ресурсы

Конфигурация брандмауэра веб-приложений.
Настройка SSL-сертификатов для балансировщика нагрузки.
Использование программы Let's encrypt для автоматической генерации SSL-сертификата.
Балансировка нагрузки канала передачи/восходящего канала с помощью ZEVENET ADC.
Балансировка нагрузки DNS с помощью ZEVENET ADC.