Kemp LoadMaster Guia Prtico 2014 v1.1 Renato Pesca renato.pesca@alog.com.br 1.Topologias One Armed Balancer Figura 1: Topologia single-armed. Esta topologia mostra que as mquinas reais fazem parte da mesma rede dos nsvirtuais.NofazsentidotrabalharcomSNATemconfiguraescomo esta, assim como no se aplica a configurao em DSR (visto adiante). Atransparncianofuncionarcomclienteslocalizadosnamesmarede lgicadoLoadBalanceemumaconfiguraoDSR.Elatambmno suportadaquandoosclientesestolocalizadosnamesmaredelgicaeo Load Balance em uma configurao de NAT. Two-Armed e Multi-Armed Balancer Figura 2: Topologia two-armed. Figura 3: Topologia two-armed em HA. Direct Server Return (DSR) Figura 4: Topologia single-armed para DSR. Neste caso, as seguintes etapas ocorrem: Requisio recebida pelo Load Balance Requisio roteada para o Server 1 (exemplo) Server1respondediretamenteaocliente,semretornarpeloLoad Balance Obs:estacaractersticasdeveserutilizadaseoservidorrealpuder responderaosclientesdiretamente,sematravessaroLoadBalance;anica opo de persistnciasuportada aquelabaseada noIPfontedarequisio (SourceIPAddress);DSRumaopodeLayer4,ouseja,nopossvel balancear usando a camada de aplicao (Layer 7). 2. Acesso Internet dos Real Servers Emtopologiastwo-armedemulti-armedinteressantequeosns tenham acesso Internet atravs do balancer. UsandoSNATobalancermapeartodasasconexesoriginadasdos servidoresreaisfazendo-asparecercomotendosidooriginadasnele atravs do IP configurado na interface eth0 ou do IP associado ao VIP. Obs: o uso de SNAT em configuraes single-armed no recomendado. Figura 5: Topologia two-armed. 3.BalanceamentodeServidoresno-pertencentessSubredes Configuradas no Appliance Balanceamento de servios localizados em redes que no fazem parte das interfaces locais tambm permitido. Para tal, em uma configurao de Virtual Service marque a caixa Force L7 Habilitebalancingdeservidoresquenoresidemnamesmasubrededo applianceemSystemConfiguration>MiscellaneousOptions>Network Options > Enable Non-Local Real Servers . Figura 6: Topologia two-armed para servidores no pertencentes sub-rede do Load Balance. 4.Algoritmos de Balanceamento Round Robin Asrequisiessodistribudassequencialmenteentreasmquinas disponveis no pool. Atente-sedequeosservidoresdevemsuportarademandadeforma equilibrada,casocontrriomquinasincapazesdeatenderatodasas requisies podem ser sobrecarregadas. Weighted Round Robin AtribuipesosaosnsreaisemRoundRobin.Exemplo:paraum servidorcompeso100eoutrocompeso50,antesqueosegundo receba a primeira requisio, o primeiro j recebeu duas consecutivas. Least Connection Asrequisiessodistribudascombasenasconexesquecada servidormantmatomomento.Oservidornoclustercommenor nmero de conexes automaticamente recebe o prximo pedido. Weigthed Least Connection Seosservidorespossuremdiferentescapacidadesdecargaa atribuiodepesosproporcionaoconsumomaisoptimizadode recursos. Estealgoritmoutilizaataxadonmerodeconexesparadefiniro peso atribudo ao servidor. Agent Based Adaptative Balancing Checaoestadodosservidoresemintervalosregularesdetempo independentemente dos pesos configurados. Obalancerperiodicamentechecaoloaddosistemaemtodosos servidores, onde cada mquina deve fornecer um arquivo que contm umvalornumricoentre0e99representandooloadatual(obalancer requisita este arquivo atravs do mtodo HTTP GET). EmperododebaixotrfegoobalancerusaoalgoritmoWeighted RoundRobin,quandooloaddetodososservidoresalcanaumvalor definidopeloadministrador;acimadestevalorelealteraoalgoritmo para Adaptative Balancing. Emperodosnormaisoalgoritmocalculaospesosbaseadonosloads coletados de todos os servidores. Fixed Weighted Quantomaioropesoatribudoaumn,maiorprioridadeeleterno recebimento das prximas requisies. 5.Persistncia Persistnciaconsisteemrequisiesdeumclienteindividualenviadaspara ummesmoservidornopooldemquinas.Elanoativaporpadro, aparece como uma opo configurvel para cada Virtual Service. SempersistnciaoLoadMasterdirecionarotrfegodeacordocomo algoritmo de balanceamento utilizado. Figura 7: Acessos sem persistncia. Figura 8: Acessos com persistncia. OajustefeitoporVirtualService,nateladeediodoVirtualService sobogrupoStandardOptions,menudrop-downquemostratodasas opes disponveis para persistncia. Para cada mtodo de persistncia h um parmetro de timeout que pode ser configurado. 5.1. Mtodos de Persistncia Layer 4 Source IP Address Mtodomaissimplesde persistncia,queconsidera o endereoIP deorigemparadiferenciarosusurios,operandocomtodosos protocolos TCP, inclusive aqueles que no so baseados em HTTP. Source IP Netmask DeterminaquoprecisooLoadMastersercomoendereoIP origem para definir a persistncia, baseado na mscara de rede. Figura 9: Configurao de persistncia em Source IP Address. Desvantagens (drawback) H situaes para as quais o mtodo Source IP Address no trabalha bem:muitos usurios conectando do mesmo IP origemum usurio trocando seu IP A persistncia em Layer7 resolveria estes problemas, porm somente paraoprotocoloHTTP(ouHTTPSquandoasessoencerradapelo LoadMaster). 5.2. Mtodos de Persistncia em Layer 7 Source IP Address Usadocomumachave(key)paraapersistnciajuntocoma mscara de rede: netmask+k. Quandoamscara255.255.255.255(padro),issodefineuma persistnciaparacadaendereoIPindividual,casocontrriocada grupodeendereosIPserredirecionadoparaomesmoservidor real. Super HTTP O balancer checa os campos User-Agent e Authorization Header doprotocoloHTTP,sepresentes,ondeconexescomamesma combinao de headers so associadas com o mesmo servidor real. URL Hash Persistence OLoadMasterenviarasrequisiescomamesmaURLparao mesmo servidor real. HTTP Host Header O balancer enviar mesma mquina real requisies com o campo HTTP Host configurado para ele. Hash of HTTP Query Item TodasasqueriescomomesmoQueryItemseroassociadasao mesmo servidor real. Obs:QueryItemrepresentaumainspeonaURL(URLQuery String) para um determinado valor. Selected Header O balancer checa os campos User-Agent e Authorization Header doprotocoloHTTP,sepresentes,ondeconexescomamesma combinao de headers so associadas com o mesmo servidor real. Consideraes sobre HTTPS/SSL SeaconexoSSLnointermediadapeloLoadMasterasnicas opesdisponveissoSourceIPAddresseSSLSessionID Persistence, caso contrrio (o LoadMaster intermedia as conexes) todas as opes de persistncia podem ser utilizadas. 6.Criao de HTTP Virtual Servicesi Do menu principal, selecione Virtual Services. Em Virtual Services, clique no boto Add New. Para o campo Virtual Address, digite o IP e defina a porta 80. CliquenobotoAddthisVirtualServiceparaconfigurar Properties for x.y.z.w:80. Defina o Service Nickname, clicando no boto Set Nickname em seguida. CliquenobotoAddNewemRealServerparaadicionaro primeiro n real. DigiteoIPparaRealServerAddressecliquenobotoAddthis Real Server. CliquenaopoView/ModifysobaabaVirtualServicesno menu principal. VerifiqueseoVirtualServiceaparececomIPvirtualeporta corretos, e o status dos real servers (Up ou Down). 7.Criao de HTTPS Virtual Servicesii Do menu principal, selecione Virtual Services. Em Virtual Services, clique no boto Add New. Para o campo Virtual Address, digite o IP e defina a porta 443. CliquenobotoAddthisVirtualServiceparaconfigurar Properties for x.y.z.w:443. Defina o Service Nickname, clicando no boto Set Nickname em seguida. MarqueacaixaEnableparaSSLAccelerationnaseo Properties Caso apareca amensagemThereisnoSSLcertificatefilecurrently availablefor Virtual Servicex.y.z.w.Atemporarycertificatewill be used until a valid certificate is installed, ignore-a. CliquenobotoAddNewemRealServerparaadicionaro primeiro n real. DigiteoIPparaRealServerAddressecliquenobotoAddthis Real Server, e mantenha a porta 80. CliquenaopoView/ModifysobaabaVirtualServicesno menu principal. VerifiqueseoVirtualServiceaparececomIPvirtualeporta corretos, e o status dos real servers (Up ou Down). 8.Front-End Services Proporcionam melhor uso da banda e recursos dos servidores. Consiste em: Cache Poupaprocessamentoebanda,poisreduzonmerode requisies aos servidores reais. PodeserativadoparaHTTPVirtualServiceseHTTPSVirtual ServicesemAdvancedPropertiesdoVirtualService, habilitando a caixa Enable Caching. Obs:somentecontedoestticoserarmazenado; requisiescomheaderno-cachenosofrerocachede acordocom a RFC 2616; no h monitorao para mudanas nosarquivos,ouseja,ouvocutilizaF5pararecarregara pginaatualizadanoseunavegador,ouentodesabilitae habilita a caixa Enable Caching. A quantidade de memria para o cache pode ser configurada em Advanced Properties do Virtual Service em questo. Figura 10: Acessos com e sem cache. Figura 11: Configurao de cache. Figura 12: Ajuste de tamanho de cache. Compresso de Dados Utilizacompressogzip,reduzindoassimaquantidadede dadostrafegadaentreoLoadMastereosnavegadorese consequentementeoconsumodabanda.Esterecurso suportadoparatodososarquivos,pormonavegadordeve suportar compresso. OrecursopodeserativadoemAdvancedPropertiesdo Virtual Service, ativando a caixa Enable Compression. Figura 13: Acessos com e sem utilizao de compresso. 9.Consideraes sobre SSL SSLAccelerationfazcomqueasessoSSLsejaestabelecidano LoadMaster.IssopermitequeosservidoresreaisnousemSSLequeo LoadMasterefetuebalanceamentonacamadadeaplicao(Layer7 Balancing). Sem isso os headers no podem ser lidos j que SSL implica encriptao de todos os dados de acesso. 10. Health Checking OLoadMasterutilizaLayer3,Layer4eLayer7paramonitorara disponibilidade dos servidores reais. Quandoumservidornorespondeemumintervalodetempoum determinadonmerodevezes,consideradoindisponveleseupeso ajustado para zero.IssosignificaqueeleremovidodalistadeservidoresreaisdoVirtual Service,retornandoquandoohealthcheckconsiderarqueeleest disponvel novamente. Health checks baseados em servios (Layer 7) impedem que uma mquina realsejaremovidadopooldetodososVirtualServicescasooshealth checks sejam diferentes. Segueabaixoumatabelaquemostraostiposdisponveiseascamadas associadas a eles: CamadaTipo 3ICMP 4TCP 7FTP 7TELNET 7SMTP 7HTTP 7HTTPS 7POP3 7NNTP 7IMAP 7DNS 7RPD 11. Configuraes via Interface Grfica de Usurio Login Figura 14: Acesso Interface Grfica de Configurao. Criao de Virtual Service Figura 15: Virtual Services. Figura 16: Parmetros de um Virtual Service. Adio de Real Server Figura 17: Parmetros de um Real Server. Modificando um Virtual Service Existente Figura 18: Configuraes detalhadas de um Virtual Service. Compreendendo o status de Virtual Servers No mnimo h um servidor real disponvel. No h servidores reais disponveis. Todos os servidores reais esto down e o trfego est sendo roteado por um servidor em separado. O servidor foi administrativamente desabilitado. Foi configurada uma resposta de redirecionamento. Foi configurada uma mensagem de erro. O administrador desabilitou a checagem dos servidores reais. i Este passo-a-passo pode ser utilizado para criar um Virtual Service que tambm sirva requisies HTTPS caso Layer 7 esteja ativo. Para isso, em Extra Ports configure a porta 443. ii Conexes intermediadas pelo LoadMaster, ou seja, haver necessidade de instalar certificados digitais no appliance. Esta no a forma mais utilizada na ALOG.