ADC

Cas d’utilisation 3 : configurer l’équilibrage de charge en mode de retour direct du serveur

L’équilibrage de charge en mode DSR (Direct Server Return) permet au serveur de répondre directement aux clients en utilisant un chemin de retour qui ne passe pas par l’appliance NetScaler. En mode DSR, toutefois, l’appliance peut continuer à effectuer des contrôles de santé sur les services. Dans un environnement à volume de données élevé, l’envoi du trafic du serveur directement au client en mode DSR augmente la capacité globale de traitement des paquets de l’appliance car les paquets ne transitent pas par l’appliance.

Le mode DSR présente les fonctionnalités et limites suivantes :

  • Il prend en charge le mode à un bras et le mode intégré.
  • L’appliance vieillit les sessions en fonction du délai d’inactivité.
  • Étant donné que l’appliance ne fournit pas de proxy aux connexions TCP (c’est-à-dire qu’elle n’envoie pas SYN-ACK au client), elle n’arrête pas les attaques SYN. En utilisant le filtre de débit de paquets SYN, vous pouvez contrôler le taux de SYN sur le serveur. Pour contrôler le taux de SYNs, définissez un seuil pour le taux de SYNs. Pour vous protéger contre les attaques SYN, vous devez configurer l’appliance pour qu’elle utilise un proxy pour les connexions TCP. Toutefois, cela nécessite que le trafic inverse passe par l’appliance.
  • Dans une configuration DSR, l’appliance NetScaler ne remplace pas l’adresse IP du serveur virtuel d’équilibrage de charge par l’adresse IP du serveur de destination. Au lieu de cela, il transfère les paquets à un service en utilisant l’adresse MAC du serveur. Le VIP doit être configuré sur le serveur et ARP doit être désactivé pour le VIP configuré sur le serveur. Cela empêche la demande du client de contourner l’appliance lorsqu’elle est configurée en mode à bras unique. Par exemple, un utilisateur doit configurer VIP dans l’interface de bouclage et désactiver l’ARP pour le même VIP.
  • L’appliance obtient l’adresse MAC du serveur à partir du moniteur lié au service. Toutefois, les moniteurs utilisateur personnalisés (moniteurs de type USER), qui utilisent des scripts stockés sur l’appliance NetScaler, n’apprennent pas l’adresse MAC d’un serveur. Si vous utilisez uniquement des moniteurs personnalisés dans une configuration DSR, pour chaque demande reçue par le serveur virtuel, l’appliance tente de convertir l’adresse IP de destination en adresse MAC (en envoyant des requêtes ARP). Comme l’adresse IP de destination est une adresse IP virtuelle appartenant à l’appliance NetScaler, les requêtes ARP sont toujours résolues vers l’adresse MAC de l’interface NetScaler. Par conséquent, tout le trafic reçu par le serveur virtuel est renvoyé en boucle vers l’appliance. Si vous utilisez des moniteurs utilisateur dans une configuration DSR, vous devez également configurer un autre moniteur d’un type différent (par exemple, un moniteur PING) pour les services, idéalement avec un intervalle plus long entre les sondes, afin que l’adresse MAC des serveurs puisse être apprise.
  • L’appliance NetScaler apprend les paramètres L2 du serveur à partir du moniteur lié au service. Pour les moniteurs UDP-ECV, configurez une chaîne de réception pour permettre à l’appliance d’apprendre les paramètres L2 du serveur. Si la chaîne de réception n’est pas configurée et que le serveur ne répond pas, l’appliance n’apprend pas les paramètres L2 mais le service est configuré sur UP. Le trafic de ce service est bloqué.

Dans l’exemple de scénario, les services Service-ANY-1, Service-ANY-2 et Service-ANY-3 sont créés et liés au serveur virtuel Vserver-LB-1. Le serveur virtuel équilibre la charge de la demande du client vers un service, et le service répond directement aux clients, en contournant l’appliance NetScaler. Le tableau suivant répertorie les noms et les valeurs des entités configurées sur l’appliance NetScaler en mode DSR.

Type d’entité Nom Adresse IP Protocole
Serveur virtuel Vserver-LB-1 10.102.29.94 ANY
Services Service-ANY-1 10.102.29.91 ANY
  Service-ANY-2 10.102.29.92 ANY
  Service-ANY-3 10.102.29.93 ANY
Moniteurs TCP Aucun Aucun

Le schéma suivant montre les entités d’équilibrage de charge et les valeurs des paramètres à configurer sur l’appliance.

Figure 1. Modèle d’entité pour l’équilibrage de charge dans le modèle DSR

lb-entity-dsr-mode

Pour que l’appliance fonctionne correctement en mode DSR, l’adresse IP de destination figurant dans la demande du client doit être inchangée. Au lieu de cela, l’appliance remplace le MAC de destination par celui du serveur sélectionné. Ce paramètre permet au serveur de déterminer l’adresse MAC du client pour transférer les demandes au client tout en contournant le serveur.

Ensuite, vous configurez une configuration d’équilibrage de charge de base comme décrit dans Configuration de l’équilibrage de chargede base, nommer les entités et définir les paramètres à l’aide des valeurs décrites dans le tableau précédent.

Après avoir configuré la configuration d’équilibrage de charge de base, vous devez la personnaliser pour le mode DSR. Pour ce faire, vous configurez une méthode d’équilibrage de charge prise en charge, telle que la méthode de hachage de l’adresse IP source avec un serveur virtuel sans session. Vous devez également définir le mode de redirection pour permettre au serveur de déterminer l’adresse MAC du client pour le transfert des réponses et de contourner l’appliance.

Après avoir configuré la méthode d’équilibrage de charge et le mode de redirection, vous devez activer le mode USIP sur chaque service. Le service utilise ensuite l’adresse IP source lors du transfert des réponses.

Pour configurer la méthode d’équilibrage de charge et le mode de redirection pour un serveur virtuel sans session à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>
<!--NeedCopy-->

Exemple

set lb vserver Vserver-LB-1 -lbMethod SourceIPHash -m MAC -sessionless enabled
<!--NeedCopy-->

Remarque

Pour un service lié à un serveur virtuel sur lequel l’option -m MAC est activée, vous devez lier un moniteur non utilisateur.

Pour configurer la méthode d’équilibrage de charge et le mode de redirection pour un serveur virtuel sans session à l’aide de l’utilitaire de configuration

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Ouvrez un serveur virtuel, sélectionnez le mode de redirection comme étant basé sur MAC et la méthode comme SOURCEIPHASH.
  3. Dans Paramètres du trafic, sélectionnez Équilibrage de charge sans session.

Pour configurer un service afin qu’il utilise l’adresse IP source à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

set service <ServiceName> -usip <Value>
<!--NeedCopy-->

Exemple :

set service Service-ANY-1 -usip yes
<!--NeedCopy-->

Pour configurer un service afin qu’il utilise l’adresse IP source à l’aide de l’utilitaire de configuration

  1. Accédez à Traffic Management > Load Balancing > Services.
  2. Ouvrez un service, puis dans Paramètres de trafic, sélectionnez Utiliser l’adresse IP source.

Certaines étapes supplémentaires sont nécessaires dans certaines situations, décrites dans les sections suivantes.