Oversigt

Belastningsbalancering med Microsoft Azure findes i tre kategorier; Azure Load balancer (Netværksbelastningsbalancer), Application Gateway(Application Load balancer), og Trafikleder(DNS load balancer). At Azure er cloud-native og i stand til at betjene trafik mellem lokal infrastruktur gør det ideelt. Der er dog masser af ulemper, når du bruger Azure til belastningsbalancering, og et par af disse inkluderer:

1. kompleksitet: Azure Load Balancer tilføjer kompleksitet til den overordnede applikationsarkitektur. Det kan for eksempel være nødvendigt at opsætte og administrere flere belastningsbalancerede ressourcer, konfigurere sundhedsprober og belastningsbalanceringsregler og placere dem i en enkelt ressourcegruppe. Konfiguration af disse ressourcegrupper kræver høj teknisk ekspertise, og hvis det ikke håndteres effektivt, kan nogle systemer gå i stykker.
2. Begrænset tilpasning: Azure Load Balancer giver et sæt af begrænsede belastningsbalancerende algoritmer og sundhedsprober. Hvis du har brug for mere tilpasning, så kig efter andre muligheder, som f.eks ZVNcloud.
3. Afhængighed af Azure: Hvis du bruger Azure Load Balancer til at indlæse balancetrafik mellem lokale og Azure-ressourcer eller mellem Azure-regioner, vil du være afhængig af Azure-infrastruktur og -tjenester. Dette kan være et problem, hvis du ønsker at minimere din afhængighed af én cloud-udbyder.

Læs mere om ADC-sammenligning mellem ZEVENET og Microsoft Azure i denne artikel: Sammenligning af Microsoft NLB og ZEVENET.

Forudsætninger

Man skal opfylde disse grundlæggende krav for at overføre konfigurationer fra Azure til ZEVENETs fuldt udstyrede ADC.

1. En forekomst af ZEVENET ADC skal være installeret på din pc, bare-metal, virtuelle miljø, eller man skal have en aktiv ZVNcloud konto. Anmod om en evaluering til on-premise implementering.
2. Man skal have adgang til den grafiske webgrænseflade. Hvis du ikke gør det, så følg dette hurtigt Installationsvejledning.
3. Man skal være en aktuel bruger af Microsoft Azure og er bekendt med de begreber, vi vil diskutere i afsnittet nedenfor.
4. Man skal kunne oprette en virtuel server i ZEVENET load balancer. Her er en hurtig guide: Layer 4 og Layer 7 Virtual Server Configuration.

Bemærk
ZEVENET har en skabelon i Azure Cloud markedsplads under BYOL-licensen. Implementeringen af ​​ZEVENET på Azure-skyer er problemfri og burde ikke give anledning til bekymring.

Basale koncepter

Sundhedsundersøgelse: En sundhedsprobe er en funktionalitet, der bruges af Microsoft Azure til at kontrollere, om en virtuel maskine-instans er oppe, og den service, der kører på den, er sund. Disse mekanismer fungerer ved at sende ICMP Protokolspecifik anmodninger til disse instanser, og som svar modtager de en 200 Okay statuskode, der viser, at tjenesten fungerer normalt. ZEVENET bruger Farmguardian funktionalitet til at overvåge sundhedstilstanden af underliggende programmer.

Azure Load balancer: Azure Load Balancer fungerer på lag 4 (TCP / UDP). For at oprette en Layer 4 load balancer i ZEVENET ADC, skal man oprette en LSLB gård med en L4xNAT profil.

Application gateway: Applikationsgatewayen gør det muligt at administrere Layer 7-trafik ved at implementere sikkerhedsfunktioner som f.eks SSL opsigelse og en webapplikationsfirewall(WAF) for at beskytte et program eller databaser mod ondsindede angreb som f.eks SQL-indsprøjtning eller Cross-site scripting(XXS). For at oprette en Layer 7 load balancer i ZEVENET ADC, skal man oprette en LSLB gård med en HTTP profil.

Trafikleder: Azure Traffic Manager gør det muligt for en administrator at kontrollere distributionen af ​​trafik på tværs af flere tjenesteslutpunkter i forskellige regioner. Dette modul bruger DNS til at dirigere klientanmodninger til det mest passende slutpunkt baseret på den konfigurerede routingmetode og den aktuelle status for slutpunkterne. ZEVENET ADC bruger GSLB Farm til at dirigere trafik til forskellige datacentre placeret i forskellige geografier.

Backend pool: En backend-pulje er en gruppe af ressourcer, man kan bruge som destination for indgående belastningsbalanceret trafik. Disse ressourcer er hovedsageligt virtuelle maskiner med koden, der betjener anmodninger fra klienterne over internettet. En backend-pool er det samme som en Service i ZEVENET ADC.

Virtuel maskine instans: En virtuel maskine-instans er slutpunktet/destinationsserveren, hvor klientanmodninger fra nettet behandles. Disse servere er kendt som underliggende programmer ved brug af ZEVENET ADC.

Ressourcegruppe: En ressourcegruppe er en samling af ressourcer i Microsoft Azure. Disse ressourcer kunne være sundhedssonder, virtuelle netværk, virtuel maskine instanser osv. Når du bruger ZEVENET ADC, er der ikke behov for at oprette en ressourcegruppe, da alle ressourcerne til at skabe en fuldt funktionel load balancer er integreret i ZEVENET ADC. Hele apparatet i sig selv er en samling af ressourcer.

Eksempel på konfigurationer: DDoS-beskyttelse

DDoS-angreb er skræmmende! Man kan aldrig vide, hvornår en botnet sværmeangreb. Men det, vi er sikre på, er, at de sigter mod at tage hele systemet ned ved at overvælde det med en strøm af anmodninger. Disse anmodninger kan være fra desktops, servere, IoT-enheder, eller enhver enhedshackere kan få deres program til at låse på. Da denne sværm kan opstå med millioner af enheder, er det ofte svært at adskille legitime brugere fra bots, især for et HTTP-oversvømmelsesangreb.

ZEVENET ADC er designet med DDoS-beskyttelse med det formål at bekæmpe angreb som SYN-FIN oversvømmelsesangreb, Ping af døden, HTTP oversvømmelse, ICMP(ping) oversvømmelse, og mange andre sofistikerede DDoS-angreb. Hvis du bruger Microsoft Azure, kan du indse, at DDoS-beskyttelsesplanen er uden for dit budget og uforudsigelig, og du skifter derfor til en mere stabil plan med ZEVENET ADC. I dette afsnit vil vi diskutere, hvordan du opsætter DDoS-beskyttelse i ZEVENET ADC sammenlignet med Microsoft Azure.

Microsoft Azure-konfigurationer

For at få DDoS-beskyttelse til et specialiseret virtuelt netværk skal man betale for en separat DDoS-plan, og han/hun skal bruge denne plan med omtanke, da regningerne nemt kan stables op.

1. Inden for Azure-søgelinjen skal du skrive DDoS beskyttelse.
2. Klik på DDoS beskyttelsesplan.
3. Man skal klikke på Opret knappen for at tilføje en DDoS-beskyttelsesplan.
4. Vælg en abonnementsplan til dit virtuelle netværk.
5. Vælg en ressourcegruppe hvor dit netværk er i.
6. Til Forekomstdetaljer, Indtast forekomsten Navn Område.
7. Efter at have udfyldt disse detaljer, skal man klikke på Gennemgå + Opret .
8. Forudsat at du allerede har konfigureret en virtuelle netværk i Azure, som du vil overvåge, skal du navigere til det virtuelle netværk, du har oprettet.
9. Klik på DDoS-beskyttelsen Indstillinger af det netværk.
10. Standardplanen for DDoS-beskyttelse er som standard deaktiveret. Man skal klikke på Aktiver Radio knap.
11. Vælg DDoS beskyttelsesplan og klik på Gem .

ZEVENET konfigurationer

1. For at oprette DDoS-beskyttelse i ZEVENET ADC skal du gå til IPDS afsnittet i menuen, og klik for at udvide det.
2. Klik på DoS Mulighed.
3. Klik på Opret DoS-regel .
4. Indtast en Navn der nemt identificerer en DoS-regel.
5. Der er fire DoS-regler, vælg en regel. I dette eksempel vil vi vælge Samlet grænse for forbindelser pr. kilde-IP. og klik på Indløs .

   

6. Indtast det samlede antal samtidige forbindelser, du ønsker, at kildens IP-adresse skal have efter et enkelt TCP-håndtryk
7. Klik på knappen Indløs knappen for at gemme konfigurationerne.
8. Fra de fire DoS-beskyttelsesregler kan du oprette de andre efter en lignende proces fra linje 1. Disse andre regler omfatter:
   • Kontroller falske TCP-flag
   • Samlet grænse for forbindelser pr. kilde-IP.
   • Begræns RST-anmodning pr. Sekund
   • Forbindelsesgrænse pr. sekund.
9. Når du har oprettet en eller flere af reglerne, skal du klikke på Gårde fanen i hver regels indstillinger.
10. Træk og slip den eller de gårde, du vil anvende reglen på, fra Tilgængelige gårde sektion til Aktiverede gårde sektion.

    

11. I øverste højre hjørne er der handlinger afsnit. Klik på knappen Grøn leg knappen for at reglen træder i kraft. Det Status farveindikatoren skifter fra rød til grøn

Læs mere om DDoS-beskyttelsesregler i denne dokumentation. IPDS | DoS | Opdatering.

Eksempel på konfiguration: Overvågning og advarsler

Du har endelig opsat et privat netværk, en belastningsbalancer, en firewall og sundhedstjek. Hvad nu? Hvordan holder du øjnene på målinger? For at holde styr på enhver aktivitet eller ressourceforbrug i en applikationsleveringscontroller skal vi udføre dataevaluering. Vi skal holde styr på trafikbelastningen, CPU og hukommelsesforbrug, aktivitetslogs, netværkslogs osv. Overordnet giver overvågningssystemet en platform for systemadministratorer til at se, hvordan trafikken flyder ind og ud af et privat netværk, og om applikationsserverne fungerer effektivt.

Overvågningssystemet er robust, med visualisering gennem grafer, cirkeldiagrammer, søjlediagrammer osv. Automatisering af disse data kan bruges til at trigge advarsler og e-mail-meddelelser i tilfælde af enhver opstået sikkerhedstrussel.

I dette afsnit vil vi diskutere, hvordan man bruger overvågningsgrafer til at holde styr på aktiviteten i et netværk og applikationerne på det. Vi vil diskutere overvågning med ZEVENET ADC i sammenligning med Azure Monitoring.

Azure-overvågnings- og alarmkoncepter

I dette afsnit vil vi diskutere flere Azure-overvågningskoncepter. I det senere afsnit vil vi bruge disse koncepter til at demonstrere overvågning med ZEVENET ADC.

For at aktivere overvågning i Azure skal man navigere til Overvågning afsnit. En hurtig søgning gennem søgelinjen vil bringe dig derhen.

Overvågning af data ved hjælp af Azure findes i forskellige formater. Det kan være forbi Metrics, Advarsler, Aktivitetslogfilerog System Logs.

Metrics sektion indsamler data fra forskellige ressourcer i ressourcegrupper. Man kan indstille overvågningen til at spore netværksbrug, CPU brug, Hukommelsesforbrug, Indgående udgående trafik eller gennemsnittet processorhastighed.

An Alert underretter en administrator via sms-beskeder eller en e-mail, hvis der opstår usædvanlig aktivitet. Dette kan være en stigning i netværkstrafik, brute-force-angreb osv.

Aktivitetslogfiler hjælpe administratorer med at spore aktiviteter som at starte, stoppe, aktivere, deaktivere virtuelle maskiner, ændre ressourcer, tilføje ressourcegrupper osv.

Logs give detaljer fra kerneapplikationerne. For eksempel kan disse være applikationslogfiler, databaselogfiler eller VM-logfiler.

Lad os bruge disse koncepter med ZEVENET til at vise, hvordan du kan overvåge aktiviteten på din load balancer.

ZEVENET Beskrivelser og konfigurationer

Overvågning modul i ZEVENET ADC præsenterer 3 sektioner, Grafer, Statsog Gårdværger.

Grafer

Grafsektionen viser den grafiske visualisering af ressourcer, der bruges af apparatet (Systemkrav), dets netværk Interfaces, og individuel Gårde konfigureret på belastningsbalanceren.

Systemgraferne viser analyserne vedr CPU, Load, RAMog BYTTE RUNDT brug. Man kan se antallet af ressourcer, der er brugt inden for en dag, den foregående uge, måned eller år.

Grafen viser ressourceforbrug af CPU'en i de foregående 24 timer.

Interfacesektionen viser mængden af ​​trafik, der strømmer ind og ud af load balanceren inden for de seneste 24 timer, uge, måned eller år på en valgt netværksgrænseflade.

Grafen viser trafikken ind og ud gennem en grænseflade inden for de seneste 24 timer.

Gårdssektionerne viser det samlede antal af Verserende Etableret forbindelser til en gård inden for den foregående dag, uge, måned eller år fra en valgt gård.

Grafen nedenfor viser det samlede antal afventende og etablerede forbindelser inden for de foregående 24 timer til en valgt gård.

For at få en mere dybdegående forklaring om overvågningsgrafer, læs denne dokumentation: Overvågning | Grafer

Stats

Sektionen Statistik viser den numeriske repræsentation af dataene vist i graferne. Her er en mere dybdegående forklaring vedr Overvågningsstatistik.

Farmguardian

Farmguardian-sektionen gør det muligt for en at tilpasse sundhedstjek for en bestemt tjeneste på deres ADC-node.
Lad os demonstrere ved at skabe en brugerdefineret SIP sundhedstjek.

1. Klik på Farmguardian undermenu.
2. Indtast en passende Navn der identificerer det sundhedstjek.
3. ZEVENET ADC har allerede en check-sip sundhedsmonitor. Klik på Kopier farmguardian felt og vælg check-sip skabelon. Hvis du ønsker at lave et helt tilpasset sundhedstjek, der ikke findes på load balanceren, skal du lade kopiere farmguardian sundhedstjek være som -Ingen gårdværge-
4. Klik på knappen Indløs .
5. Forlad Kommando uændret. For et fuldstændigt tilpasset sundhedstjek skal du indtaste en brugerdefineret kommando for at udføre sundhedstjekket

1. Rediger Timeout Interval til en passende værdi.
2. Klik på Aktiver logfiler vippeknap.
3. Klik på knappen Indløs knappen for at oprette et brugerdefineret sundhedstjek.

Yderligere ressourcer

Web Application Firewall-konfiguration.
Konfiguration af SSL-certifikater til belastningsbalanceren.
Brug af programmet Let's encrypt til at autogenerere et SSL-certifikat.
Datalink/Uplink belastningsbalancering Med ZEVENET ADC.
DNS belastningsbalancering med ZEVENET ADC.