Indhold
Oversigt
A10 Networks er en af applikationsleveringslederne, at det kæmper med virksomhedens fremtid og dermed med den fortsatte support og udvikling af deres netværkssikkerhedsprodukter.
Denne artikel vil lede dig om, hvordan du udskifter A10 Networks vThunder til ZEVENET, hvis du planlægger at kigge efter mere moderne ADC-alternativer. Her finder du nogle konfigurationseksempler og koncepter, der bruges i A10-netværk, og som er analoge i ZEVENET.
Basale koncepter
partition: Partitionerne i A10 Thunder understøtter Layer 3-virtualisering til isolering af netværk og virtuel service, det svarer til namespace-konceptet i Linux.
pool: En pulje er en gruppe af objekter, i dette tilfælde en gruppe eller et sæt IP-adresser.
servicegruppe: Det definerer et sæt rigtige servere eller backends er defineret. ZEVENET bruger udtrykket service pr. Virtuel tjeneste på en gård til at definere en bestemt opførsel i en virtuel tjeneste.
virtuel server: Dette er den indgående definition af virtuel service, i ZEVENET kaldes det også gård.
medlem: rigtig server eller backend.
Enkel L4 Load Balancing Service
Dette eksempel viser, hvordan der indstilles en simpel L4-belastningsbalanceringstjeneste i A10 Networks Thunder og derefter i ZEVENET ADC.
A10 Networks ADC-konfiguration
Følgende eksempel konfigureres i A10 vThunder a VLAN 8 interface i Ethernet 0 og indstil IP-adressen 10.1.1.222 med dens standardstatiske rute.
active-partition PTEST vlan 8 untagged ethernet 0 router-interface ve 8 interface ve 8 ip address 10.1.1.222 255.255.255.0 ! ip route 0.0.0.0 /0 10.1.1.1
For at konfigurere en simpel kilde-NAT-service uden gennemsigtighed og miste klientens IP-adresse, men skjule vores netværksarkitektur, er det nødvendigt at indstille følgende kommando.
ip nat pool POOL 10.1.1.110 10.1.1.119 netmask /24
Senere, da vores rigtige servere er vært for en webtjeneste, bliver det påkrævet at oprette en sundhedschecker mod en bestemt URL og samle HTTP 200 OK respons:
health monitor SIMPLE_HTTP_CHECK method http url GET /status expect response-code 200
Opret de rigtige serverdefinitioner, 2 af dem i dette tilfælde, indstil navn, IP-adresse og port.
slb server RSERVER1 10.1.1.50 no health-check port 80 tcp slb server RSERVER2 10.1.1.51 no health-check port 80 tcp
Opret servicegruppen til TCP-protokol, tildeles sundhedscheck og begge backends-medlemmer, der tidligere er oprettet.
slb service-group SG_GROUP tcp health-check SIMPLE_HTTP_CHECK member RSERVER1:80 member RSERVER2:80
Til sidst oprettes den virtuelle service med de foregående definitioner, der tildeler en virtuel IP-adresse til indgående forbindelser med en bestemt port og protokol, indstil et navn, knytter kilde-nat-puljen og derefter den servicegruppe, hvor de udgående forbindelser er defineret.
slb virtual-server VIP_GROUP 10.1.1.100 port 80 tcp name VS_HTTP_GROUP source-nat pool POOL service-group SG_GROUP
Med alle disse konfigurationer kan vi oprette en enkel lag 4 belastningsbalanceringstjeneste til en webservice med en sundhedscheck.
ZEVENET ADC-konfiguration
I ZEVENET kan denne konfiguration udføres via webgrafikgrænseflade eller automatisere den via resten API. Gå til afsnittet på web-GUI Netværk> VLAN og klik over knappen Opret VLAN. Senere skal du vælge den overordnede grænseflade som den første Ethernet-grænseflade eth0, Indstil VLAN navn as 8, IP-adresse 10.1.1.222 netmaske. Valgfrit kan du opsætte en gateway til denne nye grænseflade, men under alle omstændigheder konfigureres de statiske ruter for den automatisk. Klik til sidst på Opret for at anvende ændringerne.
Gå derefter til afsnittet Netværk> Virtuelle grænseflader for at oprette VIP, hvorfra den indgående trafik kommer, og klik på Opret virtuelt interface for at definere konfigurationen og derefter anvende med knappen Opret.
LSLB-tjenesten skal oprettes med navnet på den virtuelle service, den profil, der skal bruges i dette tilfælde L4xNAT, den virtuelle IP oprettet tidligere, den virtuelle port og til sidst klikke på Opret .
Som standard bruger den lokale belastningsbalanceringstjeneste L4 protokollen TCP og kilde NAT, men den kunne ændres i fremtiden i gårdens globale indstillinger.
Senere er det nødvendigt at gå til den netop oprettede gård VSGROUP og naviger til Services fane. Tilføj derefter de rigtige servere eller backends i underliggende programmer afsnit. Valgfrit kan vi gå til sektionen Netværk> Aliaser at tildele backends IP-adresser til navnene i sektionen Backends aliaser Klik på knappen Tilføj IP-alias.
Endelig kan vi tildele en avanceret sundhedstjek med Farm Guardian og opdage HTTP 200 OK svar fra en backend. Denne kontrol er konfigurerbar med mange forudkonfigurerede sundhedskontroller som standard.
Derudover kan Zevenet automatiseres ved hjælp af det nyeste hvile JSON API tilgængelige.
Referencer
https://blog.michaelfmcnamara.com/tag/vthunder/
http://movingpackets.net/2016/09/27/unwrapping-device-configurations-a10/