Kemp Technologies
+7 (495) 988-06-61
info@kemptech.ru
Главная Дополнительно Технические публикации За и против прозрачности на уровне приложений (L7) при балансировке нагрузки на сервер

За и против прозрачности на уровне приложений (L7) при балансировке нагрузки на сервер

Использование устройства KEMP LoadMaster™

Дерек Кили, руководитель службы технической поддержки, международное отделение

KEMP Technologies

Что такое прозрачность на уровне приложений (Layer 7 Transparency)?

Для эффективного размещения устройства балансировки в сети и использования функциональных возможностей уровня приложений (Layer 7) необходимо выполнить два условия.

  • На входе трафик должен проходить через устройство балансировки нагрузки.
  • Обратный/ответный трафик должен проходить через устройство балансировки нагрузки на выходе.

 

Указанные выше условия можно выполнить двумя способами: прозрачность или непрозрачность на уровне приложения (L7). При поступлении пакета на устройство Loadmaster, исходный IP-адрес пакета будет такой, как у клиента, а целевой IP-адрес — как у виртуального сервиса; если включена прозрачность уровня приложений (L7), пакет будет направлен на реальный сервер с тем же исходным IP-адресом, но целевой IP-адрес будет изменен на адрес реального сервера.

При непрозрачности на уровне приложений (L7) устройство Loadmaster поменяет целевой IP-адрес пакета, отправленного на реальный сервер, на адрес реального сервера (как и в режиме прозрачного уровня L7), но также поменяет исходный IP-адрес с изначального клиентского IP-адреса на IP-адрес виртуального сервиса.

Прозрачность на уровне приложений (Layer 7): доводы за

Прозрачность на уровне приложений (L7) сохраняет изначальный исходный IP-адрес клиента при прохождении пакета через устройство Loadmaster; при этом основное преимущество состоит в том, что реальный сервер теперь знает IP-адрес клиентов, устанавливающих с ним соединение. Если реальный сервер знает IP-адрес клиента, адрес может использоваться в различных целях, включая следующие:

  • регистрация и устранение неполадок: исходный IP-адрес клиентов можно просмотреть в логах сервера, благодаря чему проще установить различие между разными клиентами, устанавливающими соединение с сервером; если IP-адрес клиента известен, он может использоваться для устранения неполадок, которые могут возникнуть у того или иного клиента.
  • защита: зная исходный IP-адрес клиента, сервер может определить, какие IP-адреса считаются безопасными или допустимыми, например, при использовании протокола простого обмена электронной почтой (SMTP); администраторам почтового сервера необходимо, чтобы соединение с почтовыми серверами могли устанавливать только проверенные серверы ретрансляции почты (клиент), и для предоставления доступа серверам ретрансляции почты к своим почтовым серверам они будут использовать исходный IP-адрес. Кроме того, если ваш сервер подвергнется атаке типа отказа в обслуживании (DoS-атаке), которая обычно исходит с определенного IP-адреса, определив такой IP-адрес, можно будет принять меры по его блокированию до того, как трафик поступит на реальный сервер.
  • статистика, аналитика и отчетность: прозрачность исходного IP-адреса клиентов, устанавливающих соединение с сервером, позволяет формировать статистические, аналитические данные и отчеты с помощью IP-адреса клиентов в отношении тех IP-адресов, которые посещают реальный сервер. 

Прозрачность на уровне приложений (Layer 7): доводы против

Прозрачность на уровне приложений (L7) имеет ряд преимуществ, которые упомянуты выше, но также имеет недостатки; в частности, она требует более тщательного планирования при развертывании устройства Loadmaster с учетом требований, определенных в первом абзаце. Ниже перечислено то, что следует принять в расчет.

  • шлюзы по умолчанию вашего реального сервера должны указывать на устройство Loadmaster, чтобы обратный/ответный трафик с реального сервера на выходе проходил через Loadmaster.
  • прозрачность на уровне приложений (L7) невозможна, если клиенты находятся в одной подсети с реальным сервером, так как реальный сервер определит, что клиенты подключены напрямую (кратчайшее административное расстояние), и будет использовать данный маршрут вместо шлюза по умолчанию.
  • при включенной прозрачности на уровне приложений (L7) невозможно использовать функциональные возможности глобального реального сервера. Данные функциональные возможности позволяют использовать реальные серверы, находящиеся вне подсети, подключенной к интерфейсу устройства Loadmaster.

Заключение

Прозрачность на уровне приложений (L7) имеет ряд преимуществ, но реализовать ее труднее, чем непрозрачность на уровне приложений (L7). Последний вариант является самым простым при условии, что изначальный исходный IP-адрес клиента видеть не требуется. Если изначальный исходный IP-адрес клиента необходимо видеть, следует соответствующим образом планировать развёртывание сети.