EXCELIANCE ZAC des Metz 3 Rue du petit robinson Jouy en Josas Tél: Fax: sales@exceliance.

Transcription

1 EXCELIANCE ZAC des Metz 3 Rue du petit robinson Jouy en Josas Tél: Fax: sales@exceliance.fr 1

2 Guide utilisateur ALOHA Load Balancer Application Level Optimization & High Availability Solution de Haute Disponibilité et de Répartition de Charge des serveurs Web et applications TCP/IP à fortes contraintes 2

3 Cette ouvrage est destiné à toutes les personnes qui sont amenées à installer, configurer, administrer et maintenir un système de production. Toutes les fonctionnalités de base seront abordées et permettront aux utilisateurs de mettre en œuvre la solution Aloha dans un environnement de production et d assurer ainsi son autonomie. 3

4 I. Introduction a. Généralités b. Définition c. Problématiques d. Risques et conséquences e. Réponses techniques f. Etat de l art II. Caractéristiques des Aloha a. Versions b. Vue du modèle ALB c. Vue du modèle ALB 2K d. Vue des modèles ALB 4K 8K et 16K e. Spécifications f. Economie d énergie III. Schémas d implantation a. En DMZ b. En complément d un LB niveau c. Pour des applications intranet d. En multi-sites IV. L'interface graphique a. Paramètres d usine b. Assistant c. Configuration d. Les services e. Détail des services f. Translation d adresses

5 g. Liste de contrôle d accès IP h. Flux i. Equilibrage niveau j. Protocole de sécurisation des transactions k. Equilibrage niveau l. Journaux d évènements m. Statistiques n. Monitoring V. Installation rapide (wizard) a. Schéma b. Démarrage de l assistant c. Interfaces réseau d. Agrégation d interfaces e. Adressage IP f. Routage IP g. VRRP h. Accès à l administration i. Répartition de charge j. Serveur virtuel k. Résumé l. Génération de la configuration VI. Equilibrage niveau a. Configuration générée (monitoring) b. Configuration générée (LB Layer7) c. Configuration section globale d. Configuration valeurs par défaut

6 e. Configuration serveurs virtuels f. Configuration ferme de serveurs réels g. Ajout de serveurs virtuels h. Arrêt de serveurs virtuels i. Ajout de serveurs réels j. Arrêt de serveurs réels k. Suivi de sessions l. Commutation dynamique (content switching) m. Mise en place du SSL VII. Equilibrage niveau a. Flux réseau (flows) b. Configuration (LB Layer 4) c. Configuration des aiguilleurs VIII. Haute disponibilité Aloha a. VRRP entre Aloha b. Synchronisation de configuration entre Aloha IX. Monitoring X. Statistiques XI. Journaux d évènements XII. Faq a. Contrôle d erreur de configuration b. Sauvegarde de configuration

7 Introduction Généralités L ALOHA est une solution de haute disponibilité et de répartition de charge des plateformes applicatives (Web, relais filtrants, annuaires, CRM, ERP, serveurs de clients légers,...). Proposé en mode appliance, il est en partie conçu à partir du load balancer open source HA Proxy (niveau 7) et LVS (Linux Virtual Server) (niveau 4) connus pour leurs performances et leur fiabilité et utilisés en production pour de nombreux sites à très fortes contraintes de performance et de disponibilité à travers le monde. L'ALOHA embarque ainsi une version très enrichie et optimisée de HA Proxy sur un système dédié à l'embarqué, lui permettant de présenter un rapport fonctionnalités / performances / prix tout simplement imbattable. 7

8 Introduction Définition Qu est-ce que la répartition de charge (load balancing)? Alors que la puissance de tout serveur est limitée, une application Web doit être en mesure de fonctionner sur plusieurs serveurs pour supporter une augmentation constante du nombre des utilisateurs. C est ce qu on appelle l évolutivité applicative (scalability). La gestion de cette évolutivité n est généralement pas un réel problème pour les applications intranet puisque le nombre d utilisateurs est connu et a fort peu de chances d augmenter soudainement. En revanche, sur les portails Internet, la croissance permanente du nombre d utilisateurs connectés, tout comme la banalisation des accès haut débit augmentent fortement la charge. Le responsable du site doit ainsi trouver des solutions pour répartir cette charge sur plusieurs serveurs, soit par le biais de mécanismes incorporés aux applications, soit en utilisant des composants externes ou bien, en réorganisant son architecture. La répartition de charge est donc la capacité d utiliser plusieurs serveurs qui délivrent le même service et font le même travail. Mais cette augmentation du nombre de serveurs augmente le risque de dysfonctionnement, risque qui doit donc être traité comme il se doit. La capacité de garantir la disponibilité du service face à de multiples dysfonctionnements est qualifiée de haute disponibilité. Cette capacité est bien souvent indispensable dans le cadre de la répartition de charge ce qui est la raison principale pour laquelle la majorité des gens mélangent souvent ces deux concepts. 8

9 Introduction Problématiques Problématiques Performance Disponibilité Sécurité Défauts applicatifs Coûts d exploitation 9

10 Introduction Risques et conséquences RISQUES CONSEQUENCES Performances insuffisantes Temps d attente Difficultés de connexion Pertes de sessions Indisponibilités Fuites d informations Pertes financières Mauvaises performances en permanence ou en gestion des pics Durée d indisponibilité X le nombre de personnes impactées Dégradations d image Dépenses supplémentaires Opportunités perdues Problèmes juridiques 10

11 Introduction Réponses techniques Solutions Favorise la scalabilité Réduit les coûts d infrastructure Simplifie l exploitation Protège les applications 11

12 Introduction Etat de l art Accès : Peut être redondant en utilisant du BGP. Multi-sites possible avec les DNS. Répartiteur de charge niveau 3-4 : Infrastructure en haute disponibilité et scalable. SSL proxy cache Scalabilité du front-end : Accélération web et sécurité (traitements coûteux) : SSL, cache, compression, Répartiteur de charge niveau 7: Application en haute disponibilité et scalable. Persistance, surveillance, dépannage, logs, commutation dynamique selon le contenu Applications: Fonctionnent sur des serveurs partagés ou dédiés. Les applications lourdes requièrent plus de serveurs 12

13 Caractéristiques des Aloha Versions Les appliances Aloha se déclinent en 3 versions : Gamme d appliances rackables 1U à très basse consommation électrique (10 à 57 Watts à pleine charge), Gamme d appliances embarqués sur SSD (firmware bootable sur serveurs racks des principaux constructeurs), Gamme d appliances virtuels (image VMWARE ). 13

14 Caractéristiques des Aloha Vue du modèle ALB 500 Face avant : Face arrière : 1. Activité Cpu 2. Activité flash 3. Activité réseau 4. Bouton de réinitialisation en configuration usine 5. Port série 6. Port réseau 7. Port réseau 8. Port réseau 9. Ports USB 10. Alimentation

15 Caractéristiques des Aloha Vue du modèle ALB 2K Face avant : Carte 1 Carte 2 Face arrière : 1. Port série 2. Port réseau 3. Port réseau 4. Port réseau 5. Diode d activité 6. Port série 7. Port réseau 8. Port réseau 9. Port réseau 10. Alimentation 11. Alimentation 10 Alimentation 1 11 Alimentation 2 15

16 Caractéristiques des Aloha Vue des modèles ALB 4K 8K 16K Face avant : Face arrière : Afficheur digital 2. Non utilisé 3. Non utilisé 4. Non utilisé 5. Non utilisé 6. Port console 7. Ports USB 8. Port réseau 9. Port réseau 10. Port réseau 11. Port réseau 12. Diodes d activité 13. Port série 14. Bouton marche / arrêt 15. Alimentation 16

17 Caractéristiques des Aloha Spécifications 17

18 Caractéristiques des Aloha Economie d énergie ALOHA 500 ALOHA 2K ALOHA 4K ALOHA 8K ALOHA 16K Consommation électrique pleine charge 10 W W 40 W 53 W 57 W 18

19 Schémas d implémentation En DMZ 19

20 Schémas d implémentation En complément d un LB niveau 4 20

21 Schémas d implémentation Pour des applications intranet 21

22 Schémas d implémentation En multi-sites 22

23 L interface graphique Paramètres d usine ou admin admin 23

24 L interface graphique Assistant (Wizard) Cette onglet permet : De lancer un assistant de configuration pas à pas. Attention : En complétant l intégralité de cet assistant, la configuration sera écrasée. Pour éviter tout incident, annuler la procédure avant la fin et redémarrer l Aloha. 24

25 L interface graphique Configuration (Setup) Cette onglet permet : Connaitre l environnement système (nom, version, firmware, identifiant ). Résumer l état des licences. D importer, d exporter, de sauvegarder, et de réinitialiser la configuration. De monter de version de firmware. D installer ou de supprimer une licence. 25

26 L interface graphique Les services (Services) Cette onglet permet : De connaître l état d un service et son mode de démarrage. De configurer un service. De démarrer un service. D arrêter un service. De redémarrer un service. De recharger un service. D appliquer une configuration. D annuler une configuration. De synchroniser une configuration. 26

27 L interface graphique Détail des services Service qui fournit la gestion de la configuration système: nom d'hôte, date... Service qui conserve les journaux en mémoire et qui les transmet à un serveur syslog. Instance qui permet de gérer les évènements système. Instance qui permet de gérer les évènements applicatif. Instance qui permet de gérer les évènements de trafic. Instance qui permet de gérer les évènements de la console. 27

28 L interface graphique Détail des services Service qui gère les interfaces réseau et la configuration IP. Instance dédiée à l interface 0. Instance dédiée à l interface 1. Instance dédiée à l interface 2. Service qui permet le routage IP. Service qui gère la redirection de ports et les règles de translation d IP. 28

29 L interface graphique Détail des services Service qui gère les listes de contrôle d'accès IP. Service qui gère la classification des flux réseau. Service qui gère la couche 4 de l équilibreur de charge et la haute disponibilité. Service qui gère la couche 7 de l équilibreur de charge et la haute disponibilité en mode proxy. Service qui gère la haute disponibilité de plusieurs Aloha en utilisant le protocole VRRP. Service qui gère l accès sécurisé à l'interface en ligne de commande. 29

30 L interface graphique Détail des services Service qui est utilisé pour la gestion de la synchronisation horaire. Service qui gère le contrôle de l'accès à la supervision SNMP. Service qui permet la synchronisation des configurations. Service qui décrypte le SSL. Service qui émet les notifications ou traps SNMP. Service qui permet l administration depuis l'interface web. 30

31 L interface graphique Translation d adresses (NAT) Cette onglet permet : De créer ou supprimer des règles de translation d adresses. De pousser l ensemble des règles vers un autre Aloha. 31

32 L interface graphique Liste de contrôle d accès IP (IP Acl) Cette onglet permet : De créer ou supprimer des règles de contrôle d accès. De pousser l ensemble des règles vers un autre Aloha. 32

33 L interface graphique Flux (Flows) Cette onglet permet : De créer ou supprimer des règles d identification de flux qui seront utilisés dans la configuration d équilibrage de charge du niveau 4. De pousser cette configuration vers un autre Aloha. 33

34 L interface graphique Equilibrage niveau 4 (LB Layer4) Cette onglet permet : De créer la configuration de la haute disponibilité de niveau 4. Il est possible de pousser cette configuration vers un autre Aloha. 34

35 L interface graphique Procédé de sécurisation des transactions (SSL) Cette onglet permet : De configurer le service de décryptage SSL. De gérer les certificats SSL. 35

36 L interface graphique Equilibrage niveau 7 (LB Layer7) Cette onglet permet : De créer la configuration de la haute disponibilité de niveau 7. Il est possible de pousser cette configuration vers un autre Aloha. 36

37 L interface graphique Journaux d évènements (Logs) Cette onglet permet : De connaitre les évènements système. D observer les logs applicatifs. D étudier le trafic. D obtenir des précisions sur des erreurs de configuration. 37

38 L interface graphique Statistiques (Stats) Cette onglet permet : De connaître instantanément les volumétries des fermes de serveurs et des serveurs virtuels. 38

39 L interface graphique Monitoring Cette onglet permet : D observer l activité du système. D appréhender rapidement l état des fermes de serveurs. De suivre l évolution en temps réel de l état des serveurs virtuels. De vérifier le niveau d activité des répartiteurs de charge en niveaux 4 et 7. 39

40 Installation rapide (Wizard) Schéma Site de production ALB-VA Aloha Master WebSRV WebSRV VirtualSRV Site des utilisateurs 40

41 Installation rapide (Wizard) Démarrage de l assistant Cette étape permet : Lancer de l assistant. A cette étape, il n est possible que de poursuivre l assistant ou de l annuler. 41

42 Installation rapide (Wizard) Interfaces réseau Cette étape permet : Configurer les interfaces réseau physiques. Sélectionner la vitesse de communication (10 / 100 / 1000). Choisir le mode de négociation (half duplex ou full duplex). D inscrire une description succincte de l interface. 42

43 Installation rapide (Wizard) Agrégation d interfaces Cette étape permet : D agréger les interfaces réseau entres elles. 43

44 Installation rapide (Wizard) Adressage IP Cette étape permet : Configurer les adresses IP affectées aux interfaces réseau (adresse d'administration, adresses internes permettant de joindre vos serveurs et vos différents équipements et adresses publiques de service. Attention : Lorsque vous utilisez deux ALOHA, les adresses de services partagées seront portées par le protocole VRRP configuré un peu après. 44

45 Installation rapide (Wizard) Routage IP Cette étape permet : De spécifier la(les) route(s) à utiliser pour que l Aloha puisse contacter les clients ou les serveurs s ils ne sont pas sur le même réseau. 45

46 Installation rapide (Wizard) VRRP Cette étape permet : D assurer la haute disponibilité du service (mode cluster) entre deux Aloha. L adresse VRRP correspond à l adresse de service (VIP) qui sera annoncée par le service VRRP. L ID VRRP correspond à un numéro compris entre 1 et 255 affecté au cluster pour toutes les machines participant à un même service VRRP (cet ID doit être unique sur votre réseau). La priorité, comprise entre 1 et 254, servira à indiquer le rôle du noeud au sein du cluster (la priorité la plus élevée prend en charge le trafic). 46

47 Installation rapide (Wizard) Accès à l administration Cette étape permet : Configurer les modes d accès à l administration de l ALOHA. La rubrique SSH concerne l accès à la configuration en mode ligne de commande (CLI). La rubrique Web interface vous permet de contrôler le mode d accès à la console Web. 47

48 Installation rapide (Wizard) Répartition de charge Cette étape permet : De configurer le mode de fonctionnement de la répartition de charge ainsi que des serveurs virtuels. D activer la translation d adresses IP dans le cas de DMZ multiples, ou pour conserver l adresse originale des clients (en mode coupure). D activer la translation de port (si les serveurs possèdent des adresses privées non routables). D activer la gestion des listes de contrôle d accès (pour restreindre l accès en provenance ou à destination de certaines adresses IP). De créer un serveur virtuel (groupement de serveurs réels). 48

49 Installation rapide (Wizard) Serveur virtuel Cette étape permet : D associer une liste d adresses IP et de ports, derrière lesquels se trouve un service hébergé par une ferme de serveurs. De gérer les différents paramètres liés à la répartition de charge pour ce serveur virtuel (méthode de répartition ). D ajouter autant de serveurs réels que nécessaire dans l instance du serveur virtuel. De configurer les paramètres de test d état (healthcheck) des serveurs réels. 49

50 Installation rapide (Wizard) Serveur virtuel Cette étape permet : D ajouter de nouveaux serveurs virtuels. D éditer la configuration des serveurs virtuels. De supprimer des serveurs virtuels. 50

51 Installation rapide (Wizard) Résumé Cette étape permet : De résumer la configuration précédemment créée. D appliquer la nouvelle configuration. 51

52 Installation rapide (Wizard) Génération de la configuration Cette étape permet : De valider définitivement la configuration et de l appliquer après redémarrage de l Aloha. 52

53 Equilibrage niveau 7 Configuration générée (monitoring) L assistant a permis de générer une configuration que l on retrouve immédiatement dans l onglet «Monitoring». 53

54 Equilibrage niveau 7 Configuration générée (LB Layer7) L assistant a permis de générer une configuration commentée que l on retrouve immédiatement dans l onglet «LB Layer7». 54

55 Equilibrage niveau 7 Configuration section globale Cette section est utilisée pour la bonne intégration du service «HAProxy» au sein du produit. Le paramètre «chroot» autorise à changer la racine du processus une fois le programme lancé, de sorte que ni le processus, ni l'un de ses descendants ne puissent remonter de nouveau à la racine. Aussi, il est important d'utiliser un répertoire spécifique au service pour cet usage, et de ne pas mutualiser un même répertoire pour plusieurs services de nature différente. Pour rendre l'isolement plus robuste, il est conseillé d'utiliser un répertoire vide, sans aucun droit, et de changer l'uid du processus de sorte qu'il ne puisse rien faire dans ledit répertoire. Le paramètre «user»permet de spécifier un nom d utilisateur. Il est possible d utiliser un identifiant numérique (uid). Le paramètre «group» permet de spécifier un nom de groupe. Il est possible d utiliser un identifiant numérique (gid). Attention : Il est particulièrement déconseillé de modifier cette configuration sous peine de rendre le produit inopérant. Le paramètre «daemon» permet de mettre le processus en arrière plan. Il s agit du socket sur laquelle se connectent les différents outils de l interface (ainsi que le snmp) pour récupérer les compteurs. 55

56 Equilibrage niveau 7 Configuration valeurs par défaut Cette section est utilisée pour définir les paramètres par défaut qui seront repris ensuite dans les sections suivantes. «option httpclose» permet d activer ou désactiver la fermeture de connexion passive (permet de s affranchir du mode «keepalive». «option dontlognull» permet d activer ou désactiver la journalisation des connexions sans requête. «option redispatch» permet d activer ou désactiver la redistribution de session dans le cas d une connexion ayant échoué. «option contstats» permet la mise à jour continue des statistiques du trafic. Lors d'un échec de connexion vers un serveur, il est possible de retenter plusieurs fois une reconnexion (potentiellement vers un autre serveur, en cas de répartition de charge). Le nombre de nouvelles tentatives infructueuses avant abandon est fourni par le paramètre «retries». «timeout connect» permet de spécifier le temps maximum d attente nécessaire pour établir une connexion réussie à un serveur. «timeout http-request» permet de spécifier le temps maximum autorisé pour obtenir une requête http complète. «timeout queue» permet de spécifier le temps maximum d attente dans la queue pour libérer une connexion. «timeout tarpit» permet de définir la durée durant laquelle les connexions tarpités seront maintenues. «backlog» correspond au nombre de connexions non acquittées avant le déclenchement des protections contre le synflood. 56

57 Equilibrage niveau 7 Configuration serveurs virtuels Cette section est utilisée pour définir les paramètres du premier serveur virtuel (frontend). «bind» permet de définir une ou plusieurs adresses d écoute(s) et/ou de port(s) pour chaque serveur virtuel. «mode http» permet de régler le mode de fonctionnement ou de protocole de l instance en mode HTTP pur. «log global» permet d activer par instance les journaux d évènements et de trafics. «option httplog» permet d activer la journalisation des requêtes HTTP, des états de sessions et des compteurs. «maxconn» définit le nombre maximum de connexions concurrentes qui peuvent être acceptées par ce serveur virtuel. Au-delà de ce nombre, les connexions en excès resteront dans la «backlog» du système. «timeout client» permet de définir un délai maximum d inactivité du côté client. «default_backend» spécifie la ferme de serveurs qui sera utilisée en l absence de règle «use_backend» définie. 57

58 Equilibrage niveau 7 Modification du schéma Site de production WebSRV WebSRV VirtualSRV ALB-VA Aloha Master WebSRV VirtualSRV2 WebSRV Site des utilisateurs 58

59 Equilibrage niveau 7 Configuration ferme de serveurs réels Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des serveurs réels (backend). «balance» définie quel algorithme sera employé lors de la répartition de charge sur les serveurs (backend). «balance roundrobin» permet d utiliser chaque serveur à tour de rôle en fonction de son poids. A (Poids =1) B (Poids =1) A (Poids =1) B (Poids =1) A (Poids =2) A (Poids =2) B (Poids =1) A (Poids =2) A (Poids =2) B (Poids =1) Poids identiques Poids différents 59

60 Equilibrage niveau 7 Configuration ferme de serveurs réels Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des serveurs réels (backend). «balance leastconn» permet de choisir le serveur qui a le moins de connexion à un instant donné. A (Connexions=10) B (Connexions=5) (Nouvelle connexion) A (Connexions=10) B (Connexions=6) n=6) 60

61 Equilibrage niveau 7 Configuration ferme de serveurs réels Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des serveurs réels (backend). «balance source» permet d affecter toujours le même serveur à un client, en appliquant un hash de l adresse IP source puis en divisant le résultat par le total des poids des serveurs actifs. PC1 IP= PC1 A PC2 IP= PC2 B 61

62 Equilibrage niveau 7 Configuration ferme de serveurs réels Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des serveurs réels (backend). «balance uri» permet d affecter toujours la même uri sur le même serveur, en appliquant un hash de la partie gauche de l uri (avant le point d interrogation) puis en divisant le résultat par le total des poids des serveurs actifs. A B 62

63 Equilibrage niveau 7 Configuration ferme de serveurs réels Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des serveurs réels (backend). «cookie» permet d activer la persistance par insertion de cookie. «cookie insert» indique que le cookie sera inséré par l Aloha dans la réponse. Il s agit uniquement d un cookie de session qui n est pas stocké sur le disque dur du client. «cookie indirect» permet d indiquer que le cookie sera inséré que lorsque le serveur aura été élu après l application d un algorithme d équilibrage de charge ou après réexpédition. «cookie nocache» est recommandé lorsqu il y a un serveur de cache entre le client et l Aloha. «option httpchk» utilise la requête http spécifiée pour vérifier l état «de santé» du serveur. «option forwardfor» active l insertion dans l en-tête de «x-forwarded-for» dans les requêtes qui seront émises au serveur. «fullconn» correspond à un seuil pour la limitation dynamique (positionné à la valeur «maxconn» du frontend). «timeout server» permet de spécifier le temps maximum d attente d une réponse des serveurs cibles. 63

64 Equilibrage niveau 7 Configuration ferme de serveurs réels Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des serveurs réels. «server» permet de déclarer un serveur cible. ( server <name> <address>[:port] [param* ]) «name» désigne le nom interne assigné à ce serveur. C est le nom qui apparaîtra dans les journaux d évènements, alertes et dans l interface. «address» indique l adresse IPv4 du serveur. «port» indique le port tcp du serveur. «cookie» permet de définir la valeur désignant ce serveur dans le cadre de la persistance. «weight» est utilisé pour fixer le poids d un serveur par rapport aux autres. «maxconn» définit le nombre maximum de connexions concurrentes qui peuvent être envoyées au serveur. Les connexions en excès seront mises en file d attente ou distribuées à d autres serveurs. «check» permet de spécifier qu un contrôle périodique d état «de santé» sera fait afin de s assurer que le serveur soit capable de servir des requêtes. «inter» spécifie l intervalle entre deux tests successifs (en ms par défaut). «fall» définit un nombre d échecs successifs pour déclarer un serveur défaillant. «rise» définit un nombre de tests valides successifs pour déclarer un serveur opérationnel. 64

65 Equilibrage niveau 7 Ajout de serveurs virtuels Pour ajouter un nouveau serveur virtuel, il faut : Sélectionner les deux paragraphes d un serveur virtuel existant. Copier-coller l ensemble des éléments. Modifier le contenu pour répondre à vos besoins. 65

66 Equilibrage niveau 7 Ajout de serveurs virtuels Appliquer la configuration en cliquant sur le bouton «Apply». 66

67 Equilibrage niveau 7 Ajout de serveurs virtuels Valider la configuration en cliquant sur le bouton «apply». 67

68 Equilibrage niveau 7 Ajout de serveurs virtuels Pousser la nouvelle configuration sur l autre boitier Aloha en cliquant sur le bouton «Push» après tests et validation. 68

69 Equilibrage niveau 7 Ajout de serveurs virtuels L onglet «Monitoring» confirme que le nouveau serveur virtuel et les serveurs réels ont bien été créés. 69

70 Equilibrage niveau 7 Arrêt d un serveur virtuel En cas d indisponibilité d un serveur virtuel, une alerte apparaît : Au niveau du serveur virtuel. Au niveau des serveurs réels. 70

71 Equilibrage niveau 7 Modification du schéma Site de production WebSRV WebSRV ALB-VA Aloha Master WebSRV WebSRV WebSRV VirtualSRV VirtualSRV2 Site des utilisateurs 71

72 Equilibrage niveau 7 Ajout d un serveur réel Pour ajouter un nouveau serveur réel dans la ferme d un serveur virtuel, il suffit de : Sélectionner la ligne d un serveur réel existant. Copier-coller la ligne. Modifier le contenu (nom, ip ). Valider l opération en cliquant sur le bouton «OK». Appliquer la configuration en cliquant sur le bouton «Apply». Pousser la nouvelle configuration sur l autre boitier Aloha en cliquant sur le bouton «Push» après tests et validation. 72

73 Equilibrage niveau 7 Ajout d un serveur réel L onglet «Monitoring» confirme que le nouveau serveur réel a bien été rajouté à la ferme du serveur virtuel «VirtualSRV». 73

74 Equilibrage niveau 7 Arrêt d un serveur réel En cas d indisponibilité d un serveur réel (ou d un service), une alerte apparaît : Au niveau du serveur réel. Au niveau du serveur virtuel. 74

75 Equilibrage niveau 7 Suivi de sessions (cookies) Aloha Une session est définie comme une collection de requêtes HTTP entre un client et un serveur web sur une période de temps. La notion de session permet d'associer un ensemble de requêtes et de les identifier comme appartenant à un même client. La persistance par cookie est utilisée pour maintenir un lien entre plusieurs requêtes d une même session. 75

76 Equilibrage niveau 7 Suivi de sessions (cookies) A la première requête vers une application web, l Aloha insère un identifiant de serveur dans un cookie envoyé au client. Aloha Grâce à cet identifiant, l Aloha retrouve toujours le serveur associé à une requête. 76

77 Equilibrage niveau 7 Modification du schéma Site de production WebSRV WebSRV WebSRV ImageSRV ALB-VA Aloha Master StaticSRV StaticSRV WebSRV WebSRV VirtualSRV VirtualSRV2 Site des utilisateurs 77

78 Equilibrage niveau 7 Commutation dynamique (content switching) La commutation dynamique nécessite la mise en œuvre d une liste de contrôle d accès, ici nommée «statics». Différents critères seront alors appliqués aux requêtes au niveau de la couche applicative. Ici on vérifiera le contenu des url afin de déterminer si l on trouve les dossiers «images, css ou js». Ces critères peuvent être : Des extensions : htm, pdf, doc, jpg, gif Des dossiers : images, css, js Des noms d hôtes : extranet, intranet Des IP, ports, cookie, paramètres d url 78

79 Equilibrage niveau 7 Commutation dynamique (content switching) 3/3 2/2 Comme précédemment, la création d un serveur virtuel et l affectation de serveurs réels entraînent des modification sur l onglet «Monitoring». 2/2 79

80 Equilibrage niveau 7 Mise en place du SSL Dans l onglet «SSL», un message d avertissement indique que le service «stunnel» n est pas démarré. Il est alors nécessaire de configurer une adresse et à un port d écoute liés à un certificat SSL. Pour créer le certificat, cliquez sur le bouton «New». 80

81 Equilibrage niveau 7 Mise en place du SSL A cette étape, l assistant nous permet : De générer une clé privée. Ou D installer une clé privée existante. 81

82 Equilibrage niveau 7 Mise en place du SSL On complète une requête de certificat. Ou On télécharge une requête de certificat existante. 82

83 Equilibrage niveau 7 Mise en place du SSL On auto-signe la requête en l attente d une validation d un organisme compétent (Vérisign ). Ou On télécharge un certificat déjà certifié. 83

84 Equilibrage niveau 7 Mise en place du SSL Le nouveau certificat est alors créé. Il peut être supprimer ou éditer. 84

85 Equilibrage niveau 7 Mise en place du SSL Lors de l édition, vous pouvez : Changer le certificat (mais nécessite une mise à jour de ce dernier via le bouton «Update»). Signer un certificat validé en cliquant sur le bouton «Re-Sign». 85

86 Equilibrage niveau 7 Mise en place du SSL Cette section est utilisée pour définir les paramètres de l outil «Stunnel» afin de fournir les services de serveur ou client SSL depuis l Aloha. Seuls les éléments présents dans la partie optimisation devront être modifiés. «chroot» permet de spécifier le répertoire où le processus «stunnel» fonctionnera. «setuid» permet de spécifier l utilisateur avec lequel le démon tourne. «setgid» permet de spécifier le groupe d utilisateurs dans lequel le mode démon fonctionne. «pid» permet de spécifier le chemin d accès du fichier «pid». «debug» permet de choisir le niveau de débogage (ex: 2 pour critique, 3 pour erreur ). 86

87 Equilibrage niveau 7 Mise en place du SSL Cette section est utilisée pour définir les paramètres de configuration. «socket» spécifie les paramètre pour les sockets d acceptations, les sockets locales et les sockets distants. «TIMEOUTconnect» permet de spécifier le délai d attente pour se connecter à un serveur. «TIMEOUTbusy» permet de spécifier le délai d attente des données. «TIMEOUTidle» permet de spécifier le délai de conservation d une connexion. «TIMEOUTclose» permet de spécifier le délai d attente avant la notification de fermeture. 87

88 Equilibrage niveau 7 Mise en place du SSL Cette section est utilisée pour définir les paramètres SSL. «client» permet d indiquer si le fonctionnement est en mode service distant SSL ou en mode serveur. «key» spécifie le chemin de la clé privée pour un certificat donné avec les options «Cert». «cert» spécifie le chemin du certificat «Cert». «accept» permet d indiquer quel hôte et quel port accepteront les connexions. «connect» spécifie le nom d hôte et le port des connexions distantes. 88

89 Equilibrage niveau 7 Mise en place du SSL Après modification, nous obtenons un fichier de configuration comme celui-ci. 89

90 Equilibrage niveau 7 Mise en place du SSL Il reste ensuite à modifier la configuration des serveurs virtuels dans l onglet «LB Layer7» en ajoutant l adresse qui sera utilisée par le service «Stunnel». 90

91 Equilibrage niveau 4 Modification du schéma Site de production SslRProxy :443 SslRProxy :443 Director ImagesSRV StaticSRV StaticSRV WebSRV WebSRV Aloha Master WebSRV WebSRV ALB-VA WebSRV VirtualSRV VirtualSRV2 Site des utilisateurs 91

92 Equilibrage niveau 4 Flux réseau (Flows) Dans l onglet «Flows», un message d avertissement indique que le service «flowmgr» n est pas démarré. Il est alors nécessaire de se rendre dans l onglet «Services» et d activer ce dernier tout en le mettant en mode automatique. 92

93 Equilibrage niveau 4 Flux réseau (Flows) Il reste alors à identifier les flux en prenant exemple sur celui de l interface. «Flow» est utilisé pour évaluer une règle de flux. Stratégies : «permit» permet d indiquer que le flux évalué est immédiatement accepté. «deny» permet d indiquer que le flux évalué est immédiatement bloqué. «director»permet d indiquer que le flux évalué sera marqué avec le nom du «director» qui défini les règles de répartition de charge de niveau 4 à lui appliquer. Evaluation et ignorance des règles : «match» permet de vérifier si un packet répond à certaines conditions, la stratégie définie est alors immédiatement appliquée. Puis la condition suivante est alors évaluée, etc «ignore» permet de vérifier si un packet répond à certaines conditions, si c est le cas, le packet sera considéré comme ne faisant pas partis de la règle de flux en cours mais sera évalué sur la règle suivante. 93

94 Equilibrage niveau 4 Flux réseau (Flows) Il reste alors à créer une configuration en prenant exemple dans l interface. «Flow» est utilisé pour évaluer une règle de flux. Conditions : «proto» désigne le type de protocole IP : tcp, udp ou icmp. «iface» désigne l interface réseau entrant. «src» désigne l adresse IP source du packet ou le masque de réseau. «dst» désigne l adresse IP de destination du packet ou le masque de réseau. «srcport» désigne le(s) port(s) source du packet. «dstport» désigne le(s) port(s) de destination du packet. «icmptype» désigne le type de code icmp du packet. 94

95 Equilibrage niveau 4 Configuration (LB Layer4) Dans l onglet «LB Layer4», un message d avertissement indique que le service «LVS» n est pas démarré. Il est alors nécessaire de se rendre dans l onglet «Services» et d activer ce dernier ainsi que le service «Ipforward» tout en les mettant en mode automatique. Pour ce faire, il suffit de cliquer sur le bouton «setup» et de supprimer le «no» devant «autostart». Il reste alors à valider en cliquant sur les boutons «OK», «Close» puis «apply» du service correspondant. Il reste alors à créer une configuration en prenant en exemple celui de l interface. 95

96 Equilibrage niveau 4 Configuration des aiguilleurs Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des aiguilleurs (directors). «balance» définie quel algorithme sera employé lors de la répartition de charge sur les serveurs (directors). «balance roundrobin» permet d utiliser chaque serveur à tour de rôle en fonction de son poids. A (Poids =1) B (Poids =1) A (Poids =1) B (Poids =1) A (Poids =2) A (Poids =2) B (Poids =1) A (Poids =2) A (Poids =2) B (Poids =1) Poids identiques Poids différents 96

97 Equilibrage niveau 4 Configuration des aiguilleurs Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des aiguilleurs (directors). «balance leastconn» permet de choisir le serveur qui a le moins de connexion à un instant donné. A (Connexions=10) B (Connexions=5) (Nouvelle connexion) A (Connexions=10) B (Connexions=6) n=6) 97

98 Equilibrage niveau 4 Configuration des aiguilleurs Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des aiguilleurs (directors). «balance source» permet d affecter toujours le même serveur à un client, en appliquant un hash de l adresse IP source puis en divisant le résultat par le total des poids des serveurs actifs. PC1 IP= PC1 A PC2 IP= PC2 B 98

99 Equilibrage niveau 4 Configuration des aiguilleurs Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des aiguilleurs (directors). «balance dest» permet d affecter toujours le même serveur à un client, en appliquant un hash de l adresse IP de destination puis en divisant le résultat par le total des poids des serveurs actifs. PC1 PC1 IP= A PC2 PC2 IP= B 99

100 Equilibrage niveau 4 Configuration des aiguilleurs Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des aiguilleurs (directors). «balance neverqueue» permet d assigner le trafic entrant au serveur qui est disponible. PC1 A Traitement en cours PC2 Disponible B 100

101 Equilibrage niveau 4 Configuration des aiguilleurs Cette section est utilisée pour définir les paramètres de gestion et de répartition de charge des aiguilleurs (directors). «mode gateway» est utilisé pour le routage direct. «mode nat» est utilisé en cas de translation de l adresse de destination. «mode tunnel» est utilisé lors d encapsulation IP sur IP. «option persistence» permet de spécifier qu un service d aiguillage est persistant ou non. Les requêtes en provenance d un client seront redirigées vers le même serveur réel sélectionné par la première connexion. «option tcpcheck» permet de tester l ouverture d une connexion tcp sur une adresse IP réel d un serveur. «server» définie les serveurs réels par une adresse IP ou couple adresse IP / port. «weight» permet d affecter un poids à un serveur réel. «check» permet d activer la vérification de l état d un serveur». «sorry» est utilisé si tous les serveurs sont indisponibles, permettant ainsi de contacter ainsi un serveur d excuses. 101

102 Equilibrage niveau 4 Configuration des aiguilleurs Comme précédemment, la création d aiguilleurs entraîne des modifications sur l onglet «Monitoring». 102

103 Haute disponibilité VRRP entre Aloha Site de production Aloha Master VRRP Site de production Aloha Backup VRRP Aloha Backup Aloha Master Site des utilisateurs Site de production Aloha Master VRRP Site des utilisateurs Aloha Backup Site des utilisateurs 103