LoadBalancer As A Service
Vue d’ensemble
Le service de load balancer dans Cloud Avenue est fourni par la solution NSX Advanced Load balancer (NSX ALB) de VMware.
La mise en œuvre est effectuée au niveau de la passerelle T1 dans un vDC ou un « Data center group » (c’est-à-dire un groupe de plusieurs vDC) s’ils sont connectés à la même passerelle T1 dans la même AZ (Chartres ou Val de Reuil).
Vous pouvez créer/gérer la configuration des load balancers à partir de l’interface utilisateur du tenant (portail vCloud Director – VCD).
Advanced Load Balancer – mutualisé et dédié
Les services de load balancer disponibles sur Cloud Avenue IaaS sont les suivants :
| Type de LBaaS | Exigences de configuration | Quota de classe de service par défaut | Résilience du moteur de Load Balancing |
| Mutualisé | T0 VRF Premium | 20 VIP | Actif / Standby Actif / Actif |
| Dédié | T0 VRF Premium | 200 VIP | Actif / Standby Actif / Actif |
Les services de load balancer disponibles sur Cloud Avenue Privé (« VCOD ») sont les suivants :
| Type de LBaaS | Exigences de configuration | Quota de classe de service par défaut | Résilience du moteur de Load Balancing |
| Dédié | T0 Dédié Medium | 200 VIP par Service Engine | Actif / Standby Actif / Actif |
| Paramètres de configuration | IAAS (Cloud Avenue Mutualisé) | VCOD (Cloud Avenue Privé) | |
|---|---|---|---|
| Type d’application | HTTP | ▲ | ▲ |
| HTTPS | ▲ | ▲ | |
| L4 TCP | ▲ | ▲ | |
| L4 UDP | ▲ | ▲ | |
| L4 TLS | ▲ | ▲ | |
| Algorithme de répartition de la charge | Least Connections | ▲ | ▲ |
| Round Robin | ▲ | ▲ | |
| Consistent Hash | ▲ | ▲ | |
| Fastest Response | ▲ | ▲ | |
| Least Load | ▲ | ▲ | |
| Fewest Servers | ▲ | ▲ | |
| Random | ▲ | ▲ | |
| Fewest Tasks | ▲ | ▲ | |
| Core Affinity | ▲ | ▲ | |
| Persistance du pool | Client IP | ▲ | ▲ |
| HTTP Cookie | ▲ | ▲ | |
| Custom HTTP Header | ▲ | ▲ | |
| Application Cookie | ▲ | ▲ | |
| Client IP | ▲ | ▲ | |
| Moniteur de santé actif | HTTP | ▲ | ▲ |
| HTTPS | ▲ | ▲ | |
| TCP | ▲ | ▲ | |
| UDP | ▲ | ▲ | |
| PING | ▲ | ▲ | |
| Analyse | Dashboard | ▲ | ▲ |
| Fonctionnalités avancées | HTTP Policy | ▲ | ▲ |
| WAF | ▲ | ▲ | |
Schéma général du load balancer
Une option de load balancer est disponible sur la passerelle T1.
Vous pouvez créer :
- Des Services virtuels : Un service virtuel est une combinaison d’une adresse IP et d’un port qui utilise un seul protocole réseau. Un service virtuel est à l’écoute du trafic vers une adresse IP.Il traite les demandes des clients et dirige les demandes valides vers un membre du pool de serveurs de load balancer.
- Des Pools : Un pool de serveurs est un groupe d’un ou plusieurs serveurs que vous configurez pour exécuter la même application et assurer une haute disponibilité.
- Des Profils d’application : Les profils d’application déterminent le comportement des services virtuels en fonction du type d’application. Les types de profils d’application, par exemple HTTP, HTTPS, L4 TCP, L4 UDP, L4 TLS, peuvent être utilisés.
Load Balancer externe et interne
En fonction des besoins de configuration vous pouvez déployer le load balancer pour les applications internes et externes.
Dans cet exemple, le pool 1 exécute une application tournée vers l’extérieur. Les serveurs du pool 1 accèdent au pool 2, qui exécute une application tournée vers l’intérieur.
Mise à niveau (Upgrade)
Cloud Avenue Mutualisé : Nombre de services virtuels
Si vous avez besoin de créer des Load balancer en plus de ceux qui vous sont est attribués par défaut à l’ouverture de votre tenant, vous avez la possibilité de demander un pack de services virtuels supplémentaire.
Cloud Avenue Privé : Comptage des unités de service (cores)
Vous pouvez demander un upgrade pour le moteur du load balancer, c’est-à-dire augmenter le nombre de cœurs du moteur (vCPU). Par défaut, votre moteur de load balancer est provisionné avec le nombre de cœurs que vous avez indiqué dans votre bon de commande.
Options de l’interface utilisateur
Cloud Avenue Mutualisé
Si vous disposez de l’offre Cloud Avenue Mutualisé vous disposez par défaut du portail de gestion du tenant vCloud Director comme interface en libre-service pour créer/gérer des services virtuels avec des fonctionnalités avancées associées comme les HTTP Policy ou le WAF.
Cloud Avenue Privé
Si vous disposez de l’offre Cloud Avenue Privé les types d’interface disponibles dépendent des options que vous avez choisies, en particulier si vous n’avez pas choisi l’option de portail de gestion du tenant vCloud Director :
- Si vous avez opté pour vCloud Director vous l’utiliserez pour créer/gérer des services virtuels avec des fonctions avancées associées telles que HTTP Policy, WAF.
- Si vous n’avez pas opté pour vCloud Director vous disposerez de l’interface NSX Advance Load Balancer pour créer/gérer dans votre tenant des services virtuels avec des fonctionnalités avancées associées telles que HTTP Policy, WAF.
Fonctionnalités Avancées
Politique HTTP
Les politiques HTTP des services virtuels permettent de contrôler la sécurité, les attributs des requêtes des clients et les attributs des réponses des applications.
Une politique de service virtuel se compose de critères de correspondance et d’actions qui fonctionnent de la même manière qu’une instruction « si-alors ». Si les critères de correspondance sont remplis, les actions définies sont exécutées.
Les règles HTTP ne peuvent être configurées que pour un service virtuel « layer-7 ».
- Règles sur les requêtes HTTP : Utilisez les règles de requête HTTP pour modifier les requêtes avant qu’elles ne soient transmises
- Règles de réponse HTTP : Utilisez les règles de réponse HTTP pour évaluer et modifier la réponse et les attributs de réponse renvoyés par l’application.
- Règles de sécurité HTTP : Les règles de sécurité HTTP permettent d’autoriser ou de refuser certaines requêtes, de fermer la connexion TCP, de rediriger une requête vers HTTPS ou d’appliquer une limite de débit.
Web Application Firewall (WAF)
Le Web Application Firewall (WAF) peut être activé pour un service virtuel. Deux modes WAF sont disponibles :
Mode de détection :
La politique du WAF évalue et traite la requête entrante, mais n’effectue pas d’action de blocage. Une ligne de log est crée lorsque la requête est flaggée
Mode d’application :
La politique du WAF évalue la demande et la bloque sur la base des règles spécifiées. La ligne de log correspondante est marquée comme REJECTED (rejetée).
