מדריך למפתחים של nftlb

פורסם על ידי זאבנט | 30 ביולי, 2019

סקירה כללית

nftlb מסתמך על ערימת הרשתות לינוקס netfilter / nftables. עם מחסנית חדשה זו ניתנים מושגים ויכולות חדשים שאנו צריכים להתאים לעיצוב איזון העומס הנוכחי.

מאמר זה נועד לתת סקירה כללית כיצד מתוכננים נתוני נתוני איזון העומסים של איזון העומס ונתיב הבקרה.

נתיבי ווים

אלה הם ווים של נטפילטר בהם nftlb משתמש, תוך ניצול הרשתות הניתנות להגדרה. יש לכלול מושגים חדשים כמו עומס מעקב אחר חיבורים על מנת להאיץ חיבורים מועברים שהוקמו לאחור.

                                                                  ------------
                                                                 |    DNSBL   |
                                                                  ------------
                                                                       |
                                                                     queue
                      ingress                                          |  prerouting                      forward         postrouting
      ------------ ------------- --------------                   ------------ -------                 --------------       -------
     |   filter   |    filter   |    filter    |                 |   filter   |  nat  |               |    filter    |     |  nat  |
     |     0      |    50-99    |     100      |                 |    -150    |   0   |               |      0       |     |  100  | 
 --> |            |             | Sec Policies |-( Conntrack )-> | Sec Limits |       |-( Routing )-> |              | --> |       |
     | Clustering | Flow tables | DSR          |           VS{}  | Helpers    | dNAT  |         VS{}  | Flow offload |     |  sNAT |
     |            |             | stless dNAT  |                 | Marks      |       |                --------------       -------
      ------------ ------------- --------------                   ------------ ------- 

חדירה

(0) פילטר: שמור לניהול אשכולות. טרם נכלל ב- nftlb.
(50-99) פילטר: שמור לתאוצה של טבלאות זרימה. טרם נכלל ב- nftlb.
(100) פילטר: שמורות, לפי הסדר, עבור: מדיניות אבטחה (רשימות שחורות ורשימות לבנות), החזרת שרת ישיר וטופולוגיות dNAT חסרות מצב.

קדימה

(-150) פילטר: שמור למגבלות אבטחה לשירותים וירטואליים או לכל תכנית אחורה כמו: המספר המרבי של חיבורים שהוקמו, הגבלה של TCP RST לשנייה, הגבלת TCP SYN לשנייה, ירידה של חיבורי TCP לא קפדניים, תור לשירות DNSBL, שירות וירטואלי וסימני backends , שימוש בעוזרים, רישום חיבורי קלט לשירות וירטואלי.
(0) nat: שמור ליעקב נטייה של יעד.

קָדִימָה

(0) פילטר: שמור עבור עומס זרימה. טרם נכלל ב- nftlb.

פוסטריוט

(100) nat: שמור ליעקב נטייה של יעד.

נתיב שליטה

נתיב הפיקוח nftlb מתוכנן כדמון המספק שרת http פשוט עם API, או בינארי עצמאי שמקבל קובץ תצורה בפורמט JSON.

                -------------    traduction     -------------             --------
   JSON API    |             |   objs to nft   |             |  netlink  |        |
 ------------> | http server | --------------> | libnftables | --------> | kernel |
               |             |        |        |             |           |        |
                -------------         |         -------------             --------
                                      |               netlink                |
                                       ---------------------------------------
תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

מאמרים נוספים