NSX Advanced Load Balancerは、スマートで自動拡張可能なロードバランサーです。パート1：アーキテクチャと機能

この投稿では、VMware NSX Advanced Load Balancer（Avi Networksによる）またはNSXALBについて説明します。 1年ちょっと前にVMwareがAviNetworksを買収し、同時にバランシングシステムの名前がAviVantageからNSXALBに変更されましたが、古いAviの名前も残っていました。それ以来、バランサーはVMware製品、主にNSXと統合されています。しかし同時に、その自律的な使用の可能性は残っています。



ネットワーク上のロシア語のNSXALBに関する体系的な情報はほとんどなく、ベンダーからの英語のドキュメントのみがあります。したがって、最初の部分では、さまざまなソースを要約し、製品の概要を説明しました。地理的に分散したサイトを含め、作業の機能、アーキテクチャ、およびロジックについて説明しました。第2部では、システムを展開および構成する方法について説明します。両方の記事が、クラウド環境用のバランサーを探していて、NSXALBの機能をすばやく評価したい方に役立つことを願っています。  

特徴と機能

NSX ALBは、エンタープライズレベルのソフトウェア定義ロードバランサー（SDLB）です。これは、ハードウェアロードバランサーが一般的に使用されるこのレベルのロードバランシングシステムでは一般的ではありません。システムを構築するためのこのアプローチにより、NSX ALBは管理が容易になり、水平および垂直のスケーラビリティが得られます。 

NSX ALBが提供する機能：

• バランサーの自動電源制御。クライアント側の負荷が増加すると容量が自動的に増加し、負荷が減少すると容量が減少します。 
  
  
• 地理的に分散したサーバー間での負荷分散。これには、別のグローバルサーバーロードバランシング（GSLB）メカニズムが関与します。 
  
  
• L4（TCP / UDP経由）とL7（HTTP / HTTPS経由）のいずれかのレベルでのバランシング。 
  
  
• . NSX ALB ( VMware) on-premise :
  
  
  
  
  
  
• 組み込みのアプリケーションインテリジェンス。システムはアプリケーションのパフォーマンスを監視し、データを収集します。接続処理の各段階の時間、アプリケーションステータスの評価、およびトラフィックログをリアルタイムで収集します。問題が発生した場合、監視により、どこで問題を探すかをすばやく判断できます。 
  
  
  
  リアルタイムデータは、同時に開いている接続、ラウンドトリップ時間（RTT）、スループット、エラー、応答遅延、SSLハンドシェイク遅延、応答タイプなどで収集されます。すべての情報を1か所に
  
  
  
  
  
  
  
  まとめる：右側のLog Analyticsブロックでは、主要な接続パラメーターに関する統計が収集されます。目的のセクションにマウスを合わせると、すぐに慣れることができます。
  
  

さらに、NSXALBには次のものがあります。

• リソースへのアクセスを差別化するためのマルチテナンシーのサポート。
  
  
• Health Monitor .
  
  
• Web Application Firewall (WAF).
  
  
• IPAM DNS.
  
  
• , . . IP-, . : Botnet, DoS, Mobile threats, Phishing, Proxy, Scanner, Spam source, Web attacks, Windows exploit .., – .
  
  
• 通過するパケットのHTTPヘッダーを解析します。Lua言語に基づくスクリプト（DataScript）を使用して、これらのヘッダーの値に応じてAviアクションを定義できます：リクエストのリダイレクト、接続のクローズまたはリセット、HTTPヘッダーのURIまたは値のスプーフィング、リクエストを処理するための特定のサーバープールの選択、Cookieの操作等
  
  
• Kubernetesの入力コントローラーとして機能します。
  
  

NSX ALBは、GUI、CLI、およびRESTAPIを介して管理できます。

アーキテクチャと作業スキームNSXALB

NSX ALBは、ほとんどのSDLBの標準原則に従って機能します。バランシングサービスを提供するサーバーは、プールに結合されます。プールの上に、システム管理者が仮想サービス（VS）を作成します。これらには、バランスが取られているサービスのパラメータが含まれています。たとえば、アプリケーションタイプ、バランスアルゴリズム、接続設定などです。 VSは、バランスの取れたサービスにアクセスするための外部仮想IPアドレス（仮想IP、VIP）もクライアントに提供します。



アーキテクチャがどのように見えるかを詳しく見てみましょう。







システムの重要な要素はコントローラー（Aviコントローラー）です。..。彼は自動電力増強を担当し、VSを一元的に制御します。インフラストラクチャに単一のコントローラーまたはコントローラーのフェイルオーバークラスターをデプロイできます。 



フェイルオーバー構成では、コントローラークラスターは3つのノードで構成されます。ノードの1つがリーダーになり、残りのノードがフォロワーになります。3つのノードはすべてアクティブであり、ノード間で負荷を共有します。コントローラのクラスタの主なシナリオ：

• 1つのノードに障害が発生しても、クラスターの動作には影響しません。
  
  
• 先行ノードに障害が発生した場合、この役割は残りの1つに移されます。
  
  
• 2つのノードに障害が発生すると、残りのノードのコントローラーサービスは読み取り専用モードになり、スプリットブレインを回避して、別のノードが再び使用可能になるのを待ちます。
  
  

コントローラを展開した後、エンジニアはVSと各VSのサーバープールを作成します。プール内のサーバーの場合、バランシングアルゴリズムを選択できます。

• RoundRobin-新しい接続はプール内の次のサーバーに移動します。
  
  
• 最小接続-新しい接続は、同時接続が最も少ないサーバーに接続されます。
  
  
• 最小負荷-接続の数に関係なく、新しい接続は最小負荷でサーバーに送信されます。
  
  
• 一貫性のあるハッシュ-計算されたハッシュに基づいて、新しい接続がサーバー全体に分散されます。ハッシュを計算するためのキーは、特別なフィールドまたはカスタム文字列で指定されます。リクエストごとに、このキーを使用してハッシュが計算されます。接続は、計算されたハッシュに対応するサーバーに送信されます。
  
  
• Fastest Response – .
  
  
• Fewest Tasks – ( Avi CLI REST API.
  
  
• Fewest Servers – , .
  
  

VSとサーバープールを作成した後、コントローラー自体が、バランスの取れたサービスが配置されているサービス仮想マシンであるService Engine（SE）を展開します。各サービス（VS）は、クライアント要求を並行して処理する複数のSEに分散されます。これにより、仮想マシンに障害が発生した場合のサービスの復元力が保証されます。 



コントローラは、負荷を評価して新しいSEを追加したり、アンロードされたSEを削除したりできます。このアーキテクチャにより、NSX ALBは、水平方向（SEの数を増やす）と垂直方向（各SEの容量を増やす）の両方に拡張できます。 



SEがバランスするサービスが多いほど、より多くのネットワークインターフェイスが使用されます。以下の詳細図には、2種類のネットワークがあります。

• サービス情報の制御と送信のためのネットワークは、制御面を形成します。
  
  
• データネットワークはデータプレーンを形成します。
  
  

各SEには、コントローラーと通信するための個別のネットワークインターフェイスが制御ネットワーク上にあります。残りのインターフェイスは、外部ネットワークと、バランシング用のサーバープールが配置されているネットワークに接続されています。このネットワークインフラストラクチャの分離により、セキュリティが向上します。 







VSごとに、サービスがホストされるSEパラメーターを定義する必要があります。これらのパラメータは、SEグループ（SEグループ）で設定されます。VSを作成するときに、SEグループを選択します。デフォルトグループ（デフォルトグループ）を指定するか、VSに特別な仮想マシン設定が必要な場合は新しいグループを作成できます。 



選択したグループによって、新しいVSの配置方法が決まります。たとえば、デフォルトグループのSEがすでにシステムに展開されていて、これらのSEにまだリソースがある場合、指定されたデフォルトグループを持つ新しいVSがそれらに配置されます。VSに新しいグループを指定すると、異なるパラメーターを持つ新しいSEがそのグループの下に展開されます。 



SEグループレベルで、次のVS配置設定を設定します。

• グループ内のSEの最大数、
  
  
• SEあたりのVSの最大数、
  
  
• VSをSEに配置する方法：最初に最初のSEを可能な限り密に埋めて次のSEに移動するときのコンパクト、または均一な分布で分散：
  
  
  
  
  
  
• SE仮想マシンパラメータ：vCPU番号、メモリとディスクサイズ、 
  
  

  1 vCPUあたりの帯域幅は約40K接続/秒で、平均は4GB /秒です。このインジケータは、バランシングレベルと使用されるプロトコルによって異なります。トラフィックを分析する必要があるため、L4で高く、L7で低くなります。SSLでは、暗号化が必要になるため、このインジケータははるかに低くなります。

• 未使用のSEの存続期間。その後、削除する必要があります。
  
  
• SEをホストするためのリソース。VMware環境では、使用する特定のクラスターまたはホストとデータストアを指定または除外できます。
  
  

GSLBグローバルバランシングサービスのアーキテクチャとワークフローに移りましょう。 

地理的に分散したサーバーのアーキテクチャとワークフロー

通常の仮想サービスでは、1つのクラウドからのみサーバーをプールに追加できます。コントローラに複数のクラウドを同時に追加しても、1つのVS内で異なるクラウドのサーバーを結合することはできません。このタスクは、GSLBグローバルバランシングサービスによって解決されます。これにより、異なるクラウドにある地理的に分散したサーバーのバランスをとることができます。



1つのグローバルサービス内で、プライベートクラウドとパブリッククラウドの両方を同時に使用できます。GSLBが必要になる可能性がある場合は次のとおりです。 

• いずれかのクラウド内のすべてのサーバーが利用できない場合の高いサービス可用性、
  
  
• 1つのクラウドに完全にアクセスできない場合の災害復旧、
  
  
• , , . .
  
  

GSLBのアーキテクチャを見てみましょう。







一言で言えば、作業のスキーム：バランシングはNSXALB内にデプロイされたローカルDNSサービスによって実行されます。クライアントは、FQDN名を使用してサービスに接続するための要求を送信します。 DNSは、クライアントに最適なクラウド内のローカルVSの仮想IPを提供します。このサービスは、バランシングアルゴリズム、ヘルスモニターでのローカルVSの可用性に関するデータ、およびクライアントの地理的位置に基づいて、最適なクラウドを選択します。グローバルサービスレベルとGSLBレベルの両方で、さまざまなバランシングアルゴリズムを設定できます。



GSLBダイアグラムからわかるように、これは前のダイアグラムの要素に基づいています。サーバープール、その上にローカル仮想IP（VIP）とサービス仮想マシン（SE）を備えたローカル仮想サービス（VS）。 GSLBを構築すると、新しい要素が表示されます。



グローバルサービス（グローバルVS） -地理的に分散したサーバーまたはプライベートクラウドとパブリッククラウドの間でバランスの取れたサービス。



GSLBサイトには、同じクラウドにあるコントローラーとそれによって管理されるSEが含まれます。サイトごとに、緯度と経度でジオロケーションを設定できます。これにより、GSLBはクライアントからの距離に基づいてサーバープールを選択できます。



NSX ALBシステムに基づくGSLBサイトは、リーダー（リーダー）とフォロワー（フォロワー）に分けられます。コントローラの場合と同様に、このスキームはGSLBサービスに障害耐性を提供します。 



リードサイトは、バランスの決定を行い、接続を処理し、監視します。 GSLB構成は、マスターサイトコントローラーからのみ変更できます。



スレーブサイトはアクティブまたはパッシブにすることができます。 

• パッシブスレーブサイトは、マスターサイトがローカルVSを選択した場合にのみ、着信クライアント接続を処理します。
  
  
• アクティブなスレーブサイトはマスターサイトからその構成を受け取り、クラッシュした場合、主導的な役割を引き継ぐことができます。 
  
  

GSLBサイトは、サードパーティのバランサー上に構築された外部サイトにすることもできます。 



グローバルプールは、ローカルサーバーを含むローカルプールとは異なります。グローバルプールでは、地理的に分散したさまざまなサイトの仮想サービスを組み合わせることができます。つまり、グローバルプールには、GSLBサイトのレベルで確立されたローカルVSが含まれています。 



グローバルプール内のサーバー間の接続のバランスが実行されます。 

• ラウンドロビンアルゴリズムによる、 
  
  
• サーバーの地理的位置によって、 
  
  
• ,
  
  
• Consistent Hash. 
  
  

1つのグローバルサービスに対して、複数のグローバルプールを作成し、各ローカルVSに1つ以上のサイトを含めることができます。この場合、新しい接続は、地理的位置または指定された優先順位に従って配布されます。プール内のサーバーに優先順位を設定するには、それぞれに異なる重みを設定できます。 



グローバルプール間のバランスの例。これは、グローバルVSがこのスキームで接続を分散する方法です







。GslbPool_3の優先度は10であり、クライアント接続に優先されます。これらの接続のうち、負荷の40％はVS-B3に、60％はVS-B4に送られます。 GslbPool_3が使用できなくなると、すべてのクライアント接続が完全にGslbPool_2に送られ、VS-B3とVS-B4の間の負荷が均等に分散されます。



ローカルDNSサービスのFQDN名がバランスされたレコードが含まれます。 



GSLB DNSは、ローカルDNS VS動作モードであり、GSLBサイト間​​の接続のバランスを取るために使用されます。 



ローカルDNSVSは、発生したGSLBのDNSサービスとして選択すると、GSLBDNSとして機能し始めます。このようなDNSVSは、グローバルプールに含まれるすべてのサイトに展開する必要があります。



GSLBは、グローバルサービスFQDNレコードを各ローカルDNSに追加します。NSX ALBは、このレコードに、グローバルVSプールに含まれるすべてのサイトからのローカルVSの仮想IPを入力します。これらの追加のVIPは、新しいローカルVSがプールに追加されると自動的に追加されます。レコード内のデータは、サービスの負荷、サーバーの可用性、およびサイトからのクライアントのリモート性に関する情報が蓄積されるにつれて更新されます。新しいクライアントがFQDNを使用して接続すると、ローカルDNSの1つが、この蓄積された実際のデータを考慮して、ローカルVSのVIPアドレスを発行します。



NSX ALBシステムを展開および構成する方法、およびその中でGSLBサービスを起動する方法については、この記事の後半で説明します。