本节介绍了通配符 VIP 的配置、常见部署和用例场景。
在 NSX Advanced Load Balancer 中,虚拟服务配置了 IP 地址以作为 VIP 并配置了端口以作为服务,从而对来自外部的客户端流量进行负载均衡。NSX Advanced Load Balancer 根据设置、策略和配置文件列表处理客户端连接或请求,然后通过作为虚拟服务池成员列出的后端应用程序服务器对有效的客户端流量进行负载均衡。
除了通过应用程序服务器对客户端流量进行负载均衡以外,NSX Advanced Load Balancer 还为应用程序服务器提供可支持性、可管理性和可扩展性。
在与 NSX Advanced Load Balancer 一起部署时,您可以在零停机的情况下升级应用程序服务器。
通配符 VIP 扩展了虚拟服务功能,从而为网络设备(例如防火墙和防火墙设备)提供高级负载均衡服务。
通配符 VIP 允许在虚拟服务中进行网络匹配配置。应用程序虚拟服务接受到 VIP 的连接,而通配符 VIP 接受到子网的连接,并且可配置为 CIDR 表示法。
支持的功能
以下配置文件支持通配符虚拟服务:
网络配置文件:TCP 快速路径和 UDP 快速路径
应用程序配置文件:System-L4-Application 配置文件
支持的环境
以下环境支持通配符 VIP:
基于 DPDK 的环境中的活动/备用 SE 组
无权访问模式和 LSC 云
网络地址匹配
可以配置网络流量匹配以处理大范围的入站流量。在企业网络中,它可能是子网/前缀配置。
例如,它可能是前缀 10.0.0.0/8(接受 10.0.0.0 到 10.255.255.255 之间的前缀)或 0.0.0.0/0(接受每个入站数据包)。
下面说明了部署中的通配符 VIP:
在该部署模式中,通配符虚拟服务位于前端,面向客户端流量。s配置了三个防火墙(FW1、FW2、FW3)以作为池成员。通配符虚拟服务对穿过防火墙 FW1、FW2、FW3 的流量进行负载均衡。
防火墙很少是客户端流量的目标,流量预计会透明地转发到防火墙。因此,来自客户端的流量必须按原样发送到池成员,而不进行任何源地址或目标地址转换(SNAT 或 DNAT)。在这种部署中,网络地址匹配是在 VIP 流量选择条件中配置的。虚拟服务的通配符 VIP 仅对到这些防火墙的流量进行负载均衡,而不改变客户端流量。
流量选择条件
通过将网络地址匹配作为虚拟服务的一部分引入,可以将以下组合配置为 VIP 流量选择器:
目标 |
服务端口 |
虚拟服务配置 |
|---|---|---|
IP 地址 |
端口 |
|
IP 地址 |
任意 |
服务端口范围是 1 - 65535 |
网络地址 |
端口 |
ip_address 中的前缀 (VIP) |
网络地址 |
任意 |
ip_address 中的前缀,服务端口 0 |
任意 |
端口 |
ip_address 中的前缀 0 |
任意 |
任意 |
ip_address 中的前缀 0,服务端口 0 |
目前,仅 TCP/UDP 快速网络配置文件支持通配符 VIP。
除了支持的网络端口以外,您还可以使用网络地址匹配功能配置所有上述通配符虚拟服务变体。如果您使用表中指定的不同组合配置多个虚拟服务,则按照表中列出的相同优先顺序选择具有最具体匹配项的虚拟服务。
