Product: SWG
Version: 7.5.x
UserGate SWG поддерживает балансировку трафика между различными сервисами. Балансировка может применяться в следующих сценариях:
-
для внутренних серверов, опубликованных в интернете с использованием DNAT;
-
внутренних серверов без публикации во внешней сети;
-
трафика, перенаправляемого на внешние ICAP-серверы;
-
трафика к серверам, публикуемым через правила reverse-proxy.
Балансировщик принимает запросы, направленные на IP-адрес виртуального сервера, и распределяет их между IP-адресами реальных серверов, применяя различные алгоритмы балансировки.
Чтобы настроить балансировку, необходимо в разделе Настройки ➜ Политики сети ➜ Балансировка нагрузки создать правила балансировки.
Балансировщик TCP/UDP
Для создания правила балансировки TCP/UDP перейдите в раздел Настройки ➜ Политики сети ➜ Балансировка нагрузки, нажмите Добавить, выберите Балансировщик TCP/UDP и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включен
|
Включение или отключение правила балансировки
|
|
Название
|
Название правила балансировки
|
|
Описание
|
Описание правила балансировки
|
|
IP-адрес виртуального сервера
|
Выбор адреса из списка IP-адресов, назначенных на сетевые интерфейсы узла. При необходимости вы можете добавить дополнительные IP-адреса на желаемый интерфейс
|
|
Порт
|
Порт, для которого необходимо производить балансировку нагрузки
|
|
Протокол
|
Протокол, для которого необходимо производить балансировку нагрузки (TCP или UDP)
|
|
Метод балансировки
|
Выбор метода распределения трафика на реальные серверы:
-
Round robin — каждое новое подключение передается на следующий сервер в списке, равномерно загружая все серверы.
-
Weighted round robin — работает аналогично методу round robin, но загрузка реальных серверов осуществляется с учетом весовых коэффициентов, что позволяет распределить нагрузку с учетом производительности каждого сервера.
-
Least connections — новое подключение передается на сервер, на котором в данный момент установлено наименьшее число соединений.
-
Weighted least connections — работает аналогично методу least connections, но загрузка реальных серверов осуществляется с учетом весовых коэффициентов, что позволяет распределить нагрузку с учетом производительности каждого сервера
|
|
Реальные серверы
|
Добавление пула реальных серверов, на которые перенаправляется трафик. Для каждого из серверов необходимо указать:
-
IP-адрес сервера.
-
Порт сервера — порт, на который необходимо пересылать запросы пользователей.
-
Вес — параметр для неравномерного распределения трафика на реальные серверы для режимов балансировки weighted round robin и weighted least connections. Чем больше вес, тем больше будет нагрузка на сервер.
-
Режим:
-
Шлюз — для перенаправления трафика на виртуальный сервер используется маршрутизация.
-
Маскарадинг — для перенаправления трафика на виртуальный сервер используется DNAT.
-
Маскарадинг с подменой IP-источника (SNAT) — аналогично маскарадингу, но при этом UserGate SWG подменяет IP-адрес источника на свой
Важно! Поскольку в режиме «Шлюз» балансировщик не изменяет заголовки пакетов, обратный трафик от реального сервера должен обеспечиваться средствами маршрутизации. То есть шлюз для обратного трафика должен отличаться от адреса UserGate SWG.
|
|
Аварийный режим
|
Аварийный режим используется, когда не доступен ни один из реальных серверов. Для активации аварийного режима необходимо его включить и указать следующие параметры:
|
|
Мониторинг
|
Механизм мониторинга выполняет проверку доступности реальных серверов. Недоступные серверы автоматически выводятся из пула балансировки нагрузки
|
|
Режим
|
Способ мониторинга реальных серверов:
-
ping — проверка доступности узла с помощью утилиты ping.
-
connect — проверка работоспособности узла с помощью установления TCP-соединения на определенный порт.
-
negotiate — проверка работоспособности узла с помощью отправки определенного HTTP- или DNS-запроса и сравнения полученного ответа с ожидаемым. Для настройки этого режима выберите тип сервиса (HTTP или DNS), заполните строки Запрос и Ожидаемый ответ. Например, для HTTP-запроса:
Строка запроса в этом примере указывает путь на реальных серверах, который будет использован в HTTP-запросе. Строка ожидаемого ответа содержит фрагмент возвращаемой веб-страницы
|
|
Интервал проверки
|
Интервал времени, через который должна выполняться проверка
|
|
Время ожидания
|
Время ожидания ответа на проверку
|
|
Число неудачных попыток
|
Количество попыток проверки реальных серверов, по достижении которого сервер будет считаться неработоспособным и будет исключен из списка балансировки
|
ПримечаниеПравила балансировки имеют более высокий приоритет и применяются до правил NAT, DNAT, Маршрутизации.
Балансировщик ICAP
Балансировщик ICAP распределяет трафик между внешними ICAP-серверами. Такое решение может применяться для антивирусного сканирования или глубокого анализа пользовательских данных с использованием DLP-систем.
Алгоритм балансировки распределяет HTTP-трафик между серверами с учетом пользовательских сессий.
Для создания балансировщика ICAP перейдите в раздел Настройки ➜ Политики сети ➜ Балансировка нагрузки, нажмите Добавить, выберите Балансировщик ICAP и укажите необходимые параметры балансировщика.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила балансировки
|
|
Название
|
Название правила балансировки
|
|
Описание
|
Описание правила балансировки
|
|
Способ балансировки
|
Настройка балансировки трафика с поддержкой закрепления HTTP-запросов пользователя за определенным ICAP-сервером в рамках одной сессии. Это обеспечивает согласованную обработку пользовательского потока данных.
Вы можете выбрать несколько методов привязки, они применяются последовательно, в порядке приоритета сверху вниз:
-
По заголовку Cookie — привязка выполняется на основе cookie, который генерируется самим балансировщиком. Балансировщик добавляет cookie во вложенный HTTP-ответ, закрепляя HTTP-сессию пользователя за конкретным ICAP-сервером. Все последующие HTTP-сообщения, содержащие этот cookie, направляются на тот же ICAP-сервер.
-
По имени пользователя — привязка выполняется по имени пользователя источника запроса. Механизм используется только в том случае, если система может определить имя пользователя. Если имя пользователя определить невозможно, применяется следующий доступный метод согласно приоритету.
-
По IP-адресу и порту клиента — привязка осуществляется по комбинации IP-адреса и порта источника. В этом случае все ICAP-запросы от одного и того же IP-адреса и порта направляются на один и тот же ICAP-сервер на протяжении времени действия привязки.
-
По IP-адресу клиента — привязка выполняется только по IP-адресу источника. Все ICAP-запросы от одного и того же IP-адреса направляются на один ICAP-сервер в течение времени действия привязки. Метод обеспечивает стабильную маршрутизацию HTTP-запросов пользователей с постоянным IP-адресом.
-
По TCP-сессии — привязка выполняется по TCP-соединению. В этом режиме все ICAP-запросы (REQMOD и RESPMOD), передаваемые в рамках одного TCP-соединения от ICAP-клиента, обрабатываются одним и тем же ICAP-сервером. Балансировка по TCP-сессии активна всегда, она работает, если не сработали другие выбранные методы.
Время закрепления — период, в течение которого сохраняется привязка запросов (от 1 до 86 400 секунд, значение по умолчанию — 3600 секунд). По истечении этого времени информация о привязке сессии удаляется, после чего распределение запросов выполняется заново.
Подробнее о работе с ICAP-серверами — в разделе «Работа с внешними ICAP-серверами»
|
|
ICAP-серверы
|
Выбор профилей ICAP-серверов, на которые будет распределяться нагрузка. Подробнее о работе с ICAP-серверами — в разделе «Работа с внешними ICAP-серверами»
|
ПримечаниеПри изменении параметров действующего правила происходит перезапуск механизма балансировки. Активные сессии с ICAP-серверами завершаются. Последующие запросы обрабатываются уже по обновленной конфигурации правила балансировки.
Балансировщик reverse-прокси
Балансировщик серверов reverse-прокси позволяет распределять трафик на внутренние серверы, публикуемые с помощью правил reverse-прокси. Этот балансировщик может быть использован в правилах reverse-прокси.
Для создания правила балансировки для серверов reverse-прокси перейдите в раздел Настройки ➜ Политики сети ➜ Балансировка нагрузки, нажмите Добавить, выберите Балансировщик reverse-прокси и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включен
|
Включение или отключение правила балансировки
|
|
Название
|
Название правила балансировки
|
|
Описание
|
Описание правила балансировки
|
|
Reverse-прокси профили
|
Выбор профилей серверов reverse-прокси, на которые будет передаваться трафик. Подробнее о публикации ресурсов с помощью reverse-прокси — в разделе «Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси»
|
