Gambaran Keseluruhan

Matlamat artikel berikut adalah untuk memberikan gambaran seni bina dari dalaman perisian Zevenet yang disasarkan kepada pentadbir sistem dan pemaju perisian dengan minat untuk mengetahui lebih lanjut mengenai bagaimana perisian Zevenet ADC berfungsi. Semua maklumat ini boleh digunakan juga untuk membantu konfigurasi sistem pengeluaran atau tujuan penyelesaian masalah.

Seni bina Zevenet

Zevenet menguruskan proses dari kedua-dua ruang pengguna dan kernel yang membolehkan untuk mengumpul prestasi yang paling tinggi tetapi dengan fleksibiliti yang paling serta untuk melaksanakan semua tugas yang diwakilkan kepada pengawal penghantaran aplikasi seperti pengimbangan beban, keselamatan, dan ketersediaan tinggi.

Rajah di bawah memberikan pandangan global tentang komponen yang berbeza yang menyusun sistem Zevenet secara dalaman. Potongan tambahan kurang penting telah dilepaskan untuk menawarkan pandangan yang lebih mudah dan jelas.

Bahagian berikut akan dihuraikan bahagian yang berbeza dan bagaimana ia saling berkaitan.

Zevenet Load Balancer dalam Ruang Pengguna

Subsistem yang digunakan dalam Ruang Pengguna adalah:

GUI Web: Antara muka pengguna grafik web yang digunakan oleh pengguna untuk menguruskan konfigurasi dan pentadbiran keseluruhan sistem, ia diuruskan oleh pelayan web HTTPS yang menggunakan API Zevenet untuk semua tindakan yang dilakukan kepada pengimbang beban.

API Zevenet: atau antara muka program Aplikasi Zevenet, direka berikutan REST and JSON antara muka, yang digunakan melalui HTTPS, ia digunakan oleh antara muka pengguna lain yang lain dari sudut pandangan pengguna seperti web GUI antara muka atau ZCLI (Antara muka baris arahan Zevenet). Alat ini memeriksa apa-apa tindakan terhadap subsistem RBAC dan jika dibenarkan tindakan diambil dalam Zevenet Appliance. API ini dapat menyambung dan menguruskan mana-mana subsistem pengguna ruang yang dinyatakan dalam gambarajah.

RBAC: Kawalan akses berasaskan peranan adalah mekanisme capaian dan kawalan yang ditakrifkan di sekitar pengguna, kumpulan, dan peranan. Modul ini mentakrifkan tindakan yang dibenarkan pengguna untuk melakukan konfigurasi tahap tinggi antara kumpulan, pengguna dan peranan. Ia disepadukan sepenuhnya ke antara muka GUI web yang membenarkan memuatkan pandangan web berdasarkan peranan pengguna. Di samping itu, subsistem ini dimakan melalui API atau mana-mana alat lain yang menggunakan API.

LSLB - HTTP (S): Modul LSLB (Local Service Load Balancer) yang disusun oleh profil HTTP (S) dilaksanakan di ruang pengguna oleh proksi terbalik yang dipanggil Zproxy yang dapat menguruskan aplikasi throughput tinggi dengan sangat efisien. Subsistem ini dikonfigurasi oleh API dan boleh dilindungi oleh subsistem IPDS (menggunakan BlackLists, peraturan DoS, RBL dan peraturan WAF).

GSLB: Modul GSLB (Global Service Load Balancer) yang dilaksanakan dengan contoh profil GSLB dilaksanakan dalam ruang pengguna dengan proses pelayan DNS yang dipanggil Gdnsd yang dapat berfungsi sebagai Nameserver DNS lanjutan dengan ciri pengimbangan beban. Subsistem ini dikonfigurasi oleh API dan boleh dilindungi oleh subsistem IPDS (menggunakan BlackLists, DoS dan RBL).

Pemeriksaan Kesihatan: Subsistem ini dikonfigurasi oleh API dan digunakan oleh semua modul pengimbang beban (LSLB, GSLB, dan DSLB) untuk memeriksa kesihatan belakangnya. Pemeriksaan mudah dan lanjutan dilaksanakan terhadap backend dan kemudian jika cek gagal backend untuk ladang yang diberikan ditandai sebagai turun dan tidak ada lalu lintas diteruskan sampai pemeriksaan bekerja lagi terhadap backend. Penjaga Farm bertanggungjawab untuk pemeriksaan ini dan ia direka dengan tahap fleksibiliti dan konfigurasi yang tinggi.

Sistem Fail Konfigurasi: Direktori ini digunakan untuk tujuan penjimatan konfigurasi, apa-apa perubahan dalam direktori ini akan direplikasikan kepada kluster, jika perkhidmatan tersebut diaktifkan.

Nftlb: Proses pengguna ini diuruskan oleh subsistem API dan digunakan untuk dua tujuan utama: LSLB - L4XNAT pengurusan dan konfigurasi IPDS modul subsistem.

Zevenet Load Balancer dalam Ruang Kernel

Subsistem yang digunakan dalam Kernel Space adalah:

Sistem penapis bersih LSLB L4xNAT: Subsistem Netfilter digunakan oleh Nftlb untuk tujuan mengimbangi beban. Peraturan penghapus netfil dimuatkan dalam kernel oleh proses Nftlb ini untuk membina penimbang beban L4 prestasi tinggi. Nftlb memuatkan peraturan pengimbang beban di dalam kernel dengan cara yang efisien untuk menguruskan paket lalu lintas yang optimum mungkin. Di samping itu, Nftlb akan memuatkan kaedah Netfilter untuk pencegahan dan perlindungan pencerobohan (BlackLists, RBL, dan DoS).

Senarai Hitam IPDS: Subsistem ini disepadukan ke Sistem Netfilter dan diuruskan oleh Nftlb. Ia terdiri daripada sekumpulan peraturan yang dikonfigurasikan sebelum peraturan pengimbang beban untuk menjatuhkan sambungan untuk IP asal yang diberikan. Secara dalaman ia mewujudkan satu set peraturan yang diperintahkan oleh kategori, negara, jenis penyerang, dll dan dikemas kini setiap hari.

IPDS RBL: Secara analog daripada sebelumnya, subsistem ini disepadukan dalam Netfilter dan diuruskan oleh Nftlb. IP asal ditangkap sebelum penubuhan sambungan dan IP pelanggan disahkan perkhidmatan DNS luaran. Jika IP diselesaikan maka IP ditandakan sebagai berniat jahat dan sambungan akan dijatuhkan.

DoS IPDS: Sistem konfigurasi yang sama dengan dua modul terdahulu, dimasukkan ke dalam Netfilter dan diuruskan oleh Nftlb. Ia adalah satu set peraturan yang dikonfigurasi sebelum peraturan baki beban yang memeriksa jika paket adalah sebahagian daripada Serangan Penafian Perkhidmatan. Sesetengah peraturan digunakan untuk aliran paket untuk memintas serangan sebelum dilakukan.

Sistem penjejakan sambungan: Sistem ini digunakan oleh subsistem Netfilter untuk tujuan pengurusan sambungan, terjemahan rangkaian dan untuk modul statistik, Dan juga pemeriksaan kesihatan subsistem untuk memaksa tindakan sambungan pada masa sesuatu isu dikesan dalam backend. Sistem penjejakan sambungan juga digunakan oleh Perkhidmatan clustering untuk mengemukakan status sambungan ke nod kedua cluster, sekiranya nod induk kluster gagal maka nod kedua dapat menguruskan lalu lintas dalam status sambungan yang sama daripada tuan sebelumnya.

Sistem Routing dan DSLB: Subsistem-subsistem ini diuruskan oleh API dan dikonfigurasikan dalam ruang Kernel. Subsistem penghalaan dibina dengan iproute2 yang membolehkan kami menguruskan pelbagai jadual penghalaan mengikut urutan untuk mengelakkan mengekalkan peraturan yang kompleks untuk penghalaan statikSelain itu, terima kasih kepada iproute2 modul DSLB (Datalink Service Load Balancer) dibuat untuk menyediakan keseimbangan beban uplink dengan beberapa pintu masuk.

Pada saat menulis artikel ini, Zevenet 6 sedang di produksi, sehingga subsistem-subsistem tersebut dapat berkembang dalam versi masa depan untuk menawarkan kinerja yang lebih baik atau lebih banyak fitur.

Dokumentasi tambahan

Penanda aras Zevenet zproxy, profil LSLB -HTTP (S)
Penanda aras Zevenet nftlb, profil LSLB - L4xNAT