panduan pemaju nftlb

DIPOS oleh Zevenet | 30 Julai 2019

Gambaran Keseluruhan

nftlb bergantung kepada timbunan jaringan netfilter / nftables linux. Dengan tumpuan baru ini, ia menyediakan konsep dan kebolehan baru yang perlu kita muat dalam reka bentuk pengimbangan beban semasa.

Artikel ini bertujuan untuk memberikan gambaran mengenai bagaimana jalur data balancing load dan path kawalan nftables direka.

Hooks Laluan Data

Ini adalah cangkuk Netfilter yang menggunakan nftlb, mengambil kesempatan daripada rantai yang boleh dikonfigurasikan. Konsep baru seperti pengambilan pelacakan sambungan perlu disertakan untuk mempercepat sambungan yang diteruskan ke arah belakang.

                                                                  ------------
                                                                 |    DNSBL   |
                                                                  ------------
                                                                       |
                                                                     queue
                      ingress                                          |  prerouting                      forward         postrouting
      ------------ ------------- --------------                   ------------ -------                 --------------       -------
     |   filter   |    filter   |    filter    |                 |   filter   |  nat  |               |    filter    |     |  nat  |
     |     0      |    50-99    |     100      |                 |    -150    |   0   |               |      0       |     |  100  | 
 --> |            |             | Sec Policies |-( Conntrack )-> | Sec Limits |       |-( Routing )-> |              | --> |       |
     | Clustering | Flow tables | DSR          |           VS{}  | Helpers    | dNAT  |         VS{}  | Flow offload |     |  sNAT |
     |            |             | stless dNAT  |                 | Marks      |       |                --------------       -------
      ------------ ------------- --------------                   ------------ ------- 

kemasukan

Penapis (0): Ditetapkan untuk pengurusan kluster. Belum termasuk dalam nftlb.
(50-99) penapis: Ditetapkan untuk pecutan jadual alir. Belum termasuk dalam nftlb.
Penapis (100): Tercantum, dalam rangka, untuk: Dasar Keselamatan (senarai hitam dan putih senarai putih), Kembali Pelayan Langsung dan topologi dNAT Stateless.

prerouting

Penapis (-150): Ditetapkan untuk Had Keselamatan bagi setiap perkhidmatan maya atau setiap backend seperti: bilangan maksimum sambungan yang ditetapkan, had TCP RST sesaat, had TCP SYN sesaat, sambungan TCP yang tidak ketat, beratur kepada perkhidmatan DNSBL, perkhidmatan maya dan tanda backend , penggunaan pembantu, pembalakan sambungan input bagi setiap perkhidmatan maya.
(0) nat: Reserved untuk tujuan NAT mangling.

ke hadapan

Penapis (0): Dikeluarkan untuk beban aliran. Belum termasuk dalam nftlb.

pasang surut

(100) nat: Reserved untuk tujuan NAT mangling.

Jalan Kawalan

Laluan kawalan nftlb direka sebagai daemon yang menyediakan pelayan http mudah dengan API, atau binari mandiri yang menerima fail konfigurasi dalam format JSON.

                -------------    traduction     -------------             --------
   JSON API    |             |   objs to nft   |             |  netlink  |        |
 ------------> | http server | --------------> | libnftables | --------> | kernel |
               |             |        |        |             |           |        |
                -------------         |         -------------             --------
                                      |               netlink                |
                                       ---------------------------------------
Berkongsi pada:

Dokumentasi di bawah syarat-syarat Lesen Dokumentasi Bebas GNU.

Adakah artikel ini berguna?

Artikel yang berkaitan