Обзор #

В этой статье описывается структурированная и безопасная методология перенести сервисы из любой сторонний поставщик балансировщиков нагрузки (аппаратное или программное обеспечение) к RELIANOID Балансировщик нагрузки.

Данная процедура минимизирует риски за счет разделения процессов анализа, налаживания связей, преобразования сервисов и окончательной активации, обеспечивая при этом сосуществование в течение периода миграции.

Процесс миграции делится на следующие этапы:

1. Инвентаризация и оценка существующих услуг
2. Целевая архитектура и проектирование сети в RELIANOID
3. Подготовка RELIANOID для миграции (доступ к API и изоляция)
4. Применение сетевой конфигурации с помощью noid-cli
5. Перевод и создание сервисов (L4, HTTP/HTTPS, GSLB)
6. Завершающая проверка безопасности и активация сервиса через веб-интерфейс.

Шаг 1: Инвентаризация и оценка существующих услуг балансировки нагрузки. #

Прежде чем прикасаться RELIANOIDЗадокументируйте все данные с балансировщика нагрузки.

Таблица инвентаризации услуг #

Создайте инвентарный список, включающий в себя: входящие (VIP) и исходящий (бэкэнды или реальные серверы) конфигурация:

Имя службы	Тип (L4, HTTP/S, GSLB)	Протокол (TCP, UDP, SCTP, ALL)	VIP	VIP-порты	Настойчивость	IP-адрес и порт бэкэнда 1	IP-адрес и порт бэкэнда 2	IP-адрес и порт бэкэнда 3	IP-адрес и порт бэкэнда 4	Расширенные настройки
web-prod-ssl	HTTPS	TCP	192.0.2.10	443	Cookie	10.0.1.10:80	10.0.1.11:80	10.0.1.12:80	–	WAF включен, используется SSL-сертификат mycert.pem.
api-l4	L4	TCP	192.0.2.20	8443	Источник IP	10.0.2.5	10.0.2.6	–	–	–
dns-gslb	GSLB	UDP	192.0.2.40	53	приоритет	23.3.3.3	53.3.3.3	–	–	–

Ключевые элементы для идентификации #

Для каждой услуги укажите:

• VIP-клиенты и плавающие IP-адреса
• Порты и протоколы прослушивания
• Серверная часть и проверки работоспособности
• Метод сохранения данных (cookie, исходный IP-адрес, заголовок)
• SSL сертификаты
• Расширенные функции (WAF, ограничение скорости запросов, перезапись заголовков)
• Зависимости DNS (особенно для GSLB)

Этот инвентарь будет напрямую сопоставлен с RELIANOID объекты.

Шаг 2: Разработка цели RELIANOID Сетевая архитектура #

RELIANOID Обеспечивает четкое разделение между сетевыми функциями и сервисами, что упрощает миграцию.

Проектирование сетевых интерфейсов #

Исходя из вашего ассортимента:

• Фронтенд-сеть: место, где будут доступны VIP-персоны.
• Внутренняя сеть (или сети): где размещаются реальные серверы.
• Дополнительная сеть управления

Пример:

Интерфейс	Цель	IP
eth0	Управление и менеджмент	192.168.100.10
eth1	Фронтенд (VIP-персоны)	192.0.2.0/24
eth2	Backend	10.0.0.0/16

Вопросы маршрутизации и обеспечения высокой доступности. #

Обеспечьте симметрию маршрутизации между RELIANOID и серверной части.

Для настроек Home Assistant подтвердите следующее:

• поведение переключения на резервный виртуальный IP-адрес
• Разрешена бесплатная ARP
• Правила брандмауэра приведены в соответствие с новыми MAC/IP-адресами.

Шаг 3: Подготовка RELIANOID по миграции #

В процессе миграции включите и настройте ключ API для временного доступа. Доступ к API обеспечивает автоматизацию и повторяемость.

Из издания Веб-интерфейс:

1. Перейдите к: Система > Настройки пользователей > API
2. Нажмите на Включить разрешение API
3. Установить API ключ или подать заявку на Сгенерировать случайный ключ
4. Храните ключ в надежном месте.
5. Нажмите на Включить разрешение API

Этот ключ будет использоваться noid-cli.

Проверять подлинность noid-cli #

Затем подключитесь через консоль или SSH и пройдите аутентификацию с помощью ключа API, указанного в файле. noid-cli.

root@noid3-82-1:~# noid-cli Ключ API балансировщика нагрузки: 

Это требуется только в первый раз. noid-cli запускается.

Шаг 4: Настройка сетевых интерфейсов #

Настройка сети всегда должна производиться до создания службы.

noid-cli (localhost): network-nic set eth0 -ip 192.168.100.10 -netmask 255.255.255.0 -gateway 192.168.100.1 noid-cli (localhost): network-nic start eth0 noid-cli (localhost): network-nic set eth1 -ip 192.0.2.5 -netmask 255.255.255.0 noid-cli (localhost): network-nic start eth1 noid-cli (localhost): network-nic set eth2 -ip 10.0.0.5 -netmask 255.255.255.0 noid-cli (localhost): network-nic start eth2

Подтвердить через веб-интерфейс что конфигурация была применена Сеть> NIC.

Проверить подключение #

Проверьте подключение с помощью ping команда, направленная на сетевые интерфейсы шлюзов:

пинг-192.168.100.1

Добавить виртуальные IP-адреса (VIP-адреса) #

Эти виртуальные IP-адреса будут использоваться для балансировки нагрузки и будут перемещаться между узлами кластера балансировщика нагрузки.

noid-cli (localhost): network-virtual create -name eth1:web0 -ip 192.0.2.10 noid-cli (localhost): network-virtual start eth1:web0 noid-cli (localhost): network-virtual create -name eth1:web1 -ip 192.0.2.11 noid-cli (localhost): network-virtual start eth1:web1 noid-cli (localhost): network-virtual create -name eth1:web2 -ip 192.0.2.12 noid-cli (localhost): network-virtual start eth1:web2 noid-cli (localhost): network-virtual create -name eth1:web3 -ip 192.0.2.13 noid-cli (localhost): network-virtual start eth1:web3

Подтвердить через веб-интерфейс что конфигурация была применена Сеть> Виртуальные интерфейсы.

Шаг 5: Загрузка SSL-сертификатов фермы. #

В веб-интерфейс . LSLB> SSL-сертификаты Загрузите SSL-сертификаты в формате PEM, которые будут использоваться в HTTPS-фермах, перечисленных в предыдущем списке служб балансировки нагрузки.

Шаг 6: Перевод сервисов на RELIANOID #

Полуавтоматические команды CLI можно генерировать, используя следующие шаблоны, поэтому создание службы должно быть очень простым и понятным.

На любом этапе одни и те же команды выполняются через noid-cliможет быть применено через веб-интерфейс так же.

HTTP/HTTPS-сервисы #

1. Создайте новую ферму HTTP/S.
2. Укажите обработчик событий (HTTP или HTTPS).
3. Добавьте SSL-сертификат в ферму.
4. Создайте новую услугу (например, по умолчанию) на ферме.
5. Настройте сохранение состояния сервиса следующим образом: Cookie и настройте бэкэнды таким образом, чтобы они доставляли приложение в обычном режиме. HTTP.
6. Затем добавьте бэкэнды.

noid-cli (localhost): farm create -farmname web-prod -profile http -vip 192.0.2.10 -vport 443 noid-cli (localhost): farm set web-prod -listener https noid-cli (localhost): farm-certificate add web-prod -file example.pem noid-cli (localhost): farm-service add web-prod -id default noid-cli (localhost): farm-service set web-prod default -persistence COOKIE -sessionid ASP.SessionId -httpsb false noid-cli (localhost): farm-service-backend add web-prod default -ip 10.0.1.10 -port 80 noid-cli (localhost): farm-service-backend add web-prod default -ip 10.0.1.11 -port 80 noid-cli (localhost): farm-service-backend add web-prod default -ip 10.0.1.12 -port 80

Наконец, подробности о конфигурации сервиса, такие как: Ферма Страж для медицинских осмотров и WAF Настройки можно задать через веб-интерфейс чтобы облегчить процесс.

Сервисы уровня 4 (TCP/UDP) #

1. Создайте новую ферму L4.
2. Установите протокол (TCP, UDP…), NAT режим (без прозрачности) и сохранение состояния исходный IP.
3. Затем добавьте бэкэнды.

noid-cli (localhost): farm create -farmname api-l4 -profile l4xnat -vip 192.0.2.20 -vport 8443 noid-cli (localhost): farm set api-l4 -protocol tcp -nattype nat -persistence srcip noid-cli (localhost): farm-service-backend add api-l4 default_service -ip 10.0.2.5 noid-cli (localhost): farm-service-backend add api-l4 default_service -ip 10.0.2.6

Наконец, подтвердите и завершите настройку в веб-интерфейс при необходимости путем добавления Ферма Страж Проверка состояния здоровья или политика безопасности.

Шаг 7: Настройка службы кластера #

На данном этапе целесообразно приступить к настройке службы кластеризации между двумя узлами балансировщика нагрузки, если она еще не создана. Затем выполняется вся необходимая настройка. Виртуальные интерфейсы и Фермы будет автоматически реплицировано на вторичный узел.

Шаг 8: Окончательная настройка сервиса через веб-интерфейс. #

Некоторые сложные или конфиденциальные настройки намеренно фиксируются в окончательном виде. Веб-интерфейс.

Расширенные возможности HTTP #

Настройте и повторно проверьте следующие параметры:

• Перезапись заголовков
• Перенаправление
• Правила WAF
• Индивидуальные проверки здоровья

Проверка перед переходом на новую систему. #

Протестируйте сервисы, используя:

• Временные записи DNS
• Переопределения в файле hosts
• Альтернативные порты

Монитор:

• Состояние бэкэнда
• Журналы
• Постоянство сеанса

Шаг 9: Переключение и вывод из эксплуатации #

После проверки:

1. Перемещение производственного трафика (изменение DNS или маршрутизации)
2. Отслеживайте как минимум один деловой цикл.
3. Отозвать временный ключ API
4. Вывести из эксплуатации устаревший балансировщик нагрузки