nftlb udvikler guide

  • Blog
  • nftlb udvikler guide

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

nftlb udvikler guide

1 min læses

Indholdsfortegnelse

Oversigt #

nftlb er baseret på Linux-netværksstakken netfilter/nftables. Med denne nye stak får vi nye koncepter og muligheder, som vi har brug for at integrere i det nuværende load balancing-design.

Denne artikel har til formål at give et overblik over, hvordan nftables load balancer-datastien og kontrolstien er designet.

Datasti-kroge #

Dette er Netfilter-hooksene, som nftlb bruger, og som udnytter de konfigurerbare kæder. Nye koncepter som forbindelsessporings-offload skal inkluderes for at accelerere etablerede videresendte forbindelser til backends.

                                                                  ------------ | DNSBL | ------------ | køindgang | prerouting fremadrettet postrouting ------------ ------------- -------------- ------------- ------- -------------- ------- | filter | filter | | filter | | filter | nat | | filter | | nat | | 0 | 50-99 | 100 | | -150 | 0 | | 0 | | 100 | --> | | | Sek.politikker |-( Conntrack )-> | Sek.grænser | |-( Routing )-> | | --> | | | Klynger | Flowtabeller | DSR | VS{} | Hjælpere | dNAT | VS{} | Flow-offload | | sNAT | | | | stless dNAT | | Mærker | | -------------- ------- ------------- ------------- ------------ -------

indtrængen #

(0) filterReserveret til klyngestyring. Ikke inkluderet i nftlb endnu.
(50-99) filterReserveret til acceleration af flowtabeller. Ikke inkluderet i nftlb endnu.
(100) filterReserveret, i rækkefølge, til: Sikkerhedspolitikker (sortlister og hvidlister), Direct Server Return og Stateless dNAT-topologier.

forudgående routing #

(-150) filterReserveret til sikkerhedsgrænser pr. virtuelle tjenester eller pr. backend, f.eks.: maksimalt antal etablerede forbindelser, grænse for TCP RST pr. sekund, grænse for TCP SYN pr. sekund, frafald af ikke-strikte TCP-forbindelser, kø til DNSBL-tjeneste, virtuel tjeneste og backend-mærker, brug af hjælpere, logføring af inputforbindelser pr. virtuel tjeneste.
(0) natReserveret til destinations-NAT-mangling.

frem #

(0) filterReserveret til flowaflastning. Ikke inkluderet i nftlb endnu.

efterrouting #

(100) natReserveret til destinations-NAT-mangling.

Kontrolsti #

Kontrolstien nftlb er designet som en dæmon, der leverer en simpel http-server med en API eller en standalone binær fil, der accepterer en konfigurationsfil i JSON-format.

                ------------- oversættelse ------------- -------- JSON API | | objs til nft | | netlink | | -------------> | http-server | --------------> | libnftables | ---------> | kerne | | | | | | | ------------- | ------------ -------- | netlink | -------------------------------------

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs