首先,问题的背景:我有一台 Cisco CSS11501,用于对一些 Web 服务器进行负载平衡。这些 Web 服务器有两个网络接口,一个是内部接口,一个是外部接口,我们将请求发送到内部接口。
我们已将 CSS 配置为执行 NAT,因为我们的 Web 服务器需要查看客户端的 IP 地址。
由于 TCP 数据包到达源地址在 Internet 上的 Web 服务器,因此 Web 服务器会尝试通过外部接口(而不是通过负载均衡器)将数据包发送回客户端。为了阻止这些请求通过外部接口发送回 Internet,我们在这些盒子上添加了路由规则,以便源地址在 Internet 上的所有流量都将使用负载均衡器作为网关。这部分工作正常。
我还想使用 CSS 作为内部服务(例如我们的 MySQL 从属服务器)的负载平衡器。
当我这样做时,我遇到了类似的问题;TCP 连接从 Web 服务器到负载均衡器,然后从负载均衡器到 MySQL 从属服务器,但 CSS 会欺骗原始 Web 服务器的源地址。然后,MySQL 从属服务器尝试通过内部网络直接将响应发送到 Web 服务器,而不是通过负载均衡器。
理想的解决方案是告诉 CSS 不要在内部网络上进行源地址欺骗,而只对来自互联网的请求进行欺骗。这可能吗?
除此之外,是否有一种方法可以将负载平衡流量引导回负载平衡器,同时将其他流量(例如 SSH)纯粹保持在内部网络上?
是否有其他方法可以使用 CSS11501 来平衡内部服务的负载?
答案1
CSS 会伪造原始 Web 服务器的源地址。然后,MySQL 从属服务器会尝试通过内部网络(而不是通过负载均衡器)直接将响应发送到 Web 服务器。
我不明白,如果 CSS 欺骗了源 IP,您的 mysql 应该将 CSS IP 视为源,因此如果 IP 被欺骗,则回复 CSS 而不是网络服务器...
无论如何,看看群组命令,这允许您隐藏一个或多个服务的另一个请求的源地址。
我猜这正是您的 mysql 负载平衡所需要的