我有理由相信,Cisco GSS 4400 系列在传递名称引用的方式上与 Cisco ACE NLB 的行为有所不同。我想知道它们之间的区别,特别是 GSS 处理主机名的方式。
我正在尝试使用 GSS 设置 Kerberos 身份验证。
使用 ACE 负载均衡器,我成功设置了 Kerberos - 我让各种服务使用 ACE 负载均衡器的 FQDN,并根据该 FQDN 进行身份验证。客户端指向此 FQDN,最终到达 ACE 负载均衡器之后的服务,并仍然使用相同的 FQDN 与该服务进行身份验证。
但是,使用 GSS 时,上述配置会失败。我无法基于 Kerberos 进行身份验证。看来 GSS 不仅仅是将流量转发到服务器。
我的实际网络设置是:GSS -> 2 ACE NLB -> 4 HTTP 服务,但我甚至无法让 GSS -> 2 HTTP 服务工作。
任何有关 GSS 的信息都会有帮助。谢谢!
答案1
我认为你的主要误解是 GSS 在某种程度上存在于交通流中。但事实并非如此。
GSS 只是一个智能 DNS 解析盒。它监控大量 IP 地址的状态并返回 DNS 查询的答案,以粗略地平衡多个地域之间的流量。
流量本身(在客户端和服务器之间)从不穿过 GSS - GSS 只是通过将名称解析为 IP 地址来告诉客户端要瞄准哪个服务器。
因此,GSS 不会传递名称引用,也不会与 Kerberos 有任何关系。它只是接收 DNS 请求(UDP 端口 53),进行一些分析,然后根据 GSS 规则的定义方式用 IP 地址进行回答。HTTP 流量永远不会到达 GSS。
我不知道这是否有助于解答你的问题?