Tengo motivos para creer que la serie Cisco GSS 4400 se comporta de manera diferente a la de Cisco ACE NLB en lo que respecta a la forma en que pasan las referencias de nombres. Me gustaría saber los detalles de en qué se diferencian, específicamente la forma en que GSS trata los nombres de host.
Básicamente, estoy intentando configurar la autenticación Kerberos con GSS.
Con el balanceador de carga ACE, logré configurar Kerberos: hago que varios servicios utilicen el FQDN del balanceador de carga ACE y me autentiquen según ese FQDN. Los clientes señalan este FQDN, que eventualmente llega a un servicio después del balanceador de carga ACE, y se autentican con este servicio, aún usando ese mismo FQDN.
Sin embargo, con el GSS, la configuración anterior falla. No puedo autenticarme según Kerberos. Parece que el GSS no se limita a reenviar tráfico a los servidores.
Mi configuración de red REAL es: GSS -> 2 ACE NLB -> 4 servicios HTTP, pero ni siquiera puedo hacer que funcionen GSS -> 2 servicios HTTP.
Cualquier información sobre GSS sería útil. ¡Gracias!
Respuesta1
Creo que su principal idea errónea es que el GSS está de alguna manera en el flujo de tráfico. No lo es.
El GSS es simplemente un cuadro inteligente de resolución DNS. Supervisa el estado de varias direcciones IP y devuelve respuestas a consultas de DNS en un esfuerzo por equilibrar el tráfico en múltiples geografías.
El flujo de tráfico en sí (entre el cliente y el servidor) nunca atraviesa el GSS; el GSS simplemente le dice al cliente a qué servidor dirigirse resolviendo un nombre en una dirección IP.
Por lo tanto, el GSS no pasa referencias de nombres ni tiene nada que ver con Kerberos. Simplemente recibe una solicitud de DNS (puerto UDP 53), realiza un pequeño análisis y responde con una dirección IP basada en cómo se define la regla GSS. Ningún tráfico HTTP llega nunca al GSS.
¿No estoy seguro si eso ayuda a responder tu pregunta?