首先,問題的背景:我有一個 Cisco CSS11501,我用它來平衡一些 Web 伺服器的負載。這些 Web 伺服器有兩個網路接口,一個內部接口,一個外部接口,我們將請求發送到內部接口。
我們將 CSS 配置為執行 NAT,因為我們的網頁伺服器需要查看客戶端的 IP 位址。
由於 TCP 封包到達具有 Internet 上的來源位址的 Web 伺服器,因此 Web 伺服器會嘗試透過外部介面而不是透過負載平衡器將封包傳送回客戶端。為了阻止這些請求透過外部介面發送回互聯網,我們在這些機器上新增了路由規則,以便所有具有互聯網上來源位址的流量都將使用負載平衡器作為網關。這部分工作正常。
我還想使用 CSS 作為內部服務(例如我們的 MySQL 從站)的負載平衡器。
當我這樣做時,我遇到了類似的問題; TCP 連線從 Web 伺服器到負載平衡器,然後從負載平衡器到 MySQL 從屬伺服器,但 CSS 欺騙了原始 Web 伺服器的來源位址。然後,MySQL 從機嘗試透過內部網路而不是透過負載平衡器將回應直接傳送到 Web 伺服器。
理想的解決方案是告訴 CSS 不要在內部網路上進行來源位址欺騙,而只對源自 Internet 的請求進行來源位址欺騙。這可能嗎 ?
如果做不到這一點,是否有一種方法可以將負載平衡流量引導回負載平衡器,同時將其他流量(例如 SSH)純粹保留在內部網路上?
是否有另一種方法可以使用 CSS11501 來平衡內部服務的負載?
答案1
CSS 欺騙原始網頁伺服器的來源位址。然後,MySQL 從機嘗試透過內部網路而不是透過負載平衡器將回應直接傳送到 Web 伺服器。
我不明白,如果CSS欺騙來源IP,你的mysql應該將CSS IP視為來源,因此如果IP被欺騙,則回覆CSS而不是網頁伺服器...
無論如何,請看一下群組命令,這允許您隱藏另一個人對一項或多項服務的請求的來源位址。
我想這正是你的 mysql 負載平衡所需要的