> Tech > Configuration de NLB

Configuration de NLB

Tech - Par iTPro - Publié le 24 juin 2010
email

  Quand on installe Win2K AS ou Datacenter, on installe automatiquement NLB. Toutefois, NLB n'est pas validé par défaut. Pour valider NLB, ouvrir l'applet Networking and Dial-Up Connections du tableau de commande, puis ouvrir la boîte de dialogue Properties pour la Local Area Connection sur laquelle on envisage d'installer NLB. (On

peut également cliquer sur Start, Settings, Network and Dial-Up Connections, choisir la Local Area Connection et cliquer sur Properties.) Dans la section Components checked are used by this connection, sélectionner Network Load Balancing.

  Cliquer sur Properties pour afficher la boîte de dialogue Network Load Balancing Properties, qui contient trois onglets : Cluster Parameters, Host Parameters et Port Rules. Sur l’onglet Cluster Parameters, entrer la Primary IP address (c’est-à -dire, l’adresse VIP -virtual IP – du cluster NLB). Cette adresse IP doit être valide pour le sous-réseau (subnet) (et bien entendu unique, sauf pour d’autres membres du cluster) et il faut la définir de manière identique pour tous les hôtes du cluster. Le champ Subnet mask se résout automatiquement. Le Full Internet Name est le nom primaire que l’on utilise pour le cluster NLB et il faut le définir à  l’identique pour tous les hôtes du cluster.

  Le système de résolution de noms (fichier DNS, WINS, HOSTS, par exemple) doit être capable de résoudre ce nom en adresse IP primaire du cluster. Ainsi, j’ai Win2K DNS configuré pour résoudre cluster.tim.com en 192.168.1.100, qui est l’adresse VIP de mon cluster. Toutefois, si l’on définit NLB pour la première fois à  des fins de test, il n’est pas nécessaire de résoudre le nom à  l’adresse. Comme je le démontre plus loin dans la section « Mise en action de NLB », on peut simplement utiliser l’adresse de test fournie (c’est-à -dire http://192.168.1.100/nlbtest.asp) du cluster. La validation (enabling) de Multicast support est obligatoire pour des serveurs à  un seul NIC dans un cluster NLB. J’ai choisi cette option parce que j’ai effectué mes tests sur des serveurs qui n’ont qu’un NIC chacun.

  La dernière opération sur l’onglet Cluster Parameters consiste à  cocher, ou non, la case Remote control. Quand on active Remote control, on reçoit immédiatement l’avertissement Please consult online help for security implications of using remote control commands (Veuillez consulter l’aide en ligne pour prendre connaissance des implications sur la sécurité de l’utilisation des commandes de contrôle à  distance). Pour des raisons de sécurité, il faut utiliser un pare-feu (firewall) pour isoler les ports de contrôle NLB UDP (c’est-à -dire, les ports qui reçoivent les commandes de contrôle à  distance) de toute intrusion externe. Par défaut, les ports de contrôle sont les ports 1717 et 2504 à  l’adresse IP du cluster NLB. J’ai choisi Remote Control pour mon environnement de test qui est protégé par une solution pare-feu strictement matérielle de Linksys. Ensuite, passer à  l’onglet Host Parameters. Pour chaque hôte du cluster, il faut définir une ID de priorité d’hôte unique. Le champ Priority (Unique host ID) indique l’ordre des serveurs dans lequel NLB essaiera d’allouer le trafic en cas de déconnexion d’un hôte. Dans mon environnement de test, j’ai simplement donné les valeurs 1, 2 et 3 aux ID de mes trois hôtes. Le champ Dedicated IP address et son champ Subnet mask associé permet d’envoyer une partie du trafic à  un hôte spécifique dans le cluster. On peut, par exemple, valider l’accès Telnet à  un hôte dans le cluster. Ces champs sont facultatifs ; on utilisera le plus souvent l’adresse IP réelle de l’hôte (plutôt que son adresse VIP comme un membre du cluster NLB).

  Enfin, aller à  l’onglet Port Rules. Les règles des ports permettent de contrôler les divers types de trafic TCP/IP. Comme exemple de règle de port, on peut désactiver UDP sur une certaine suite de ports. Le nombre et les types de règles de ports doivent être identique sur chaque serveur dans un cluster. Outre la règle par défaut, que le logiciel configure automatiquement, les règles de ports sont facultatives. (On peut également changer la règle par défaut.) NLB propose trois Filtering Modes – Multiples hosts, Single host, Disabled – permettant de diriger le trafic du réseau vers certains ports sur l’adresse VIP.

Le mode Multiple hosts. Le mode Multiple hosts distribue le trafic du réseau sur les hôtes présents dans le cluster NLB. On peut attribuer un poids de charge à  un hôte donné – une fonction obligatoire si l’on a, par exemple, un serveur Web très puissant (supérieur aux autres machines du cluster) qui ne sert que HTTP sur le port 80. (Par défaut, la charge est distribuée à  égalité entre les hôtes du cluster.) En outre, le mode de filtrage Multiple hosts permet d’activer l’affinity d’un serveur. Si l’on choisit Single affinity, NLB utilise un hôte pour servir toutes les requêtes provenant d’un certain client (après que ce client ait fait l’objet d’un équilibrage de charge sur un hôte dans le cluster). Autrement dit, le client s’en tient au serveur Web, par exemple, sur lequel sa session IIS réside. La Class C affinity garantit que le serveur proxy d’un client ne perturbe pas NLB en donnant l’apparence d’ordinateurs différents. Il faudra s’accorder avec les développeurs Web sur les besoins du client en matière d’affinités. (Entre autres considérations, des applications Web bien écrites ne demandent pas aux clients d’établir et de maintenir une session sur un serveur Web unique, mais HTTP over Secure Sockets Layer – HTTPS, le demande. (.NET adressera automatiquement l’état des sessions parce qu’il est capable d’identifier un session server derrière le pare-feu : par conséquent, il ne sera plus nécessaire d’in-diquer une affinité unique.) J’ai choisi None parce que mon environnement de test NLB était une page Web simple ne demandant pas un état de sessions.

Le mode Single host. Le mode Single host réoriente le trafic du réseau destiné à  une suite de ports associés, vers un hôte spécifique dans le cluster NLB. Il fonctionne en conjonction avec le paramètre Handling priority pour déterminer quel hôte traite le trafic des ports en cas de défaillance.

Le mode Disabled. Le mode Disabled bloque tout le trafic réseau sur une suite de ports. C’est utile pour construire un pare-feu basique (le plus souvent en plus d’un pare-feu puissamment doté) pour empêcher l’accès par réseau à  certains ports. Sur la page Local Area Connection Properties, on doit configurer TCP/IP for NLB. La description suivante configure NLB sur un NIC, mais la configuration sur des NIC multiples est simple et directe. Cliquer sur Internet Protocol (TCP/IP), puis sur Properties. Dans le champ IP Address, taper l’adresse que l’on a entrée comme Dedicated IP Address sur l’on-glet Host Parameters de la boîte de dialogue Network Load Balancing Properties. Cette adresse est probablement déjà  définie parce que c’est l’adresse IP statique de la machine. Quand on appuiera sur la touche Tab, le masque subnet se résoudra automatiquement. Cliquer sur Advanced puis sur Add. Entrer l’adresse IP du cluster NLB dans le champ IP address. Quand on appuie sur Tab, le masque se résoud automatiquement.

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro - Publié le 24 juin 2010