おおあさです

すでに動作試験されているようなので、ポイントだけ。


Tue, 24 Jan 2012 13:12:34 +0900
        もじもじ <mojimoji...@yahoo.co.jp> said:
>ステップ2:
>構成は変えずに、PIP を GIP にして DSR を行う。
>この場合、Web Server の数に制限が出来てしまいます。
>それと、LVS は NAT の必要がなくなりますので、ルータとし
>ての機能のみとなり、かなり軽くなるのでは、と考えます。

DSRは、VIPとリアルサーバを同一セグメントにするのが
一般的です。ステップ4 の構成となりますが、この場合
NAT はたいていルータ(図中のRouter)に書くと思います。

>例えば lo0 に外部からアクセスされる Web 仮想 IP を alias
>して、lo0 を内側と見立てて NAT します。これで、パケット
>は届くのでは無いかと。
>ただ、問題は、出てゆく時。同じように変換かかると、Web
>server の外向きの PIP が From になっちゃいますよね。これ
>ではダメです。

loopback で実装した場合、VIPでバランシングされたトラ
ンザクションの帰りパケットは、VIPをsrcとするので問題
ありません。(そのためにも static route を書く)

リアルサーバから発信されるトランザクション(outbound)
については別に考慮する必要がありますが、VIPでなくては
ならないケースはほとんどないのでは。

いずれにせよ、リアルサーバをプライベートセグメントに
設置する場合、リアルサーバからの outbound に対しては
full NATを書くのが一般的でしょう。


DSR にもデメリットはあります。well known knowledgeと
しては、パケット復路がSLBを通過しないため、FINを受け
取れないので余計なセッションが残ったりすることなどが
挙げられます。

スイッチベースや箱物SLB だと、このへんを積極的に解消
する実装がされていることもありますが、自前で構築する
場合には構築・運用コストやリスクを把握しておく必要が
あると思います。パフォーマンスとのオフトレードですね。

--
Yu Oasa  E-mail: y...@dearest.net

メールによる返信