Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Salut, Juste pour conclure, il existe un besoin pour chaque produit... sinon, le produit meurt de lui-même. Les discussions qui ont eue lieues sont très orientées architecture, car on se rend compte qu'un Load-Balancer (ou application delivery controller) sont à un moment ou à un autre une des pierres angulaire de ces architectures. Les bugs, ça arrive à tout le monde et le premier constructeur, hébergeur, etc... qui vous garantie un service bug-free est un menteur... Mais comme ici on est (presque) tous tech, c'est déjà acquis par tout le monde. L'important c'est la vitesse à laquelle le fournisseur de service est capable de corriger ses bugs. Pour info, voici les perfs de HAProxy en SSL (en béta test pour le moment): 4000 SSL connections per second and 300 Mbps is what we got out of a dual-core Atom D510 at 1.66 GHz, in SSLv3 Source: http://permalink.gmane.org/gmane.comp.web.haproxy/9322 Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012 at 8:22 PM, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: GSLB On Sat, Aug 25, 2012, at 02:48 PM, Baptiste wrote: VRRP On parle pas du meme chose. Je disais juste qu'il assure localement en VRRP la haute dispo de ce qu'il annonce en GSLB, histoire justement de pas se manger les TTLs DNS etc Comme évoqué par d'autres dans leurs mail, c'est scalable sur un DC uniquement. Mais c'est déjà ça. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Hello. Sur la dernière génération (Nitrox 3) les perfs sont indiquées ici : FEATURES BENEFITS High performance security processing for look-aside architecture • Scalable from 5 Gbps – 40 Gbps Security Performance • 6k-35K RSA Ops/s (2048bit keys) • 35K -200K RSA Ops/s (1024bit keys) • 16 – 64 security RISC engines with 16K instructions/engine http://www.cavium.com/processor_security_nitrox-III.html http://www.cavium.com/pdfFiles/NITROX-III_PB_Rev1.0.pdf?x=3 Sur le chiffrement symétrique ils ne donnent pas d'autre info que le débit supporté sans distinction d'algo derrière. Le 25/08/2012 07:52, sxpert a écrit : On 2012-08-25 07:43, Baptiste wrote: 2012/8/25 sxpert sxp...@sxpert.org: On 2012-08-25 01:07, Manuel Martinez wrote: du SSL cavium, si j'en crois la datasheet http://www.cavium.com/processor_security_nitroxII.htm ca peut faire au maximum 10k RSA4096 en meme temps, ca fait que du SHA1 qui est périmé, ca gere pas l'ECC Moi, sur la datasheet, je vois 10K a 40K RSA 1024 ce qui n'est pas du tout pareil! Le passage de 1024 en 2048, ca divise par 5 à 7 le nombre de calcul de clé sur de l'Intel. Pas essayé le passage de 2048 en 4096... Je suppose que c'est pareil sur les cavium, même s'ils sont censé être taillé pour. Une fois la clé asymétrique générée, les perfs en chiffrement de traffic sont les mêmes: pas d'impact, on a autant de TPS en 1024 qu'en 2048 et je suppose aussi en 4096, car c'est le protocol qui veut ça :) Baptiste en effet. pour le traffic apres, c'est les perfs AES256 qu'il faut regarder. les perfs RSA / ECC limitent par contre le nombre de connexions ssl que tu peux gérer par seconde --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Donc réutilisable sans autre obligation que de mentionner les auteurs originaux du code. Ensuite c'est une licence BSD, pas GPL, la FSF n'a pas son mot à dire. :) Bref, la licence BSD c'est pratique. :) Donc quand un logiciel a une licence BSD, c'est que ses auteurs veulent encourager son utilisation (en entreprise ou pas) - même si ces utilisateurs ne participe pas. Dans un marche de niche comme BGP, ou AFTR, le choix de la licence a une grande importance. En pratique a moins de changer le logiciel radicalement, les entreprises qui utilisent le logiciel fournissent souvent leurs modifications afin a ne pas a avoir a les supporter a chaque mise a jour. Si A10 utilise ce code, le but des auteurs - voir leur solution utilise sur le net - est atteint. Je ne pense pas qu' ExaBGP aurai autant d'utilisateurs avec une licence plus restrictive comme la GPL / Affero GPL car je connais au moins deux sociétés qui ont intégré le code dans leur SI et n'auraient pas pu autrement. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/25 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... J'ai vu des FW actif/actif où le maitre change la MAC de destination pour renvoyer du traffic au slave d'un coup, la scalabiité elle en prend un coup... pis la somme de la BP des interfaces ne correspond plus au traffic que le cluster sait encaisser :) Manuel, je suis preneur d'info (un lien sur votre site me suffira): comment il marche l'actif/actif multiboitier ? a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 13:33, Baptiste bed...@gmail.com a écrit : 2012/8/25 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... J'ai vu des FW actif/actif où le maitre change la MAC de destination pour renvoyer du traffic au slave d'un coup, la scalabiité elle en prend un coup... pis la somme de la BP des interfaces ne correspond plus au traffic que le cluster sait encaisser :) Manuel, je suis preneur d'info (un lien sur votre site me suffira): comment il marche l'actif/actif multiboitier ? a+ Bonjour, On fait du VRRP. Avec 2 VRIDs, un actif par défaut sur chaque boîtier et donc backup sur l'autre. La seule restriction est d'utiliser 2 VIPs, une dans chaque VRID, donc active par défaut sur chaque boîtier. Ensuite, grâce au GSLB, inclus dans le prix de base du boîtier, bien on utilise un seul nom DNS, pour repartir le service entre les 2 VIPs. On peut utiliser ce scénario avec jusqu'à 8 boîtiers... Ça tourne vraiment bien -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 01:33 PM, Baptiste wrote: Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... Actif stand-by croise. (actif pour un service, stand-by pour un autre). Au-dela c'est de la mensonge commerciale. J'attends d'ailleurs le boitier statefull (LB, firewall, ) qui sait marcher en paire actif-actif, et qui sait traiter le trafic d'une meme connexion dans un sens sur un des boitiers et dans l'autre sur l'autre boitier. ... voire meme un packet sur un boitier le suivant sur l'autre boitier du vrai actif-actif quoi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 13:19, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 01:07 AM, Manuel Martinez wrote: Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... A 10G de traffic live, tu mets pas un boitier qui affiche 14G dans la datasheet constructeur. A 10G de traffic live tu mets pas non plus un boitier avec uniquement des ports giga. Certes, vous avez les boitiers qui font l'affaire (ports 10G, ~20 Gbps), mais je doute que ca rentre dans 35K pour une paire. Bonjour, Effectivement, pour arriver à ça, il faut agréger les 8 ports GBps de chacun des 2 boîtiers. Mais ça tient réellement 7gbps par boîtier. En ce qui concerne le prix, c'est le prix public, et avec le mécanisme de la concurrence et des remises, ça fait bien longtemps que je n'ai pas vu une paire d'AX1030 aussi chère que 34k... Manuel MARTINEZ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/25 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Sauf si la VIP a basculé vi ale VRRP, je présume. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Dans ce cas tu peux mettre 3 boitiers, deux pour le service et le troisième est backup des deux premiers, même en cas de bascule tu n'as pas de dégradation des performances. Le 25 août 2012 à 14:45, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
* Radu-Adrian Feurdean - 25-08-2012 à 14h41: On Sat, Aug 25, 2012, at 01:33 PM, Baptiste wrote: Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... Actif stand-by croise. (actif pour un service, stand-by pour un autre). Au-dela c'est de la mensonge commerciale. J'attends d'ailleurs le boitier statefull (LB, firewall, ) qui sait marcher en paire actif-actif, et qui sait traiter le trafic d'une meme connexion dans un sens sur un des boitiers et dans l'autre sur l'autre boitier. ... voire meme un packet sur un boitier le suivant sur l'autre boitier du vrai actif-actif quoi. OpenBSD + relayd avec pf + pfsync defer + carp permettent ce genre de cascade, par contre les possibilité de rewrite sont assez limitée et à ma connaissance le stickyness se base simplement sur l'ip source Niveau performance je doute fortement que ça atteigne les 10Gbit par noeud, il y a des benchs qui avec un peu de tuning et le bon hardware atteignent les 10Gbit full duplex sur un rule set basique, mais l'introduction de relayd et du NAT qui va avec devrait pas mal plomber les perfs. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 15:03, Rémi Laurent remi.laurent-fr...@conostix.com a écrit : * Radu-Adrian Feurdean - 25-08-2012 à 14h41: On Sat, Aug 25, 2012, at 01:33 PM, Baptiste wrote: Surtout, j'aimerais bien comprendre comment il marche l'actif/actif dans ce cas là... Actif stand-by croise. (actif pour un service, stand-by pour un autre). Au-dela c'est de la mensonge commerciale. J'attends d'ailleurs le boitier statefull (LB, firewall, ) qui sait marcher en paire actif-actif, et qui sait traiter le trafic d'une meme connexion dans un sens sur un des boitiers et dans l'autre sur l'autre boitier. ... voire meme un packet sur un boitier le suivant sur l'autre boitier du vrai actif-actif quoi. OpenBSD + relayd avec pf + pfsync defer + carp permettent ce genre de cascade, par contre les possibilité de rewrite sont assez limitée et à ma connaissance le stickyness se base simplement sur l'ip source Niveau performance je doute fortement que ça atteigne les 10Gbit par noeud, il y a des benchs qui avec un peu de tuning et le bon hardware atteignent les 10Gbit full duplex sur un rule set basique, mais l'introduction de relayd et du NAT qui va avec devrait pas mal plomber les perfs. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 Bonjour Rémi, Merci de confirmer ce que je dis depuis le début, qui est confirmé par Vincent de F5, c'est bien la NAT IPv4IPv6 qui impacte les perfs, dans ce cas, il faut s'y faire... -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bonjour, Le 25 août 2012 à 10:49, Thomas Mangin a écrit : Donc réutilisable sans autre obligation que de mentionner les auteurs originaux du code. Ensuite c'est une licence BSD, pas GPL, la FSF n'a pas son mot à dire. :) Bref, la licence BSD c'est pratique. :) Donc quand un logiciel a une licence BSD, c'est que ses auteurs veulent encourager son utilisation (en entreprise ou pas) - même si ces utilisateurs ne participe pas. Dans un marche de niche comme BGP, ou AFTR, le choix de la licence a une grande importance. A vrai dire je pense que c'est aussi (surtout ?) question de philosophie. Mais il est vrai que du code BSD ou sous domaine public se diffuse plus facilement. En démons réseau sous GPL on a quagga, openikev2, ou encore openvpn mais c'est vrai que c'est difficile d'en trouver d'autres ! Si A10 utilise ce code, le but des auteurs - voir leur solution utilise sur le net - est atteint. Je ne pense pas qu' ExaBGP aurai autant d'utilisateurs avec une licence plus restrictive comme la GPL / Affero GPL car je connais au moins deux sociétés qui ont intégré le code dans leur SI et n'auraient pas pu autrement. De ce point de vue, ce n'est pas nécessairement un problème. Une entreprise peut modifier un code GPL sans le diffuser si elle ne diffuse pas le binaire modifié également. Par contre pour la vente c'est différent, il faut fournir les sources, et faire attention à la licence. Notamment trouver une combine pour séparer un code GPL d'un code proprio, ce qui peut être contraignant quelquefois... Cordialement. Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour les VIPs d'un même cluster il n'y a a priori pas de souci; pour du multi site ça devient déjà plus complexe... en fait faire du GSLB sur n VIP d'une même appli sur le même cluster c'est le seul cas ou c'est fonctionnel sans effet de bord détestable non ? :-) Sur les archives vegan.net on peut encore trouver les discussions de l'époque, dont un message était particulièrement intéressant; notamment sur le fait de facturer une fonctionnalité au résultat discutable : http://vegan.net/lb/archive/04-2004/0029.html http://vegan.net/lb/archive/04-2004/0029.html Le 25/08/2012 15:41, Manuel Martinez a écrit : Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
pour du multi site ça devient déjà plus complexe... Oui et non car il est possible de faire du GSLB avec RR + de la Geo Location. Je crois que cela permet de résoudre ou d'atténuer les problèmes. Fabien Le 25 août 2012 à 15:44, Surya ARBY arbysu...@yahoo.fr a écrit : Pour les VIPs d'un même cluster il n'y a a priori pas de souci; pour du multi site ça devient déjà plus complexe... en fait faire du GSLB sur n VIP d'une même appli sur le même cluster c'est le seul cas ou c'est fonctionnel sans effet de bord détestable non ? :-) Sur les archives vegan.net on peut encore trouver les discussions de l'époque, dont un message était particulièrement intéressant; notamment sur le fait de facturer une fonctionnalité au résultat discutable : http://vegan.net/lb/archive/04-2004/0029.html http://vegan.net/lb/archive/04-2004/0029.html Le 25/08/2012 15:41, Manuel Martinez a écrit : Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
La géoloc basée sur l'ip du dns resolver qui t'envoie sur un DC US pendant ta session web si t'as le malheur de tomber chez un provider ou une entreprise qui fait du LB sur ses resolvers qui sortent avec des IPs différentes ? (via 2 subnets en /8 différents sinon ce n'est pas amusant) ** c'est un cas réel ** Le 25/08/2012 17:35, Fabien Delmotte a écrit : pour du multi site ça devient déjà plus complexe... Oui et non car il est possible de faire du GSLB avec RR + de la Geo Location. Je crois que cela permet de résoudre ou d'atténuer les problèmes. Fabien Le 25 août 2012 à 15:44, Surya ARBY arbysu...@yahoo.fr a écrit : Pour les VIPs d'un même cluster il n'y a a priori pas de souci; pour du multi site ça devient déjà plus complexe... en fait faire du GSLB sur n VIP d'une même appli sur le même cluster c'est le seul cas ou c'est fonctionnel sans effet de bord détestable non ? :-) Sur les archives vegan.net on peut encore trouver les discussions de l'époque, dont un message était particulièrement intéressant; notamment sur le fait de facturer une fonctionnalité au résultat discutable : http://vegan.net/lb/archive/04-2004/0029.html http://vegan.net/lb/archive/04-2004/0029.html Le 25/08/2012 15:41, Manuel Martinez a écrit : Le 25 août 2012 à 15:27, Surya ARBY arbysu...@yahoo.fr a écrit : Il faut vraiment parler des TTL non respectés; des listes qui tournent dans les resolvers et qui cassent l'algorithme configuré; la proximité qui se base sur le resolver et pas le client... (ou alors au prix d'un coûteux HTTP 302) ?? à moins bien sûr que tout cela n'existe pas ? :-) Le 25/08/2012 15:03, Manuel Martinez a écrit : Le 25 août 2012 à 14:46, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: Ensuite, grâce au GSLB On parle bien de la techno qui fait que tu vois un chose avec nslookup, et ton navigateur se connecte sur autre chose ? Ou qui fait que selon ton ISP (et son adorable DNS), tu te connectes toujours sur le service qui est down depuis plusieur jours ? Bonjour, Oui, c'est bien de DNS intelligent que je parle, et je regrette mais ça fonctionne, et plein de sites Français l'utilisent et depuis des années. Un cht'it article de mes concurrents: https://devcentral.f5.com/weblogs/macvittie/archive/2011/03/21/the-skeleton-in-the-global-server-load-balancing-closet.aspx Faut arrêter avec les théories techniques d'il y a 10 ans. Ça me rappelle mes profs à l'université qui m'expliquaient que l'ATM est tellement parfait que le Gigabit Ethernet ne marcherait jamais. Manuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Surya, Je parle simplement d'utiliser le GSLB en mode DNS-RR alterné avec persistance IPsource vers les VIPs d'un même cluster. Ça a du tomber en marche par hasard chez tous les clients chez qui j'ai mis ça en prod. Manuel Martinez -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 02:47 PM, Manuel Martinez wrote: Effectivement, pour arriver à ça, il faut agréger les 8 ports GBps de chacun des 2 boîtiers. Mais ça tient réellement 7gbps par boîtier. J'ai l'impression d'entendre parler un comptable, pas un ingenieur. D'une autre cote, je commence a comprendre comment certains font leur capacity planning.. (si on peut l'appeler ainsi). Mon dieu ! Si j'ai 10G aujourd'hui je n'achete PAS deux boitiers qui font 7G chacun. Pour 3 boitiers a 7G, c'est borderline, et il faut pas que la redondance se fait a la F5 (HA pair). Pour 4 boitiers, ca put avoir du sens, modulo systeme de redondance et archi derriere. En ce qui concerne le prix, c'est le prix public, et avec le mécanisme de la concurrence et des remises, ça fait bien longtemps que je n'ai pas vu une paire d'AX1030 aussi chère que 34k... Quand on part sur la mauvaise solution, le prix ne vaut plus rien dire. Tu as beau faire la paire de 1030 a 10K, c'est la mauvaise solution, donc trop cher. 2 Paires (= 4 boitiers) a 34K, si ca correspond aux besoins, ca commence a etre autre chose --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 02:40 PM, Manuel Martinez wrote: GSLB On Sat, Aug 25, 2012, at 02:48 PM, Baptiste wrote: VRRP On parle pas du meme chose. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Sat, Aug 25, 2012, at 03:03 PM, Manuel Martinez wrote: je regrette mais ça fonctionne Qui, ca fonctionne quand tu as du local SLB derriere sur chaque site, et que les clients qui tombent sur un autre site que dans tes previsions c'est pas grave. A la sauce CDN autrement dit. Ou alors quand tous les client c'est en interne ou dans un environnement bien previsible, qui n'implique pas un DNS gere par une 3eme partie qui se moque magistrallement du TTL. Faut arrêter avec les théories techniques d'il y a 10 ans. Les DNS qui se moquent du TTL ou cachent ad vitam eternam c'est bien plus recent. Et c'est generallement configure explicitement comme ca, ce n'est pas un bug ou implementation defectueuse. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Sans utiliser de fonctions avancées, prends du software, pas une appliance. 2 freebsd avec relayd et/ou haproxy, et une interface CARP pour être en mode Master/Slave. Mieux, tu fais comme j'ai implémenté dans ma boîte, tu crée 2 interfaces CARP différentes avec 1 IP publique chacune, et tu mets les poids comme suit: A1: 50 A2: 100 B1: 100 B2: 50 Comme ça à un instant T tes 2 box sont Master sur une des interfaces et tu as un splendide cluster actif-actif avec failover et reprise automagique. Si plus tard tu as besoin de fonctions plus avancées (cache, SSL, zip) tu peux mettre un nginx devant ton HAP (toujours sur les mêmes machines hein :) ). C'est fonctionnel, c'est stable, c'est robuste, et c'est éprouvé. On utilise ce genre de setup sur un de nos projets avec 4 FW en actif-actif sur 2 datacenters, qui LB le trafic vers 16 webs. On 24 Aug 2012, at 07:44, Christophe HUBERT christophe.hub...@agarik.com wrote: Merci pour vos reponses, en fait je ne recherche pas de fonctions avancees (pas de niveau 7 ou d'acceleration ssl par exemple). C'est pour des besoins simples dans des architectures ou du materiel mutualise ou virtuel ne peut faire l'affaire. Un mode cluster/ha/master-slave est par contre necessaire. Pour simplifier, un Alteon AD3 ou 2424 (avec un peu plus de peche quand meme) avec le support IPV6 me conviendrait. Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Baptiste Envoyé : jeudi 23 août 2012 23:58 À : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Bonjour, Merci de citer les LBs d'Exceliance :) (j'en dirais pas plus, j'y travaille) Note: HAPee est maintenant disponible pour Debian ;) Note2: Geg, quand tu veux, je te payes une bière. Concernant les LBs, tout dépend de ton besoin et de ce que tu en attends. D'ailleurs, les LBs remontent tellement dans les couches qu'on les appelle Application Delivery Controller. Pour l'IPv6, l'avantage d'HAProxy, c'est qu'il fonctionne en reverse proxy. Il n'y a pas de NAT, de ré-écriture, etc Les données passent d'un buffer à l'autre, l'un associé à une socket V4, l'autre une V6 et le kernel fait le reste... Entre les deux, y'a HAProxy qui fait son boulot. L'avantage, c'est que toutes les personnes qui ont aujourd'hui un HAProxy 1.5 devant leur site web peuvent passer leur site en IPv6 en configurant leur stack réeau en V6 et en rajoutant un bind v6 qui va bien dans HAProxy. Rien d'autre à faire. Pour plus d'info sur HAProxy, la ML HAProxy est ouverte sans souscription. Concernant le SSL, j'ai une petite info de toute dernière minute: le SSL dans HAProxy est bientôt prêt. Une version béta sera livrée courant septembre. Bientôt plus besoin de stunnel ni de stud devant son HAProxy :) Concernant le SSL et les puces hardware, j'ai vu des F5 bigip3900 plier des boitiers avalanches en bench SSL. Mais bon, le prix de cette licence coute plus cher que certains load-balancers du marché à capacité niveau 7 équivalente. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Il me semble que Oles utilise des A10 justement pour l'IPv6 et plusieurs ACE20 derrière pour IPv4. Une histoire avec cisco qui avait promis l'ipv6 sur les ACE, mais finalement l'ipv6 n'est dispo que sur les ACE30. Le 24 août 2012 08:25, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bonjour L'offre Brocade serveriron adx est mature robuste et très performante..et la nouvelle release permet de virtualiser le lb en n lb indépendants..je prêche pour ma paroisse ! Citrix a10 f5 et rad font aussi de très bonnes boites les autres je connais peu et s'ils sont peu diffusés je craindrais pour la stabilité du logiciel (soft complexe) Si brocade t'intéresse pour test et eval email moi en direct Cordialement -- Envoye depuis un BlackBerry pardon pour les fautes d'accents - Message d'origine - De : Christophe HUBERT [mailto:christophe.hub...@agarik.com] Envoyé : Friday, August 24, 2012 07:44 AM À : 'frnog-t...@frnog.org' frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Merci pour vos reponses, en fait je ne recherche pas de fonctions avancees (pas de niveau 7 ou d'acceleration ssl par exemple). C'est pour des besoins simples dans des architectures ou du materiel mutualise ou virtuel ne peut faire l'affaire. Un mode cluster/ha/master-slave est par contre necessaire. Pour simplifier, un Alteon AD3 ou 2424 (avec un peu plus de peche quand meme) avec le support IPV6 me conviendrait. Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Baptiste Envoyé : jeudi 23 août 2012 23:58 À : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Bonjour, Merci de citer les LBs d'Exceliance :) (j'en dirais pas plus, j'y travaille) Note: HAPee est maintenant disponible pour Debian ;) Note2: Geg, quand tu veux, je te payes une bière. Concernant les LBs, tout dépend de ton besoin et de ce que tu en attends. D'ailleurs, les LBs remontent tellement dans les couches qu'on les appelle Application Delivery Controller. Pour l'IPv6, l'avantage d'HAProxy, c'est qu'il fonctionne en reverse proxy. Il n'y a pas de NAT, de ré-écriture, etc Les données passent d'un buffer à l'autre, l'un associé à une socket V4, l'autre une V6 et le kernel fait le reste... Entre les deux, y'a HAProxy qui fait son boulot. L'avantage, c'est que toutes les personnes qui ont aujourd'hui un HAProxy 1.5 devant leur site web peuvent passer leur site en IPv6 en configurant leur stack réeau en V6 et en rajoutant un bind v6 qui va bien dans HAProxy. Rien d'autre à faire. Pour plus d'info sur HAProxy, la ML HAProxy est ouverte sans souscription. Concernant le SSL, j'ai une petite info de toute dernière minute: le SSL dans HAProxy est bientôt prêt. Une version béta sera livrée courant septembre. Bientôt plus besoin de stunnel ni de stud devant son HAProxy :) Concernant le SSL et les puces hardware, j'ai vu des F5 bigip3900 plier des boitiers avalanches en bench SSL. Mais bon, le prix de cette licence coute plus cher que certains load-balancers du marché à capacité niveau 7 équivalente. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Et j'ai oublie : support ipv6 et translation ipv4/ipv6 totale sur les brocade adx A bientôt -- Envoye depuis un BlackBerry pardon pour les fautes d'accents - Message d'origine - De : Christophe HUBERT [mailto:christophe.hub...@agarik.com] Envoyé : Friday, August 24, 2012 07:44 AM À : 'frnog-t...@frnog.org' frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Merci pour vos reponses, en fait je ne recherche pas de fonctions avancees (pas de niveau 7 ou d'acceleration ssl par exemple). C'est pour des besoins simples dans des architectures ou du materiel mutualise ou virtuel ne peut faire l'affaire. Un mode cluster/ha/master-slave est par contre necessaire. Pour simplifier, un Alteon AD3 ou 2424 (avec un peu plus de peche quand meme) avec le support IPV6 me conviendrait. Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Baptiste Envoyé : jeudi 23 août 2012 23:58 À : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Bonjour, Merci de citer les LBs d'Exceliance :) (j'en dirais pas plus, j'y travaille) Note: HAPee est maintenant disponible pour Debian ;) Note2: Geg, quand tu veux, je te payes une bière. Concernant les LBs, tout dépend de ton besoin et de ce que tu en attends. D'ailleurs, les LBs remontent tellement dans les couches qu'on les appelle Application Delivery Controller. Pour l'IPv6, l'avantage d'HAProxy, c'est qu'il fonctionne en reverse proxy. Il n'y a pas de NAT, de ré-écriture, etc Les données passent d'un buffer à l'autre, l'un associé à une socket V4, l'autre une V6 et le kernel fait le reste... Entre les deux, y'a HAProxy qui fait son boulot. L'avantage, c'est que toutes les personnes qui ont aujourd'hui un HAProxy 1.5 devant leur site web peuvent passer leur site en IPv6 en configurant leur stack réeau en V6 et en rajoutant un bind v6 qui va bien dans HAProxy. Rien d'autre à faire. Pour plus d'info sur HAProxy, la ML HAProxy est ouverte sans souscription. Concernant le SSL, j'ai une petite info de toute dernière minute: le SSL dans HAProxy est bientôt prêt. Une version béta sera livrée courant septembre. Bientôt plus besoin de stunnel ni de stud devant son HAProxy :) Concernant le SSL et les puces hardware, j'ai vu des F5 bigip3900 plier des boitiers avalanches en bench SSL. Mais bon, le prix de cette licence coute plus cher que certains load-balancers du marché à capacité niveau 7 équivalente. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
finalement l'ipv6 n'est dispo que sur les ACE30. Je confirme, il faut un upgrade hardware de la carte. Cela dit, tu peux passer d'une ACE20 à une ACE30 en rajoutant la carte fille qui va bien http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps6906/product_bulletin_c25_632385.html http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps6906/tech_overview_c17-688041.pdf --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
L'offre Brocade serveriron adx est mature robuste et très performante..et la nouvelle release permet de virtualiser le lb en n lb indépendants..je prêche pour ma paroisse ! C'est de la vraie virtualisation, ou c'est encore un mécanisme de contextes ou autre cloisonnement sans possibiliter de faire tourner plusieurs OS différents ? Si c'est de la vraie virtualisation, est-ce que c'est sur la base d'un hyperviseur connu (genre KVM) ou sur un hyperviseur propriétaire ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
En général, c'est du contexte. Radware semble avoir développé son propre hyperviseur sur ses boitiers, qui ne sait faire tourner que ses VMs. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Je confirme IPv6 + SLB, on travaille dessus depuis 2007, avec comme idée d'avoir le même niveau de perf qu'on soit en full IPv4, full IPv6, ou mix IPv4IPv6 IPv6IPv4. Ca a l'air débile, dit comme ça, mais en général, le fait de commencer à traduire en IPv6 impacte non seulement les performances du trafic IPv6, mais aussi celles de celui qui est en IPv4. Pub Chez nous, ben ça pause pas de soucis et c'est bien là la différence... :-) /Pub Promo BTW, la VM de notre solution est dispo gratax 1 mois, en farfouillant un peu sur notre site web accessible en IPv6/IPV4... /Promo Le 24 août 2012 à 08:27, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pourquoi ne pas faire un atelier au prochain ipv6 tech day et valider l'ensemble des solutions ? La derniere fois, ce n'etait pratiquement que réseau. Je suis certain de Fred serait ravi de pouvoir rajouter du load-balancing sur des trucs comme Exchange pour valider ipv4/ipv6 sur des clusters. Avoir des machines ( serveurs ) pour les tests ne sera pas un probleme. Moi, je dis que c'est la bonne démarche de vous faire tous venir et valider vos solutions en live avec tout le monde et filmé, car comme le dit le slogan de Gandi #No bullshit :) -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 From: frnog-requ...@frnog.org [frnog-requ...@frnog.org] on behalf of Manuel Martinez [mmarti...@a10networks.com] Sent: Friday, August 24, 2012 9:38 AM To: guillaume.bar...@gmail.com Cc: Surya ARBY; Damien Fleuriot; Christophe HUBERT; frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Je confirme IPv6 + SLB, on travaille dessus depuis 2007, avec comme idée d'avoir le même niveau de perf qu'on soit en full IPv4, full IPv6, ou mix IPv4IPv6 IPv6IPv4. Ca a l'air débile, dit comme ça, mais en général, le fait de commencer à traduire en IPv6 impacte non seulement les performances du trafic IPv6, mais aussi celles de celui qui est en IPv4. Pub Chez nous, ben ça pause pas de soucis et c'est bien là la différence... :-) /Pub Promo BTW, la VM de notre solution est dispo gratax 1 mois, en farfouillant un peu sur notre site web accessible en IPv6/IPV4... /Promo Le 24 août 2012 à 08:27, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Hum, j'aime quand tu demande des trucs comme ça... Avec qq 10 Gbps pour pimenter un peu? Manuel MARTINEZ Le 24 août 2012 à 09:45, Raphael MAUNIER rmaun...@neotelecoms.com a écrit : Pourquoi ne pas faire un atelier au prochain ipv6 tech day et valider l'ensemble des solutions ? La derniere fois, ce n'etait pratiquement que réseau. Je suis certain de Fred serait ravi de pouvoir rajouter du load-balancing sur des trucs comme Exchange pour valider ipv4/ipv6 sur des clusters. Avoir des machines ( serveurs ) pour les tests ne sera pas un probleme. Moi, je dis que c'est la bonne démarche de vous faire tous venir et valider vos solutions en live avec tout le monde et filmé, car comme le dit le slogan de Gandi #No bullshit :) -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 From: frnog-requ...@frnog.org [frnog-requ...@frnog.org] on behalf of Manuel Martinez [mmarti...@a10networks.com] Sent: Friday, August 24, 2012 9:38 AM To: guillaume.bar...@gmail.com Cc: Surya ARBY; Damien Fleuriot; Christophe HUBERT; frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Je confirme IPv6 + SLB, on travaille dessus depuis 2007, avec comme idée d'avoir le même niveau de perf qu'on soit en full IPv4, full IPv6, ou mix IPv4IPv6 IPv6IPv4. Ca a l'air débile, dit comme ça, mais en général, le fait de commencer à traduire en IPv6 impacte non seulement les performances du trafic IPv6, mais aussi celles de celui qui est en IPv4. Pub Chez nous, ben ça pause pas de soucis et c'est bien là la différence... :-) /Pub Promo BTW, la VM de notre solution est dispo gratax 1 mois, en farfouillant un peu sur notre site web accessible en IPv6/IPV4... /Promo Le 24 août 2012 à 08:27, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Y avait F5 qui avait un proto basé sur KVM, dispo sur Viprion, et le haut de gamme de la marque. Je ne sais pas s'il est finalement sorti. Radware nous avait présenté ça aussi, mais pas vu de démo en vrai, pour voir ce que ça donne. Cisco, c'est du pur contexte (sympa quand on doit faire un upgrade, d'impacter tous les clients en même temps). A10 ? Les solutions soft ont cet avantage : on installe un KVM, Xen ou VMware, et on fait ce qu'on veut. On peut même mixer plusieurs constructeurs en fonction des besoins. Le 24 août 2012 09:33, Baptiste bed...@gmail.com a écrit : En général, c'est du contexte. Radware semble avoir développé son propre hyperviseur sur ses boitiers, qui ne sait faire tourner que ses VMs. a+ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
puisqu'on en est dans la pub Le LB d'Exceliance est le seul au monde à fonctionner sur tous les hyperviseurs: hyperv, kvm, xen* (opensource, server, amazon), vsphere, etc... On a d'ailleurs un joli bench des pertes engendrée par la couche réseau virtuelle de chaque hyperviseur: http://blog.exceliance.fr/2012/04/24/hypervisors-virtual-network-performance-comparison-from-a-virtualized-load-balancer-point-of-view/ /pub Quand à un 6 to 4 filmé lors d'un frnog, pourquoi pas du exchange aussi Pour le 6to4 + exchange, j'ai aucun soucis, mais laissez moi valider ça en lab avant d'accépter (c'est que je suis pas un commercial, moi, je crois que ce que je valide) D'ailleurs, comme le dit Gandi: http://www.silicon.fr/le-nouveau-data-center-de-gandi-en-images-77509.html/gandi-16-2 Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Fri, Aug 24, 2012 at 09:26:48AM +0200, Guillaume Barrot wrote: finalement l'ipv6 n'est dispo que sur les ACE30. Je confirme, il faut un upgrade hardware de la carte. Cela dit, tu peux passer d'une ACE20 à une ACE30 en rajoutant la carte fille qui va bien ce qui a été vendu mais finalement ça ne se passe pas comme ça en réalité. du coup il y a un programme de migration ACE20 vers ACE30 avec la conservation des licences et tout tralala. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour la virtu, F5 propose les 3 modes - Contexte sur toute sa gamme - Hyperviseur F5 sur les chassis VIPRIONs (dispo depuis plus d'1 an ). - VM Soft sur Hyper V, Xen et VMware Pour les tests IPV4/IPV6, ce serait avec plaisir pour nous que de participer à cet atelier. Concernant les perfs IPV6, suis d'accord avec Manu, si l'IPV6 est pas traité nativement dans le produit (c'est le cas chez nous depuis 2006) , l'opération V4-V6 peut s'avérer couteuse. Il ne faut aussi pas oublier que la solution ait prévue de gérer les quelques protos classiques mais un peu plus sioux à bien traiter pour un LB type RTSP, FTP,etc pour aller convertir les IP au niveau OSI L5/7 -Original Message- From: Baptiste bed...@gmail.com Date: vendredi 24 août 2012 09:33 To: guillaume.bar...@gmail.com guillaume.bar...@gmail.com Cc: Pascal Gay p...@brocade.com, christophe.hub...@agarik.com christophe.hub...@agarik.com, frnog-t...@frnog.org frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En général, c'est du contexte. Radware semble avoir développé son propre hyperviseur sur ses boitiers, qui ne sait faire tourner que ses VMs. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Fri, Aug 24, 2012 at 08:49:02AM +0100, Manuel Martinez wrote: Hum, j'aime quand tu demande des trucs comme ça... Avec qq 10 Gbps pour pimenter un peu? tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. nous on les utilise pour le load balancing de load balancing: en ipv4/ipv4 2xAX5100 vers 15 ACE30 et ipv6/ipv4 2xAX1000 vers 15 ACE30. mais on a besoin +. du coup on a acheté les tilera et on developpe nos solutions pour ajouter ce qu'on a réellement besoin. on a l'avantage de mettre un peu ce qu'on veut qui vient du opensource et le faire fonctionner en hard. les ngnix, varnish, radis, mongodb, swift avec un support hardware via les ASIC programmable de tilera. en prime: ça coute 10x moins. mais il faut savoir trouver de geeks barbus qui tapent mmap tous les 2 lignes ou .. vont ailleurs. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Aug 24, 2012, at 1:25 AM, Vincent Lavergne v.laver...@f5.com wrote: […] pour aller convertir les IP au niveau OSI L5/7 Suis pas certain de comprendre ce qu'est la conversion d'IP au niveau OSI L5/7… C'est peut-être une souplesse de langage que je ne maitrise pas, mais dans ce cas si on peut m'expliquer je veux bien. - Greg --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
C'est bon ça les RADIS. RADIS/MongoDB ca m'a fait penser à ça: https://www.youtube.com/watch?v=b2F-DItXtZs - Greg On Aug 24, 2012, at 1:31 AM, o...@ovh.net wrote: On Fri, Aug 24, 2012 at 08:49:02AM +0100, Manuel Martinez wrote: Hum, j'aime quand tu demande des trucs comme ça... Avec qq 10 Gbps pour pimenter un peu? tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. nous on les utilise pour le load balancing de load balancing: en ipv4/ipv4 2xAX5100 vers 15 ACE30 et ipv6/ipv4 2xAX1000 vers 15 ACE30. mais on a besoin +. du coup on a acheté les tilera et on developpe nos solutions pour ajouter ce qu'on a réellement besoin. on a l'avantage de mettre un peu ce qu'on veut qui vient du opensource et le faire fonctionner en hard. les ngnix, varnish, radis, mongodb, swift avec un support hardware via les ASIC programmable de tilera. en prime: ça coute 10x moins. mais il faut savoir trouver de geeks barbus qui tapent mmap tous les 2 lignes ou .. vont ailleurs. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Thu, Aug 23, 2012, at 10:33 PM, Greg Villain wrote: J'aurais tendance à conseiller d'acheter Français :) troll d'etranger Si seulment il y avait de quoi choisir... /troll nommée Excelliance: sur leur gamme ALOHA, ils font de l'appliance et du soft, qui ma foi a l'air de plutôt bonne facture, et qui tourne autour de HA Proxy, dont les fonctionnalités ne sont plus à prouver. Voila. tout est dit la. Sinon, de manière générale, le choix d'un LB va largement dépendre de tes besoins: j'ai jamais vu de LB entièrement hardware (Brocade,Cisco,F5,A10…) fonctionner correctement si tu les utilises sur des couches 4. Dès que tu veux faire des trucs plus sioux, faut aller vers le soft, en mode appliance, mais pas hard - les implem SSL étaient à l'époque quasi inutilisables car sur-buggées, mais a nouveau, je manque d'expérience récente. J'ai pas mal travaille avec F5, et il y a 2 parties : la partie hard (lb de base) et la partie soft (qui gere le L4+). La partie soft est pas mal chez eux, pas de bug manifeste, et le SSL-offloading je l'ai bien abuse pendant 5 ans sans aucune probleme. Le L7-routing (content switching), pareil, ca peut aller tres loin, modulo perfs du CPU. Par contre cote prix AIE ! Brocade ils ont beaucoup evolue eux aussi, mais chez eux ca reste toujours la meme idee derriere : bete de courses. Les fonctionalites se developpent et se stabilisent, certes, mais leur point fort restent les perfs brutes, pour des configs simples. Pour les solutions soft, j'ai un petit probleme avec le mode reverse-proxy, mais il semble que je suis parmi les derniers a vouloir avoir l'IP du client sur les serveurs. Ce qui est possible avec les solutions hard, mais nullement avec les solutions soft. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 24 août 2012 à 10:33, Greg Villain a écrit : On Aug 24, 2012, at 1:25 AM, Vincent Lavergne v.laver...@f5.com wrote: […] pour aller convertir les IP au niveau OSI L5/7 Suis pas certain de comprendre ce qu'est la conversion d'IP au niveau OSI L5/7… C'est peut-être une souplesse de langage que je ne maitrise pas, mais dans ce cas si on peut m'expliquer je veux bien. Je pense qu'il voulait parler des différences dans certains protocoles applicatifs lors de l'utilisation de l'IPv4 ou de l'IPv6. Exemple pour le FTP: PORT 192,0,2,1,42,42 devient EPRT |2|2001:db8::1|10752| --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Aug 24, 2012, at 2:09 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 24 août 2012 à 10:33, Greg Villain a écrit : On Aug 24, 2012, at 1:25 AM, Vincent Lavergne v.laver...@f5.com wrote: […] pour aller convertir les IP au niveau OSI L5/7 Suis pas certain de comprendre ce qu'est la conversion d'IP au niveau OSI L5/7… C'est peut-être une souplesse de langage que je ne maitrise pas, mais dans ce cas si on peut m'expliquer je veux bien. Je pense qu'il voulait parler des différences dans certains protocoles applicatifs lors de l'utilisation de l'IPv4 ou de l'IPv6. Exemple pour le FTP: PORT 192,0,2,1,42,42 devient EPRT |2|2001:db8::1|10752| Merci pour la clarification :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Dit autrement Il y a des protocoles qui utilisent des adresses IP dans leurs commandes/entêtes/réponses L7, il faut que le LB sache les réécrire dans le protocole. Par exemple : FTP qd on passe en PASV, mais il y a d'autres applis se comportant de cette manière. From: Greg Villain fr...@tadcons.net Date: vendredi 24 août 2012 10:33 To: frnog@frnog.org frnog@frnog.org Subject: Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 On Aug 24, 2012, at 1:25 AM, Vincent Lavergne v.laver...@f5.com wrote: [Š] pour aller convertir les IP au niveau OSI L5/7 Suis pas certain de comprendre ce qu'est la conversion d'IP au niveau OSI L5/7Š C'est peut-être une souplesse de langage que je ne maitrise pas, mais dans ce cas si on peut m'expliquer je veux bien. - Greg --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour les solutions soft, j'ai un petit probleme avec le mode reverse-proxy, mais il semble que je suis parmi les derniers a vouloir avoir l'IP du client sur les serveurs. Ce qui est possible avec les solutions hard, mais nullement avec les solutions soft. Ah le fou, l'IP du client dans les logs ! :D X_Forward n'existe que sur HTTP, j'en conviens, mais il doit etre présent sur les reverse-proxy sérieux, non ? Après pour d'autres proto, je te l'accorde, c'est pas la panacée, mais il y a peut etre des equivalents ? Sinon, j'en reviens à ma question de départ : quelle topologie pour le déploiement ? En one-armed basique, tu ne dois pas avoir le problème de translation, non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 24/08/2012 11:04, Radu-Adrian Feurdean a écrit : J'ai pas mal travaille avec F5, et il y a 2 parties : la partie hard (lb de base) et la partie soft (qui gere le L4+). La partie soft est pas mal chez eux, pas de bug manifeste, et le SSL-offloading je l'ai bien abuse pendant 5 ans sans aucune probleme. Le L7-routing (content switching), pareil, ca peut aller tres loin, modulo perfs du CPU. Par contre cote prix AIE ! Marrant comment les expériences peuvent différer, nous avons fait le pari d'une upgrade haproxy (sur des blades HP, problèmes de perfs dues aux cartes broadcom a l'époque) vers F5 (BigIP 3600) il y a 5 ans. Alors effectivement déjà le prix AIE, et le support double AIE. Et à coté de ça: * Spanning-tree (MSTP) qui leak des paquets sur des interfaces sensées être down (résolu par modification de la configuration physique pour désactiver le spanning-tree sur le boitier * Système de licensing qui met une grouille du tonnerre lors de la re-activation (obligatoire pour mises a jours): certains composants du systèmes semblent désynchronisés avec le reste, exemple une iRule qui check le nombre de node actif va renvoyer une erreur, une fois l'irule désactivée les requêtes passent (donc pour le reste du système le pool est bien actif). * Divers bugs bien complexes sur les iRules, crashs, ... * Support pas toujours au niveau: record 15 mois et une dizaine de participant pour une analyse de bug a la con sur les iRules ou qui renvoi vers les services (payants) pour une optimisation de votre configuration quand la configuration de base, sur des virtual servers http de base donne des résultats ... de merde (max 30% de la BP disponible en Vserver standard avec les profiles TCP de base, 100% en Performance L4). * Des version majeurs très beta, attendre les .2/.3 pour migrer est un minimum et encore: sur la 11.2.0HF1 attendez vous à des reset de connections HTTP intempestifs et demandez les Hotfix Engineering... * des comportements réseau par défaut surprenant (ex le auto last hop qui renvoi un paquet à son émetteur et non à la gateway configurée) Bref, plus le temps passe, moins je suis content de la solution... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Vu lors de l'ouverture d'un site web : * pour lb du web : Un ngnix sur un pc avec 24g de ram et 2 CPU six coeur et une carte 10G + openssl patcher pour avoir les optimisations hardware ca donne : 6000 TPS SSL en 2048 lors d'un benchmark en réel : dans les 2 à 3 giga de trafic sur la machine avec la moitié en ssl et dans les 2000 tps par secondes avec stickiness / réécriture d'url / server pooling etc Après tu mets plusieurs serveurs et devant eux tu mets soit un lvs / ou tu fais du multipath au niveau du routage - les ngnix te gèrent le failover avec les backend web, - tu gères le failover des nginx via le lvs, - et le failover des lvs via du vrrp Le système prend 6 pc au lieu d'un boîtier mais je pense que c'est plus résilient. * pour du LB tcp : avec un haproxy tu tiens 4000 connections tcp par seconde sur un vieux core2duo et le cpu bouge presque pas. Et comme c'est des pc en mode proxy v4/v4 v6/v4 v6/v6 v4/v6 tout fonctionne ;) Donc les appliances c'est bien, mais pas forcement meilleur, c'est plus cher, tu as les mêmes perf avec les bug en plus, ou des clés ssh oubliées qui permettent de devenir root. Mais c'est sur avec des pc tu n'as pas de support, ni de stomp/certification/pins/médaille pour rassurer le client, ni quelqu'un vers qui se retourner pour dire c'est pas ma faute. + - Mail original - De: Christophe HUBERT christophe.hub...@agarik.com À: frnog-t...@frnog.org frnog-t...@frnog.org Envoyé: Jeudi 23 Août 2012 18:15:49 Objet: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Bonjour, J'aimerais avoir un peu de retour d'experience sur des LB qui peuvent faire de l'ipv4 et l'ipv6. Si possible, pas software mais plus des appliances. Si des personnes ont déjà mis en place... C'est principalement la partie ipv6 qui m'interesse, pour l'ipv4 on a le choix, mais comme c'est preferable d'avoir un equipement pour les deux. Merci d'avance, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Donc les appliances c'est bien, mais pas forcement meilleur, c'est plus cher, tu as les mêmes perf avec les bug en plus, ou des clés ssh oubliées qui permettent de devenir root. Mais c'est sur avec des pc tu n'as pas de support, ni de stomp/certification/pins/médaille pour rassurer le client, ni quelqu'un vers qui se retourner pour dire c'est pas ma faute. C'est pour ces raisons qu'on a créé le produit Aloha: pour livrer HAProxy dans une boite avec tout le support qui va bien. (on a même des certifications et des yoyos.) Et on ne pille pas l'opensource: le dév d'HAProxy (Willy T.) est notre resp RD. Tous les dév pour l'Aloha Load-Balancer sont remis en opensource, comme le SSL dans HAProxy qui doit arriver d'ici la release ALOHA de fin septembre, sera proposée en opensource courant septembre. Idem pour nos patches stunnels, stud, etc, ils sont envoyés à leurs dev respectif ou dispo sur notre site ou celui de Willy a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Je ne dis pas que les solutions softs sont moins bonnes, c'est plus que je prefere avoir un seul interlocuteur en cas de probleme et que cela soit lui qui se prenne la tete et non moi (qui me prendra déjà la tete avec faire comprendre au client que ca marche pas mais que l'on est dessus et en parallele trouver des solutions alternatives). Avec les solutions softs on doit déjà avoir du matos (redondant, souvent surdimensionne si l'on souhaite etre resistant aux pannes materiels), un système a maintenir, faire fonctionner plusieurs composants logiciels ensemble (la partie vrrp + la partie load balancing en elle-même) qui meme si c'est de mieux en mieux, est parfois complique a maintenir, ne serait-ce que pour savoir l'element qui peut etre mal configure/bugge, et enfin, la configuration de load balancing. Si je peux juste me concentrer sur le dernier point, c'est toujours ca de gagne en temps et surtout, ca evite que les equipes en charges du support se disperse sur la technique. Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Frédéric GANDER Envoyé : vendredi 24 août 2012 11:36 À : Christophe HUBERT Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Vu lors de l'ouverture d'un site web : * pour lb du web : Un ngnix sur un pc avec 24g de ram et 2 CPU six coeur et une carte 10G + openssl patcher pour avoir les optimisations hardware ca donne : 6000 TPS SSL en 2048 lors d'un benchmark en réel : dans les 2 à 3 giga de trafic sur la machine avec la moitié en ssl et dans les 2000 tps par secondes avec stickiness / réécriture d'url / server pooling etc Après tu mets plusieurs serveurs et devant eux tu mets soit un lvs / ou tu fais du multipath au niveau du routage - les ngnix te gèrent le failover avec les backend web, - tu gères le failover des nginx via le lvs, - et le failover des lvs via du vrrp Le système prend 6 pc au lieu d'un boîtier mais je pense que c'est plus résilient. * pour du LB tcp : avec un haproxy tu tiens 4000 connections tcp par seconde sur un vieux core2duo et le cpu bouge presque pas. Et comme c'est des pc en mode proxy v4/v4 v6/v4 v6/v6 v4/v6 tout fonctionne ;) Donc les appliances c'est bien, mais pas forcement meilleur, c'est plus cher, tu as les mêmes perf avec les bug en plus, ou des clés ssh oubliées qui permettent de devenir root. Mais c'est sur avec des pc tu n'as pas de support, ni de stomp/certification/pins/médaille pour rassurer le client, ni quelqu'un vers qui se retourner pour dire c'est pas ma faute. + - Mail original - De: Christophe HUBERT christophe.hub...@agarik.com À: frnog-t...@frnog.org frnog-t...@frnog.org Envoyé: Jeudi 23 Août 2012 18:15:49 Objet: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Bonjour, J'aimerais avoir un peu de retour d'experience sur des LB qui peuvent faire de l'ipv4 et l'ipv6. Si possible, pas software mais plus des appliances. Si des personnes ont déjà mis en place... C'est principalement la partie ipv6 qui m'interesse, pour l'ipv4 on a le choix, mais comme c'est preferable d'avoir un equipement pour les deux. Merci d'avance, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On Fri, Aug 24, 2012, at 11:12 AM, Guillaume Barrot wrote: Sinon, j'en reviens à ma question de départ : quelle topologie pour le déploiement ? En one-armed basique, tu ne dois pas avoir le problème de translation, non ? Ca depend de besoins: SSL offloading + content switching + client IP (pas taper) - coupure Pour les reste, one-armed ca le fait assez bien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Il existe des modes coupures (ou 2 arms) ou le LB est capable de présenter l'IP du client à la connexion au serveur. Ca demande de changer la DG du serveur pour que le traffic repasse par le LB. Ca s'appelle le transparent proxy. Après, y'a de plus en plus de produits opensource qui utilisent le proxy-protocol de HAProxy qui permet de chainer X proxys tout en préservant l'IP source à la fin. Y'a stunnel, stud, HAProxy, postfix + d'autres qui sont patchés pas officiellement. Typiquement, avec HAProxy et postfix, tu peux load-balancer en mode reverse proxy tout en voyant l'IP publique dans tes logs postfix en utilisant le proxy protocol entre les deux! Un peu de lecture à ce sujet: http://blog.exceliance.fr/2012/06/30/efficient-smtp-relay-infrastructure-with-postfix-and-load-balancers/ En L4, mode DSR aka gateway, l'IP de destination n'est pas changée. Les différents modes de LBing avec des petits dessins: http://blog.exceliance.fr/loadbalancing-faq/ A votre service :) 2012/8/24 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Fri, Aug 24, 2012, at 11:12 AM, Guillaume Barrot wrote: Sinon, j'en reviens à ma question de départ : quelle topologie pour le déploiement ? En one-armed basique, tu ne dois pas avoir le problème de translation, non ? Ca depend de besoins: SSL offloading + content switching + client IP (pas taper) - coupure Pour les reste, one-armed ca le fait assez bien. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. Des retours sur du l3 DSR ? (a la Y! avec DCSP ou a la Facebook en IP-to-IP tunneling) Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 24 août 2012 12:48, Baptiste bed...@gmail.com a écrit : Il existe des modes coupures (ou 2 arms) ou le LB est capable de présenter l'IP du client à la connexion au serveur. Ca demande de changer la DG du serveur pour que le traffic repasse par le LB. Ca s'appelle le transparent proxy. Avec des loadbalancers hardware, ça me parait la solution la plus simple. Par contre ça revient à dire qu'en plus d'etre un loadbalancer, c'est aussi un routeur (ce qui me parait évident, mais pas à tout le monde). Après pour du pur soft, du proxy one-arm ne permet pas de faire ça au niveau 3. Vous supportez quoi comme re-writ niveau 7 à ce sujet : XFF ? X-Originating-IP ? Des soucis connus à l'utilisation de ces protos ? (Perso j'en ai eu avec du Weblogic : XFF activé, la latence applicative était multiplié par 10-20. Le serveur ne sachant pas lire le champ, il partait en cacahuete pendant plusieurs centaine de millisecondes, à chaque requete). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/24 Guillaume Barrot guillaume.bar...@gmail.com: Le 24 août 2012 12:48, Baptiste bed...@gmail.com a écrit : Il existe des modes coupures (ou 2 arms) ou le LB est capable de présenter l'IP du client à la connexion au serveur. Ca demande de changer la DG du serveur pour que le traffic repasse par le LB. Ca s'appelle le transparent proxy. Avec des loadbalancers hardware, ça me parait la solution la plus simple. Par contre ça revient à dire qu'en plus d'etre un loadbalancer, c'est aussi un routeur (ce qui me parait évident, mais pas à tout le monde). A partir du moment ou ton LB devient une default gateway, ça semble évident qu'il route :) Après pour du pur soft, du proxy one-arm ne permet pas de faire ça au niveau 3. Vous supportez quoi comme re-writ niveau 7 à ce sujet : XFF ? X-Originating-IP ? Tu peux mettre le nom de header que tu veux, ça se paramettre. Des soucis connus à l'utilisation de ces protos ? (Perso j'en ai eu avec du Weblogic : XFF activé, la latence applicative était multiplié par 10-20. Le serveur ne sachant pas lire le champ, il partait en cacahuete pendant plusieurs centaine de millisecondes, à chaque requete). Dans ce cas, tu fais du transparent proxy: http://blog.exceliance.fr/2011/08/03/layer-7-load-balancing-transparent-proxy-mode/ L'IP n'est pas dans un header, elle arrive à la connexion sur la socket TCP. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On 24 Aug 2012, at 13:02, Guillaume Barrot guillaume.bar...@gmail.com wrote: Avec des loadbalancers hardware, ça me parait la solution la plus simple. Par contre ça revient à dire qu'en plus d'etre un loadbalancer, c'est aussi un routeur (ce qui me parait évident, mais pas à tout le monde). HAProxy est fantastique pour du failover de service entre plusieurs datacenters sans L2 partage. Dans chaque DC : - une machine haproxy - un nombre de serveurs pour le service chaque machine haproxy a : - un IP reelle sur le LAN - une IP de service (un /32) sur le loopback avec une regle iptables pour accepter les paquets depuis eth0 (et/ou ne pas announcer son ARP sur le LAN) - un client BGP. HAProxy bind sur l'IP de service qui est announce via BGP (exabgp) dans le coeur de reseau. exabgp peux arreter d'annoncer son IP de service si une condition de test échoue (le réseau est segmente, faute sur le DC, ou autre). L'IP de service migre alors sur l'autre machine HAProxy grace a BGP. Comme haproxy est du L7, il est possible de leur faire utiliser TOUS les serveurs des deux DC ou meme de se service de VM sur le 'cloud'. Comment faire ca ? http://thomas.mangin.com/data/pdf/UKUUG%20Spring%202011%20-%20Mangin%20-%20BGP.pdf http://thomas.mangin.com/data/pdf/RIPE%2063%20-%20Mangin%20-%20BGP.pdf Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bonjour Thomas, Il n'existe pas une version d'exabgp en C ? En attendant ça doit pouvoir se faire avec bird :) a+ 2012/8/24 Thomas Mangin thomas.man...@exa-networks.co.uk: On 24 Aug 2012, at 13:02, Guillaume Barrot guillaume.bar...@gmail.com wrote: Avec des loadbalancers hardware, ça me parait la solution la plus simple. Par contre ça revient à dire qu'en plus d'etre un loadbalancer, c'est aussi un routeur (ce qui me parait évident, mais pas à tout le monde). HAProxy est fantastique pour du failover de service entre plusieurs datacenters sans L2 partage. Dans chaque DC : - une machine haproxy - un nombre de serveurs pour le service chaque machine haproxy a : - un IP reelle sur le LAN - une IP de service (un /32) sur le loopback avec une regle iptables pour accepter les paquets depuis eth0 (et/ou ne pas announcer son ARP sur le LAN) - un client BGP. HAProxy bind sur l'IP de service qui est announce via BGP (exabgp) dans le coeur de reseau. exabgp peux arreter d'annoncer son IP de service si une condition de test échoue (le réseau est segmente, faute sur le DC, ou autre). L'IP de service migre alors sur l'autre machine HAProxy grace a BGP. Comme haproxy est du L7, il est possible de leur faire utiliser TOUS les serveurs des deux DC ou meme de se service de VM sur le 'cloud'. Comment faire ca ? http://thomas.mangin.com/data/pdf/UKUUG%20Spring%202011%20-%20Mangin%20-%20BGP.pdf http://thomas.mangin.com/data/pdf/RIPE%2063%20-%20Mangin%20-%20BGP.pdf Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/24 Damien Fleuriot m...@my.gd: Sans utiliser de fonctions avancées, prends du software, pas une appliance. 2 freebsd avec relayd et/ou haproxy, et une interface CARP pour être en mode Master/Slave. Mieux, tu fais comme j'ai implémenté dans ma boîte, tu crée 2 interfaces CARP différentes avec 1 IP publique chacune, et tu mets les poids comme suit: A1: 50 A2: 100 B1: 100 B2: 50 Comme ça à un instant T tes 2 box sont Master sur une des interfaces et tu as un splendide cluster actif-actif avec failover et reprise automagique. Si plus tard tu as besoin de fonctions plus avancées (cache, SSL, zip) tu peux mettre un nginx devant ton HAP (toujours sur les mêmes machines hein :) ). C'est fonctionnel, c'est stable, c'est robuste, et c'est éprouvé. On utilise ce genre de setup sur un de nos projets avec 4 FW en actif-actif sur 2 datacenters, qui LB le trafic vers 16 webs. pas d'accord. J'ai fait expérience de gros kernel panic sur une maquette d'openbsd pour faire une plateforme de NAT avec utilisation de CARP over VLAN, avec rtable et preempt, ce qui permettait de router des partenaires ayant les mêmes plan d'adressage dans des VRF différentes derrière. Un truc au petit oignions mais qui pour moi ne tenait pas la charge justement, et se comportait bizarrement lorsque le second membre du cluster revenait de failover. On 24 Aug 2012, at 07:44, Christophe HUBERT christophe.hub...@agarik.com wrote: Merci pour vos reponses, en fait je ne recherche pas de fonctions avancees (pas de niveau 7 ou d'acceleration ssl par exemple). C'est pour des besoins simples dans des architectures ou du materiel mutualise ou virtuel ne peut faire l'affaire. Un mode cluster/ha/master-slave est par contre necessaire. Pour simplifier, un Alteon AD3 ou 2424 (avec un peu plus de peche quand meme) avec le support IPV6 me conviendrait. Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Baptiste Envoyé : jeudi 23 août 2012 23:58 À : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Bonjour, Merci de citer les LBs d'Exceliance :) (j'en dirais pas plus, j'y travaille) Note: HAPee est maintenant disponible pour Debian ;) Note2: Geg, quand tu veux, je te payes une bière. Concernant les LBs, tout dépend de ton besoin et de ce que tu en attends. D'ailleurs, les LBs remontent tellement dans les couches qu'on les appelle Application Delivery Controller. Pour l'IPv6, l'avantage d'HAProxy, c'est qu'il fonctionne en reverse proxy. Il n'y a pas de NAT, de ré-écriture, etc Les données passent d'un buffer à l'autre, l'un associé à une socket V4, l'autre une V6 et le kernel fait le reste... Entre les deux, y'a HAProxy qui fait son boulot. L'avantage, c'est que toutes les personnes qui ont aujourd'hui un HAProxy 1.5 devant leur site web peuvent passer leur site en IPv6 en configurant leur stack réeau en V6 et en rajoutant un bind v6 qui va bien dans HAProxy. Rien d'autre à faire. Pour plus d'info sur HAProxy, la ML HAProxy est ouverte sans souscription. Concernant le SSL, j'ai une petite info de toute dernière minute: le SSL dans HAProxy est bientôt prêt. Une version béta sera livrée courant septembre. Bientôt plus besoin de stunnel ni de stud devant son HAProxy :) Concernant le SSL et les puces hardware, j'ai vu des F5 bigip3900 plier des boitiers avalanches en bench SSL. Mais bon, le prix de cette licence coute plus cher que certains load-balancers du marché à capacité niveau 7 équivalente. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/24 Guillaume Barrot guillaume.bar...@gmail.com: Je ne souscris pas au feedback du premier message; aussi bien Citrix que F5; Cisco et les autres au format appliances sortent des produits matures et stables depuis des années. Cisco en IPv6 ? Depuis peu pour l'ACE, puisqu'il a fallu attendre l'ACE30. Personne n'a essayé A10 sinon ? A priori IPv6 c'est leur dada :D Si, à l'époque où j'ai testé : - pas de VRRP sur les vlan, donc la HA uniquement gérée par le lien de HA, s'il pete les deux passent master... pas idéal. (apparement depuis ça a changé et ils poussent pour un VRRP-like) - à chaque sync le cluster entrait en failover (traumatisant quand tu viens d'un alteon ;) ) - ne pas oublier de backuper les aFlex lors d'un backup... - pas de compatibilité IPv6 pour les HA check gw (check de gateway) - comme pas de VRRP, nécessité de mettre plusieurs check de gateway pour chaque vlan apparement ils ont amélioré beaucoup de ces points là, ils avaient une API RESTful pas mal pour l'intégration dans le SI. Celle de F5 est en SOAP/xml mais ils fournissent les lib pour faciliter les dev. Ce qui m'avait bloqué pour ALOHA à l'époque, c'était l'absence de l'API, mais il y en a une dispo depuis (pas trouvé la doc, réservée aux clients peut être ? ) Perso j'aime bien les solutions F5 en VM, et A10 en VM. Alteon, pas essayé depuis que c'est Radware. Ils proposaient des nouveautés interessantes. Y en a qui ont essayé ? Alteon je ne veux plus en entendre parler... les fonctionnalités comme le VMA était bien vues, mais les releases se suivaient de plus en plus bugguées... un coup le sshv2 ne marche plus, un coup c'est le scp qui disparait. à grosse charge, le process de synchro ne tient pas non plus et part en patate. La digestion de conf fait monter la CPU à 100% pendant plusieurs minutes au point que ça le perturbe pour les check et les heartbeat. Du coup il bagotte pendant une digestion de conf. Quand j'ai vu que la premiere chose qu'a fait radware en rachetant alteon c'était de changer le licencing sans corriger les GROS bug d'exploit... (bon ça date un peu tout ça...) F5 apporte par contre un vrai plus sur la gestion en cluster de plusieurs LB avec la notion de trafic group (conteneur pour failover object). Fini la gestion par paire :) Sinon vous déployez ça comment en v6 ? - one armed et IPv6 globale sur les serveurs - one armed et IPv6 linklocal sur les serveurs - standard, le Loadbalancer route le scope v6 des serveurs - etc. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Ce qui m'avait bloqué pour ALOHA à l'époque, c'était l'absence de l'API, mais il y en a une dispo depuis (pas trouvé la doc, réservée aux clients peut être ? ) T'as mal cherché, ou alors notre site est mal foutu :) C'est du JSON/REST. La doc de l'API se trouve sur la page: http://www.exceliance.fr/fra/faq-articles-techniques Les documents nommés ALOHA API objects V2 et ALOHA API programmer's manual. l'API permet de contrôler la conf HAProxy ainsi que la conf LVS. la prochaine version de l'API va intégrer la gestion du content switching (use_backend + acl one line), les redirections d'URLs et les règles de ré-écriture. Nos clients clouds nous demandent ça. Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour quel type de fonctions exactement??? j'aimerais bien savoir :) Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 16:15 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Pour quel type de fonctions exactement??? j'aimerais bien savoir :) Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
ça me fait penser au mec d'Alcatel qui était venu présenter son produit à un OpenCoffee à Brest et qui critiquait Asterisk car il ne pouvait pas supporter une queue de hotline de 10 millions de client... à mon avis héberger autant de millions de user par boitier... c'est mal distribuer son trafic :) 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 16:15 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Pour quel type de fonctions exactement??? j'aimerais bien savoir :) Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy a+ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/24 Guillaume Barrot guillaume.bar...@gmail.com: Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Pour le reste des clients, tu prends un Seagate dockstar avec son petit ARM @1.2GHz, HAProxy tient 3000 conn HTTP / s (avec analyze protocolaire) pour 3Watts de consommation. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) Pour l'ALOHA Load-Balancer, que ce soit en VA ou pas, c'est tout pareil en terme de fonctionnalités. Les clients peuvent faire un POC en VA et migrer en physique sans soucis. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
En effet, combien de clients pour ce type d'archi ? Il faut pas oublier que le LB, ca commence a partir de 2 serveurs. Et qu'un client a 2 serveurs n'a pas les moyens de depenser 10 fois le prix de ses serveurs dans une appliance. Le probleme de la virtualisation, c'est qu'il faut soit un cluster (sinon la VM simple, si elle lache ou si l'hyperviseur lache, c'est un beau spof), soit deux hyperviseurs, les VMs gerant elle-même la partie bascule. Mais a nouveau, ca implique 2 serveurs + couche de virtualisation (a la charge de l'hebergeur, donc moi) + la VM/LB. Certe on peut mutualiser, mais ca n'est pas toujours possible (architecture isolee), et la on se retrouve a soit gerer soit meme la solution de LB avec de l'opensource sans la surcouche, soit a avoir besoin de petit LBs. Et c'est bien la que se trouve le probleme. Mis a part trouver du refurbish pour des vieux modeles parfois en EOL, on a pas beaucoup de choix. D'où ma question initial, la partie IPV6 etant la pour eviter du trop vieux materiel :) Christophe -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Guillaume Barrot Envoyé : vendredi 24 août 2012 17:53 À : Manuel Martinez Cc : Baptiste; o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Ca coûte bien cher ce genre de boitiers en plus... Il donnera pas son prix car ses concurrent écoutent, mais la facture est d'environ 200K ;) Pis c'est pas scalable, pour évoluer, tu jettes tes boitiers à 200K pour acheter des boitiers à 400K L'intelligent montera divisera le traffic en couche: L4, SSL et L7 la première couche sera en L4, DSR vers le SSL et le L7. Le SSL repasse par le L4 pour LB vers les L7. Les L7 load-balancent vers les serveurs d'applis. De cette manière on est full scalable. Si y'a besoin de plus de SSL, tu rajoutes un serveur dans ta ferme de SSL, idem pour le L7. Pour 10 serveurs à 2000 euros, 2 L4, 4 SSL et 4 HAProxy, t'as une platforme plus robuste et plus scalable et hardware agnostique... Facture divisée par 10 :) cqfd. Vive le trolldi. 2012/8/24 Steven Le Roux ste...@le-roux.info: ça me fait penser au mec d'Alcatel qui était venu présenter son produit à un OpenCoffee à Brest et qui critiquait Asterisk car il ne pouvait pas supporter une queue de hotline de 10 millions de client... à mon avis héberger autant de millions de user par boitier... c'est mal distribuer son trafic :) 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 16:15 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Pour quel type de fonctions exactement??? j'aimerais bien savoir :) Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de fonctionalité 0/10. Ah merde, l'argument qui tue en avant-vente !! Meci oles :) Bloquer un slowloris, c'est une ligne de conf dans HAProxy
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Y'en a des clients en FR, y'en a plein... Les bandes passantes augmentent en ADSL/FTTH/Cable, les smartphones/tablettes/netbooks en 3G-4G, avec plein de connexions maintenues pour faire du push/tchat/etc.. Et les plus gros consommateurs sont ceux qui utilisent des applications webs en interne, rien qu'en migrant sur Win7/OSX/Linux, les clients demandent 4 à 10 fois plus en capacité de connexion... Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus... Manuel De : Guillaume Barrot [mailto:guillaume.bar...@gmail.com] Envoyé : vendredi 24 août 2012 17:53 À : Manuel Martinez Cc : Baptiste; o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On 08/24/2012 05:45 PM, Manuel Martinez wrote: Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel si tu en es là, c'est que t'as un twitter, un facebook ou un google... c'est bizarre, mais je crois pas qu'ils utilisent un seul gros LB centralisé ceux la... --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Y'en a au moins 2 parmi ceux-là qui sont clients Hardware Load Balancer chez nous ou d'autres constructeurs (qui ont déjà pris la parole). Et puis qui parle de gros LB centralisé, on peut faire performant et distribué Manuel MARTINEZ -Message d'origine- De : Raphaël Jacquot [mailto:sxp...@sxpert.org] Envoyé : vendredi 24 août 2012 18:24 À : Manuel Martinez; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 On 08/24/2012 05:45 PM, Manuel Martinez wrote: Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel si tu en es là, c'est que t'as un twitter, un facebook ou un google... c'est bizarre, mais je crois pas qu'ils utilisent un seul gros LB centralisé ceux la... -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bonsoir, L'intelligent montera divisera le traffic en couche: L4, SSL et L7 la première couche sera en L4, DSR vers le SSL et le L7. Cela veut il dire que ce qui n'utilise pas cette configuration sont des crétins ? Si oui, il y a pas mal de crétins :) Pour 10 serveurs à 2000 euros, 2 L4, 4 SSL et 4 HAProxy, t'as une platforme plus robuste et plus scalable et hardware agnostique... Facture divisée par 10 :) Vive les mathématiques marketing, avez vous compté le coût du rack space, maintenance, etc .. en plus du coût d'achat ? Cordialement Fabien On 24 août 2012, at 18:13, Baptiste bed...@gmail.com wrote: Ca coûte bien cher ce genre de boitiers en plus... Il donnera pas son prix car ses concurrent écoutent, mais la facture est d'environ 200K ;) Pis c'est pas scalable, pour évoluer, tu jettes tes boitiers à 200K pour acheter des boitiers à 400K L'intelligent montera divisera le traffic en couche: L4, SSL et L7 la première couche sera en L4, DSR vers le SSL et le L7. Le SSL repasse par le L4 pour LB vers les L7. Les L7 load-balancent vers les serveurs d'applis. De cette manière on est full scalable. Si y'a besoin de plus de SSL, tu rajoutes un serveur dans ta ferme de SSL, idem pour le L7. Pour 10 serveurs à 2000 euros, 2 L4, 4 SSL et 4 HAProxy, t'as une platforme plus robuste et plus scalable et hardware agnostique... Facture divisée par 10 :) cqfd. Vive le trolldi. 2012/8/24 Steven Le Roux ste...@le-roux.info: ça me fait penser au mec d'Alcatel qui était venu présenter son produit à un OpenCoffee à Brest et qui critiquait Asterisk car il ne pouvait pas supporter une queue de hotline de 10 millions de client... à mon avis héberger autant de millions de user par boitier... c'est mal distribuer son trafic :) 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 16:15 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Pour quel type de fonctions exactement??? j'aimerais bien savoir :) Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/24 Fabien Delmotte fdelmot...@mac.com: Bonsoir, L'intelligent montera divisera le traffic en couche: L4, SSL et L7 la première couche sera en L4, DSR vers le SSL et le L7. Cela veut il dire que ce qui n'utilise pas cette configuration sont des crétins ? Si oui, il y a pas mal de crétins :) heh, non, je parle pour du gros traffic comme décrit par Manuel. Pour 99,9% des besoin un LB normal en haute dispo suffit de l'appli interne critique à un site web même bien punchi). Moi, si j'ai une infra qui doit gérer 30 G au niveau 7 avec traitement sur les requêtes, etc..., j'ai bien envie que tout ne repose pas que sur 2 équipements uniquement. a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
- Mail original - De: Manuel Martinez mmarti...@a10networks.com À: Baptiste bed...@gmail.com Cc: o...@ovh.net, frnog-t...@frnog.org Envoyé: Vendredi 24 Août 2012 17:45:04 Objet: RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... ba si un peut quand même :) Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. alors mélanger du nat64 et du offload ssl avec du multiplexage tcp je demande à voir moi j'appelle pas ça du nat mais un proxy ou alors j'ai raté un truc je me demande aussi quel pourrais être l’intérêt ? si en plus on insert un Xforwarded-for pourquoi faire du nat64 ? A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
L'intelligent montera divisera le traffic en couche: L4, SSL et L7 la première couche sera en L4, DSR vers le SSL et le L7. Cela veut il dire que ce qui n'utilise pas cette configuration sont des crétins ? Si oui, il y a pas mal de crétins :) C est plus simple d acheter un boîte que de monter un cluster. Pour monter un cluster il faut des competences internes sinon la boîte c est mieux. Pour monter un cluster il faut plus de temps, les gens competents n ont souvent pas le temps. Donc cela depends, comme toujours, du contexte. Tout le monde n a pas les memes besoins. Pour 10 serveurs à 2000 euros, 2 L4, 4 SSL et 4 HAProxy, t'as une platforme plus robuste et plus scalable et hardware agnostique... Facture divisée par 10 :) Vive les mathématiques marketing, avez vous compté le coût du rack space, maintenance, etc .. en plus du coût d'achat ? Le clustering c est un choix, il faut toujours regarder le couple CAPEX + OPEX Meme dans ce cas le prix n est qu'un des facteur de decisions Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus... alors sur 6rd je vois pas ou ca parle de session tcp c'est un simple forwarding de paquet stateless avec une encapsulation/décapsulation ou il y a juste l'ip destination qui change dans un sens. c'est pas fait pour load balancer Manuel De : Guillaume Barrot [mailto:guillaume.bar...@gmail.com] Envoyé : vendredi 24 août 2012 17:53 À : Manuel Martinez Cc : Baptiste; o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le clustering c est un choix, il faut toujours regarder le couple CAPEX + OPEX Meme dans ce cas le prix n est qu'un des facteur de decisions Je dirais dans le cadre d'un gros système les solutions de clustering open source sont assez compétitives car le système est souvent dédié et on peut envisager d'avoir une équipe d'admin pour gèrer la/les plateformes. Vu le prix des licences et le récurent de la maintenance on est pas loin du salaire de l’équipe (qui de toute façon serait la pour gérer le reste de la plateforme). Une solution d'appliance convient peut être mieux à une société de service qui veux vendre des prestations de lb à ses clients (genre un hébergeur). L'install d'un services est peut être plus simple pour ses équipes. Après c'est un choix sous traiter ou faire soit même. Nous on à tendance plus a faire nous même, mais on regarde quand même si il y a un intérêt d'acheter quand c'est mieux et que le prix est compétitif. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
ne pas oublier les capacités hardware à encaisser les attaques. un lvs sous Linux avec du 10G ça s'explose avec 100Mbps de packets bien placés. ce genre de boîtiers LB sont souvent utilisées en firewall: 1VIP et 1 serveur, c'est juste pour purger les merdes. maintenant les attaques auj ce sont les vrais requêtes voir les simulations de visites avec 2 à 5 requêtes qui se suivent dans une vraie logique. les hackeurs codent les vrais visiteurs et au final les boîtiers comme AX ACE ou Tilera sont très intéressantes pour gérer ces faux visiteurs. un peu de cache en RAM et un vrai ASIC SSL au lieu de CPU avec de l'AES servent à se rendre +1000% et ne pas dégrader le service. bref, le besoin et la motivation n'est souvent pas en face du besoin standard qui est bien servi par de open source. Le 2012-08-24 à 13:49, Frédéric GANDER fgan...@corp.free.fr a écrit : Le clustering c est un choix, il faut toujours regarder le couple CAPEX + OPEX Meme dans ce cas le prix n est qu'un des facteur de decisions Je dirais dans le cadre d'un gros système les solutions de clustering open source sont assez compétitives car le système est souvent dédié et on peut envisager d'avoir une équipe d'admin pour gèrer la/les plateformes. Vu le prix des licences et le récurent de la maintenance on est pas loin du salaire de l’équipe (qui de toute façon serait la pour gérer le reste de la plateforme). Une solution d'appliance convient peut être mieux à une société de service qui veux vendre des prestations de lb à ses clients (genre un hébergeur). L'install d'un services est peut être plus simple pour ses équipes. Après c'est un choix sous traiter ou faire soit même. Nous on à tendance plus a faire nous même, mais on regarde quand même si il y a un intérêt d'acheter quand c'est mieux et que le prix est compétitif. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
à mon avis héberger autant de millions de user par boitier... c'est mal distribuer son trafic :) +1, on est pas en Chine non plus ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 24 août 2012 18:04, Christophe HUBERT christophe.hub...@agarik.com a écrit : En effet, combien de clients pour ce type d'archi ? Il faut pas oublier que le LB, ca commence a partir de 2 serveurs. Et qu'un client a 2 serveurs n'a pas les moyens de depenser 10 fois le prix de ses serveurs dans une appliance. Ca peut aussi etre 2 VM LB + 2 VM Web sur le meme host, ou sur 2 serveurs physiques en Cluster. Quant a l'hyperviseur, un KVM coute pas tres cher :D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Ah merde, j'suis pas ISP, et j'en ai besoin. Je fais comment du coup ? Je deviens ISP pour rentrer dans le business plan du constructeur ? Soyons serieux, DS-Lite (l'AFTR) on l'a fait tourner en pure soft, userland sur une Debian... Quel est le probleme a l'integrer dans une VM pour des clients qui ont des plus petits besoins ? Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus… Ok, donc matos pour les Richards. Quant on est petit, on se dit ah ben je vais prendre l'entrée de gamme, vu que sur le site ils vendent que c'est le meme OS sur toute la gamme. Perdu, c'est le meme OS, pas les memes features. Fucked by the marketing. Again --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
alors mélanger du nat64 et du offload ssl avec du multiplexage tcp je demande à voir moi j'appelle pas ça du nat mais un proxy ou alors j'ai raté un truc je me demande aussi quel pourrais être l’intérêt ? si en plus on insert un Xforwarded-for pourquoi faire du nat64 ? +1 Le couteau Suisse a 45 lames, a part MacGyver, personne n'arrive à s'en servir, et ça deforme les poches. Perso, je prefere un couteau et une fourchette dédiée pour manger... pour faire du réseau aussi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Manuel MARTINEZ | Pre Sales, South EMEA | A10 Networks Mobile: +33 (0) 622 89 20 60 Skype: mmza10 mmarti...@a10networks.com | www.a10networks.com Le 24 août 2012 à 18:56, Frédéric GANDER fgan...@corp.free.fr a écrit : - Mail original - De: Manuel Martinez mmarti...@a10networks.com À: Baptiste bed...@gmail.com Cc: o...@ovh.net, frnog-t...@frnog.org Envoyé: Vendredi 24 Août 2012 17:45:04 Objet: RE: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... ba si un peut quand même :) Non, sérieux, ce n'était pas volontaire en tout cas... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. alors mélanger du nat64 et du offload ssl avec du multiplexage tcp je demande à voir moi j'appelle pas ça du nat mais un proxy ou alors j'ai raté un truc je me demande aussi quel pourrais être l’intérêt ? si en plus on insert un Xforwarded-for pourquoi faire du nat64 ? A+ Ben c'est un reverse proxy qui accessoirement absorbe pas mal de charge et la partage vers des serveurs et le xforwarded-for c'est un hébergeur qui veut que ses clients puissent utiliser ça pour retrouver les ipv6 de leurs propres clients et pas les ipv4 utilisées par le LB pour la NAT. Manuel -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Manuel MARTINEZ Le 24 août 2012 à 19:07, Frédéric GANDER fgan...@corp.free.fr a écrit : Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus... alors sur 6rd je vois pas ou ca parle de session tcp c'est un simple forwarding de paquet stateless avec une encapsulation/décapsulation ou il y a juste l'ip destination qui change dans un sens. c'est pas fait pour load balancer Oui, sauf qu'un LB c'est avant tout un boîtier qui fait de la NAT dans tous les sens, à haute perf. Bon ben, quand il y a quelques années, un gros ISP est venu voir A10 pour qu'on adapte notre code pour faire ce genre de manip, et bien A10 l'a fait, et chance pour A10, ça a bien fonctionné, en plus pour ds-lite, 6rd, et nat64/dns64, en stateful, pour que les failovers soient transparents Manuel De : Guillaume Barrot [mailto:guillaume.bar...@gmail.com] Envoyé : vendredi 24 août 2012 17:53 À : Manuel Martinez Cc : Baptiste; o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Nombre de clients en France : 1 ? 2 ? Là, pour cette gamme, il faut en effet pas se facher avec Oles, vu qu'à part OVH, Online et éventuellement Gandi, y a pas grand monde qui doit avoir ces contraintes ... Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Et l'approche VM a l'avantage de scaler les hébergeurs qui font du dédié : un client = une VM loadbalancer. Pas de problème de perf à l'echelle de 1 client. Et en cas de crash, l'impact est beaucoup plus limité ! Les fonctionnalités de transition IPv6 sont supportées aussi en mode VM ? (NAT64, DSLite ?) The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 24 août 2012 à 22:15, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Ah merde, j'suis pas ISP, et j'en ai besoin. Je fais comment du coup ? Je deviens ISP pour rentrer dans le business plan du constructeur ? Soyons serieux, DS-Lite (l'AFTR) on l'a fait tourner en pure soft, userland sur une Debian... Quel est le probleme a l'integrer dans une VM pour des clients qui ont des plus petits besoins ? Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus… Ok, donc matos pour les Richards. Quant on est petit, on se dit ah ben je vais prendre l'entrée de gamme, vu que sur le site ils vendent que c'est le meme OS sur toute la gamme. Perdu, c'est le meme OS, pas les memes features. Fucked by the marketing. Again Je confirme, je suis le premier à m'en plaindre à ma corp. Bon, il s'avère que mon avis compte peu, en fait :-( Fucking Capitalists... Manuel MARTINEZ The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bonsoir, Ici à SdV, nous avons 4 serveurs qui servent de LB à toute notre infra (ce sont des pauvres serveurs monopro 3Ghz). Ils tournent avec la solution Aloha (donc Open Source LVS+HAProxy repackagé) et nous tenons des centaines de milliers de requêtes par seconde, plus d'un million de sessions pour un trafic dans les 10Gb/s et ce je le rappelle avec seulement 4 serveurs. Comme l'architecture est scalable (suffit de rajouter des serveurs) pour tenir n fois plus, ce que tu cites me semble tout a fait possible avec style 10 serveurs. Le cout serait ridicule : 10 serveurs a 4K€ + 0€ de licence soft, cela ne fait que 40K€, on est très très loin du budget d'une solution propriétaire (j'ai sur mon bureau des devis de la plupart des équipementiers pour des gros LB et c'est des prix à 6 chiffres). Le cout de formation/maintenance est le même, dans les deux cas il faut s'approprier la techno qu'elle soit open source ou propriétaire. Si A10 (ou F5 ou ..) sait faire moins cher que 40K€ pour loadbalancer des milliers de serveurs sortant 10Gb/s+, 1M+ sessions, le tout en cluster redondant et scalable, je serai extrêmement surpris (mais heureux d'avoir tord). Si les grosses boites prennent des appliances, c'est surtout pour l'aspect solution clef en main, le support en cas de souci, la bonne image de l’équipementier mais pas le prix ! Salim Le 24/08/2012 17:45, Manuel Martinez a écrit : Attention, je ne dénigre pas les solutions basées sur de l'open source d'un point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le monde... Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter 100ms de latence vers une centaine de serveurs, ben je demande à voir encore la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui va avec. Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour ça qu'on a des équipements plus petits (et moins chers) et même des versions VM Manuel -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 16:15 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 Pour quel type de fonctions exactement??? j'aimerais bien savoir :) Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... Quand c'est financé par une constructeur c'est souvent biaisé (je suis bien placé)... :-) Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a compris Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), en taille, je crois que le CRS-1 explose tout, non ? Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau de perf pour lequel il faudrait acheter des serveurs bien plus chers et en quantité si on voulait faire la même chose en open-source. Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, c'est tout... Manuel PS: Merci Vince, au plaisir ;-) -Message d'origine- De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 En effet, ça sent le troll plus de 80% des attaques comportent moins de 20mb de traffic et sont du type slowloris (plus ou moins évolué) (source Radware) troll A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite Je pose la question /troll Baptiste 2012/8/24 Manuel Martinez mmarti...@a10networks.com: Ça sent le troll... Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec 10 millions de syn cookie / sec à forger, plusieurs millions de connexions simultanées à maintenir pour quelques centaines de VIPs, et je ne sais combien de serveurs... Elle tourne encore l'archi d'OVH, non? Manuel Martinez Le 24 août 2012 à 11:45, Baptiste bed...@gmail.com a écrit : tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an de bugs à fixer presque chaque semaine. depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des attaques slowloris bahh il n'y a rien qui a été fait. en bref, la gestion de bug 8/10, ajoute de
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Oui, sauf qu'un LB c'est avant tout un boîtier qui fait de la NAT dans tous les sens, à haute perf. Bon ben, quand il y a quelques années, un gros ISP est venu voir A10 pour qu'on adapte notre code pour faire ce genre de manip, et bien A10 l'a fait, et chance pour A10, ça a bien fonctionné, en plus pour ds-lite, 6rd, et nat64/dns64, en stateful, pour que les failovers soient transparents Bullshit detected, 6rd est purement stateless par construction. Ou alors A10 sort des boitiers quantiques qui changent les RFC à la volée ? (http://www.ietf.org/rfc/rfc5969.txt == c'est juste dans la partie Intro, http://tools.ietf.org/html/rfc5569) De plus pour DS-Lite, le nat est purement optionnel, donc faudra m'expliquer comment un boitier qui fait du nat dans tous les sens est optimisé par nature pour un truc qui n'en est pas. Mouais, pas du tout convaincu. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
http://blog.comcast.com/2010/03/comcast-labs-and-isc-donate-ipv6-open-source-software-to-open-source-community.html C'est hyper capitaliste en effet de vendre un truc donné à la communauté par ISC et Comcast ... J'espère juste pour A10 que c'est pas ce code qui est dans les boitiers, sinon la FSF va pas être contente... Le 25 août 2012 00:27, Manuel Martinez mmarti...@a10networks.com a écrit : Le 24 août 2012 à 22:15, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Ah merde, j'suis pas ISP, et j'en ai besoin. Je fais comment du coup ? Je deviens ISP pour rentrer dans le business plan du constructeur ? Soyons serieux, DS-Lite (l'AFTR) on l'a fait tourner en pure soft, userland sur une Debian... Quel est le probleme a l'integrer dans une VM pour des clients qui ont des plus petits besoins ? Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus… Ok, donc matos pour les Richards. Quant on est petit, on se dit ah ben je vais prendre l'entrée de gamme, vu que sur le site ils vendent que c'est le meme OS sur toute la gamme. Perdu, c'est le meme OS, pas les memes features. Fucked by the marketing. Again Je confirme, je suis le premier à m'en plaindre à ma corp. Bon, il s'avère que mon avis compte peu, en fait :-( Fucking Capitalists... Manuel MARTINEZ -- The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Bonsoir, Le 25 août 2012 à 00:34, Guillaume Barrot a écrit : http://blog.comcast.com/2010/03/comcast-labs-and-isc-donate-ipv6-open-source-software-to-open-source-community.html C'est hyper capitaliste en effet de vendre un truc donné à la communauté par ISC et Comcast ... J'espère juste pour A10 que c'est pas ce code qui est dans les boitiers, sinon la FSF va pas être contente... Comme indiqué sur le site de ISC (et comme tout logiciel codé par des gens d'ISC): AFTR is available for free download under the terms of the ISC License, a BSD style license. Donc réutilisable sans autre obligation que de mentionner les auteurs originaux du code. Ensuite c'est une licence BSD, pas GPL, la FSF n'a pas son mot à dire. :) Bref, la licence BSD c'est pratique. :) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour info, A10 à participé (avec d'autres constructeurs) a ce Dev avec Comcast... Manuel MARTINEZ Le 25 août 2012 à 00:35, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : http://blog.comcast.com/2010/03/comcast-labs-and-isc-donate-ipv6-open-source-software-to-open-source-community.html C'est hyper capitaliste en effet de vendre un truc donné à la communauté par ISC et Comcast ... J'espère juste pour A10 que c'est pas ce code qui est dans les boitiers, sinon la FSF va pas être contente... Le 25 août 2012 00:27, Manuel Martinez mmarti...@a10networks.commailto:mmarti...@a10networks.com a écrit : Le 24 août 2012 à 22:15, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : Pour la version VM on ne supporte que le SLB-PT, pas de DS-Lite, 6rd, ou trucs spécial ISP. Ah merde, j'suis pas ISP, et j'en ai besoin. Je fais comment du coup ? Je deviens ISP pour rentrer dans le business plan du constructeur ? Soyons serieux, DS-Lite (l'AFTR) on l'a fait tourner en pure soft, userland sur une Debian... Quel est le probleme a l'integrer dans une VM pour des clients qui ont des plus petits besoins ? Mais à nouveau je suis désolé, ces gens-là nous demandent pas 2000 sessions TCP, mais un chouilla plus… Ok, donc matos pour les Richards. Quant on est petit, on se dit ah ben je vais prendre l'entrée de gamme, vu que sur le site ils vendent que c'est le meme OS sur toute la gamme. Perdu, c'est le meme OS, pas les memes features. Fucked by the marketing. Again Je confirme, je suis le premier à m'en plaindre à ma corp. Bon, il s'avère que mon avis compte peu, en fait :-( Fucking Capitalists... Manuel MARTINEZ The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately -- Cordialement, Guillaume BARROT The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Ok 6rd stateless, ca va, il est tard... Et pour le reste, ben je dois probablement avoir tord alors... C'est qu'ils doivent vraiment être débiles les ISP avec qui on bosse... Et puis blindés avec ça Quel monde de pourris Manuel MARTINEZ Le 25 août 2012 à 00:33, Guillaume Barrot guillaume.bar...@gmail.commailto:guillaume.bar...@gmail.com a écrit : Oui, sauf qu'un LB c'est avant tout un boîtier qui fait de la NAT dans tous les sens, à haute perf. Bon ben, quand il y a quelques années, un gros ISP est venu voir A10 pour qu'on adapte notre code pour faire ce genre de manip, et bien A10 l'a fait, et chance pour A10, ça a bien fonctionné, en plus pour ds-lite, 6rd, et nat64/dns64, en stateful, pour que les failovers soient transparents Bullshit detected, 6rd est purement stateless par construction. Ou alors A10 sort des boitiers quantiques qui changent les RFC à la volée ? (http://www.ietf.org/rfc/rfc5969.txt == c'est juste dans la partie Intro, http://tools.ietf.org/html/rfc5569) De plus pour DS-Lite, le nat est purement optionnel, donc faudra m'expliquer comment un boitier qui fait du nat dans tous les sens est optimisé par nature pour un truc qui n'en est pas. Mouais, pas du tout convaincu. The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On 2012-08-25 01:07, Manuel Martinez wrote: du SSL cavium, si j'en crois la datasheet http://www.cavium.com/processor_security_nitroxII.htm ca peut faire au maximum 10k RSA4096 en meme temps, ca fait que du SHA1 qui est périmé, ca gere pas l'ECC la génération suivante http://www.cavium.com/processor_security_nitrox-III.html est déja plus intéressante, mais c'est toujours pareil, t'as vite fait d'avoir un truc périmé car non évolutif --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
2012/8/25 sxpert sxp...@sxpert.org: On 2012-08-25 01:07, Manuel Martinez wrote: du SSL cavium, si j'en crois la datasheet http://www.cavium.com/processor_security_nitroxII.htm ca peut faire au maximum 10k RSA4096 en meme temps, ca fait que du SHA1 qui est périmé, ca gere pas l'ECC Moi, sur la datasheet, je vois 10K a 40K RSA 1024 ce qui n'est pas du tout pareil! Le passage de 1024 en 2048, ca divise par 5 à 7 le nombre de calcul de clé sur de l'Intel. Pas essayé le passage de 2048 en 4096... Je suppose que c'est pareil sur les cavium, même s'ils sont censé être taillé pour. Une fois la clé asymétrique générée, les perfs en chiffrement de traffic sont les mêmes: pas d'impact, on a autant de TPS en 1024 qu'en 2048 et je suppose aussi en 4096, car c'est le protocol qui veut ça :) Baptiste --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
On 2012-08-25 07:43, Baptiste wrote: 2012/8/25 sxpert sxp...@sxpert.org: On 2012-08-25 01:07, Manuel Martinez wrote: du SSL cavium, si j'en crois la datasheet http://www.cavium.com/processor_security_nitroxII.htm ca peut faire au maximum 10k RSA4096 en meme temps, ca fait que du SHA1 qui est périmé, ca gere pas l'ECC Moi, sur la datasheet, je vois 10K a 40K RSA 1024 ce qui n'est pas du tout pareil! Le passage de 1024 en 2048, ca divise par 5 à 7 le nombre de calcul de clé sur de l'Intel. Pas essayé le passage de 2048 en 4096... Je suppose que c'est pareil sur les cavium, même s'ils sont censé être taillé pour. Une fois la clé asymétrique générée, les perfs en chiffrement de traffic sont les mêmes: pas d'impact, on a autant de TPS en 1024 qu'en 2048 et je suppose aussi en 4096, car c'est le protocol qui veut ça :) Baptiste en effet. pour le traffic apres, c'est les perfs AES256 qu'il faut regarder. les perfs RSA / ECC limitent par contre le nombre de connexions ssl que tu peux gérer par seconde --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Le 8/23/12 6:15 PM, Christophe HUBERT a écrit : Bonjour, J'aimerais avoir un peu de retour d'experience sur des LB qui peuvent faire de l'ipv4 et l'ipv6. Si possible, pas software mais plus des appliances. Si des personnes ont déjà mis en place... C'est principalement la partie ipv6 qui m'interesse, pour l'ipv4 on a le choix, mais comme c'est preferable d'avoir un equipement pour les deux. Bonjour Christophe, Il y a les load balancer Brocade ADX qui répondent bien à cette situation. Par contre il ne faudra pas trop en demander sur les protocoles de routage en IPv6 (quand ça le fait, il manque parfois des petites fonctionnalités juste pour faire chier). Il y a eu des bugs en IPv6 au lancement mais à ma connaissance c'est bien stabilisé maintenant. Pas trop d'expérience sur la concurrence par contre, je sais juste que ça tient bien le trafic et que ça fait son boulot en IPv4 et IPv6. Cordialement, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
O Hai! J'aurais tendance à conseiller d'acheter Français :) J'ai essuyé des galères partout ou j'ai utilisé du ServerIron, mais c'est peut être mieux maintenant, je ne saurais pas trop dire. Ca vaut le coup de jeter un coup d'oeil sur une petite boîte Française nommée Excelliance: sur leur gamme ALOHA, ils font de l'appliance et du soft, qui ma foi a l'air de plutôt bonne facture, et qui tourne autour de HA Proxy, dont les fonctionnalités ne sont plus à prouver. http://www.exceliance.fr/fra/principales-fonctionnalites-des-load-balancer-aloha-0 Ca fait de la translation 6-to-4 et c'est plutôt featureful. J'avais puissamment kiffé leur comparo HAProxy VS Varnish: http://blog.exceliance.fr/2012/07/04/haproxy-and-varnish-comparison/ …ainsi que leur article sur SNI qui est un peu crucial si tu veux faire du SSL (malgré que ça soit encore limaité en terme d'adoption browser): http://blog.exceliance.fr/2012/04/13/enhanced-ssl-load-balancing-with-server-name-indication-sni-tls-extension/ Je précise que je n'ai aucun lien avec cette boîte je suis juste tombé sur ce qu'ils font cette semaine. Vu le peu de bons équipements load-balancers que j'ai pu croiser, ceux-ci ont l'air vraiment bons sur papier - je me dis que ça vaut le coup de regarder ce qu'ils font de plus près. Sinon, de manière générale, le choix d'un LB va largement dépendre de tes besoins: j'ai jamais vu de LB entièrement hardware (Brocade,Cisco,F5,A10…) fonctionner correctement si tu les utilises sur des couches 4. Dès que tu veux faire des trucs plus sioux, faut aller vers le soft, en mode appliance, mais pas hard - les implem SSL étaient à l'époque quasi inutilisables car sur-buggées, mais a nouveau, je manque d'expérience récente. Outre Exceliance, je conseille fortement les boites de chez Zeus (anciennement ZXTM), sauf que je saurais pas trop te dire si c'est autant maintenu qu'avant depuis qu'ils se sont fait racheter par RiverBed (serais d'ailleurs curieux d'avoir un retour d'xp sur ceux qui ont upgradé depuis le rachat… savoir si ils continuent d'acheter des features…). Si mes souvenirs sont bons, ça s'appelle plus Zeus depuis le rachat mais Stingray - et c'est maintenant noyé dans un site bien marketoïde ... http://www.riverbed.com/us/products/stingray/stingray_tm.php En espérant que ça aide. A+ -- Greg VILLAIN On Aug 23, 2012, at 9:27 AM, Frederic Dhieux frede...@syn.fr wrote: Le 8/23/12 6:15 PM, Christophe HUBERT a écrit : Bonjour, J'aimerais avoir un peu de retour d'experience sur des LB qui peuvent faire de l'ipv4 et l'ipv6. Si possible, pas software mais plus des appliances. Si des personnes ont déjà mis en place... C'est principalement la partie ipv6 qui m'interesse, pour l'ipv4 on a le choix, mais comme c'est preferable d'avoir un equipement pour les deux. Bonjour Christophe, Il y a les load balancer Brocade ADX qui répondent bien à cette situation. Par contre il ne faudra pas trop en demander sur les protocoles de routage en IPv6 (quand ça le fait, il manque parfois des petites fonctionnalités juste pour faire chier). Il y a eu des bugs en IPv6 au lancement mais à ma connaissance c'est bien stabilisé maintenant. Pas trop d'expérience sur la concurrence par contre, je sais juste que ça tient bien le trafic et que ça fait son boulot en IPv4 et IPv6. Cordialement, Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6
Pour avoir bossé sur du Citrix Netscaler, c'est du très bon matos. Ils proposent en demo une machine virtuelle. En software, bien que ça ne soit pas dans tes favoris, relayd (freebsd) et haproxy (bsd/Linux) sont très bien. Après faut voir tes besoins... Tu veux qu'ils fassent quoi tes LB ? Persistance de session ? Offload SSL ? Compression gzip, cache, FW niveau 7 ? On 23 Aug 2012, at 18:15, Christophe HUBERT christophe.hub...@agarik.com wrote: Bonjour, J'aimerais avoir un peu de retour d'experience sur des LB qui peuvent faire de l'ipv4 et l'ipv6. Si possible, pas software mais plus des appliances. Si des personnes ont déjà mis en place... C'est principalement la partie ipv6 qui m'interesse, pour l'ipv4 on a le choix, mais comme c'est preferable d'avoir un equipement pour les deux. Merci d'avance, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/