CISCO ACE — балансировка приложений

Всем привет!

Хочу немного рассказать о семействе оборудования для Центров обработки данных от CISCO – CISCO ACE (Application Control Engine). В этой статье будут затронуты такие вопросы как предназначение устройств, архитектурные особенности, возможности применения, настройка основных функций. Больших тонкостей работы материал не предусматривает, скорее рассчитан на тех, кто думает о внедрении подобных устройств, пытается сделать выбор, хочет понять как такое оборудование поможет оптимизировать сетевую инфраструктуру, повысить доступность и время внедрения сервисов.


В народе эти устройства называют «балансировщиками», то есть устройствами которые могут распределять нагрузку на несколько серверов в зависимости от некоторых условий. Можно сказать, что производиться коммутация на уровнях L4-L7. Но это только одна сторона медали и сам производитель заявляет, что использование CISCO ACE в ЦОД позволяет:

• Повысить производительность,
• Масштабируемость,
• Гибко перераспределить ресурсы,
• Упростить процедуру внедрения новых приложений,
• Оптимизировать работы приложений,
• Гарантировать доступность,
• Консолидировать ресурсы,
• Обеспечить управляемость и мониторинг.

Данные устройства представлены в виде двух форм-факторов: standalone оборудование (на пример, CISCO ACE 4710) и модули в шасси CISCO 6500/7600 (CISCO ACE-20/30 Module). Standalone оборудование – это отдельное устройство, которое возможно интегрировать в сеть построенную на основе любого вендора, сервисные модули – высокопроизводительные устройства подходящие для инсталяции в сети существующими шасси 6500/7600, что позволяет повысить производительность, обеспечить централизованное управление, сократить количество кабельных соединений, способствует быстрому внедрению сервисов.

Технические характеристики:
CISCO ACE 4710



Feature Maximum Performance or Configuration
Throughput 0.5, 1, 2, or 4 Gbps
Compression 0.5, 1, or 2 Gbps (using GZIP or Deflate)
Virtual contexts 20
SSL throughput 1 Gbps
SSL TPS 7500 SSL TPS using 1024-bit keys
SSL TPS 7500 SSL TPS using 1024-bit keys
Maximum L4 connections per second 100,000 complete transactions sustained rate
Maximum L7 connections per second 30,000 complete transactions sustained rate
Concurrent connections 1 million


Что внутри коробки: CPU Intel Pentium 4 3.4 Ghz, 4x1GE, 8Gb RAM (нельзя увеличить), 1Gb Flash (нельзя увеличить), консольный порт, порты для подключения монитора, клавиатуры. Возможность управления с помощью CLI, SNMP, WEB интерфейс. Формфактор – 1U.

CISCO ACE-20/30 Module

Feature Maximum Performance or Configuration
Throughput 16 Gbps*, 8 Gbps*, and 4 Gbps
Total VLANs (client and server) 4000
Probes ICMP, TCP, UDP, Echo, Finger, DNS, Telnet, FTP, HTTP, HTTPS, SMTP, POP3, IMAP, RTSP, RADIUS, SIP, SNMP, KAL-AP, and TCL Scripts
NAT entries 1 million
Virtual partitions Up to 250*; 5 virtual partitions (devices) included in base price
SSL throughput 3.3/6 Gbps
SSL TPS 1000 TPS included in base price, and 5000, 10,000, or 15,000 TPS with licensing, (up to 30,000 with 1024-bit key)
Maximum L4 connections per second 325,000/500,000 complete transactions sustained rate
Maximum L7 connections per second 130,000/200,000 complete transactions sustained rate
Concurrent connections 4 million
Sticky table entries 4 million


Внутри: 1Gb FLASH (нельзя увеличить), 3Gb RAM DATA PLANE, 1Gb RAM CONTROL PLANE.

В шасси CISCO 6500/7600 возможно установить до 4-х модулей, тем самым получив производительность до 64 Gb per chassis. Стоит отметить, что установка 4-х модулей не означает, что в системе мы получим один балансировщик с заявленной производительностью, просто будем иметь 4 по 16 Gbps. Маркетологи любят приводить такие цифры, но точно с таким же успехом можно взять дюжину CISCO ACE 4710, положить друг на друга и получить великолепную производительность. К слову, приведу цены на устройства:

Конфигурация Цена $GPL
ACE 4710 0.5 Gbps 15.995
ACE 4710 1 Gbps 29.995
ACE 4710 2 Gbps 39.995
ACE 4710 4 Gbps 49.995
ACE30 Module with 4G, 1G Comp, 1K SSL TPS and 5VC 39.995
ACE30 Module with 16G, 6G Comp, 30K SSL TPS and 250VC 109.995


Приведены ориентировочные цены, так как в прайсе очень моного предложений и цена сильно варьируется от количества требуемых контекстов (об этом дальше), SSL сессий и т.д.

Возможности

Здесь немного остановимся на том, что же все-таки умеют эти достаточно не дешевые устройства (список будет не полный, только основное).

1. Коммутация приложений.
CISCO ACE – это коммутатор уровня приложений, обеспечивающий балансировку нагрузки на сервера, основываясь на информации с L4 до L7. Встроена нативная глубокая поддержка (Generic protocol parsing) протоколов HTTP, FTP, DNS, Internet Control Message Protocol (ICMP), Session Initiation Protocol (SIP), Real-Time Streaming Protocol (RTSP), Extended RTSP, RADIUS, and Microsoft Remote Desktop Protocol (RDP). Это означает, что в случае использования данных протоколов, возможно сбалансировать трафик основываясь на (практически) любой информации в payload.

Существует гибкий механизм регулярных выражений, а также любые манипуляции с HTTP заголовками (добавление, удаление, изменение и т.д.).

2. Обработка трафика.
Как уже стало понятно, ACE может выполнять deep packet inspection, но кроме этого есть tcpdump, который особенно полезен при troubleshooting.

3. Трансляция адресов.
Может осуществлять Source NAT, Destination NAT, а также Static NAT (но это скорее побочный эффект от предыдущих двух типов при одном сервере в серверной ферме, но об этом далее).

4. Методы балансировки.
Для балансировки трафика на сервера в пределах серверной фермы, производится набор тестов для определения доступности приложений/сервисов. Итак балансировать на сервера можем по след. Параметрам: наименее загруженный (количество соединений или количество трафика на сервер), случайным образом (тут я бы отметил, что каждому серверу в серверной ферме ставится в соответствие коефициент – вес. Вероятность направления запроса на конкретный сервер определяется как отношение его собственного веса к сумме весов всех серверов фермы. Следовательно, если у всех серверов будет одинаковый вес (относительное значение), то балансировка будет равномерной), определяя хэш с адресов, хэш с cookies, хэш с заголовков протоколов, хэш с URL. В случае использования cookies или SSL устройство привязывает конкретного пользователя к конкретному серверу для обеспечения постоянства сессий.

5. Определение доступности сервисов/приложений (как это настраивается и пример я приведу далее): ICMP, TCP, UDP, ECHO {tcp | udp}, Finger, HTTP, HTTPS, FTP, Telnet, DNS, SMTP, IMAP, POP, RADIUS, scripted, Keepalive Appliance Protocol (KAL-AP), RTSP, SIP, HTTP return-code parsing, SNMP. Также стоит отметить, что используя (например) HTTP пробу, доступность определяется не только получение какого-либо ответа, а возможно указать необходимые коды ответов (или их диапазоны), необходимые значения заголовков в HTTP ответе, время ответа и т.д. Создавая пробу мы определяем запрашиваемую страницу, значения заголовков и т.д. Механизм очень-очень гибкий.

6. Отказоустойчивость. Отказоустойчивость достигается использованием дополнительного модуля/устройства в пределах одного шасси или территориально разнесенных в режимах Active/Active, Active/Standby. Используя CISCO VSS оба модуля в шасси возможно виртуализировать в одно виртуальное устройство.



7. Ускорение приложений. Устройство осуществляет мультиплексирование TCP/UDP сессий для повышения сетевой производительности.



8. SSL акселерация. ACE имеет встроенный аппаратный SSL акселератор, что позволяет осуществить терминацию сессий на устройстве, тем самым сняв нагрузку с серверов. Здесь предусмотрено 3 режима функционирования: SSL termination, SSL initiation, End-to-end SSL (termination+initiation). SSL termination – сессия терминируется на CISCO ACE, трафик от балансировщика до сервера идет в открытом виде. Сервер отвечает балансировщику, тот в свою очередь шифрует данные и отправляет назад клиенту. Следует отметить одну интересную особенность: балансировщик трафик расшифровывает, но порт назначения (TCP) не меняет, то есть ВЕБ сервер на серверах должен слушать порт 443 вместо 80, естественно без шифрования.


SSL initiation – трафик от клиента к балансировщику идет в открытом виде, балансировщик устанавливает SSL сессию с сервевами и общается с ними используя SSL. Отверы клиенту передаются в не зашифрованном виде.

В третьем режиме клиент устанавливает одну сессию с балансировщиком, а том свою очередь устанавливает другую сессию с серверами. Происходит двойное шифрование (имеется ввиду не шифрование шифрованного, а повторное шифрование ранее расшифрованного).



9. Средства безопасности: ACL (L3-L7), Bidirectional NAT and PAT (+policy NAT), TCP connection state tracking, Virtual connection state for UDP, Sequence number randomization, TCP header validation, TCP window-size checking, проверка Unicast Reverse Path Forwarding (URPF) при установлении сессии, Rate limiting.

10. Возможности виртуализации.
Устройство может работать как одно целое и единственное, что не всегда гибко. Либо с одного физического устройства возможно создать до 250 виртуальных балансировщиков. Каждый такой балансировщик имеет своих администраторов, свою конфигурацию, свои правила, ограничения используемых ресурсов (CPU, connections, bandwidth). Очень хорошо подходит не только для собственных потребностей, но и возможно предоставлять клиентам услугу dedicated ACE, где в пределах своего устройства они могут творить что пожелается.


11. Режимы работы: Routed mode, Bridged Mode, Asymmetric server normalization (ASN). В Router режиме можно выделить два подрежима: Inline и On-a-stick (или One-Arm-Mode).

Bridged Mode

Устройство находить в «разрыве» между серверами и default-gateway для серверов. Оба интерфейса устройства в одной подсети в режиме L2 (бриджа). Необходимым условием является отсутствие прохождения трафика между серверами и роутером НЕ через CISCO ACE. Таким образом клиент обращается на VIP 172.16.3.100 (Virtual IP – виртуальный адрес балансировщика. Трафик, поступающий на него (VIP), балансируется между серверами), а устройство в свою очередь перенаправляет запрос на сервера, изменяя при этом адрес назначения. Сервер шлет ответ на 172.16.3.1, но когда трафик проходит через ACE (а мы говорили что это обязательно) адрес источника меняется обратно на 172.15.3.100.

Такое решение хорошо подходит для внедрения CISCO ACE в уже работающую сеть, адресация не меняется, перенастройка серверов не производится.

Routed Inline mode

В таком режиме CISCO ACE выполняет hop для проходящего трафика. Режим предпочтителен для новых инсталляций. Балансировщик является default-gateway для серверов. На этом режиме я остановлюсь более подробно и приведу типичную конфигурацию для балансировки.

Routed mode On-a-stick (One-Arm-Mode)

Трафик от пользователя приходит на балансировщик (VIP). Происходит замена адреса клиента та собственный адрес балансировщика, адреса назначения на реальный (или один из реальных) адрес сервера. В таком случае сервер отвечает непосредственно балансировщику и процедура повторяется в обратном порядке: адрес источника меняется на VIP, адрес назначения меняется на адрес клиента. У клиента(-ов) складывается впечатление общения с сервером с адресом (VIP), хотя на самом деле сервера могут быть расположены по всему земному шару.

Хороший вариант когда клиент хочет получить сервис балансировки. Например, клиент имеет 3 ВЕБ сервера в разных ДЦ. От нас он получает реальный IP адрес балансировщика –VIP. В настройках DNS привязывает свой домен к выделенному VIP. Теперь клиент не “светит” свои сервера, а также добавляя или изымая их, клиенты продолжают получать сервис.

Routed mode Asymmetric server normalization
Режим очень похож на предыдущий, то этом случае сервер напрямую отвечает клиенту, минуя CISCO ACE.

Рассмотрим пример настройки

Хочу рассмотреть базовый пример, не описывая множество вариантов, так как в этот нет острой необходимости (дам ссылки на хорошие материалы), лучше, если потребуется, прокомментирую или объясню не понятные моменты.

В качестве топологии возьмем рис. Routed Inline mode.
Интерфейс управления 172.16.1.5.

Напишем правила полики управления:
class-map type management match-any L4_REMOTE-ACCESS_CLASS
description Enabling remote access traffic to the ACE and the Cisco ACE Module
2 match protocol ssh source-address 172.16.1.0 255.255.255.0
3 match protocol icmp source-address 172.16.1.0 255.255.255.0
4 match protocol https source-address 172.16.1.0 255.255.255.0
5 match protocol snmp source-address 172.16.1.0 255.255.255.0

policy-map type management first-match L4_REMOTE-ACCESS_MATCH
class L4_REMOTE-ACCESS_CLASS
permit

interface vlan 20
ip address 172.16.1.5 255.255.255.0
service-policy input L4_REMOTE-ACCESS_MATCH


С сети 172.16.1.0/24 возможно получить доступ к устройству используя протоколы SSH, SNMP, HTTPS, ICMP.

Пускай мы имеем 3 сервера в серверной ферме, на которые мы будем балансировать нагрузку. Объявляем сервера:

rserver host SERVER-1
description SERVER-1
ip address 192.168.1.11
inservice
rserver host SERVER-2
description SERVER-2
ip address 192.168.1.12
inservice
rserver host SERVER-3
description SERVER-3
ip address 192.168.1.13
inservice


Объеденяем сервера в ферму (для проб будем использовать HTTP и ICMP):
serverfarm host FARM
probe HTTP_PROBE
probe ICMP_PROBE
rserver SERVER-1
inservice
rserver SERVER-2
inservice
rserver SERVER-3
inservice


Описание проб:
probe http HTTP_PROBE
interval 5
passdetect interval 10
passdetect count 2
request method head url /index.html
expect status 200 210
header User-Agent header-value "LoadBalance"
probe icmp ICMP_PROBE
interval 10
passdetect interval 60
passdetect count 4
receive 1


interval – интервал между пробами
receive – время ожидания ответа
passdetect count – серер считается не доступным при не получении стольких ответов
passdetect interval – интервал проб для не доступного сервера

Опишим политики балансировки.
Виртуальный IP адрес (будем принимать запросы только на порт 80):
class-map match-all FARM-VIP
2 match virtual-address 172.16.1.100 any eq www


Балансировать трафик будем на нашу ферму, а значит опишим политику балансировки:
policy-map type loadbalance http first-match FARM_POLICY
class class-default
serverfarm FARM


Если мы не зададим тип балансировки http (что не обязательно), то при использовании протокола http можем получить проблемы с cookies, например. Этот параметр определяет тип будущего трафика и особенности обработки. Проблема «корзины»:



Это означает, что любой HTTP трафик, на который будет назначена политика FARM_POLICY, будет направлен в ферму FARM.

Теперь создаем политику, которая объединит написанное выше:

policy-map multi-match WWW-PM
class FARM-VIP
loadbalance vip inservice
loadbalance policy FARM_POLICY
loadbalance vip icmp-reply active


Эту политику применим на входном (внешнем) интерфейсе:
interface vlan 20
service-policy input WWW-PM


Это означает, что, во-первых, балансировщик будет отдавать свой MAC при запросе адреса 172.16.1.100. Далее, если трафик идет на порт 80 адреса 172.16.1.100 (class-map match-all FARM-VIP), то трафик необходимо балансировать (loadbalance vip inservice) используя описанные правила балансировки (loadbalance policy FARM_POLICY), тоесть все (class class-default) направлять в ферму FARM (serverfarm FARM). Также CISCO ACE отвечает на пинги на этот адрес (loadbalance vip icmp-reply active).

Для того что бы ответы сервера дошли до клиента вообще и с правильным адресом, необходимо создать трансляцию внутренних адресов серверов во внешний адрес VIP.

Также, на всех интерфейсах добавим ACL разрешающий все. Подразумеваем, что фильтруем трафик мы в другом месте. CISCO ACE блокирует весь трафик по умолчанию.

access-list PERMIT-ANY line 8 extended permit ip any any

access-list NAT line 1 extended permit ip host 192.168.1.11 any
access-list NAT line 2 extended permit ip host 192.168.1.12 any
access-list NAT line 3 extended permit ip host 192.168.1.13 any

class-map match-any PAT-ClassMap
2 match access-list NAT

policy-map multi-match NAT-PM
class PAT-ClassMap
nat dynamic 1 vlan 20

interface vlan 20
access-group input PERMIT-ANY
nat-pool 1 172.16.1.100 172.16.1.100 netmask 255.255.255.255 pat

interface vlan 40
ip address 192.168.1.1 255.255.255.0
access-group input PERMIT-ANY
service-policy input NAT-PM



На FWSM (ASA, PIX) NAT настраивается в несколько раз проще.

Небольшие штрихи (маршрут по умолчанию, SNMP):
ip route 0.0.0.0 0.0.0.0 172.16.1.1

snmp-server community xxx group Network-Monitor
snmp-server user user_name Network-Monitor auth sha p@ssword localizedkey
snmp-server host 172.16.1.2 traps version 2 xxx


По ссылке (http://pastebin.com/DV4QM2Ya) можно найти полную конфигурацию. Для демонстрации возможностей, CISCO ACE имеет интерфейс в пользовательскую сеть. Для пользователей он выполняет функцию PAT и производит инспектирование протокола FTP, дабы не возникало проблем с этим протоколом (active/passive mode).

Мониторинг того, что получили (база):
ACE # show serverfarm FARM
serverfarm : FARM, type: HOST
total rservers : 2
---------------------------------
----------connections-----------
real weight state current total failures
---+---------------------+------+------------+----------+----------+---------
rserver: SERVER-1
192.168.1.11:0 8 OPERATIONAL 44 52841950 12274606
rserver: SERVER-2
192.168.1.11:0 8 OPERATIONAL 49 51043947 13091531


ACE-MEL/Admin# show serverfarm FARM detail
serverfarm : FARM, type: HOST
total rservers : 2
active rservers: 2
description : -
state : ACTIVE
predictor : ROUNDROBIN
failaction : -
back-inservice : 0
partial-threshold : 0
num times failover : 0
num times back inservice : 0
total conn-dropcount : 44
Probe(s) :
HTTP_PROBE, type = HTTP
ICMP_PROBE, type = ICMP

---------------------------------
----------connections-----------
real weight state current total failures
---+---------------------+------+------------+----------+----------+---------
rserver: SERVER-1
192.168.1.11:0 8 OPERATIONAL 44 52841981 12274606
description : -
max-conns : - , out-of-rotation count : -
min-conns : -
conn-rate-limit : - , out-of-rotation count : -
bandwidth-rate-limit : - , out-of-rotation count : -
retcode out-of-rotation count : -
load value : 0

rserver: SERVER-1
192.168.1.11:0 8 OPERATIONAL 49 51043976 13091532
description : -
max-conns : - , out-of-rotation count : -
min-conns : -
conn-rate-limit : - , out-of-rotation count : -
bandwidth-rate-limit : - , out-of-rotation count : -
retcode out-of-rotation count : -
load value : 0


ACE # show rserver SERVER-1

rserver : SERVER-1, type: HOST
state : OPERATIONAL (verified by arp response)
---------------------------------
----------connections-----------
real weight state current total
---+---------------------+------+------------+----------+--------------------
serverfarm: FARM
192.168.1.11:0 8 OPERATIONAL 13 1288706


И еще много других команд.

Подводя итог

В этой статье хотел немного познакомить читателя с этим оборудованием, и не только производства CISCO, но вообще с балансировщиками как достаточно важной частью инфраструктуры ЦОД. В голове крутиться много информации, но как мне кажется пост и так получился не очень маленьким.

Итак, основное предназначение таких устройств: распределение нагрузки между сервисами (что влечет за собой повышение доступности, производительности, консолидирует ресурсы), перенос функций терминации SSL с серверов на аппаратные ускорители, некоторое повышение безопасности (благодаря нормализациям и другим проприетарным технологиям), ускорение TCP/UDP (за счет мультиплексирования, сжатия).

Также стоит отметить возможность балансировки не только в приделах одного ЦОД, но и между территориально удаленными сервисами.

У себя используем модуль ACE20-MOD-K9 4Gbps. Загружен он, конечно, не на все 4Гбит, но свои задачи выполняет. За время эксплуатации проблем с ним не возникали, зарекомендовал себя достаточно хорошо. К чему я начал об этом писать. Дело в том, что, в частности, на ресурсе etherealmind.com не слышал в сторону CISCO ACE положительных отзывов. Или ничего не пишут, или открыто плюются. В основном жалуются на зависания, глючность IOS, нестабильность работы. Знаю что CISCO с её ACE находится далеко не впереди планеты всей. Инженеры достаточно сильно хвалят продукты от F5, отмечая при этом далеко не детские цены. С этим оборудованием не сталкивался, и вообще, в наших края это редкость, я таких не встречал.

Если у читателей появится желание знать что-либо подробнее – постараюсь помочь, или даже написать отдельную заметку.

Очень жду комментариев и мнений людей, которые работали/работают с подобным оборудованием. В действительности, на Хабре тема практически не затрагивалась.

CISCO ACE. Часть 2: балансировка удаленных серверов и приложений

Источники:
1. CISCO Documentation, cisco.com.
2. vivekganapathi.blogspot.com/2010/07/cisco-ace-4710-load-balancer.html.
3. www.packetslave.com/2010/01/24/cisco-ace-basic-http-load-balancing
4. docwiki.cisco.com/wiki/Cisco_Application_Control_Engine_(ACE)_Configuration_Examples
5. etherealmind.com/cisco-ace-load-balance-stick-source-nat-part-1
6. etherealmind.com/cisco-ace-load-balance-stick-source-nat-part-2
7. etherealmind.com/cisco-ace-load-balance-stick-source-nat-part-3
8. etherealmind.com/cisco-ace-fwsm-resource-allocation-for-virtualization
9. www.cisco.com/en/US/products/hw/modules/ps2706/products_configuration_example09186a00809c3041.shtml
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 26

    –1
    Интересная штука, было бы интересно попробовать, а от DDoS она сможет защитить?
      +3
      На этих устройствам возможно создавать ACL (L3-L7), устанавливать ограничения на количество коннектов, pps, Mbps (и т.д.) в серверную ферму, но это далеко не защита от DDoS, так как в случае атаки отфильтруеются (подрежится) как легитимный траффик, так и траффик атаки.

      В портфеле компании CISCO было (уже end-of-sale) такое аппаратное обеспечение как CISCO Anomaly Detector CISCO Anomaly Guard. Одно выполняет роль анализатора траффика и атаки (мозги), другое — средство фильтрации/защиты траффика (мускулы). Тем не менее пара этих сервисным модулей активно используется у нас в сети. Ресурсы этого оборудования позволяют отфильтровать до 3 Гбит/сек. Есть планы написать статью о возможностях и настройке этого оборудования.

      Если говорить об этом направлении (защиты от DDoS), то сейчас CISCO активно сотрудничает с Arbor Networks и рекомендует ее продукты для внедрения при построении Центров очистки траффика. Оборудование Arbor Networks качественно отличается техническими характеристиками и алгоритмами обнаружения атак.

      К слову, на днях инсталируем у себя набор из SP+TMS Peakflow от Arbor. Будем делать пилот. Потестируем — посмотрим. А если найдется свободный выходной, то еще и постараюсь рассказать от этом.
        +1
        Спасибо, будет очень интересно почитать.
      +1
      работаю в одном крупном провайдере в Европе, поставили в некоторых странах эти АСЕ, теперь постоянно мучаемся. Очень нестабильные (не нексус, конечно), хотя многие крупные клиенты их все же держат — стало быть без них хуже
        0
        Как я писал в статье, жалобы на оборудование есть, но чаще всего все заканчивается на фразе «глючноватое». А что именно происходит, с чем проблемы — детальнее не пишут. На своей памяти проблем с балансировщиками не было.
          0
          теряет маки серверов, просто отваливаются сервера, вываливаются ACE из кластера, просто перестает балансить и т.п. У нас просто очень много инсталяций, поэтому статистика накопилась
            0
            Наверное глупо спрашивать о том, производилось ли обновление версии ПО/прошивки.

            У самих используется множество сервисных модулей — FWSM, IDSM-2, Detector, GUARD и скажу что удовлетворенность — 98%. Как-то был не особо понятный момент с CISCO GUARD. Оборудование присутствует на двух тех. площадках. Однажды (сначала на первой, а потом на второй площадке) наблюдалась такая проблема: защита зоны не активировалась из-за переполнения Flash. В документации черным по белому написано, что когда заполнение флеша подходит к 80% — устройство начинает автоматически удалять старую информацию для избежания переполнения. На флеше не было ни логов, ни дампов пакетов, одним словом ничего… Вылечилось перезагрузкой сервисного модуля. Работают эти модули в таком режиме, что их downtime не приводит к недоступности сервисов для пользователей. За 2 года такое было всего 1 раз, но тогда я очень сильно удивился.
              0
              конечно обновлялось :)

              и я говорил конкретно про АСЕ, с другими сервисными модулями проблем меньше. Тем не менее, насколько я могу судить по уровню клиентов, которые используют АСЕ, видимо плюсы такого решения все же перевешивают эти баги :)

              так что я вовсе не отговаривал их использовать, но просто быть готовым к нештатным ситуациям
          0
          А нексус они что? Совсем не надежные или надежные?
            0
            первое время как появились — было много разнообразных «моментов», просто детские болезни. Аналогичная ситуация была с ASR серией маршрутизаторов.
              0
              до сих пор еще эти «моменты»… сейчас ставим нексусы в почти сотне ДЦ по всему миру, очень весело :)
            0
            Если не секрет, то скажите каким клиентам ставите такое железо и для каких целей?
              0
              Вы имеете ввиду кто пользуется услугами промышленных балансировщиков или набором железа упомянутого ранее?
                0
                Да верно.
                Я так понимаю, что основное применение — это веб-сервера. А есть ли еще какие-то применения? И кто эти компании вообще? Кто закупает подобное железо, владельцы ДЦ, провайдеры,…?
                  0
                  отвечу за своего провайдера: крупные банки, системы платежей, нагруженные веб-сайты
                    +1
                    Вообще, ACE может балансировать все что угодно, это называется generic load-balance. В таком случае запросы просто напросто балансируются между доступными серверами в серверной ферме.

                    Такой подход может вызвать проблемы при использовании, например, протокола HTTP (cookies, ssl, etc.). Поэтому, такие протоколы как HTTP, FTP, DNS, SIP, RDP, RTSP, extended RTSP, RADIUS балансировщик «поминает» очень хорошо.

                    Можно сказать, что веб-сервера — это самое популярное применение такого рода устройств. По крайней мере у нас.

                    Интересно показало себя устройство при одной DDoS атаке. При резком возрастании вредоносного и легитимного трафика (с учетом работы средств защиты), виртуальному серверу клиента не хватало остаточных ресурсов ноды (на этой ноде были и другие клиенты). Клонирование виртуальной машины клиента на дополнительные разные ноды (в т.ч. территориально разнесенные) в объединение серверов в ферму, позволило избежать простоя. (Просто вспомнилось — прошу особо не цепляться к примеру и не устраивать разбор полетов).

                    Кто эти компании? Нечего особенного, клиенты которые готовы платить за такого рода сервисы. На самом деле таких не мало. Естественно, конкретных имен Вы тут не найдете. Но как Вы догадываетесь, горизонтальное масштабирование делают очень многие растущие проекты.

                    Кто покупает такое железо? Линейка этого оборудования предназначена для инфраструктуры ДЦ. Покупают его себе ЦОД, возможно крупные провайдеры. Виртуализация устройств позволяет полностью предоставить клиенту полнофункциональный балансировщик, причем клиент не обязательно должен разместить свои сервера в данном ДЦ. Об этом планирую отдельную заметку.

                    Также, планирую рассказать как имея такого рода устройства (имеется ввиду упомянутое ранее), можно реализовать сервис защиты от DDoS-on-demand, концептуально похожий на QRATOR.
                      0
                      у меня используются предшественники CSS 11503, объединены в кластер. используются для балансировки нагрузки (разброс клиентов) по серверам для хитрого торгового приложения. Нареканий, глюков и сбоев в работе (уже года 2-3 как работают 24/7/365) не было.
                      Сейчас открываем новую точку и туда заказали как раз парочку ACE'ов. кстати с фсб очень долго бадались чтоб получить разрешение на ввоз данного оборудования (1,5 года бумажками швырялись).
                      Работаю в финансовой организации, ане в провайдере или интеграторе.
                0
                Как обстоят дела с ГОСТовой криптографией? Можно ли как-то заставить ACE терминировать ГОСТовые сертификаты?
                  0
                  Что Вы подразумеваете под «ГОСТовыми сертификатами»?

                  Если сертификаты выданные (как в Украине) Аккредитованными Центрами сертификации, то проблем нет — позволяет импортировать любые сертификаты, но нужно понимать, что в браузере будем иметь Не доверенный сертификат безопасности. Браузеры не понимают наших АЦСК.

                  Если Вы подразумевали реализацию ГОСТ 28147-89, то дела никак не обстоят. Поддерживается: AES, 3DES, DES, RC4. И мне кажется что в обозримом будущем ситуация не изменится.
                    0
                    Имелось в виду второе. Спасибо.
                  –4
                  Подтитог: циська гамно. Просто сцуко очень бесит когда нужно чонить посмотреть типа ifconfiga eth4 и приходицо набирать какие-то не то вендовые, не то ваще терминаторские, команды типа show interface и прочее. Сцуко, ну впилите туда обычный юникс. Или там не знаю, венду. Но этот ад, не понятный никому кроме кетаезных програмеров циски убивает.
                    +1
                    ой, какой толстенький ;)
                    0
                    Стабильность — то что отличает оборудование F5 от конкурентов. Приятно, что и у Cisco появилось такое решение, через годик-другой допилят все немейнстримовые функции и будет(?) альтернатива F5.
                      0
                      Инфа про стабильность — это личный опыт или предположение?
                      0
                      Скажите, а что мешает использовать программные решения? Где-то читал что nginx для этого можно использовать.
                        0
                        Если мы будем рассматривать балансировку только ВЕБ сервисов, то можно использовать и nginx в том числе, но стоить отметить что функционал CISCO ACE (лучше сказать специализированных балансировщиков) является куда богаче. Здесь и функционал определения доступности сервиса и более гибкие механизмы распределения запросов. А также глубокое инспектирование HTTP протокола (для данного примера) — об этом не стоит забывать во избежания проблем.

                        Аппаратные промышленные балансировщики, как уже упоминалось раньше, могут балансировать не только HTTP. Здесь Вы можете заметить, что nginx может работать и как mail proxy. Также, они обвешены многим другим функционалом и технологиями, о которых писалось ранее.

                        А вообще, при ответе на этот вопрос можно привести много аналогий:
                        1) нужен firewall: FreebSD+PF, Linux+iptables vs. CISCO ASA, Juniper Netscreen;
                        2) маршрутизатор с кучей протоколов: Quagga vs. CISCO/Juniper Router;
                        3) IPS/IDS: Snort vs. CISCO IPS, Juniper IDP;
                        4) и т.д. примеры можно приводить до бесконечности.

                        При выборе решения учитывается множество параметров, поэтому рассматривая одно ТЗ — nginx будет превосходить решения CISCO ACE, F5, а в другом случае — все будет наоборот.

                      Only users with full accounts can post comments. Log in, please.