Особенности реализации

Обработчик во всех зонах доступностиОбработчик во всех зонах доступности

IP-адрес обработчика трафика балансировщика анонсируется во внешний мир как префикс /32 из всех зон доступности Yandex Cloud. Если одна из зон доступности выйдет из строя, сетевое оборудование перенаправит входящий трафик на IP-адрес обработчика в другие работающие зоны доступности.

Примеры использованияПримеры использования

• Обновление группы виртуальных машин под нагрузкой
• Архитектура и защита базового интернет-сервиса
• Развертывание Microsoft Exchange
• Развертывание группы доступности Always On с внутренним сетевым балансировщиком

Потоки трафикаПотоки трафика

Алгоритм работы внешнего (EXTERNAL) балансировщика:

1. Обработчик принимает от граничного маршрутизатора Yandex Cloud трафик для IP-адреса и порта, на которые он настроен.
2. Обработчик вычисляет 5-tuple хеш-функцию от параметров принятого IP-пакета, в которую передаются:
   • Протокол передачи информации (TCP или UDP).
   • Публичный IP-адрес отправителя.
   • Порт отправителя (TCP или UDP).
   • Публичный IP-адрес обработчика трафика балансировщика.
   • Порт обработчика трафика балансировщика (TCP или UDP).
3. Обработчик направляет трафик на один из работающих ресурсов в целевой группе на основе результата вычисления хеш-функции.
4. Ресурс в целевой группе обрабатывает полученный трафик и отправляет результат обратно сетевому балансировщику.

Ниже на схеме представлен пример работы внешнего клиентского приложения с веб-сервисом в Yandex Cloud.

Путь трафика от клиентского приложения к веб-сервису:

1. Трафик от клиентского приложения 1.2.3.4:30325 (номер сокета/порта может быть любой) в виде последовательности IP-пакетов отправляется к балансировщику и обработчик трафика 158.160.0.x:443 получает его.
2. Обработчик вычисляет хеш-функцию с адресацией по принципу 5-tuple от параметров принятого IP-пакета и направляет трафик к ВМ vm-a1 в целевой группе. При этом в виртуальной сети сохраняется информация о том, что трафик на обработчик 158.160.0.x:443 был отправлен к ресурсу 10.0.1.1:8443.
3. ВМ vm-a1 обрабатывает полученный запрос и отправляет ответ обратно в сторону клиентского приложения, используя свой IP-адрес 10.0.1.1.
4. Виртуальная сеть уже знает (см. п.2), что ранее трафик от клиентского приложения был принят обработчиком балансировщика и отправлен на обработку к ВМ vm-a1. Эта информация даёт возможность виртуальной сети поменять адрес и порт отправителя (сделать Source NAT) для всех пакетов от 10.0.1.1:8443 к 158.160.0.x:443. Далее трафик отправляется к адресу назначения согласно политикам маршрутизации и доходит до клиентского приложения.
5. Трафик отправляется к адресу назначения согласно политикам маршрутизации и доходит до клиентского приложения.

Обработка UDP-трафикаОбработка UDP-трафика

Обработка UDP-трафика для сетевого балансировщика по умолчанию выключена из-за невозможности обеспечить консистентное распределение UDP-пакетов с одинаковой хеш-функцией 5-tuple на один и тот же ресурс в целевой группе. Однако, сетевой балансировщик может использоваться, например, для обработки трафика протокола DNS, не требующего сохранения состояния соединения.

Чтобы включить обработку UDP-трафика на сетевом балансировщике, обратитесь в техническую поддержку.

Примеры использованияПримеры использования

• Интеграция Cloud DNS и корпоративного сервиса DNS
• Архитектура и защита базового интернет-сервиса

Локальность при обработке трафика внутренним балансировщикомЛокальность при обработке трафика внутренним балансировщиком

Если клиент, находящийся внутри VPC, отправляет трафик на внутренний сетевой балансировщик, то обработчик будет распределять этот трафик только по ресурсам в целевых группах, которые находятся в той же зоне доступности, что и клиент.

Если в зоне доступности, в которой находится клиент, нет работающих целевых ресурсов, трафик будет равномерно распределяться по целевым ресурсам в других зонах.

Примеры использованияПримеры использования

• Реализация отказоустойчивых сценариев для сетевых виртуальных машин
• Подключение к Object Storage из Virtual Private Cloud
• Подключение к Container Registry из Virtual Private Cloud
• Реализация отказоустойчивых сценариев для сетевых виртуальных машин
• Развертывание группы доступности Always On с внутренним сетевым балансировщиком

Сходимость маршрутизации в зоне доступностиСходимость маршрутизации в зоне доступности

Если последний целевой ресурс в зоне доступности отключен (или проверка его состояния завершена неудачно), эта зона исключается из маршрутизации трафика через балансировщик. Процесс сходимости протоколов маршрутизации при этом может занимать до 2 минут. В течение этого интервала сходимости трафик, поступающий на данный целевой ресурс, будет отбрасываться.

Если первый целевой ресурс в зоне доступности становится доступен после успешной проверки его состояния, фактический возврат ресурса к обработке трафика произойдет также спустя интервал сходимости, необходимый для анонсирования префикса ресурса из данной зоны доступности.

Сетевой балансировщик и Cloud InterconnectСетевой балансировщик и Cloud Interconnect

При использовании внутреннего сетевого балансировщика допускается взаимодействие между IP-адресом обработчика балансировщика и ресурсами на удаленной площадке (On-Prem).

Нельзя использовать ресурсы из On-Prem в составе групп балансировщика, поскольку сетевой балансировщик и ресурсы в целевых группах за ним должны быть в одной сети.

Примеры использованияПримеры использования

• Организация доступа через Cloud Interconnect к облачным сетям, размещенным за NGFW

Маршрутизация трафика через внутренний балансировщикМаршрутизация трафика через внутренний балансировщик

Внутренний сетевой балансировщик использует маршруты всех подсетей в выбранной сети Virtual Private Cloud. К ним относятся динамические маршруты из Cloud Interconnect и статические маршруты из таблиц маршрутизации VPC.

Если в таблице маршрутизации у нескольких маршрутов будет одинаковый префикс назначения, но разные next hop адреса, то исходящий трафик от целевых ресурсов балансировщика будет распределяться по этим next hop адресам. Учитывайте эту особенность, когда к балансировщику приходит трафик через сетевые ВМ (например, межсетевые экраны), которые могут отслеживать входящие и исходящие потоки трафика и не допускают ассиметрии при его передаче.

Если трафик к балансировщику не проходил через сетевую ВМ, она может отбросить ответный трафик от целевых ресурсов. Чтобы избежать потерь трафика, настройте маршрутизацию в зависимости от вашего случая:

• таблицы маршрутизации имеют статические маршруты с одинаковыми префиксами;
• на сетевых ВМ настроен Source NAT.

Вариант, в котором таблицы маршрутизации имеют статические маршруты с одинаковыми префиксами и разными next hop адресами сетевых ВМ, не поддерживается.

Примеры использованияПримеры использования

• Развертывание группы доступности Always On с внутренним сетевым балансировщиком

Таблицы маршрутизации имеют статические маршруты с одинаковыми префиксамиТаблицы маршрутизации имеют статические маршруты с одинаковыми префиксами

У маршрутов должен быть next hop адрес одной из сетевых ВМ. Сетевые ВМ работают в режиме Active/Standby. Для обеспечения отказоустойчивости исходящего трафика настройте переадресацию трафика, например с помощью route-switcher.

Примеры использованияПримеры использования

• Архитектура и защита базового интернет-сервиса

На сетевых ВМ настроен Source NATНа сетевых ВМ настроен Source NAT

На ВМ необходимо настроить трансляцию Source NAT в адреса сетевых ВМ. Сетевые ВМ работают в режиме Active/Active. Для настройки Source NAT обратитесь к документации ПО, развернутого на сетевой ВМ. Посмотрите пример настройки Source NAT на Check Point NGFW.

Таблицы маршрутизации имеют статические маршруты с одинаковыми префиксами и разными next hop адресами сетевых ВМТаблицы маршрутизации имеют статические маршруты с одинаковыми префиксами и разными next hop адресами сетевых ВМ