如果我的基础架构中有一个带有下游 ECS 目标组的 ALB,SSL/TLS 是否总是在 ALB 处终止?
如果是这样,我唯一的选择是 ELB/NLB 来保留 SSL/TLS 上下文吗?
在我的 VPC 中,我有 2 个 CIDR 块,一个只能有非常有限数量的 IP,所以一个非常小的 CIDR 块也具有路由规则,能够通过 DX 与 CORP 网络通信。如果我要创建另一个更大的不同 IP 的 CIDR 块,我可以通过较小的子网将流量路由到 DX 上的 CORP 网络上的服务器吗?
我有一个托管在 VM server2012r2 上的应用程序。此应用程序有一个运行 .NET 5 (Kestrel) 的 Web 部件。可通过http://<serverip>:808或访问 Webpart https://<serverip>:4434。
我已经设置了第二个 VM,即服务器 2019。该应用程序也安装在那里(.NET 5,Kestrel),也可以通过端口 http:808 或 https:4434 在服务器上访问 webpart。
该应用程序的配置方式使其指向同一个数据库等......
所以基本上它是两个应用程序一起工作,但都可以通过自己的门户访问。
我唯一的问题是有两个指向相同的门户:
http://<server2012>:808和 http://:808`
(或者对于端口 4434 的 https 相同)。
我的想法是启用 Microsoft 网络负载平衡器,以便
(A)最终用户只需访问http://<something>:808或https://<something>:4434代替记住两个门户 IP 之一;
(B)流量在两者之间进行负载平衡(如果一个不可访问,它会转到可用的一个(我不确定 nlb 是否能够做到这一点?))。
我遵循了一个教程,因为这是我第一次使用 microsoft nlb。https://www.serverlab.ca/tutorials/windows/web-servers/load-balancing-web-servers-with-windows-server-2012-r2/
我面临的问题是,当我使用参数、IP 地址(192.168.0.88)和完整的互联网名称(nlbtest.com)创建一个新集群并为集群 IP 192.168.0.88 添加一个从 808 到 808 的 TCP 端口时我无法再通过远程桌面访问我的服务器。
服务器 2012r2(VM 1 NIC):192.168.0.90在http://192.168.0.90:808 或https://192.168.0.90:4434
上运行 kestrel Web 应用程序
服务器 2019(VM 1 NIC):192.168.0.91在http://192.168.0.91:808或https://192.168.0.91:4434
上运行 kestrel Web 应用程序
群集 IP:192.168.0.88 用于 TCP 端口 808
当我通过 microsoft nlb 在 server2012r2 上配置它时,我不再有任何连接。我只能在主机上使用 hyper-v 管理器来访问虚拟机,而在虚拟机中我无法再 ping 或上网。
我在做什么明显错了?
架构:客户端<-- TLS --> AWS 网络负载均衡器端口:443 <-- TLS -->后端服务器端口:443
在上述架构中,TLS 在网络负载平衡器 (NLB) 处终止。
- 是否可以在不解密数据包的情况下终止 TLS?
- 如果 TLS 在 NLB 上终止,AWS NLB 和后端服务器之间是否有新的握手?
请注意,后端服务器有自己的 SSL 证书,与 NLB 上的证书不同。
我有一个开发 Web 服务器环境,由 2 个配置有 NLB(多播模式)的 Windows 2012 VM 组成。它们每个都使用一个分配有 2 个 IP 的网络适配器:共享 NLB IP 和它们的非共享单独 IP。我们的使用模式是在其中一个 VM 处于活动 NLB 池之外时运行构建和部署。构建完成后,将新更新的服务器添加回池中,并删除另一台。这样我们就可以保持恒定的正常运行时间。
我的问题是,在 2 台服务器中的 1 台上,IIS 不允许通过 NLB 从我们网络外部的 IP 地址进行连接。因此,如果该服务器是 NLB 池中唯一活动的服务器,则内部 PC 可以连接,但我们网络外部的主机无法连接。他们得到一个超时。我可以看到使用 Wireshark 的 TCP SYN,并且没有任何 ACK 被发回。如果我将 NLB 配置翻转到另一台服务器,它允许内部和外部 IP 连接。我从我控制的外部主机验证了这一点:我尝试了使用 NLB IP 的 HTTP 请求并得到了相同的结果。
我检查过的事情:
- 据我所知,两台服务器上的 NLB 和 IIS 配置/绑定是相同的。
- IIS 中没有 IP 过滤规则。
- Windows 防火墙已关闭。
- 我尝试切换到单播 NLB 模式,但这破坏了一切。
- 我尝试将 NLB 主机优先级更改为 4 和 3 而不是 1 和 2,但没有效果。
- 我还通过在端口 80 上通过 IP 地址的简单请求来重现问题,从而从等式中消除了主机标头和 SSL。
如何解决 IIS 未从外部 IP 确认 SYN 的问题?它可以记录这种事情吗?
如果我无法解决为什么 IIS 不允许服务器 2 上的连接,我唯一的办法就是从头开始重建整个 VM 并重试...
我对此进行了一些澄清,但只找到了有关耗尽会话主机的信息。
我需要对我们的 2012 R2 网关服务器 VM 进行一些修改,但由于我们的业务性质,网关服务器在一天中的大部分时间都在使用。
我的计划是通过 Microsoft NLB 将其中一台网关服务器置于 drainstop 模式,但担心当前连接的用户在活动连接刷新时可能会看到一些断开连接。
任何人都可以确认,如果我将服务器引入 drainstop 模式,当前连接将保持不受影响,直到用户与他们的端断开连接?
在 vSphere 上为三个虚拟服务器设置 NLB 时遇到问题。每台服务器都运行 Windows Server 2012,并具有一个静态 IP 地址。其中一台服务器具有第二个 NIC,该 NIC 具有面向外部的 IP 地址。Windows NLB 安装在每台服务器上。
我在 DNS 中添加了集群的 IP 地址作为 A 记录。它映射到我们组成的集群名称。每个服务器都有一个 A 记录,将服务器名称映射到其静态 IP 地址。
在NLB Manager中创建新集群时,第一台服务器添加顺利,我可以连接到集群IP和服务器。将第二台服务器添加到集群后,我们无法再 ping 集群 IP 或服务器 IP 地址。我们也无法使用远程桌面连接到任一服务器,直到 VM 管理员进入并从 NIC 的高级属性中删除集群 IP 地址。
我在设置集群时尝试了单播和多播,并且我也一直等到第一台服务器完全融合后再添加第二台。这些服务器与我的桌面位于不同的子网上,但是从服务器本身 ping 时我得到了相同的结果。
NLB 集群中的一台服务器工作正常,但两台或多台服务器似乎会导致 IP 冲突。
谁能告诉我我做错了什么?
我有一个第三方现成的 Windows 应用程序需要连接到安装在另一台服务器上的 Web 服务(IP 地址或 URL)(实际上在 Windows 7 Professional 上运行)。
我的用户希望我实施故障转移解决方案,如果主 Web 服务器无法响应,第 3 方应用程序将自动连接到备用服务器。
有没有办法在不实施集群(硬件或 Windows NLB)的情况下实现这一点?
更新:请注意——我不希望在服务器端实现负载平衡器。
我有一个封闭的代码应用程序,需要连接到需要在 XP 或 Windows 7(桌面)上运行的 Web 服务。应用程序只能连接到一个 IP 地址。该应用程序的容量很小——每天少于 1000 个 HTTP GET。
系统流程为:客户端应用-->HTTP-->Web服务
我能做什么: 1. 在客户端机器上安装软件。2. 在Web 服务机器上安装软件。3.安装网络小工具。
为了提供某种形式的高可用性,我希望将负载分布在 2 台物理机上,以防其中 1 台发生故障。
我知道有软件/硬件负载均衡器和开源 Linux 解决方案,但整个解决方案的硬件预算只有 3000 美元,因此硬件负载均衡器的成本不得超过 1500 美元(为 2 台 PC 留下 1.5 美元), Windows 服务器 (NLB) 和虚拟机可能已经过时了。我们不能使用 Linux,因为也没有用于 Linux 专业知识的预算。也有 DNS 解决方案,但我不喜欢使用它们,因为它们很复杂而且我怀疑不太可靠。
最近,我还探索了构建包过滤应用程序的可能性,例如 WinpkFilter ( http://www.ntkernel.com/w&p.php?id=7 ) 从客户端计算机捕获 IP 数据包并自动分发2台服务器。这可能是最后的手段,因为我不想重新发明轮子。
一段时间以来,我一直在寻找解决方案,但市场上似乎没有任何解决方案。将不胜感激任何指针。谢谢你。:)
更新:
Linux NLB 已过时,但除了 Windows NLB 之外,我还可以使用基于 Windows 的解决方案。
我们最近为一对 Dell PowerConnect 6248 堆栈更换了 Cisco 6500 核心交换机。从那时起,我们在 ESX 集群上的两台虚拟机上运行的网络负载平衡共享点一直表现不佳。症状是打开和保存存储在 sharepoint 中的文档需要很长时间。Sharepoint 服务器或 SQL 服务器上没有显示任何错误,只是很多恼火的用户。最初我认为 NLB 不可能导致这种情况,但是一旦我们将 Intranet 的 DNS 记录重新指向其中一个 Web 前端的 IP 地址,问题就消失了。
我们怀疑戴尔配置中存在与多播相关的问题 - NLB 配置为多播,但不是 IGMP。
有没有人对我们进行了类似的设置并解决了此类问题?VMware ESX 上的 Sharepoint,带有 Dell PowerConnect 交换机。