Por que devemos comprar um balanceador de carga dedicado quando o firewall pode fazer isso?

Navegue suas respostas
3

Eu tenho dois servidores, vamos chamá-los de 'node1' e 'node2' instalados em um data center. Eles correm nosso software aplicativo. Eles são intercambiáveis e cada um tem uma cópia completa dos bancos de dados de todos os clientes. Queremos que os clientes consigam fazer login em um único endereço IP e que as conexões entrem no node1 se estiver ativo, caso contrário, node2. (O failover automático é mais uma preocupação para nós do que o balanceamento de carga, embora no futuro possamos configurar o balanceamento de carga também).

Nossos requisitos são muito simples: podemos fornecer uma URL para usar como verificação de integridade e, se estiver respondendo em 'node1', todo o tráfego deve ir para lá, de preferência para 'node2'.

O data center nos quer pagar US $ 3.000 por um appliance de balanceamento de carga dedicado. Mas eles também dizem que seu firewall tem a capacidade de fazer esse failover automático _in_theory_, embora eles nunca tenham usado esse recurso. Eu não entendo porque uma tarefa tão simples precisa de hardware dedicado ou mesmo de um servidor virtual. Por que nenhuma empresa pequena prefere fazer o balanceamento de carga no firewall? É menos custo, menos lúpulo, menos complexidade ...? O que é que eu não sei sobre o LTM (gerenciamento de tráfego local)?

    
por Tim Cooper 11.11.2015 / 01:24

2 respostas

3

Não há motivo para um balanceador de carga dedicado se o firewall puder ser configurado para executar essa tarefa básica. O que você está enfrentando é a experiência do serviço de hospedagem. Eles fazem isso de maneira X, porque esse é o uso mais eficiente de seus recursos. Eles talvez não tenham o conhecimento, como declarado, eles definitivamente não têm a experiência de configurá-lo e, mais importante, apoiá-lo economicamente. Apenas para comparação, considere que um AWS ELS, saldos, exames de saúde e tráfego de rotas para 19 dólares por mês. O que ele também faz é descompactar completamente o SSL para você. Você não precisa se preocupar com SSL em todos os seus servidores de aplicativos.

(Pessoalmente, se você tem dois servidores, eu usaria balanceamento de carga entre eles de qualquer maneira).

    
por 17.11.2015 / 09:26
1

Não acredito que o firewall forneça o failover que você descreve, apesar do que você descreveu. Geralmente, os firewalls só olham para o tráfego e decidem se devem passar ou não. Eles são destinados a analisar lotes de tráfego rapidamente (bilhões de quadros Ethernet por segundo) e provavelmente não vão passar dos cabeçalhos TCP / UDP. Se o firewall oferecer failover, provavelmente ele será mais primitivo e só verificará se um endereço MAC ou IP está acessível. talvez se uma porta TCP estiver aberta.

É claro que, se o firewall fizer o que você descreveu, ele não é um firewall puro e pode ter implicações de desempenho. Faz NAT ou atua como um gateway de roteamento também, ou é apenas uma ponte? Você não mencionou o desempenho, então, se isso não é da sua conta e seu firewall pode fazer failover, é claro, por que gastar US $ 3.000 quando suas necessidades são atendidas gratuitamente?

Se você achar que esse firewall não faz failover como você deseja, você pode considerar a introdução de um gateway ou bridge que pode, mas você precisará pagar por outra máquina para isso. (Se você precisar de desempenho, gaste os US $ 3.000 no balanceador de carga dedicado.) Você poderia introduzir uma máquina com haproxy, como JayMcTee sugeriu nos comentários. Mas e se esta máquina adicional falhar? O firewall já é um ponto único de falha, você realmente quer introduzir outro? Um failover baseado em DNS como o Route 53 (novamente sugerido pelo JayMcTee) ajudaria a eliminar um ponto único de falha adicional, mas haveria um atraso [configurável] no failover.

Precisam realmente de mais informações sobre suas necessidades para fazer a escolha certa.

    
por 17.11.2015 / 03:03

Tags

Como usar Vamos criptografar com hospedagem virtual em massa configurada dinamicamente Redirecionar o proxy reverso do Squid / reescrever HTTP para HTTPS