Eu fiz praticamente o mesmo usando vyatta.
Eu fiz o mesmo também usando o pfsense - no entanto, o vyatta pode ser um pouco mais maduro por razões de suporte.
O custo é muito baixo em comparação com as outras opções ... pm me para detalhes
Recentemente, tenho procurado obter alguns novos balanceadores de carga para o nosso ambiente, pois esperamos dobrar nossa base de clientes nos próximos 12 meses.
Atualmente, temos 400 IPS públicos atendendo a 800 clusters (2 clusters / IP devido a portas) em balanceadores de ponto Coyote e distribuindo conexões a 3 servidores da Web que atendem a 6 GBytes de saída, 2 Gbytes por dia. Se dobrarmos, isso seria cerca de 800 IPs, possivelmente 1600 clusters e cerca de 6 servidores por cluster (para um total de 9600 chamados "servidores reais" usando o jargão do Barracuda).
Devido à quantidade de clusters, a maioria das soluções que eu consultei (Coyote, Barracuda, Loadbalancer.org) parece não ter certeza se eles serão capazes de lidar com o crescimento planejado, principalmente devido a verificações de integridade realizadas no site. servidores ... o que faz sentido quando você pensa nisso.
Por isso, o pessoal do loadbalancer.org recomendou que pudéssemos estar em melhores condições de descarregar os 400-800 IPs públicos, que exigimos para as soluções de eCommerce SSL, para um roteador voltado para frente. Daquele ponto em diante, o roteador poderia fazer alguma confusão para rotear EXT_IP: 443 para INT_IP: INT_PORT, o que nos permitiria reduzir a configuração do Load Balancer para 1 ou 2 clusters, resolvendo assim o problema de verificação de integridade.
Esta ideia faz sentido para você? Ou você teria outras recomendações para fazer?
Em segundo lugar, qual roteador você recomendaria para esse empreendimento? Eu estaria olhando para algo que tem alguma forma de mecanismo de failover embutido.
Em uma nota totalmente não relacionada, eu tenho que admitir que estou extremamente satisfeito com as respostas que recebi do loadbalancer.org. Suas respostas às minhas perguntas foram surpreendentemente úteis (ou seja, eu não me sentia como se estivesse levando para um vendedor tentando empurrar alguma coisa). (Não, eu não trabalho para eles, e infelizmente nem eles estão me enviando equipamento gratuito).
Eu sugeriria o ServerIron da Cisco ACE / ASA, o Foundry (agora Brocade) e o Zeus ZXTMs (que são caros, mas malditos rápidos e capazes.
Todos eles podem fazer o que você precisa, mas nenhum é gratuito.
Eu tenho uma configuração um pouco semelhante, na qual tenho a maioria de um bloco / 22 de IPs definidos em uma caixa F5 BigIP, com um mapeamento um-para-um de ip externo para um número de porta interno em cada um dos meus máquinas backend.
No meu caso, todas as portas faziam parte da mesma instância do Apache - defini as verificações de integridade apenas para a porta base. Se não estivesse em cima, nenhum dos outros seria, por isso iria falhar todo o nó de back-end fora da rotação.
Você poderia usar um roteador front-end como descreve para fazer esse trabalho NAT, mas ainda precisaria definir clusters para cada host intermediário: combinação de portas - com o estado atual do suporte a SNI em clientes, ao fazer SSL você precisa de um certificado mapeado para uma porta. Normalmente, a porta é 443, então você faz IP por site, mas com a camada intermediária de roteador / LB, você pode mover livremente as portas, você ainda precisa ter várias centenas delas.
Usamos o Vyatta (como um roteador BGP) e o pfSense (firewall / NAT / VPN) e iniciamos na próxima semana dispositivos loadbalancer.org (balanceamento de carga). : -)
O problema não é aqui que você precisa de um sistema altamente disponível com failover para milhares de IPs e certificados SSL? Vyatta e pfSense (etc) apenas farão o encaminhamento de porta, mas você também precisa do SSL "transporte" aplicado - não? Se Coyote / Loadbalancer.org / etc não pode fazer isso, você pode precisar gastar muito dinheiro para um dos fornecedores mais caros (supondo que eles possam ...) ou (melhor?) "Construir o seu próprio". / p>
Use o keepalived para mover os IPs para frente e para trás entre um pequeno número de caixas e, por exemplo, tenha o nginx funcionando como um proxy SSL encaminhando as solicitações de volta ao seu balanceador de carga (em qualquer porta apropriada). Ele pode até definir / impor certos cabeçalhos, então talvez sua configuração do balanceador de carga seja realmente simples e você só precisa verificar esses cabeçalhos no seu back-end.
Tags hardware networking hosting router