Во-первых, предыстория проблемы: у меня есть Cisco CSS11501, который я использую для балансировки нагрузки нескольких веб-серверов. Эти веб-серверы имеют два сетевых интерфейса, один внутренний и один внешний, и мы отправляем запросы на внутренний интерфейс.
У нас есть CSS, настроенный для NAT, потому что наши веб-серверы должны видеть IP-адрес клиента.
Поскольку TCP-пакеты попадают на веб-серверы с адресом источника в Интернете, веб-сервер пытается отправить пакет обратно клиенту через внешний интерфейс, а не через балансировщик нагрузки. Чтобы эти запросы не отправлялись обратно в Интернет через внешний интерфейс, мы добавили правило маршрутизации в эти блоки, чтобы весь трафик с исходным адресом в Интернете использовал балансировщик нагрузки в качестве шлюза. Эта часть работает нормально.
Я также хотел бы использовать CSS в качестве балансировщика нагрузки для внутренних служб, таких как наши ведомые устройства MySQL.
Когда я это делаю, я сталкиваюсь с аналогичной проблемой; TCP-соединение идет от веб-сервера к балансировщику нагрузки, а затем от балансировщика нагрузки к ведомому устройству MySQL, но CSS подделывает исходный адрес исходного веб-сервера. Затем ведомое устройство MySQL пытается отправить ответ непосредственно на веб-сервер через внутреннюю сеть, а не через балансировщик нагрузки.
Идеальным решением было бы указать CSS не выполнять спуфинг адреса источника во внутренней сети и делать это только для запросов, исходящих из Интернета. Это возможно ?
Если это не удается, есть ли способ направить трафик с балансировкой нагрузки обратно через балансировщик нагрузки, сохраняя при этом другой трафик (скажем, SSH) исключительно во внутренней сети?
Есть ли другой способ использования CSS11501 для балансировки нагрузки внутренних служб?
CSS подделывает исходный адрес исходного веб-сервера. Затем ведомое устройство MySQL пытается отправить ответ непосредственно на веб-сервер через внутреннюю сеть, а не через балансировщик нагрузки.
Я не понимаю, если CSS подменяет исходный IP-адрес, ваш mysql должен видеть CSS IP как источник и поэтому отвечать на CSS, а не на веб-сервер, если IP-адрес подделан ...
Во всяком случае, взгляните на групповая команда, это позволяет скрыть адрес источника запроса другим адресом для одной или нескольких служб.
Я думаю, это именно то, что вам нужно для балансировки нагрузки mysql