Jump to content

Load balancing Direct Access


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich beschäftige mich zur Zeit mit dem Load Balancing von Direct Access (Windows 2012 R2) und der Veröffentlichung ins Internet.

So wie ich das derzeit gelesen habe, möchte ich IP-HTTPS als Technologie nutzen.

 

In meinen Gedanken würde sich das ganze in etwa so wiederspiegeln

 

Externer Client greift auf einen entry Point da.company.de zu, in der DMZ steht ein Load Balancer, welcher SSL_Bridge, oder SSL_Offload macht, dieser nimmt die Verbindung über TCP/443 an und reicht sie an den internen (LAN) Load Balancer weiter. Der interne Load Balancer stellt die virtuelle IP zur Verfügung, welche im DA Wizard im Bereich "externer Loadbalancer" konfiguriert wurde.

 

Die DA Server sind im LAN platziert und mit nur einer Netzwerkkarte/IP versehen.

 

Das Device in der DMZ könnte auch ein NAT Device sein?!

 

Ist das so korrekt, oder habe ich da etwas falsch verstanden?

Link to comment

ja, habe da auch schon einiges gefunden. Allerdings was ich dazu immer sehe, ist dass nur ein Load Balancer in der DMZ sowohl als SSL Offloader, als auch Load Balancer verwendet wird. Was ich mich dann nur frage, was ist mit der WebProbe? Soll diese dann auf die geloadbalancte IP in der DMZ zeigen? Find ich irgendwie nicht so klug.

Link to comment

Warum willst du die loadbalancer in die dmz stellen? Bringt kaum Vorteile würde ich sagen.

 

Möchte ich ja gar nicht. Nur macht KEMP das scheinbar so. 

 

Mein Vorhaben, oder Verständnis ist, dass ich einen Load Balancer im LAN vor die beiden DA setzen. Und mit einem zweiten in der DMZ eben nur das SSL_Offloading vornehme und dieser den Traffic an den internen Load Balancer weiterleite.

 

Nur leider finde ich nirgends ein Diagramm, was den Flow so auch bestätigt.

Link to comment

Das Standardverfahren bei uns besteht aus zwei haproxys im ha-cluster.

Ist es möglich den Zieldienst auch unverschlüsselt zu erreichen terminieren wir ssl am haproxy, ist das nicht möglich leiten wir nur durch.

 

Durch die Platzierung der LBs in der DMZ ist eine halbwegs saubere steuerung des Traffics zwischen DMZ und internen Netz möglich.

Man muss aber unter Umständen aufpassen: Ssl braucht Zufall. Der Loadbalancer hat nur eine begrenzte Menge an Zufall schnell zur Verfügung. Bei wirklich hochfrequentierten Diensten kann es hier eng werden.

Link to comment

Wir haben zusätzlich oft noch die Anforderung, auch bei Terminierung an/in der DMZ zu prüfen, ob eine Multifaktoroption vorhanden ist und integriert werden kann. Für DA natürlich irgendwie ziemlich unpraktisch. :) Um die Frage zu beantworten, in meinem Umfeld ist die DA Anforderung nicht so hoch, als dass ich da Loadbalancer derzeit im Einsatz hätte. Sprich da steht genau ein DA Server per SSL über die Sophos veröffentlicht. der NLS ist allerdings redundant vorhanden, denn den merkt man im Zweifel schmerzhaft im internen Umfeld, wenn er mal weg ist. :)

Bye

Norbert

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...