应用交付AD

深信服应用交付 AD 能够为用户提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。不仅实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则,将用户的访问请求分配给相应的数据中心、 链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分利用。
点击可切换产品版本
知道了
不再提醒
AD7.0.26R1
{{sendMatomoQuery("应用交付AD","创建安全资源池")}}

创建安全资源池

更新时间:2023-09-18

操作场景

为了解决加密业务流量对安全设备不可见、安全设备资源利用率低、灵活性差和替换扩容复杂度高等问题,我们需要通过构建安全资源池实现安全设备解耦和安全设备资源的均衡利用,提高业务访问质量。

操作步骤

[应用负载/安全服务链/安全资源池],在[应用负载]菜单下,点击[安全服务链],在右边安全服务链窗口中,选择[安全资源池],点击<新增>

[安全资源池]下显示的安全资源池的[名称][健康状态][描述][设备类型][调度策略][设备个数][Bypass][端口映射][连接数统计][健康检查状态][netns][操作][操作]栏中有“设备列表”按钮用于查看和编辑该安全资源池的安全设备信息、 “删除”按钮用于删除该条安全资源池配置。此处定义的[安全资源池],可用于“安全服务链”配置部分。

点击<新增>按钮,如下图所示:一般需要设置:[名称][类型][调度策略][设备列表][SNAT策略][健康检查]

类型:配置设备类型,设备类型可选的“安全设备”和“镜像设备”两种类型。其中安全设备种类可选“NGFW”、“IPS”、“IDS”、“WAF”、“AV”和“其他”六种。

调度策略:配置安全设备调度策略类型,包括[轮询][加权轮询] [加权最少连接] [加权最少流量][最快响应时间][IP哈希]

调度策略中:

轮询:表示交替返回有效的安全设备。

加权轮询:表示通过“安全设备”设置中的“权重”,按照安全设备权值的比例返回有效的安全设备。

加权最少连接:表示选择(连接数/权重)最小的安全设备。

加权最少流量:表示选择(上下行流量之和/权重)最小的安全设备。

最快响应时间:表示通过探测响应时间,返回探测时间最短的有效的安全设备。

IP哈希:根据哈希的关键字源IP,经过哈希运算得到哈希值,使不同的关键字尽可能平均调度安全资源池中各台安全设备,相同关键字的访问调度到同一台安全设备。

按优先级调度:任何调度算法都可以启用按优先级调度的策略,其中支持配置[优先级最小可用节点数],当启用该策略后,后续配置的安全设备支持配置优先级;其实现的效果是,在可用安全设备中动态计算更新安全资源池的最小优先级,然后检查可用安全设备的优先级是否匹配安全资源池的最小优先级,然后可用安全设备按照配置调度策略调度。

设备列表:配置调度的安全设备信息,包括安全设备部署模式(二层部署或者三层部署),入接口,出接口,IP地址,权重(范围1-100,仅限于选择加权轮询、加权最少连接、加权最少流量调度策略),配置后需要点击后面的<添加>按钮将安全设备添加到安全资源池里面。

Bypass安全资源池故障时,若启用Bypass则直接放通;若禁用Bypass,则针对四层虚拟服务将丢弃数据包,针对七层虚拟服务将关闭连接并返回终止信息。

端口映射:启用时,将目的端口修改为指定值;禁用时,不修改目的端口。

连接数统计:对后端节点服务器的连接统计,可统计全状态的tcp连接数,也可以只选择统计处于established状态的tcp连接。

SNAT策略:SNAT策略是指业务调度安全设备时,使用的发包源IP的相关策略,注意安全设备发包源IP不受这里的SNAT策略的影响。

[未启用] 表示业务调度安全设备时不启用SNAT策略,但是发包源IP会受系统的源地址转换的影响。

[自动SNAT] 通过路由查询,确定去往安全设备是哪一个WAN/LAN接口,使用该接口下的IP地址作为源IP发包。

[手动SNAT] 指定自定义的SNAT地址集合中的IP为源IP发包,使用SNAT地址集合时候,需要确保安全设备回包能到达AD设备,AD需要将SNAT地址集中的地址配置到网口上或者开启ARP代理,通信跨网段需要注意中间设备路由。

健康检查方法:配置对安全资源池中的安全设备进行服务状态检查,可以选择或创建需要的健康检查,可同时配置多个(0-5)健康检查对安全设备进行检查,点击左移按钮即可将选定的健康检查添加到检查列表中,即可通过选定的健康检查获取安全设备健康状态。若需要将已经选定的健康检查禁用,选定需要禁用的健康检查,点击右移按钮选定的健康检查即可,通过<新建>按钮新建的健康检查会被自动添加到健康检查列表中。安全设备的健康检查默认继承安全资源池的健康检查状态,如果在安全设备中单独配置健康检查,安全设备的健康检查结果优先。

安全设备有效条件:配置安全设备通过健康检查的有效条件,可选[至少][全部]。选择[至少]时,需要配置至少通过的个数N,健康检查中只要有N个检查通过,则该安全设备有效;选择[全部]时,需要全部健康检查均通过,安全设备才有效。