上期回顾
上一期的专栏中讲到,我们为客户设计了一套适应全球业务发展的高扩展性IT架构,但客户给到的最终预算与初步沟通时存在很大出入。面临预算缩水,我们及时对方案做出了相应调整,在本期专栏中将与大家分享缩水后的方案调整。
我们在项目整体硬件资源配置评估完成并确认资源清单后发现,客户在采购前没有考虑到相关功能授权成本(相关license采购)。
这导致方案被迫打折,就需要思科采用双物理防火墙,不同outside对外提供服务的方式部署。在这种情况下,若是没有几年售后的技术支持与心得总结很难应对自如。恰巧,这也是我的优势所在。随后,我作为技术交付的负责人,进行了详细技术细节的讨论。
图解
红色直线为此次项目中,正常流量的访问路径走向
绿色直线为此次项目中,故障出现failover后的访问路径走向
柯
南
一
闪
这里的firewall网络边界上联故障后(被DDoS攻击、网线物理介质损坏、硬件故障),虽然软件商承诺业务故障切换可在程序上实现,即:程序上就有主备的概念,同时结合“心跳”的检测机制,可完成用户会话级的灾备。客户重新login或顿卡一下,甚至可以达到无感知。
所以当时考虑利用思科一个非常成熟的技术,应对此次方案中网络层面的检测和切换问题——思科IOS IP SLA和 Track相结合。
解决客户当前问题
两大关键
我们利用主链路路径出局,检测备用outside的接口IP,相当于实现了HA中检测端口up/down,因为无论接口donw还是接口协议down了,icmp就探测不到了。
上面通过在优先级低路由后面挂Track联动IP SLA检测,可以实现非直连链路的检测和切换,这样就成功的化解了此次技术的挑战。这项技术在很多场景中是用BFD实现非直连检测业务可用性的。
不过这里要客观做下说明,网络节点高可用部署并非像上面介绍的技术案例,而是高可用实现的不仅仅是硬件故障的保护,还有会话级别状态的同步和容灾,HA在整个拓扑设计上,在上层是一个整体,并非两台独立的物理形式存在。
所以,在遇到类似的案例时,切记,如果核心交换机与防火墙对接不是浮动静态,而是等价路由路径,就会出现如下问题:
服务器向上的流量,就会被均分到上联两台防火墙上,(交换机不维持会话,且防火墙并没有部署HA,RTO没有会话保存),所以路由层面的等价后,这样就会导致,TCP三次握手出现问题,当流量恰好走到备用防火墙后,该防火墙一定会做Drop的action处理,因为它就没有会话,怎么会得到一个ACK+1的会话呢!!!虽然在客户使用的程序上做了主备访问的路径处理,但是GW-交换机它才不管你的报文里面的内容,所以大家还是要注意下,这样类似源进源出的问题。
简单的技术,灵活用,这才是工程师存在的意义,切勿天天喊大二层VPLS、MPLS、各种高端技术,真正能落地且易维护平滑扩展的方案才是好方案!!!所谓越平常的白菜,要做的好吃,就更需要十层内功来“烹制”好它。
我的初心一直是这样,尝试着真诚地描述自己遇到的问题和解决经历。
——来自一个正在安畅努力的工程师
本文已获作者授权,未经允许不得转载。
企业上云实录
长按指纹
关注安畅
