Установка виртуального Kemp LoadMaster VLM

Установка виртуального Kemp LoadMaster VLM

kemp logo

Добрый день! Уважаемые читатели и гости одного из крупнейших блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами научились диагностировать и устранять причину Purple Screen of Death (Пурпурного экрана смерти), это кто не помнит аналог синих экранов Windows. В сегодняшней публикации мы познакомимся с одним из топовых балансировщиков web-приложений Kemp LoadMaster. Мы разберем, как его развернуть на нужном вам гипервизоре, обсудим преимущество данной реализации.

Что такое Kemp LoadMaster?

Kemp Virtual LoadMaster - это полнофункциональный балансировщик нагрузки и контроллер доставки приложений (ADC), который поддерживает все основные рабочие нагрузки приложений с помощью простых в использовании шаблонов. Он предлагает ключевые функции:

  • Балансировка нагрузки L4/7 для всех TCP/UDP
  • Мониторинг состояния сервера и приложений
  • Ускорение шифрования с поддержкой FIPS 140-2
  • Кэширование, сжатие, мультиплексирование TCP, разгрузка SSL
  • Работает с большинством гипервизоров и облачных платформ IaaS
  • Full Rest API, автоматизация включена
  • Авторизация, аутентификация и единый вход - Пакет Kemp Edge Security Pack (ESP) упрощает безопасную публикацию приложений благодаря предварительной аутентификации клиента и единому входу в систему (SSO). Интеграция с Active Directory, SAML, маршрутизация трафика на основе групп безопасности, аутентификация RADIUS, настраиваемые формы FBA и многофакторная аутентификация (MFA) поддерживают полную стратегию Identity Access Management (IAM).
  • Брандмауэр веб-приложений и IPS - с ежедневными обновлениями угроз - Обеспечивает безопасное развертывание веб-приложений, предотвращая атаки на 7  уровне и поддерживает службы балансировки нагрузки ядра. WAF Kemp напрямую дополняет существующие функции безопасности LoadMaster, создавая многоуровневую защиту для веб-приложений, обеспечивая безопасное, совместимое и продуктивное использование опубликованных сервисов.
  • GSLB - Глобальное управление трафиком
  • Центральное управление, обеспечение и анализ производительности
  • Мониторинг, отчетность и проактивное восстановление с поддержкой AI
  • Глобальные службы DNS и управления трафиком - Даже когда основной сайт не работает, трафик перенаправляется на сайт аварийного восстановления. Клиенты могут подключаться к своим самым быстродействующим или географически ближайшим дата-центрам.

Где применяют виртуальный балансировщик Kemp

Виртуальный балансировщик чаще всего используют при таких сценариях:

    1. Балансировать доступ к гипервизорам Vmware ESXi, Hyper-V, Xen
    2. Веб приложения, например Share Point
    3. Различные почтовые сервисы, MS Exchange, Zimbra и другие
    4. VDI и RDS фермы
    5. Различные сайты на популярных web-движках IIS, Apache, Nginx

Где применяют виртуальный балансировщик Kemp

Как скачать образ Kemp LoadMaster VLM

Первое, что вы должны сделать, это зарегистрироваться на официальном сайте:

https://kemptechnologies.com/

В процессе регистрации, ваш логин (почта) будет выступать в роли Kemp-ID. Обратите внимание, что нужно указывать действующую почту, так как туда придет подтверждение.

регистрация на kemp

В полученном письме, вам необходимо нажать на кнопку "Confirm your KEMP ID"

подтверждение регистрации на kemp

Теперь переходим непосредственно к скачиванию виртуальной машины под нужный вам гипервизор. Перейдите по ссылке:

https://kemptechnologies.com/vlm-download-hypervisor/

Тут вы выбираете версию, основываясь на требованиях к своему гипервизору, в моем примере это VMware ESXI 6.5 и скачивается он в формате OVF.

выбор версии гипервизора для vlm kemp

Далее указываем из какой вы страны и принимаем лицензионное соглашение.

лицензионное соглашение vlm kemp

В результате этих действий у вас будет загружен файл размеров 110 мб. Обратите внимание, что это архив и его нужно распаковать.

OVF файл с Kemp LoadMaster

Как запросить расширенную лицензию на 90 дней

На дворе карантин и многие компании предложили в это непростое время свои продукты бесплатно на некий период. 16 апреля 2020 компания Kemp, лидер в области поддержки постоянно работающих приложений [AX], сегодня выпустила полностью бесплатную и полностью поддерживаемую версию своего виртуального балансировщика нагрузки неограниченной емкости90-дневный бесплатный Virtual LoadMaster MAX (VLM-MAX) доступен в течение ограниченного времени, чтобы помочь ИТ-организациям преодолеть текущие проблемы, обеспечивая высоконадежный и бесперебойный доступ к цифровой инфраструктуре и приложениям.

Kemp VLM-MAX 90 - это первый и единственный бесплатный виртуальный балансировщик нагрузки/контроллер доставки приложений (ADC), который обеспечивает неограниченную пропускную способность, неограниченное количество зашифрованных сеансов и неограниченное количество развертываний с круглосуточной поддержкой, поддержкой развертывания и миграцией. Виртуальный балансировщик нагрузки VLM-MAX может быть развернут на любом распространенном гипервизоре, а также в облачных средах Amazon Web Services (AWS) и Microsoft Azure. Продукт будет поддерживать все ресурсы vCPU, vNIC, памяти и виртуального диска, выделенные виртуальной машине хоста (VM) для масштабирования по требованию.

«Это беспрецедентные времена, чтобы идти в ногу с требованиями, предъявляемыми к цифровой инфраструктуре», - сказал Питер Мелеруд, соучредитель и директор по стратегии Kemp. «В то время как серьезные ограничения накладываются на бюджеты и сроки в ответ на кризис COVID-19, Kemp отвечает на вызов, устраняя все ограничения по стоимости и развертыванию, которые позволят организациям работать непрерывно в высокодоступной, полностью масштабируемой манере «.

Балансировщики нагрузки и АЦП всегда играли важную роль в обеспечении надежного и масштабируемого доступа к критически важным приложениям, доставке запросов на лучшие сетевые серверы настолько быстро и эффективно, насколько это возможно, и постоянно проверяя производительность и безопасность рабочей нагрузки. В этот конкретный момент Kemp еще больше упрощает подход к обеспечению, чтобы обеспечить развертывание почти в реальном времени.

На официальном сайте, есть оговорка, что предоставленные права подписки на продукт действуют в течение 90 дней. По истечении бесплатного 90-дневного периода подписки продукты перестанут функционировать, если не будут приобретены и применены платные лицензии. Выданные идентификаторы заказа бесплатной подписки должны быть активированы в течение 14 дней с момента получения клиентом или могут перестать функционировать. Все клиенты, отправляющие запрос на бесплатные 90-дневные подписки VLM-MAX, соглашаются на то, чтобы Kemp связался с ними, а также время от времени получал рекламные и маркетинговые сообщения. Kemp оставляет за собой право удалить, отменить или изменить это предложение в любое время. Доступность этого предложения в настоящее время ограничена Северной и Южной Америки и отдаленных территорий США. Все бесплатные 90-дневные подписки VLM-MAX подлежат рассмотрению Kemp для утверждения до их выпуска. Применяются общие положения и условия Kemp.

https://kemptechnologies.com/about-us/policies/vlm-max-90-day-subscription/

Но не расстраивайтесь, в России все же дают те же 90 дней, но с дополнительным шагом с вашей стороны. Для запроса лицензии вам необходимо пройти по данной ссылке и выбираете VLM-MAX-90

получение бесплатной лицензии на 90 дней для kemp vlm

Далее заполняете небольшую форму, о том, кто вы и сколько вам нужно.

Лицензирование Kemp LoadMaster

Далее вам придет письмо, вот с таким содержанием:

Доброе утро,

Благодарим Вас за интерес к балансировщикам нагрузки KEMP. Вместе с нашим региональным инженером поддержки, мы готовы поддержать ваши проекты.

У Kemp Technologies есть дистрибьютор и интеграторы в России, которые также готовы поддержать проекты. Kemp Technologies Inc. является мировым лидером в технологии балансировки нагрузки. Мы поддерживаем аппаратные проекты, облачные проекты, мультиоблачные проекты, гибридные проекты, open source- открытых технологий.

Kemp Technologies  предоставляет доступ к тестовым версиям каждого из наших продуктов. VLM MAX 90-дневные тестовые лицензии доступны только для США, наши тестовые лицензии короче, но мы с радостью продлим их до 90 дней. Пожалуйста, дайте мне знать, как мы можем помочь.

продление лицензии Kemp LoadMaster

Установка Kemp LoadMaster VLM

После того, как у нас есть на руках OVF шаблон с Kemp LoadMaster VLM, можно приступать к его импорту. Откройте ваш vCenter или ESXI хост, щелкните правым кликом и из контекстного меню выберите пункт "Deploy OVF Template".

Импортирование OVF файла Kemp LoadMaster

У вас откроется мастер по импортированию OVF шаблона. Выберите раздел "Browse" и выберите оба файла ovf и vmdk.

выбор файлов для импортирования OVF kemp vlm

Если вы не выберите оба файла, то получите ошибку:

1 reguired files missing: browse and use multiple selection to reselect the OVF template and all reguired files.

Ошибка импорта OVF шаблона

Хочу отметить, что если вы будите делать импорт виртуальной машины в VMware Workstation, то без манипуляций вы получите ошибку:

invalid target disk adapter type: pvscsi

invalid target disk adapter type: pvscsi

Далее вам потребуется указать имя вашего виртуального сервера.

Указание имени виртуальной машины Kemp LoadMaster

Выбираем кластер или хост на который будет устанавливаться Kemp LoadMaster.

Установка Kemp LoadMaster VLM

Следующим шагом вы можете увидеть, необходимый размер дискового пространства, это будет минимум 16 ГБ.

Импорт виртуальной машины Kemp LoadMaster

Указываем на какой датастор нужно развернуть нашу виртуальную машину с Kemp LoadMaster VLM.

Выбор датастора для установки Kemp LoadMaster

Следующим важным шагом вам необходимо выбрать две сети:

  • Network - Локальная, внутренняя сеть
  • Farm - внешняя сеть

Настройка коммутаторов при импортировании Kemp LoadMaster

Завершаем процесс установки виртуального KEMP.

Мастер по импорту виртуальной машины Kemp LoadMaster

Настройка виртуального KEMP VLM MAX 90

Перед тем, как мы запустим виртуальную машину, можно выполнить best practices рекомендации:

  • Настройте существующую или новую группу портов балансировки нагрузки для соответствующего VLAN, чтобы избежать флуда на порту (port flooding)

Для этого вам нужно выбрать ваш виртуальный коммутатор и перейти в раздел "Security", где необходимо включить опцию "forged transmits".

Forged transmits - Опция влияет на трафик, передаваемый с виртуальной машины. Если для параметра "Forged transmits" установлено значение "Accept", то ESXi не сравнивает исходный и эффективный MAC-адреса.

Начальный MAC-адрес - назначается при создании адаптера. Хотя начальный MAC-адрес может быть перенастроен вне гостевой операционной системы, он не может быть изменен гостевой операционной системой.

Эффективный MAC-адрес - Каждый адаптер имеет эффективный MAC-адрес, который отфильтровывает входящий сетевой трафик с помощью MAC-адреса назначения, который отличается от эффективного MAC-адреса. Гостевая операционная система отвечает за установку эффективного MAC-адреса и обычно сопоставляет эффективный MAC-адрес с начальным MAC-адресом.

После создания сетевого адаптера виртуальной машины эффективный MAC-адрес и начальный MAC-адрес совпадают. Гостевая операционная система может в любой момент изменить эффективный MAC-адрес на другое значение. Если операционная система изменяет эффективный MAC-адрес, ее сетевой адаптер (Физический) получает сетевой трафик, предназначенный для нового MAC-адреса.

При отправке пакетов через сетевой адаптер гостевая операционная система обычно помещает свой собственный эффективный MAC-адрес адаптера в поле исходного MAC-адреса кадров Ethernet. Он помещает MAC-адрес принимающего сетевого адаптера в поле MAC-адреса назначения. Принимающий адаптер принимает пакеты только в том случае, если MAC-адрес назначения в пакете соответствует его собственному эффективному MAC-адресу.

Операционная система может отправлять кадры с олицетворенным MAC-адресом источника. Это означает, что операционная система может выполнять злонамеренные атаки на устройства в сети, выдавая себя за сетевой адаптер, который разрешает принимающая сеть.

Вы можете защитить трафик через стандартные коммутаторы от атак этого типа на уровне 2, ограничив следующие режимы:

  • Promiscuous mode - Неразборчивый режим

  • Mac Address Changes - Изменения MAC-адреса

  • Forged transmits - Подделанная передача

Для защиты от подделки MAC вы можете установить опцию "Forged transmits" на отклонение. Если вы это сделаете, хост сравнивает исходный MAC-адрес, передаваемый гостевой операционной системой, с эффективным MAC-адресом адаптера виртуальной машины, чтобы определить, совпадают ли они. Если адреса не совпадают, хост ESXi отбрасывает пакет.

Гостевая операционная система не обнаруживает, что ее адаптер виртуальной машины не может отправлять пакеты с использованием поддельного MAC-адреса. Хост ESXi перехватывает любые пакеты с олицетворенными адресами до их доставки, и гостевая операционная система может предположить, что пакеты отброшены.

Best Practices Kemp VLM

  • При использовании HA LoadMasters находящихся на разных хостах: для предотвращения передачи
    RARP-пакета от отправки при каждом включении виртуальной машины, установите опцию "Notify
    Switches"  на "No"
  • В случае, если вы перемещаете систему VLM на другую виртуальную машину, убедитесь, что MAC-адреса сетевых карт остаются прежними. Статические MAC-адреса должны быть настроены для всех сетевых карт в виртуальной машине.

включение дополнительных настроек сети для kemp vlm

Запускаем с вами виртуальную машину Kemp LoadMaster. После ее загрузки, ваши сетевые интерфейсы постараются получить IP-адрес от вашего DHCP сервера, если его нет то у вас будет, как на моем скриншоте стандартный IP-адрес 192.168.1.101. Если сервер динамического назначения IP-адресов есть в сети, то вы увидите привычную для себя сетку.

Пароль и логи по умолчанию (default password for kemp load balancer)

Обратите внимание, что вам тут указывают пароль и логи по умолчанию (default password for kemp load balancer), он подойдет для ssh и консольного подключения

  • Логин - bal
  • Пароль - 1fourall

Загрузка виртуальной машины Kemp VLM

Если у вас был назначен IP-адрес, то можно открывать его в браузере, если нет, то логинимся на сервер и открываем мастер настройки сети на вашем виртуальном KEMP. Первое, что нужно задать, это статический IP-адрес.

Ручная настройка сети на KEMP VLM

Следующей настройкой будет указание основного шлюза вашего сервера.

настройка основного шлюза на kemp VLM-MAX

Ну и остается задать ваши DNS сервера, обратите внимание, что если у вас их несколько, то их нужно перечислять через пробел.

Ручная настройка DNS серверов на виртуальном kemp

Если у вас для выхода в интернет используется отдельный proxy-сервер, то укажите его адрес и порт

Настройка proxy на kemp VLM-MAX

Еще раз проверяем внутренний ip-адрес вашего kemp и если все хорошо, то соглашаемся с этим.

Установка и настройка Kemp VLM

Открываем браузер и переходим по нашему IP-адресу. Принимаем лицензионное соглашение в kemp VLM-MAX

Принимаем лицензионное соглашение в kemp VLM-MAX

Теперь выберите тип проверки вашей лицензии, у меня это будет проверка через интернет (Online Licensing), далее вы вводите обязательные два параметра: Kemp ID и пароль и нажимаете "License Now".

Онлайн лицензирование kemp vlm

Начнется обращение к онлайн серверу лицензирования Kemp.

настройка kemp VLM-MAX

Выбираем доступную лицензию и нажмите "Continue".

Выбор доступной лицензии для KEMP

У вас начнется процесс обновления вашей пробной лицензии.

Установка пробной лицензии на kemp VLM-MAX

Если все сделано верно, то вы увидите до какого срока у вас установлено время действия вашей пробной лицензии. В моем примере, это 29 мая 2020 года.

Срок действия лицензии на виртуальный kemp

Следующим шагом будет установка нового пароля на административную учетную запись bal. введите его два раза.

установка нового пароля для учетной записи bal

Вас разлогинит и предоставит форму авторизации. Вводим логин bal и пароль, который вы установили ранее.

авторизация на kemp

В итоге вы попадете в веб интерфейс вашего Kemp LoadMaster. На вкладке с общей информацией вы увидите серийный номер, информацию об окончании лицензии и многое другое.

Вкладка summary в веб интерфейсе kemp

На почту вам должно прийти письмо с подтверждением, что ваша лицензия активна.

Подтверждение лицензии kemp

На этом базовую установку KEMP VLM можно заканчивать, в будущей статье мы разберем его функционал и различные настройки. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *