Установка виртуального Kemp LoadMaster VLM

Добрый день! Уважаемые читатели и гости одного из крупнейших блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами научились диагностировать и устранять причину Purple Screen of Death (Пурпурного экрана смерти), это кто не помнит аналог синих экранов Windows. В сегодняшней публикации мы познакомимся с одним из топовых балансировщиков web-приложений Kemp LoadMaster. Мы разберем, как его развернуть на нужном вам гипервизоре, обсудим преимущество данной реализации.

Что такое Kemp LoadMaster?

Kemp Virtual LoadMaster - это полнофункциональный балансировщик нагрузки и контроллер доставки приложений (ADC), который поддерживает все основные рабочие нагрузки приложений с помощью простых в использовании шаблонов. Он предлагает ключевые функции:

• Балансировка нагрузки L4/7 для всех TCP/UDP
• Мониторинг состояния сервера и приложений
• Ускорение шифрования с поддержкой FIPS 140-2
• Кэширование, сжатие, мультиплексирование TCP, разгрузка SSL
• Работает с большинством гипервизоров и облачных платформ IaaS
• Full Rest API, автоматизация включена
• Авторизация, аутентификация и единый вход - Пакет Kemp Edge Security Pack (ESP) упрощает безопасную публикацию приложений благодаря предварительной аутентификации клиента и единому входу в систему (SSO). Интеграция с Active Directory, SAML, маршрутизация трафика на основе групп безопасности, аутентификация RADIUS, настраиваемые формы FBA и многофакторная аутентификация (MFA) поддерживают полную стратегию Identity Access Management (IAM).
• Брандмауэр веб-приложений и IPS - с ежедневными обновлениями угроз - Обеспечивает безопасное развертывание веб-приложений, предотвращая атаки на 7  уровне и поддерживает службы балансировки нагрузки ядра. WAF Kemp напрямую дополняет существующие функции безопасности LoadMaster, создавая многоуровневую защиту для веб-приложений, обеспечивая безопасное, совместимое и продуктивное использование опубликованных сервисов.
• GSLB - Глобальное управление трафиком
• Центральное управление, обеспечение и анализ производительности
• Мониторинг, отчетность и проактивное восстановление с поддержкой AI
• Глобальные службы DNS и управления трафиком - Даже когда основной сайт не работает, трафик перенаправляется на сайт аварийного восстановления. Клиенты могут подключаться к своим самым быстродействующим или географически ближайшим дата-центрам.

Где применяют виртуальный балансировщик Kemp

Виртуальный балансировщик чаще всего используют при таких сценариях:

1. 1. Балансировать доступ к гипервизорам Vmware ESXi, Hyper-V, Xen
   2. Веб приложения, например Share Point
   3. Различные почтовые сервисы, MS Exchange, Zimbra и другие
   4. VDI и RDS фермы
   5. Различные сайты на популярных web-движках IIS, Apache, Nginx

Как скачать образ Kemp LoadMaster VLM

Первое, что вы должны сделать, это зарегистрироваться на официальном сайте:

В процессе регистрации, ваш логин (почта) будет выступать в роли Kemp-ID. Обратите внимание, что нужно указывать действующую почту, так как туда придет подтверждение.

В полученном письме, вам необходимо нажать на кнопку "Confirm your KEMP ID"

Теперь переходим непосредственно к скачиванию виртуальной машины под нужный вам гипервизор. Перейдите по ссылке:

Тут вы выбираете версию, основываясь на требованиях к своему гипервизору, в моем примере это VMware ESXI 6.5 и скачивается он в формате OVF.

Далее указываем из какой вы страны и принимаем лицензионное соглашение.

В результате этих действий у вас будет загружен файл размеров 110 мб. Обратите внимание, что это архив и его нужно распаковать.

Как запросить расширенную лицензию на 90 дней

На дворе карантин и многие компании предложили в это непростое время свои продукты бесплатно на некий период. 16 апреля 2020 компания Kemp, лидер в области поддержки постоянно работающих приложений [AX], сегодня выпустила полностью бесплатную и полностью поддерживаемую версию своего виртуального балансировщика нагрузки неограниченной емкости. 90-дневный бесплатный Virtual LoadMaster MAX (VLM-MAX) доступен в течение ограниченного времени, чтобы помочь ИТ-организациям преодолеть текущие проблемы, обеспечивая высоконадежный и бесперебойный доступ к цифровой инфраструктуре и приложениям.

Kemp VLM-MAX 90 - это первый и единственный бесплатный виртуальный балансировщик нагрузки/контроллер доставки приложений (ADC), который обеспечивает неограниченную пропускную способность, неограниченное количество зашифрованных сеансов и неограниченное количество развертываний с круглосуточной поддержкой, поддержкой развертывания и миграцией. Виртуальный балансировщик нагрузки VLM-MAX может быть развернут на любом распространенном гипервизоре, а также в облачных средах Amazon Web Services (AWS) и Microsoft Azure. Продукт будет поддерживать все ресурсы vCPU, vNIC, памяти и виртуального диска, выделенные виртуальной машине хоста (VM) для масштабирования по требованию.

«Это беспрецедентные времена, чтобы идти в ногу с требованиями, предъявляемыми к цифровой инфраструктуре», - сказал Питер Мелеруд, соучредитель и директор по стратегии Kemp. «В то время как серьезные ограничения накладываются на бюджеты и сроки в ответ на кризис COVID-19, Kemp отвечает на вызов, устраняя все ограничения по стоимости и развертыванию, которые позволят организациям работать непрерывно в высокодоступной, полностью масштабируемой манере «.

Балансировщики нагрузки и АЦП всегда играли важную роль в обеспечении надежного и масштабируемого доступа к критически важным приложениям, доставке запросов на лучшие сетевые серверы настолько быстро и эффективно, насколько это возможно, и постоянно проверяя производительность и безопасность рабочей нагрузки. В этот конкретный момент Kemp еще больше упрощает подход к обеспечению, чтобы обеспечить развертывание почти в реальном времени.

На официальном сайте, есть оговорка, что предоставленные права подписки на продукт действуют в течение 90 дней. По истечении бесплатного 90-дневного периода подписки продукты перестанут функционировать, если не будут приобретены и применены платные лицензии. Выданные идентификаторы заказа бесплатной подписки должны быть активированы в течение 14 дней с момента получения клиентом или могут перестать функционировать. Все клиенты, отправляющие запрос на бесплатные 90-дневные подписки VLM-MAX, соглашаются на то, чтобы Kemp связался с ними, а также время от времени получал рекламные и маркетинговые сообщения. Kemp оставляет за собой право удалить, отменить или изменить это предложение в любое время. Доступность этого предложения в настоящее время ограничена Северной и Южной Америки и отдаленных территорий США. Все бесплатные 90-дневные подписки VLM-MAX подлежат рассмотрению Kemp для утверждения до их выпуска. Применяются общие положения и условия Kemp.

Но не расстраивайтесь, в России все же дают те же 90 дней, но с дополнительным шагом с вашей стороны. Для запроса лицензии вам необходимо пройти по данной ссылке и выбираете VLM-MAX-90

Далее заполняете небольшую форму, о том, кто вы и сколько вам нужно.

Далее вам придет письмо, вот с таким содержанием:

Установка Kemp LoadMaster VLM

После того, как у нас есть на руках OVF шаблон с Kemp LoadMaster VLM, можно приступать к его импорту. Откройте ваш vCenter или ESXI хост, щелкните правым кликом и из контекстного меню выберите пункт "Deploy OVF Template".

У вас откроется мастер по импортированию OVF шаблона. Выберите раздел "Browse" и выберите оба файла ovf и vmdk.

Если вы не выберите оба файла, то получите ошибку:

Хочу отметить, что если вы будите делать импорт виртуальной машины в VMware Workstation, то без манипуляций вы получите ошибку:

Далее вам потребуется указать имя вашего виртуального сервера.

Выбираем кластер или хост на который будет устанавливаться Kemp LoadMaster.

Следующим шагом вы можете увидеть, необходимый размер дискового пространства, это будет минимум 16 ГБ.

Указываем на какой датастор нужно развернуть нашу виртуальную машину с Kemp LoadMaster VLM.

Следующим важным шагом вам необходимо выбрать две сети:

• Network - Локальная, внутренняя сеть
• Farm - внешняя сеть

Завершаем процесс установки виртуального KEMP.

Настройка виртуального KEMP VLM MAX 90

Перед тем, как мы запустим виртуальную машину, можно выполнить best practices рекомендации:

• Настройте существующую или новую группу портов балансировки нагрузки для соответствующего VLAN, чтобы избежать флуда на порту (port flooding)

Для этого вам нужно выбрать ваш виртуальный коммутатор и перейти в раздел "Security", где необходимо включить опцию "forged transmits".

Forged transmits - Опция влияет на трафик, передаваемый с виртуальной машины. Если для параметра "Forged transmits" установлено значение "Accept", то ESXi не сравнивает исходный и эффективный MAC-адреса.

Начальный MAC-адрес - назначается при создании адаптера. Хотя начальный MAC-адрес может быть перенастроен вне гостевой операционной системы, он не может быть изменен гостевой операционной системой.

Эффективный MAC-адрес - Каждый адаптер имеет эффективный MAC-адрес, который отфильтровывает входящий сетевой трафик с помощью MAC-адреса назначения, который отличается от эффективного MAC-адреса. Гостевая операционная система отвечает за установку эффективного MAC-адреса и обычно сопоставляет эффективный MAC-адрес с начальным MAC-адресом.

После создания сетевого адаптера виртуальной машины эффективный MAC-адрес и начальный MAC-адрес совпадают. Гостевая операционная система может в любой момент изменить эффективный MAC-адрес на другое значение. Если операционная система изменяет эффективный MAC-адрес, ее сетевой адаптер (Физический) получает сетевой трафик, предназначенный для нового MAC-адреса.

При отправке пакетов через сетевой адаптер гостевая операционная система обычно помещает свой собственный эффективный MAC-адрес адаптера в поле исходного MAC-адреса кадров Ethernet. Он помещает MAC-адрес принимающего сетевого адаптера в поле MAC-адреса назначения. Принимающий адаптер принимает пакеты только в том случае, если MAC-адрес назначения в пакете соответствует его собственному эффективному MAC-адресу.

Операционная система может отправлять кадры с олицетворенным MAC-адресом источника. Это означает, что операционная система может выполнять злонамеренные атаки на устройства в сети, выдавая себя за сетевой адаптер, который разрешает принимающая сеть.

Вы можете защитить трафик через стандартные коммутаторы от атак этого типа на уровне 2, ограничив следующие режимы:

• Promiscuous mode - Неразборчивый режим

• Mac Address Changes - Изменения MAC-адреса

• Forged transmits - Подделанная передача

Для защиты от подделки MAC вы можете установить опцию "Forged transmits" на отклонение. Если вы это сделаете, хост сравнивает исходный MAC-адрес, передаваемый гостевой операционной системой, с эффективным MAC-адресом адаптера виртуальной машины, чтобы определить, совпадают ли они. Если адреса не совпадают, хост ESXi отбрасывает пакет.

Гостевая операционная система не обнаруживает, что ее адаптер виртуальной машины не может отправлять пакеты с использованием поддельного MAC-адреса. Хост ESXi перехватывает любые пакеты с олицетворенными адресами до их доставки, и гостевая операционная система может предположить, что пакеты отброшены.

• При использовании HA LoadMasters находящихся на разных хостах: для предотвращения передачи
  RARP-пакета от отправки при каждом включении виртуальной машины, установите опцию "Notify
  Switches"  на "No"
• В случае, если вы перемещаете систему VLM на другую виртуальную машину, убедитесь, что MAC-адреса сетевых карт остаются прежними. Статические MAC-адреса должны быть настроены для всех сетевых карт в виртуальной машине.

Запускаем с вами виртуальную машину Kemp LoadMaster. После ее загрузки, ваши сетевые интерфейсы постараются получить IP-адрес от вашего DHCP сервера, если его нет то у вас будет, как на моем скриншоте стандартный IP-адрес 192.168.1.101. Если сервер динамического назначения IP-адресов есть в сети, то вы увидите привычную для себя сетку.

Пароль и логи по умолчанию (default password for kemp load balancer)

Если у вас был назначен IP-адрес, то можно открывать его в браузере, если нет, то логинимся на сервер и открываем мастер настройки сети на вашем виртуальном KEMP. Первое, что нужно задать, это статический IP-адрес.

Следующей настройкой будет указание основного шлюза вашего сервера.

Ну и остается задать ваши DNS сервера, обратите внимание, что если у вас их несколько, то их нужно перечислять через пробел.

Если у вас для выхода в интернет используется отдельный proxy-сервер, то укажите его адрес и порт

Еще раз проверяем внутренний ip-адрес вашего kemp и если все хорошо, то соглашаемся с этим.

Открываем браузер и переходим по нашему IP-адресу. Принимаем лицензионное соглашение в kemp VLM-MAX

Теперь выберите тип проверки вашей лицензии, у меня это будет проверка через интернет (Online Licensing), далее вы вводите обязательные два параметра: Kemp ID и пароль и нажимаете "License Now".

Начнется обращение к онлайн серверу лицензирования Kemp.

Выбираем доступную лицензию и нажмите "Continue".

У вас начнется процесс обновления вашей пробной лицензии.

Если все сделано верно, то вы увидите до какого срока у вас установлено время действия вашей пробной лицензии. В моем примере, это 29 мая 2020 года.

Следующим шагом будет установка нового пароля на административную учетную запись bal. введите его два раза.

Вас разлогинит и предоставит форму авторизации. Вводим логин bal и пароль, который вы установили ранее.

В итоге вы попадете в веб интерфейс вашего Kemp LoadMaster. На вкладке с общей информацией вы увидите серийный номер, информацию об окончании лицензии и многое другое.

На почту вам должно прийти письмо с подтверждением, что ваша лицензия активна.

На этом базовую установку KEMP VLM можно заканчивать, в будущей статье мы разберем его функционал и различные настройки. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.