Mise en place d’un NLB
Network Load Balancing
Le NLB est une fonctionnalité présente sur les systèmes d’exploitation serveur. Il permet d’équilibrer le trafic IP sur plusieurs hôtes. La charge est donc équilibrée entre les différents serveurs. La fonctionnalité assure également une « haute disponibilité » et peut détecter un dysfonctionnement d’un hôte. Dans ce cas, une redirection automatique sur les autres nœuds est opérée.
La fonctionnalité est disponible sur l’ensemble des éditions de Windows Server 2022. Très évolutive, elle permet d’ajouter par la suite d’autres nœuds (d’autres serveurs appelés aussi hôtes). Il est possible de procéder à l’installation du NLB sur un serveur physique ou virtuel. Chacun de ces ordinateurs exécute l’application. Il est nécessaire d’avoir au minimum 2 nœuds et jusqu’à 32 nœuds maximum. Lors de la création d’un NLB, une interface réseau virtuelle ainsi qu’une adresse réseau virtuelle sont créées. Cette interface réseau possède une adresse IP ainsi qu’une adresse MAC (Media Access Control).
Par défaut, l’utilisation des nœuds est égale. Ainsi, chaque nœud possède le même pourcentage de travail. Lors de la réception d’une demande d’accès à l’application, le NLB envoie cette dernière au nœud le moins utilisé. Néanmoins, la redirection vers un hôte spécifique peut être utilisée.
Cette fonctionnalité est parfaite pour des applications sans état (un serveur web, par exemple). Il n’est néanmoins pas possible de l’utiliser avec...
Configurer un NLB
Pour effectuer le déploiement d’une solution NLB, il est nécessaire de s’assurer de respecter les prérequis suivants.
Il est dans un premier temps nécessaire que l’ensemble des nœuds soient dans le même sous-réseau TCP/IP. Si la solution NLB doit être étendue sur plusieurs sites géographiques, il est préférable d’installer sur chaque site un cluster NLB. Un round-robin DNS peut être utilisé pour distribuer le trafic entre les différents sites. Les adaptateurs réseau présents dans un cluster NLB doivent être configurés en unicast ou multicast. Il n’est néanmoins pas possible de mélanger les deux modes dans un cluster. Lors de l’utilisation de l’unicast, l’adaptateur réseau doit pouvoir supporter le changement d’adresse MAC. Le protocole IPv4 ou IPv6 peut être utilisé, mais il est fortement déconseillé de ne pas ajouter d’autres protocoles à l’interface réseau présente dans le cluster. Enfin, il est très important que l’adressage IP des serveurs du NLB soit configuré en mode statique.
L’ensemble des éditions de Windows Server 2022 peuvent être utilisées pour du NLB. Il est également possible d’avoir des nœuds exécutant des éditions différentes de Windows Server 2022 au sein du même cluster (un nœud en Windows Server 2022 Standard et un nœud en Windows Server 2022 Datacenter). Les bonnes pratiques veulent néanmoins que l’ensemble des nœuds possèdent un matériel identique ainsi que la même édition de Windows Server 2022.
1. Options de configuration
Lors de la configuration du cluster NLB, il est nécessaire d’indiquer...
Implémentation du NLB
Le but principal d’un cluster NLB est de distribuer le trafic entrant entre tous les nœuds du cluster. Il est donc très important d’homogénéiser la configuration. De plus, l’ensemble des nœuds doivent accéder à la même donnée. Nous l’avons vu précédemment, la fonctionnalité NLB n’est pas compatible avec les applications avec état telles que Microsoft SQL Server. En cas d’utilisation d’un service web utilisant ce type d’applications, il est nécessaire de fournir une haute disponibilité de l’application avec état en utilisant une autre solution (cluster de basculement par exemple).
1. Sécurisation du NLB
La sécurisation du NLB peut être faite par l’intermédiaire de plusieurs biais. Dans un premier temps, il est nécessaire de mettre en place des règles de port. Ces dernières permettent de bloquer tous les ports à l’exception de ceux utilisés par l’application présente dans le cluster. Dans le cas où cette étape est ignorée, il est important de rappeler que le trafic est automatiquement redirigé vers le nœud qui possède la priorité la plus élevée.
Afin de continuer dans la sécurisation du serveur, il est nécessaire de s’assurer que le pare-feu Windows est bien activé. Les exceptions nécessaires au fonctionnement et à la communication du nœud du cluster sont automatiquement créées et activées lors de l’installation. La liste ci-dessous référence lesdites exceptions :
-
Network Load Balancing (DCOM-In)
-
Network Load Balancing (ICMP4-ERQ-In)
-
Network Load Balancing (ICMP6-ERQ-In)
-
Network Load Balancing (RPCSS)
-
Network Load Balancing (WinMgmt-In)...