来自 CC防护 2021-12-16 08:16 的文章

cc攻击防御_服务器防护用什么设备_零元试用

cc攻击防御_服务器防护用什么设备_零元试用

客户对于推动Citrix的创新至关重要。在这篇博客文章中,我们将看看最近由客户输入的LoadBalancer类型的服务所形成的特性您可以在逻辑上将Kubernetes集群划分为多个区域。不同区域中的Citrix入口控制器监听同一个kubernetesapi服务器,因为它是同一个Kubernetes集群。当创建LoadBalancer类型的服务时,区域中的所有Citrix adc(MPX/VPX/SDX)都会向BGP结构通告相同的IP。为什么这种方法效率低下?如果某个区域(例如机架3)没有给定服务的任何工作负载(POD),则该区域中的ADC仍会通告IP地址。以下是我们可以提高效率的三种方案。LoadBalancer类型的服务在区域1和区域2中有两个POD。区域3中的MPX不应将VIP播发到BGP结构如果吊舱数量从2个增加到3个,并且新吊舱部署在3区。那个机架上的MPX应该为VIP做广告。如果pod从3个减少到1个,高防防御cc,并且只有1区有pod,则2区和3区的MPX应该从BGP结构中召回它们的广告。为了支持此功能,我们在Citrix Ingress Controller中为类型为LoadBalancer的Kubernetes服务添加了两个新功能:边界网关协议(BGP)支持根据区域中应用程序舱的可用性发布和召回VIP在Citrix ADC上支持BGP-RHI的自动配置路由健康注入(RHI)使Citrix ADC能够在使用BGP的网络中公布VIP作为主机路由的可用性。过去,您必须在Citrix ADC上手动执行配置以支持RHI。现在,有了部署在Kubernetes环境中的Citrix入口控制器,您可以在Citrix adc上自动配置vip。创建LoadBalancer类型的服务时,Citrix入口控制器在Citrix ADC上为该服务配置VIP。如果为Citrix入口控制器启用了BGP RHI支持,它将自动配置Citrix ADC以将VIP通告到BGP结构。根据区域内的吊舱可用性对VIP进行广告和召回在下面这样的拓扑中,Kubernetes集群中的节点分布在三个区域中。每个区域都有一个Citrix ADC MPX作为第1层ADC,cc防御方案,以及一个Citrix入口控制器来配置Kubernetes集群中的第1层ADC的资源。所有区域中的Citrix入口控制器监听同一个kubernetesapi服务器。每当创建LoadBalancer类型的服务时,集群中的所有Citrix adc都会监听事件并将相同的IP地址通告到BGP结构,电脑如何增加ddos防御,即使某个区域上没有工作负载也是如此。拓扑示例Citrix提供了一个基于区域中pods可用性的广告或召回VIP的解决方案。您需要标记每个区域上的节点,以便Citrix入口控制器能够识别属于同一区域的节点。每个区域上的Citrix入口控制器执行检查,查看该区域中的节点上是否有pod。如果是的话,它会为贵宾做广告。否则,它会想起Citrix ADC在专区上发布的VIP广告。福利更好的容错性和最小化爆炸半径。基于局部性的更好的负载平衡。广告案例这里,我们在所有四个节点上都有LoadBalancer类型的服务pods,ddos攻击包月如何防御,两个cic都配置了这两个mpx。反过来,两个mpx都向BGP路由器通告了VIP。广告案例召回案件这里,我们在节点1和节点2上有LoadBalancer类型的服务pods,它们位于机架1/区域1上。CIC-24已经配置了mpx10.217.212.24,但它没有配置,因为节点3和节点4上没有pod。它将VIP从广告召回到BGP路由器。召回案件使用Citrix ingress controller在Citrix ADC上配置BGP RHI在本节中,我们将根据一个示例拓扑,使用Citrix入口控制器在Citrix adc上配置BGP RHI。在这种拓扑中,Kubernetes集群中的节点部署在两个区域中。每个都有一个Citrix ADC VPX或MPX作为第1层ADC,以及一个Citrix入口控制器,用于在Kubernetes集群中配置ADC。adc通过BGP与上游路由器进行对等。BGP-RHI配置示例拓扑在开始之前,必须将Citrix ADC MPX或VPX配置为具有上游路由器的BGP对等端。然后,根据示例拓扑执行以下步骤来配置bgprhi支持。1) 使用以下命令标记每个分区中的节点:对于1区:kubectl label nodes node1 rack=机架-1kubectl label nodes node2 rack=机架-1对于2区:kubectl label nodes node3 rack=机架2kubectl label nodes node4 rack=机架22) 在Citrix Ingress Controller配置YAML文件中配置以下环境变量:对于1区:-name:"节点标签"值:"机架1"-名称:"BGP U广告"值:"真"对于2区:-name:"节点标签"值:"机架2"-名称:"BGP U广告"值:"真"下面提供了在区域1上部署Citrix入口控制器的示例yaml文件:版本:APIv1种类:吊舱元数据:名称:cic-k8s-Ingres-controller-1标签:应用程序:cic-k8s-Ingres-controller-1规格:服务帐户名称:cic-k8s-role集装箱:-名称:cic-k8s-ingres-controller图像:"码头/citrix/citrix-k8s-入口-c控制器:1.4.392"环境:#设置NetScaler NSIP/SNIP,HA情况下的SNIP(必须启用管理)-name:"网络IP"值:"10.217.212.24"#为Nitro设置用户名-name:"NS\u用户"取值来源:密件编号:名称:nslogin密钥:用户名#设置Nitro的用户密码-name:"NS_密码"取值来源:密件编号:nsname:登录名密钥:密码-name:"EULA"值:"是"-name:"节点标签"值:"机架=机架1"-name:"BGP_广告"值:"真"参数:--ipamcitrix ipam控制器imagePullPolicy:始终3) 使用以下命令部署Citrix入口控制器。请注意,您需要在两个机架上部署Citrix入口控制器(每个区域)Kubectl创建-f山药4) 使用web前端部署示例应用程序-磅山药.Kubectl create-f网络前端-磅山药web前端的内容-磅山药具体如下:API版本:v1种类:部署元数据:名称:web前端规格:副本:4模板:元数据:标签:应用程序:web前端规格:集装箱:-name:网络前端图片:10.217.6.101:5000/web-测试:最新端口:集装箱港口:80imagePullPolicy:始终5) 创建LoadBalancer类型的服务以公开应用程序。Kubectl create-f web前端lb-服务.yamlweb前端lb的内容-服务.yaml具体如下:API版本:v1种类:服务元数据:名称:web前端标签:应用程序:web前端规格:类型:负载平衡器端口:-端口:80协议:TCP名称:http选择器:应用程序:web前端6) 使用以下命令在Citrix ADCs上验证服务组的创建。显示服务组以下是该命令的示例输出。#显示服务组k8s-web-frontend_default_80_svc_k8s-web-frontend_default_80_svck8s-web-frontend_default_80_svc_k8s-web-frontend_default_80_svc-TCP状态:已启用有效状态:上监视器阈值:0最大连接:0最大要求:0最大带宽:0千比特使用源IP:否客户端Keepalive(CKA):否TCP缓冲(TCPB):否HTTP压缩(CMP):否空闲超时:客户端:9000秒服务器:9000秒客户端IP:已禁用可缓存:否SC:关了SP:关关闭状态刷新:已启用监视器连接关闭:无Appflow日志记录:已启用内容检查配置文件名称:???本地进程:已禁用流量域:01) 10.217.212.23:30126状态:UP服务器名称:10.217.212.23服务器ID:无权重:1上一次州变更发生在2020年1月22日星期三23:35:11上次状态更改后的时间:5天,00:45:09.760监视器名称:tcp默认状态:UP Passive:0探针:86941失败[总计:0电流:0]最后一个响应:成功-收到TCP syn+ack。响应时间:0毫秒2) 10.217.212.22:30126状态:UP服务器名称:10.217.212.22服务器ID:无权重:1上一次州变更发生在2020年1月22日星期三23:35:11自上次状态更改后的时间:5天,00:45:09.790监视器名称:tcp默认状态:UP Passive:0探针:86941失败[总计:0电流:0]最后一个响应:成功-收到TCP syn+ack。7) 使用以下命令验证BGP路由器上的VIP播发。>维蒂什#显示ip路由bgpB 172.29.46.78/32[200/0]通过2.2.2.100,vlan20,1d00h35m[200/0]通过2.2.2.101,vlan20,1d00h35m未设置最后关口结论我们为LoadBalancer类型的服务所做的增强将帮助客户优化其流量,并改进基于位置的负载平衡。进一步了解Citrix ADC和LoadBalancer类型的服务,并查看我们的GitHub页面。

,免费cc防御盾