云服务器推荐_什么是_物联网应用是什么

2021-03-30 10:53

云服务器推荐_什么是_物联网应用是什么

最近,我不得不在Azure订阅中建立下一代防火墙(NGF),作为最低可行产品(MVP)的一部分。这是一个Palo Alto NGF,它有许多可以帮助实现的模板(请参阅以下Github存储库:https://github.com/paloaltonworks/azure-applicationgateway).我不得不修改模板,这样就不会部署应用程序网关。客户机已决定使用标准外部负载平衡器(ELB),因此不需要应用程序网关的附加功能。然后,我更新了JSON文件中的参数,并通过AzureDevOps管道进行了部署,物联网断路器,在我的测试订阅中进行了一些运行,一切都被成功地部署了。这很好,但是在完成配置之后,我发现作为模板一部分部署的公共IP(PIP)是"基本"而不是"标准"。当您部署Azure负载平衡器时,需要与您正在平衡的任何设备PIP具有对等性。因此,pip被删除并作为"标准"重新创建,同样,内部负载平衡器(ILB)也需要这样做。我有一个PowerShell脚本,从我在过去的负载平衡器,我修改了这个脚本,以保持一切可重复。两个地区将有两个NGF——总共4个NGF,两个外部负载平衡器和两个内部负载平衡器。一个区域的图表如下所示:有了所有的负载平衡器,我们应该可以通过流量,低价的云服务器,对吗?事实上,没有。交通似乎没有经过。一项调查发现了几个问题。我知道一些用户定义路由(UDR)的路由表需要设置。内部子网上的UDR示例可能是:0.0.0.0/0指向指向专用ILB IP地址的虚拟设备。同样在DMZ In子网上,Palo Alto不受信任的NIC所在的位置,UDR可能是0.0.0.0/0到"Internet"。您还应该有从另一个方向返回到vNets的路由。而且,在内部,如果混合使用快速路由,您可以继续允许路由传播,但是在防火墙子网上,云免服务器购买,这应该被禁用。在这些子网上保持严密和安全。但是在配置路由表之后仍然没有流量。明白了2。Palo Alto防火墙在用户界面中有一个GUI-ping实用程序。不幸的是,在最新版本的Palo Alto Firewall OS(撰写本文时为9)中,ping无法正常工作。这是因为防火墙接口被设置为动态主机配置协议(DHCP)。我相信,由于Azure控制并将IPs传递给静态接口,所以不需要DHCP。(正如本文所解释的,版本10的另一个问题是Azure负载平衡器不能通过正常的ping流量。)我决定用这个MVP测试东西的方法是在一个非生产的内部分支vNet上建立一个VM,它使用的是一个hub-and-spoke架构。我的所有udr都设置了负载均衡器和一个内部VM试图浏览互联网,但一切仍然无法正常工作。我现在打电话给Palo Alto的架构师,了解到防火墙上的配置很好,但是负载平衡器有些地方不对劲。此时,我很想在azurecli上进行出站规则配置。我以前在将UDP和TCP流量拆分到标准负载平衡器上的不同pip时使用过这种方法。但是我决定退一步,开始检查负载均衡器的配置。我注意到,在我的Health Probe上,我将它设置为http80,就像我以前使用的那样。我在协议框中把它从http80改为TCP 80,看看它是否有什么不同。我在内部和外部负载平衡器上都这样做了。嘿,普雷斯托。网络流量开始通过。Health Probe不喜欢HTTP作为协议,因为它正在寻找文件和路径。好吧,很好。此外,淘客程序,还与Palalto的建筑指南讨论了Azure建筑。他们提到了用于健康探测器的SSH-22端口。我相应地改变了这一点,看看事情是否仍然有效——他们确实做到了。找到罪魁祸首所以,数据中心解决方案,健康探测器是罪魁祸首-我也是从以前的配置中重新使用PowerShell。即便如此,我也不确定我的眼睛第一次看到的是http80还是TCP 80。health probe无法访问http80 Path/因此它基本上停止了所有通信,而TCP 80不查找路径。现在我们准备将路由表udr切换到NGF的点生产分支vNets。总结一下这三个难题:配置路由表和UDR。不要使用Ping测试Azure负载平衡器不要使用http80作为NGFs的健康探测器。希望这将有助于避免在使用MVP时使用NGF配置负载平衡器的一些问题,无论使用的是哪种NGF。scottbrodie是DXC技术公司的Azure架构师,在为客户解决云和IT架构解决方案方面拥有20年的经验。

分享到:
收藏
相关阅读