在本文中,我将向您展示如何在 Forefront TMG Server 上配置负载平衡 Webserver 功能以执行内部 Web 服务器的负载平衡。
介绍
在本文中,我们将向您展示如何在 Forefront TMG 服务器上配置负载平衡 Web 服务器功能,以在内部 Web 服务器之间执行负载平衡。我们还将介绍 Forefront TMG 和 Windows Server 2008 R2 中的一些网络负载平衡基础知识 (NLB),以概述 Forefront TMG 的负载平衡功能和 Windows Server 2008 R2。
开始
Forefront TMG 可以将网络流量分配到类似配置的网络服务器,这通常由硬件负载平衡器完成。Webserver 负载平衡可以将网络流量分配到不同的本地网络中的主机,无需使用 Windows 操作系统的旧 NLB 功能。
可以发布一个硬件负载平衡设备来平衡内部 Web 服务器的 Web 流量,但 Forefront TMG Web 场平衡(Forefront 的负载平衡TMG Web 服务器)还有很多其他优点(但是,没有缺点):
部分硬件负载均衡器使用源IP地址(源地址)来均衡请求,但这种方案可能只适用于没有服务器的环境。在 NAT 后面。 Forefront TMG 不会在标准 Web 服务器发布方案中转发原始 IP 地址。来自外部客户端的 IP 地址始终被 TMG 服务器的 IP 地址屏蔽。如果要从外部客户端(客户端)转发原始客户端 IP(客户端 IP),则发布的 Web 服务器必须将其默认网关设置为 Forefront TMG,这在某些环境中不合适。.
另一种分配 Web 服务器工资的方法是使用 Windows 中包含的网络负载平衡(网络负载平衡-NLB)。 NLB 允许基于端口规则(规则)分配网络流量。 NLB 群集(NLB 群集)中的所有节点都使用虚拟 IP 地址 (VIP),Forefront TMG 使用该地址转发流量。 NLB 算法将在所有 NLB 集群成员之间分配流量。
NLB 基础知识
可以简单说一下; NLB 是一种集群技术,不仅适用于 Microsoft Windows。 NLB 是 Windows Server 200x 操作系统的一部分,用于将网络流量分配到网络中最多 32 台主机。 NLB 使用分布式算法能够使用 NLB 组中的所有节点加载入站负载。因此,NLB 可用于提供故障转移和负载平衡功能。
您可以在 Windows Server 2008 版本中启用网络负载平衡。下图显示了带有 NLB 按钮的 Windows Server 2008R2 网络负载平衡管理器程序窗口。
图1
使用 Forefront TMG 的 NLB
如果有 Forefront TMG Web 服务器场负载平衡功能的内部 Web 服务器的负载平衡计划,您应该注意 Forefront TMG 服务器可能是一个单点 失败 (SPOF) 当 TMG 没有负载平衡时。 Forefront TMG Enterprise 使用 NLB 来平衡 TMG 服务器的负载。我们可以在 Forefront TMG 中以集成模式、优先级和激励模式充分利用 NLB。也可以将 NLB 与 Forefront TMGStandard 一起使用,但 Microsoft 并未正式支持,因为存在一些限制。
负载均衡机制
循环
来自不同IP地址的网络服务器请求将分发给网络服务器系统(网络农场)中的成员。 round-robin 机制确保用户对 Web 场所服务的 Web 应用程序的请求在在线的场成员之间平均分配。发生故障转移时,将检测到无响应的服务器并将负载分配到可用的服务器。
基于会话(Cookie)的亲和力
基于会话的关系 (Cookie) 通常用于从 Exchange Server 200x Micros 发布 Outlook Web Access (OWA)通常 SharePoint 服务/服务器。如果要在 Exchange Server 2007 及更高版本中的 HTTP (S) 服务或 Outlook Anywhere 上发布 RPC,请不要使用会话关联。 RPC over HTTP (S) 用于为 Outlook 客户端提供从 Internet 对 Exchange Server 的完全访问权限。 RPC 流量将通过 HTTPS 机制进行隧道传输。对于 Outlook,它不能使用基于 Cookie 的亲和力。
IP 亲和性
借助 IP 亲和性,Web 服务器流量基于 IP 分配给 Web 场的所有成员。如果服务器响应失败,流量将被发送到网络场的另一个成员。
如果远程客户端位于 NAT 服务器之后,则不应使用 IP 亲和性,这是因为 Web 服务器(Web 服务器场)只会看到 TMG 的 IP 地址服务器。如果是这种情况,您应该尽可能使用会话亲和性。
IP 亲和性在 Exchange RPC over HTTP (S) 或也称为 Outlook Anywhere 脚本中非常有用,其中无法使用会话亲和性,在 Exchange Active Sync 发布方案中,客户端不理解所有 HTTP 1.1。
要创建发布规则,请打开 TMG 管理界面并导航到防火墙策略并创建网站发布规则。
图 2:Web 发布窗口
命名新策略并允许流量
单击发布场服务器以实现负载平衡的 Web 服务器。
图 3:发布服务器系统
因为我们发布的是没有 HTTPS 的内部网络服务器,所以我们需要指定适当的选项。
图 4:仅使用 HTTP
如果您想将 Web 服务器发布到特定路由,请输入内部站点名称并指定路径。
下一步是创建一个新Farm,输入Farm名称并将内部Web服务器添加到Web Server farm,如您所见在下图中,指定 Forefront TMG 如何对请求进行负载平衡。发送到。
图 5:指定农场成员
Forefront TMG 将创建连接身份验证以检查服务器系统中成员的可用性。如果某个服务器无法访问,则会生成警告。您可以自定义警报操作。
图 6:连接认证集
将出现一个新窗口,询问您是否要启用系统策略规则以允许来自 Forefront TMG 的 HTTP 请求到已发布的 Web 服务器。如果需要,请单击是。
图 7:系统政策法
下一步是创建一个侦听器,这是 Forefront TMG 用来侦听传入流量的。本文重点介绍服务器系统的负载均衡,因此我们不会向您介绍通过 HTTP 发布 Web 服务器时的情况。
Forefront TMG 现在警告用户,当通过 HTTP 发送身份验证请求时,当前配置可能不安全。
图 8:系统政策法
要使用HTTP机制启用客户端身份验证,您必须在监听器属性页面的高级身份验证选项窗口中允许此功能,如下图所示。
图 9:允许使用 HTTP 机制进行客户端身份验证
创建网络服务器发布规则后,导航到规则属性页面并单击Web Farm选项卡以验证配置是否正确。
图 10:Web Farm 的属性
查看网络服务器系统状态(Web Server Farm)
如果您想知道服务器系统的哪个成员可用或不可用,Forefront TMG 将在您创建 Web 服务器系统时自动创建连接验证器。连接验证器会在 Web 服务器系统中检测成员的状态,并将此事件报告给 TMG Server 中的警报配置,TMG 服务器将从该配置中生成与消息相同的消息。元素或事件日志中的条目。
网络服务器系统中的服务器可以有五种不同的状态:
这是系统中Web服务器的正常状态,表示该服务器是可访问的,可以接受请求。
停止服务
这个状态表示web服务器在超时时间内没有响应内部连接验证器。不会向此系统中的成员发送任何请求。
排水
这个状态表明网络服务器当前处于<em>Draining的过程中。现有连接将被关闭,但新请求不会发送到此服务器。如果您想将 Web Server Farm 服务器置于维护模式,此功能非常有用。
已移除
此状态表示web服务器已从系统中移除,不接受请求。
无法验证
表示无法验证服务器状态。
网络服务器维护
如果您想将 Web 服务器置于维护模式,请转到 Servers 选项卡,选择该服务器并单击 Drain 按钮以放置服务器进入维护模式,Forefront TMG 知道此模式不可用于平衡负载要求。使用 基于会话的亲和性,服务器将继续管理当前会话,但不会接受新连接。如果您使用 基于 IP 的亲和性,则排水服务器将停止正在接收的请求,但仍将保持与该服务器的现有连接。
图 11:Web Farm 中的服务器
警告操作
要在系统中的服务器不可用时配置警报操作,请转到监控按钮并在任务窗格中选择警报属性,然后指定当系统系统中的服务器不可用时您要执行的操作。
图 12:Web Farm 警报和检查
结束
在本文中,我们试图向您概述 Microsoft Forefront TMG 如何允许负载平衡 Web 服务器在不使用它的情况下平衡内部 Web 服务器的 Web 流量。 Windows Server 2008 R2 中提供了硬件负载平衡器解决方案或 NLB(网络负载平衡)。在我看来,Forefront TMG Web 服务器负载平衡功能是一个很好的功能,可以解决一些具有基本功能的 Web 服务器限制。
评论