Выбор Load Balancer

Обсуждение техподдержки всего, для чего не нашлось соответствующего раздела.
slavik_ru(ripev)
Сообщения: 64
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение slavik_ru(ripev) » 27 апр 2015 20:01

to Serge De Vorop:

Мы говорили про debug и логи. Логи вполне удобно смотреть в Linux. На счет debug, например снять трафик, так лучше tcpdump ничего нет.

Если говорить про управление, то в F5 есть TMSH. Это их собственная оболочка, похожая на Cisco CLI, при этом можно настраивать по-разному.

Пример:
Создать data-group можно след способами.

1. tmsh
create ltm data-group internal TEST-GROUP { records add { 1.1.1.1/32 { } 2.2.2.0/24 { } } }

При этом, как в Cisco, изменение тут же применяется.


Или можно прям из Linux shell (bash): tmsh create ltm data-group internal TEST-GROUP { records add { 1.1.1.1/32 { } 2.2.2.0/24 { } } }
Удобно для скриптов.

2. Тоже как в Cisco, только команды не применяются сразу, а только после нажатия CTRL+D. При это если конфиг не правильный, выдаст ошибку и все.

load sys config from-terminal merge

ltm data-group internal CER_Office {
records {
10.11.100.10/32 { }
}
type ip
}

CTRL+D


Тут правда одна опасность, если забыть слово merge, то конфиг замениться :)

3. Можно проверить конфиг на правильность
load sys config from-terminal merge verify


Или просто в веб интерфейса, который тоже нормальный.

Pavel Podbelniy(PavelP)
Сообщения: 2
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение Pavel Podbelniy(PavelP) » 28 апр 2015 07:04

У нас крутятся 4 х 10250 с WAF "модулем" и десяток 8950 F5. Весь коллектив доволен железками. Тонкости возникали/возникают на этапе обновления софта. Сейчас мееедленно переходим на виртуальные LB...

slavik_ru(ripev)
Сообщения: 64
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение slavik_ru(ripev) » 28 апр 2015 07:11

to Pavel Podbelniy:
А какие там трудности? Софт у них обновляется спокойно и без проблем.

Serge De Vorop
Сообщения: 427
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение Serge De Vorop » 28 апр 2015 13:50

to Pavel Podbelniy:
Кто настраивает WAF? Ну в смысле сетевик, прогер, админ Сквида или кто?
Интересуюсь чисто из практических вопросов, ибо для себя нашел эту область сильно новой и никак не связанной с сетями. И в эксплуатации просто адский гемор и постоянные бодания с разработчиками вэб-приложений.

Nathan Murr
Сообщения: 9
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение Nathan Murr » 28 апр 2015 15:08

WAF это всякие HTTP-level attacks , SQL-injections и прочее?

slavik_ru(ripev)
Сообщения: 64
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение slavik_ru(ripev) » 28 апр 2015 15:30

to Nathan Murr:
Да. Именно web application firewall.

to Serge De Vorop:
Как по мне, так должен настраивать тот, кто понимает как WEB приложения работают и знает, какие типы уязвимостей бывают и как их исправлять. Может и сетевик, а может и безопасник. А вот прогерам я бы не давал, зачастую у них свои своеобразные представления. С ними можно тестировать вместе, но в production рулить не стоит.

А вообще эта штука позиционируется как временная затычка. Т.е. если web приложение уязвимо, устраняем это через F5 и при этом давим на программистов, чтобы исправили проблему в коде.

Serge De Vorop
Сообщения: 427
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение Serge De Vorop » 28 апр 2015 16:09

to slavik_ru:
##--А вообще эта штука позиционируется как временная затычка--##
Скорее наоборот. Так про любую централизованную систему безопасности (и не только безопасности) можно сказать. Фаервол временно пока не будет устранена уязвимость ОС. Web Proxy - пока не будут устранены проблемы в браузере. Балансер - пока не будет нормальный балансинг средствами кластера. Mail фильтры - пока не будет допилен почтовый сервер.
Штука позиционируется так, что есть в энтерпрайзе куча говно-порталов, которые в разное время писали разные люди разной квалификации разными инструментами с разной степенью требований к безопасности. Задача - не просрать полимеры.

Pavel Podbelniy(PavelP)
Сообщения: 2
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение Pavel Podbelniy(PavelP) » 28 апр 2015 16:50

to slavik_ru:
Тут беда скорее не вендора, а компетенции инженеров, отвечающих за балансеры в нашей (и не только) компании:) Плюсом компетенция контрактора, который им помогал при последнем обновлении... Я, покуда наблюдал как они все делают, сидел и недоумевал:)

Про "прогеров" даже не упоминай:) Тут сейчас ДевОпс- тема дня и всякие красноглазики лезут куда попало. Вчера скриптик писал на питоне, а сегодня начинает в сети лезть. Проблема в том, что руководство, наслушавшись воды про SDN и, неправильно поняв что к чему, начинает потокать этим Девам. Благо, после двух Bstorm'ов в продакшн их попросили расслабиться:)

to Serge De Vorop:
За WAF отвечает секурная тима.

Serge De Vorop
Сообщения: 427
Зарегистрирован: 01 янв 1970 03:00

Выбор Load Balancer

Сообщение Serge De Vorop » 29 апр 2015 13:25

to Pavel Podbelniy:
И как секурщики синхронизируют свои действия с командой вэб-разработчиков/админов?
По моему опыту, на WAF как и на фаерволе разрешается то, что требует бизнес, а остальное запрещается.
В случае вэб-приложений по факту описывается полностью алгоритм работы приложения, где какие запросы и где какие ответы, и только такие транзакции разрешаются. На практике это выглядит как next-next-finish, а потом по ходу тестов открываются новые дырки, когда что-то не работает или работает не так как надо. И тут идет достаточно кропотливая работа. Далее, в процессе эксплуатации если прогеры что-то допиливают - процесс повторяется. Я встречал компании, в которых порталы очень часто очень сильно допиливаются и изменяются, и с трудом представляю, как сторонняя, не связанная с вэб-порталами команда может за ними поспеть.


Вернуться в «Техническая поддержка: Прочее»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость