Настройка программного балансировщика нагрузки для балансировки нагрузки и преобразования сетевых адресов (NAT) Configure the Software Load Balancer for Load Balancing and Network Address Translation (NAT)

Применяется к: Windows Server 2019, Windows Server 2016 Applies to: Windows Server 2019, Windows Server 2016

С помощью этого раздела вы узнаете, как использовать программно определяемую сетевую ( ) подсистему балансировки нагрузки Sdn ( ) для обеспечения исходящего трафика преобразования сетевых адресов ( NAT ) , входящего трафика NAT или балансировки нагрузки между несколькими экземплярами приложения. You can use this topic to learn how to use the Software Defined Networking (SDN) software load balancer (SLB) to provide outbound network address translation (NAT), inbound NAT, or load balancing between multiple instances of an application.

Общие сведения о ПО Load Balancer Software Load Balancer overview

Программное обеспечение SDN Load Balancer ( SLB ) обеспечивает высокую доступность и производительность сети для приложений. The SDN Software Load Balancer (SLB) delivers high availability and network performance to your applications. Это ( TCP-балансировщик нагрузки уровня 4, ) который распределяет входящий трафик между работоспособными экземплярами службы в облачных службах или виртуальных машинах, определенных в наборе подсистемы балансировки нагрузки. It is a Layer 4 (TCP, UDP) load balancer that distributes incoming traffic among healthy service instances in cloud services or virtual machines defined in a load balancer set.

Настройте SLB, чтобы сделать следующее: Configure SLB to do the following:

• Балансировка нагрузки входящего трафика, внешнего в виртуальной сети, на виртуальные машины виртуальных машин ( ) , также называемая балансировкой нагрузки общедоступных виртуальных IP-адресов. Load balance incoming traffic external to a virtual network to virtual machines (VMs), also called public VIP load balancing.
• Балансировка нагрузки входящего трафика между виртуальными машинами в виртуальной сети, между виртуальными машинами в облачных службах или между локальными компьютерами и виртуальными машинами в распределенной виртуальной сети. Load balance incoming traffic between VMs in a virtual network, between VMs in cloud services, or between on-premises computers and VMs in a cross-premises virtual network.
• Пересылка сетевого трафика виртуальной машины из виртуальной сети во внешние назначения с помощью преобразования сетевых адресов (NAT), также называемого исходящим NAT. Forward VM network traffic from the virtual network to external destinations using network address translation (NAT), also called outbound NAT.
• Перенаправлять внешний трафик на определенную виртуальную машину, также называемую входящим NAT. Forward external traffic to a specific VM, also called inbound NAT.

Пример. Создание общедоступного виртуального IP-адреса для балансировки нагрузки пула из двух виртуальных машин в виртуальной сети Example: Create a public VIP for load balancing a pool of two VMs on a virtual network

В этом примере вы создадите объект балансировщика нагрузки с общедоступным виртуальным IP-адресом и двумя виртуальными машинами в качестве членов пула для обслуживания запросов к виртуальному IP-адресу. In this example, you create a load balancer object with a public VIP and two VMs as pool members to serve requests to the VIP. В этом примере кода также добавляется проба работоспособности HTTP для определения того, что один из членов пула не отвечает. This example code also adds an HTTP health probe to detect whether one of the pool members becomes non-responsive.

Подготовьте объект балансировщика нагрузки. Prepare the load balancer object.

Назначьте IP-адрес внешнего интерфейса, который обычно называется виртуальным IP (VIP). Assign a front-end IP address, commonly referred to as a Virtual IP (VIP).

Виртуальный IP-адрес должен быть неиспользуемым в одном из пулов IP-адресов логической сети, предоставленных диспетчеру подсистемы балансировки нагрузки. The VIP must be from an unused IP in one of the logical network IP pools given to the load balancer manager.

Выделите пул внутренних адресов, содержащий динамические IP-адреса (DIP), которые составляют элементы набора виртуальных машин с балансировкой нагрузки. Allocate a back-end address pool, which contains the Dynamic IPs (DIPs) that make up the members of the load-balanced set of VMs.

Определите проверку работоспособности, используемую подсистемой балансировки нагрузки для определения состояния работоспособности членов внутреннего пула. Define a health probe that the load balancer uses to determine the health state of the backend pool members.

В этом примере определяется HTTP-зонд, который запрашивает RequestPath «/health.htm». In this example, you define an HTTP probe that queries to the RequestPath of «/health.htm.» Запрос выполняется каждые 5 секунд, как указано свойством IntervalInSeconds. The query runs every 5 seconds, as specified by the IntervalInSeconds property.

Зонд работоспособности должен получить код HTTP-ответа 200 для 11 последовательных запросов, чтобы проверить, что серверный IP-адрес должен быть работоспособным. The health probe must receive an HTTP response code of 200 for 11 consecutive queries for the probe to consider the back-end IP to be healthy. Если серверный IP-адрес находится в неработоспособном состоянии, он не получает трафик от балансировщика нагрузки. If the back-end IP is not healthy, it does not receive traffic from the load balancer.

Не блокируйте трафик с первого IP-адреса в подсети или из него для любых списков управления доступом (ACL), применяемых к внутреннему IP-адресу, так как это точка происхождения для проб. Do not block traffic to or from the first IP in the subnet for any Access Control Lists (ACLs) that you apply to the back-end IP because that is the origination point for the probes.

Используйте следующий пример для определения пробы работоспособности. Use the following example to define a health probe.

Определите правило балансировки нагрузки для отправки трафика, поступающих на клиентский IP-адрес, на серверный IP. Define a load balancing rule to send traffic that arrives at the front-end IP to the back-end IP. В этом примере серверный пул получает трафик TCP на порт 80. In this example, the back-end pool receives TCP traffic to port 80.

Для определения правила балансировки нагрузки используйте следующий пример: Use the following example to define a load balancing rule:

Добавьте конфигурацию подсистемы балансировки нагрузки в сетевой контроллер. Add the load balancer configuration to Network Controller.

Используйте следующий пример, чтобы добавить конфигурацию подсистемы балансировки нагрузки в сетевой контроллер: Use the following example to add the load balancer configuration to Network Controller:

Выполните следующий пример, чтобы добавить сетевые интерфейсы в этот пул серверной части. Follow the next example to add the network interfaces to this back-end pool.

Пример. Использование SLB для исходящего NAT Example: Use SLB for outbound NAT

В этом примере вы настраиваете SLB с внутренним пулом, обеспечивающим возможность исходящего трафика NAT для виртуальной машины в частном адресном пространстве виртуальной сети, чтобы обеспечить доступ к исходящим подключениям через Интернет. In this example, you configure SLB with a back-end pool for providing outbound NAT capability for a VM on a virtual network’s private address space to reach outbound to the internet.

Создайте свойства балансировщика нагрузки, IP-адрес внешнего интерфейса и пул внутренних серверов. Create the load balancer properties, front-end IP, and back-end pool.

Определите правило NAT для исходящего трафика. Define the outbound NAT rule.

Добавьте объект балансировщика нагрузки в сетевом контроллере. Add the load balancer object in Network Controller.

Выполните следующий пример, чтобы добавить сетевые интерфейсы, к которым требуется предоставить доступ в Интернет. Follow the next example to add the network interfaces to which you want to provide internet access.

Пример. Добавление сетевых интерфейсов в серверный пул Example: Add network interfaces to the back-end pool

В этом примере вы добавляете сетевые интерфейсы в пул серверной части. In this example, you add network interfaces to the back-end pool. Этот шаг необходимо повторить для каждого сетевого интерфейса, который может обрабатывать запросы к виртуальному IP-адресу. You must repeat this step for each network interface that can process requests made to the VIP.

Кроме того, этот процесс можно повторить на одном сетевом интерфейсе, чтобы добавить его в несколько объектов подсистемы балансировки нагрузки. You can also repeat this process on a single network interface to add it to multiple load balancer objects. Например, если у вас есть объект подсистемы балансировки нагрузки для виртуального IP-адреса сервера и отдельный объект балансировщика нагрузки для обеспечения исходящего трафика NAT. For example, if you have a load balancer object for a web server VIP and a separate load balancer object to provide outbound NAT.

Получите объект балансировщика нагрузки, содержащий серверный пул, для добавления сетевого интерфейса. Get the load balancer object containing the back-end pool to add a network interface.

Получите сетевой интерфейс и добавьте пул баккендаддресс в массив loadbalancerbackendaddresspools. Get the network interface and add the backendaddress pool to the loadbalancerbackendaddresspools array.

Установите сетевой интерфейс, чтобы применить изменение. Put the network interface to apply the change.

Пример. Использование Load Balancer программного обеспечения для перенаправления трафика Example: Use the Software Load Balancer for forwarding traffic

Если необходимо подключить виртуальный IP-адрес к одному сетевому интерфейсу в виртуальной сети без определения отдельных портов, можно создать правило пересылки L3. If you need to map a Virtual IP to a single network interface on a virtual network without defining individual ports, you can create an L3 forwarding rule. Это правило перенаправляет весь входящий и исходящий трафик виртуальной машины с помощью назначенного виртуального IP-адреса, содержащегося в объекте PublicIPAddress. This rule forwards all traffic to and from the VM via the assigned VIP contained in a PublicIPAddress object.

Если виртуальный IP-адрес и DIP определены как одна и та же подсеть, это эквивалентно выполнению пересылки L3 без преобразования сетевых адресов (NAT). If you defined the VIP and DIP as the same subnet, then this is equivalent to performing L3 forwarding without NAT.

Для этого процесса не требуется создавать объект балансировщика нагрузки. This process does not require you to create a load balancer object. Назначение PublicIPAddress для сетевого интерфейса достаточно для того, чтобы Load Balancer программного обеспечения выполняла конфигурацию. Assigning the PublicIPAddress to the network interface is enough information for the Software Load Balancer to perform its configuration.

Создайте объект общедоступного IP-адреса, который будет содержать VIP. Create a public IP object to contain the VIP.

Назначьте PublicIPAddress сетевому интерфейсу. Assign the PublicIPAddress to a network interface.

Пример. Использование Load Balancer программного обеспечения для перенаправления трафика с динамически выделенным виртуальным IP-адресом Example: Use the Software Load Balancer for forwarding traffic with a dynamically allocated VIP

В этом примере повторяется то же действие, что и в предыдущем примере, но он автоматически выделяет VIP из доступного пула виртуальных IP-адресов в подсистеме балансировки нагрузки вместо указания конкретного IP-адреса. This example repeats the same action as the previous example, but it automatically allocates the VIP from the available pool of VIPs in the load balancer instead of specifying a specific IP Address.

Создайте объект общедоступного IP-адреса, который будет содержать VIP. Create a public IP object to contain the VIP.

Запросите ресурс PublicIPAddress, чтобы определить, какой IP-адрес был назначен. Query the PublicIPAddress resource to determine which IP Address was assigned.

Свойство IpAddress содержит назначенный адрес. The IpAddress property contains the assigned address. Выходные данные будут выглядеть следующим образом. The output will look similar to this:

Назначьте PublicIPAddress сетевому интерфейсу. Assign the PublicIPAddress to a network interface.

Пример. Удаление адреса PublicIP, который используется для перенаправления трафика, и его возврата в пул виртуальных IP-адресов Example: Remove a PublicIP address that is being used for forwarding traffic and return it to the VIP pool

В этом примере удаляется ресурс PublicIPAddress, созданный в предыдущих примерах. This example removes the PublicIPAddress resource that was created by the previous examples. После удаления PublicIPAddress ссылка на PublicIPAddress будет автоматически удалена из сетевого интерфейса, пересылка трафика будет перенаправлена, а IP-адрес будет возвращен в пул общедоступных VIP для повторного использования. Once the PublicIPAddress is removed, the reference to the PublicIPAddress will automatically be removed from the network interface, the traffic will stop being forwarded, and the IP address will be returned to the Public VIP pool for re-use.

Inbound outbound windows server nat

Вопрос

The 10.88.0.0/16 network is split into multiple sub-nets which all together form a logical, geographically distributed, internal network.

For the core router I have installed MS Windows Server 2016 core to be used as BGP router, firewall and NAT. It is the Internet facing server and handles all the internal (within the network) and external (outbound to the Internet) communications.

The server has the following roles and services:

# Install Remote Access role
Install-WindowsFeature RemoteAccess
# Install RSAT
Install-WindowsFeature RSAT-RemoteAccess-PowerShell
# Install Routing service. Reboot required
Install-WindowsFeature Routing
Install-RemoteAccess -VpnType RoutingOnly

So far all the internal networking, BGP routing and firewall works, but outbound Internet connections fail, because the internal clients do not have the global IP addresses. The Server has the proper connectivity and all the Internet resources are reachable from that host. For the server to provide connectivity to the Internet outbound source NAT is required which would do only NAT in the case if the request is outside the internal network — to the Internet (i.e., !10.88.0.0/16).

I have created the NAT with New-NetNat cmdlet, but what it essentially does — it just NATs all the sessions even the internal ones, which is not desired. There should be a way to apply NAT filter and do the outbound source NAT.

After extensive Binging, Googling and testing I have found the New-NetworkControllerLoadBalancerOutboundNatRule, but this anyway does not solve the situation as I do not see a way to apply NAT rules. There are other NAT-based cmdlets, but they are mostly oriented towards specific Azure services and mainly for inbound NAT with load balancing.