Open in app

Sign in

Write

Sign in

Topologias Clássicas: Two-Arm

Rafael Bianco Nacif
TechRebels
Published in
4 min readJan 7, 2020

Syn, syn-ack, ack 2020!!!

Fala pessoal!! Sejam bem-vindos a mais um artigo de F5 BIG-IP aqui no TechRebels! Você pode encontrar todos os meus posts publicados por aqui neste link. Recomendo que sejam lidos na ordem, caso você tenha chegado agora.

E como sempre, fiquem ligados no TechRebels e sigam-me no Medium clicando follow lá em cima para acompanhar os próximos posts.

Primeiramente, feliz 2020 pessoal! Que as festas de vocês tenham sido sem treta e que vocês tenham conseguido descansar e preparar os ânimos para esse ano que está começando! Acabou que em Dezembro/2019 não tivemos artigo novo de F5 aqui no TechRebels. Eu acabei tirando umas mini-férias… Mas estamos de volta às atividades normais por aqui. Então, sem mais delongas…

No último artigo falamos sobre a topologia one-arm, suas vantagens e desvantagens e verificamos que essa topologia one-arm acaba sempre associada ao uso do SNAT, para que o retorno do tráfego passe pelo BIG-IP. Hoje iremos explorar a topologia two-arm e verificar o que ela traz de interessante para os nossos projetos.

Então, como sempre, prepare seu café ou coca-cola geladinha e vamos nessa!

A topologia two-arm tem como principal diferencial o fato de que o fluxo entra por uma rede e, ao ser balanceado para os nodes, sai por outra. Consequentemente, o uso do SNAT em sua maioria dos casos não é necessário. Isso acontece pois os nodes normalmente utilizam o BIG-IP como default-gateway, ou seja, naturalmente o retorno do fluxo já bate no BIG-IP. Vamos olhar a topologia a seguir:

Nessa topologia, o usuário chega através do RT-1. O virtual-server foi configurado com o IP 10.122.18.200, na porta TCP-80. O pool que atende esse virtual-server possui dois nodes: 192.168.201.1 (SRV-GREEN) e 192.168.201.2 (SRV-RED). Ambos os nodes possuem como rota-default o BIG-IP no IP 192.168.201.254, ou seja, o retorno de qualquer tráfego será sempre o BIG-IP.

Muito bem… De cara temos o primeiro comentário para ser feito. Esses dois nodes (SRV-GREEN e SRV-RED), para serem gerenciados, precisam que o BIG-IP tenha um virtual-server que permita isso, concordam? Isso acontece pois uma das regras de ouro do BIG-IP é que ele é um elemento default-deny por padrão, ou seja, qualquer tráfego para passar por ele precisa ser permitido. E essa permissão acontece através dos virtual-servers.

O segundo comentário é que todo o tráfego não balanceado para esses nodes (tráfegos de gerência como DNS, NTP, atulizações e etc…) também passariam pelo BIG-IP e portanto estaríamos consumindo recursos do BIG-IP com tráfegos não balanceados (no nosso exemplo, tráfego balanceado é TCP-80). Isso pode parecer besteira, mas lembre-se que em BIG-IPs virtualizados, a licença é em cima do throughput total. E tráfego não balanceado também consome recursos dessas licenças. Se você pensar em 1 ou 2 servidores, essa tráfego é pequeno. Mas normalmente colocamos uma rede inteira atrás do BIG-IP, então fique de olho nisso!

Agora a principal vantagem dessa topologia é que os nodes enxergam o IP real do cliente uma vez que o BIG-IP não realizou nenhum SNAT. Isso pode ser observado na tabela de conexão dos nodes, vejam:

Os IPs 10.55.170.x são da rede do cliente que acessou o virtual-server 10.122.18.200. Para diversas aplicações, principalmente as aplicações web, o IP real do cliente é útil para funções secundárias. E uma vez que na topologia two-arm o IP real do cliente é mantido, temos essa facilidade a nosso favor. Então o uso do x-forward-for do HTTP não é necessário.

Vamos ao video mostrando tudo isso em prática?

Então, em resumo, uma topologia two-arm nos dá a facilidade de não esconder o IP real do cliente e facilita a vida dos desenvolvedores quando eles precisam dessa informação na aplicação. Por outro lado, dependendo do design da rede, pode ser necessário que os tráfegos de gerência sejam liberados no BIG-IP para permitir que esses servidores que estão atrás possam funcionar corretamente. E como vimos, esse tráfego consome recursos do BIG-IP e, principalmente, licença em ambientes virtualizados.

O que você achou da topologia two-arm? Prefere ela ou a one-arm? Me conta aí nos comentários! No próximo artigo iremos analisar a última topologia — e a menos comum de todas — N-path/DSR. Fiquem ligados!!

Ficou com alguma dúvida? Pode perguntar! Os comentários e perguntas ajudam a direcionar os próximos artigos! Não deixe de seguir o TechRebels e a mim aqui no Medium clicando no “follow” ali embaixo e também no Twitter!

/FIN=1

Sobre o autor

Rafael Bianco Nacif é analista de redes sênior. Graduado em Redes de Computadores, certificado F5 Solutions Expert Security, Cisco CCNP DC e RS e também AWS CSA. Iniciou a carreira na área de TI como help-desk e hoje atua em projetos de DC de alta complexidade. linkedin.com/in/rafaelbn

F5
Networking
İt
Big Ip
Techrebels

--

--

Rafael Bianco Nacif
TechRebels

Written by Rafael Bianco Nacif

375 Followers
Writer for

Senior Network Analyst | Nerd Convicto | 2xF5 CSE (Cloud/Sec), AWS CSA-Associate e CCNP DC/RS

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams