Раздел: Документация

0 ... 78 79 80 81 82 83 84 ... 131

Порядок работы) протокола CARP

Протокол CARP обеспечивает эффективную маршрутизацию запросов. Далее описаны

предусмотренные в этом протоколе этапы обработки запроса.

Все серверы занесены в список членов массива, который хранится в базе данных службы Active Directory. Члены массива оповещаются о любых удалениях или добавлениях серверов.

2.Клиент \Ш>-прокси или расположенный ниже в иерархии сервер периодически опрашивает члены массива и в случае необходимости обновляет их список. При этом клиент Web-прокси направляет запрос ;Braydir;yermaniu..:,a!p(, а серверы — запрос arniy.dir.get. nlb.v I.

3.При запросе объекта для определения сервера, который должен его обслужить, клиент или сервер более низкого уровня в иерархии использует список членов массива и предварительно вычисленный хеш URL-адреса.

4.Для каждого из ISA-серверов хеш URL-адреса объединяется с хешем каждого из ISA-серверов. Сервер, для которого эта комбинация имеет наибольшее значение, становится «владельцем» кэшируемой информации.

5.Сервер проверяет, должен ли он обрабатывать запрос. Если нет, запрос пересылается другому члену массива по его IP-адресу внутри массива.

Таким образом определяется местоположение всей кэшированной информации, что позволяет браузерам и серверам более низкого уровня иерархии получать точное локальное местоположение информации, расположенной по запрашиваемому URL-адресу (или

место, где она хранится после кэширования). Так как статистический разброс вычисляемых на этапе 3 хешей очень широк, нагрузка распределяется между серверами массива практически равномерно. Кроме того, благодаря эффективному алгоритму определения пути разрешения запросов средствами CARP не требуется поддерживать объемные цы с информацией о местоположении кэшируемой информации. Чтобы определить место хранения информации, браузер просто вычисляет определенные значения (хеши).

Отдельные ISA-серверы массива могут отличиться составом оборудования и мощностью, поэтому иногда требуется распределять нагрузку кэширования неравномерно. Для этой цели в параметрах протокола CARP для отдельных членов массива указывается коэффициент их нагрузки.

Кроме того, CARP настраивается на различный порядок обработки входящих и исходящих Web-запросов. Например, использование CARP разрешается для всех исходящих Web-запросов (запросов к Web-серверу в Интернете) и запрещается - для всех входящих запросов (из Интернета к внутреннему Web-серверу).

Настройка протокола CARP

По умолчанию CARP разрешен для исходящих Web-запросов и запрещен для вчч; ринк. То есть по умолчанию ISA-сервер использует CARP для кэширования объектов всходящих Web-запросов на любом из серверов массива, но при включенном обратном кэшировании при публикации серверов объекты входящих Web-запросов кэшируются на одном определенном сервере.

► Включение протокола CARP

1. В дереве консоли ISA Management шелкните правой кнопкой мыши выбранный массив и в контекстном меню выберите Properties. Откроется диалоговое окно <имя массива> Properties.

---

222Обречение безопасности сети предприятия

Глава 7

2. На вкладке Incoming Requests (входящие Web-запросы) или Outgoing Web Requests (исходящие Web-запросы) установите флажок Resolve requests within array before routing

(разрешать запросы внутри массива до маршрутизации).

Когда член массива определяет, что запрашиваемый объект отсутствует в его кэше, он посылает запрос другому члену масеита по внутреннему IP-адресу. Обычно этот IP-адрес не отличается от используемого для взаимодействия с этим ISA-сервером клиентами и другими ISA-серверами. Поскольку этот адрес должен реплицироваться на все ISA-серве-ры массива, его не рекомендуется изменять.

► Настройка взаимодействия компьютеровмассива

1.В дереве консоли ISA Management щелкните Computers.

2.В области сведений щелкните правой кнопкой мыши нужный сервер и в контекстном меню выберите Properties. Откроется диалоговое окно свойств выбранного сервера.

3.На вкладке Array Membership в текстовом поле введите IP-адрес компьютера внутри массива.

4.Щелкните кнопку ОК.

Примечание Чтобы использовать протокол CARP для входящих Ш>запросов, убедитесь, что IP-адрес, применяемый для взаимодействия компьютеров внутри массива (по умолчанию это внутренний IP-адрес), «прослушивает* Wfeb-запросы на том же порту, что и IP-адрес, настроенный на прослушивание входящих Web-запросов. (По умолчанию используется порт 80.) Для этого настройте свойства входящих Web-запросов массива на использование одной конфигурации прослушивания всех IP-адресов. Этот параметр устанавливается

на вкладке Incoming Web Requests диалогового окна свойств массива. Кроме того, разрешается добавить адрес, используемый для взаимодействия компьютеров внутри массива в список прослушивания поступающих Web-запросов.

Настройка коэффициента нагрузки

Как уже говорилось ранее,возможность настроить члены массива на обслу-

живание различной нагрузки. Например, если жесткий диск одного из серверов массива в

4 раза больше, чем у остальных, настройка коэффициента нагрузки позволит добиться,

чтобы он хранил и обслуживал во столько же раз больший кэш- Изменяя это значение, вы сможете отрегулировать нагрузку на

► Настройка коэффициента нагрузки

1.В дереве консоли ISA Management щелкните папку Computers.

2.В области сведений щелкните правой кнопкой мыши выбранный компьютер и в контекстном меню выберите Properties Откроется диалоговое окно свойств сервера.

3.На вкладке Array Membership введите в области Load Factor значение относительного

коэффициента нагрузки.

4.Щелкните кнопку ОК.

CARP и загрузка содержимого по расписанию

Выполняя загрузку содержимого по расписанию, ISA-сервер использует параметры CARP для исходящих Web-запросов. Это касается заданий в соответствии с Web-запросами обоих типов: исходящих и входящих. Поэтому, чтобы при загрузке содержимого по расписанию объектына всех серверах массива, рекомендуется отключить CARP для исходящих Web-запросов.

---

Резюме

ISA-сервер устанавливается как изолированный сервер или как член массива. Для изолированного сервера членство в домене Windows 2000 не обязательно, и на него не действуют политики предприятия. Массивы объединяют несколько ISA-серверов и при соответствующей, настройке наследуют политики предприятия. Чтобы создать массив из нескольких серверов, нужно установить первый ISA-сервер как член массива, остальные ISA-серверы присоединяются к созданному массиву. Прежде чем создавать массив, необходимо выполнить процедуру инициализации предприятия — расширить схему службы каталогов Active Directory путем внесения схемы ISA-сервера. Инициализация предприятия также позволяет выдвигать изолированные серверы в члены массива.

Массивы обладают рядом преимуществ перед изолированными серверами, в частности, они более надежны и производительны. При обслуживании клиентов брандмауэра отказоустойчивость достигается путем использования двух и более ISA-серверов совместно с DNS-сервером. В этом случае всем ISA-серверам присваивается одно и то же DNS-имя, а сервер DNS конфигурируется на циклическое обслуживание. При обслуживании клиентов сервером Secure NAT отказоустойчивость достигается использованием двух и более ISA-серверов под управлением службы балансировки сетевой нагрузки (Network Load Balancing, NLB). Эта служба поставляется в составе Windows 2000 Advanced Server или Windows 2000 Datacenter Server.

Массивы также позволяют повысить производительность кэширования. Для оптимизации Web-кэширования и маршрутизации Web-запросов применяется протокол CARP (Cache Array Routing Protocol). По умолчанию ISA-сервер использует CARP для кэширования объектов исходящих Web-запросов на всех серверах массива, но объекты, кз ззиру-емые по входящим Web-запросам, хранятся лишь на одном из серверов.

ISA-сервер содержит средства архивирования и восстановления информации о конфигурации массива, в том числе: правил политики доступа, правил публикации, элементов политик, конфигурации оповещений, конфигурации кэша и свойств массива.

тов политик, конфигурации оповещений, конфигурации кэша и свойств массива.

0 ... 78 79 80 81 82 83 84 ... 131