FAQ

Un équilibreur de charge est un appareil de réseau responsable de la distribution efficace du trafic réseau entrant sur plusieurs serveurs dorsaux afin de garantir des services d’application toujours disponibles. Les équilibreurs de charge peuvent être déployés sous forme d’appareils logiciels, d’appareils matériels ou même de services. Un équilibreur de charge vous permet d’optimiser l’utilisation des serveurs et de supprimer les points de défaillance uniques dans la livraison des applications afin de garantir ce qui suit :

Résilience – Un équilibreur de charge vous permet d’exécuter plusieurs serveurs d’application pour remplir le même rôle. En cas de défaillance d’un serveur, l’équilibreur de charge le détecte et redirige le trafic vers les serveurs sains encore en ligne. Cela garantit une disponibilité et une fiabilité élevées des applications.

Évolutivité – Les équilibreurs de charge vous permettent de faire évoluer les services de manière transparente sans nuire aux performances. En ajoutant simplement plus de serveurs derrière l’équilibreur de charge pour la distribution, vous introduisez la capacité de s’adapter à une augmentation de la charge.

Capacité – Pour augmenter la capacité, il suffit d’ajouter des serveurs supplémentaires derrière l’équilibreur de charge. (Ok, ce n’est normalement pas aussi simple que cela car vous aurez probablement des bases de données et d’autres serveurs d’applications à prendre en compte, mais vous avez compris l’idée).

Les équilibreurs de charge distribuent le trafic des applications en fonction de nombreuses stratégies d’équilibrage de la charge ou de politiques d’équilibrage de la charge, comme on les appelle parfois. Afin de savoir si un serveur dorsal est en ligne et en bonne santé, un équilibreur de charge utilise la surveillance des serveurs dorsaux et la vérification de la santé des serveurs. Les principes de l’équilibrage des charges existent depuis de nombreuses années, mais ces dispositifs ont considérablement évolué, passant du dispositif de base de la couche 4 aux contrôleurs de livraison d’applications de la couche 7, beaucoup plus sophistiqués, ou ADC, comme les appelle Gartner. Les ADC offrent de nombreuses autres fonctionnalités clés, notamment la sécurité et la gestion du trafic.

Une stratégie ou une politique d’équilibrage de charge indique à l’équilibreur de charge où envoyer la prochaine demande entrante. Il existe de nombreuses stratégies d’équilibrage de la charge en fonction de la solution spécifique, mais quelques stratégies courantes sont énumérées ci-dessous :

Round Robin: La méthode d’équilibrage de la charge la plus simple, où chaque serveur reçoit une demande à tour de rôle.

Le plus petit nombre de connexions: L’équilibreur de charge garde la trace du nombre de connexions d’un serveur et envoie la requête suivante au serveur ayant le moins de connexions. Remarque: les anciens équilibreurs de charge de niveau 4 ne prennent généralement pas en charge cette fonction, car ils utilisent généralement la fonction DSR (Direct Server Return) et ne savent pas combien de connexions se trouvent actuellement sur les serveurs dorsaux.

Pondéré: En général, les serveurs se voient attribuer un pourcentage de capacité, car un serveur peut être deux fois plus puissant qu’un autre. Les méthodes pondérées sont utiles si l’équilibreur de charge ne connaît pas les performances réelles et effectives du serveur.

Temps de réponse le plus rapide: cette méthode d’équilibrage de la charge n’est normalement disponible que sur les produits les plus avancés. La demande sera envoyée au serveur qui répond le plus rapidement.

Les équilibreurs de charge effectuent des contrôles de l’état des serveurs web pour déterminer s’ils sont vivants, sains et s’ils fournissent un service. La surveillance de la santé des serveurs est la clé de la fourniture d’applications résilientes. Selon la solution choisie, certains équilibreurs de charge peuvent utiliser des contrôles de santé de niveau 7 qui offrent une plus grande sophistication dans la détection des problèmes. Vous trouverez ci-dessous un résumé des différentes méthodes de contrôle de la santé des serveurs.

Ping: Il s’agit de la méthode la plus simple pour vérifier l’état de santé d’un serveur, mais elle n’est pas très fiable car l’équilibreur de charge peut signaler que le serveur est opérationnel, alors que le service web peut toujours être hors service.

TCP Connect: Il s’agit d’une méthode de contrôle de santé plus sophistiquée qui permet de vérifier si un service est opérationnel. Les services sur le port 80 pour le web en sont un exemple.

Simple HTTP GET: Cette méthode de contrôle de l’état du serveur consiste à envoyer une requête HTTP GET au serveur web et à vérifier qu’il y a une réponse en-tête telle que 200 OK.

HTTP GET complet: Ce contrôle de la santé du serveur effectue un GET HTTP et vérifie le corps du contenu pour une réponse correcte. Cette fonction n’est disponible que sur certaines des solutions d’équilibrage de charge les plus avancées, mais c’est la meilleure méthode pour les applications Web, car elle permet de vérifier que l’application réelle est disponible.

Contrôles de santé du serveur personnalisables: Certaines solutions d’équilibrage de charge sont capables d’accueillir des moniteurs personnalisés pour les applications TCP/IP afin de mieux contrôler leurs services applicatifs spécifiques.

La persistance est une fonctionnalité requise par de nombreuses applications web et sites web. Une fois qu’un utilisateur a interagi avec un serveur particulier, toutes les demandes ultérieures sont envoyées au même serveur, ce qui permet de “persister” vers ce serveur particulier. La persistance de la session assure la continuité du service et une expérience transparente pour l’utilisateur final. C’est souvent une exigence des applications de commerce électronique dont l’état de la session est stocké sur le serveur web local, par opposition à une base de données partagée. La persévérance peut prendre de nombreuses formes…

Cookie de l’équilibreur de charge: L’équilibreur de charge définira un cookie sur le client et l’utilisera pour identifier le serveur dorsal à utiliser pour cet utilisateur.

Cookies de session d’application: De nombreux serveurs d’application définissent déjà leur propre ID de session, comme le cookie de session jsp ou Asp.net. Vous pouvez configurer l’équilibreur de charge pour qu’il les utilise.

Basé sur l’IP: Utilise l’adresse IP du client pour persister. Cette méthode fonctionne pour la couche 4 et la couche 7.

Session SSL: Utilise l’ID de la session SSL. Ce n’est pas très courant, car l’ID de la session peut changer, ce qui entraîne une perte de persistance.

Cookie de session RDP: Utilisé pour les connexions RDP.

Il s’agit d’un terme utilisé pour décrire un équilibreur de charge avancé. Aujourd’hui, la plupart des équilibreurs de charge sont des appareils de couche 7, situés dans une position privilégiée entre l’application et les clients. Grâce à la visibilité de l’ensemble du trafic, l’équilibreur de charge peut remplir un certain nombre de fonctions allant au-delà du simple équilibrage de charge et de la redondance des serveurs. L’équilibrage de la charge est l’une des nombreuses caractéristiques d’un CDA, notamment :

• Gestion du trafic de la couche 7
• Accélération de l’application
• Mise en cache du contenu
• Pare-feu d’application
• Mise en commun et limitation des connexions
• Pré-authentification et authentification unique
• Proxying

Les termes “couche 4” et “couche 7” font référence aux couches de protocole sur lesquelles un équilibreur de charge fonctionne dans le modèle de réseau OSI. Les équilibreurs de charge de couche 4 opèrent au niveau de la couche de transport, tandis que les équilibreurs de charge de couche 7 opèrent au niveau du protocole applicatif, ce qui leur permet d’avoir une meilleure visibilité et une meilleure compréhension de l’application qu’ils traitent eux-mêmes. Cela permet des fonctionnalités avancées et des caractéristiques d’optimisation, notamment la gestion intelligente du trafic, la mise en cache du contenu, la sécurité et la compression. Fonctionnalités d’accélération Les équilibreurs de charge de couche 4 sont toujours disponibles, bien que leur part de marché ait considérablement diminué à mesure que les équilibreurs de charge avancés et les ADC de couche 7 deviennent plus puissants et plus rentables.

SSL (Secure Sockets Layer) est utilisé pour décrire le processus de cryptage de la connexion, généralement au moyen d’un certificat privé. HTTPS est HTTP exécuté sur une connexion SSL cryptée. SSL peut être une opération très gourmande en ressources CPU, ce qui réduit la vitesse et la capacité du serveur web. En confiant la terminaison SSL à un équilibreur de charge, vous pouvez gérer vos certificats de manière centralisée et libérer vos serveurs pour qu’ils se concentrent sur la fourniture de l’application plutôt que sur le décryptage du SSL.

Un WAF ou Web Application Firewall est un dispositif de sécurité conçu spécifiquement pour atténuer les menaces au niveau de la couche application, c’est-à-dire la couche 7. Plus précisément, un pare-feu d’application Web est conçu pour fonctionner avec les protocoles HTTP et HTTPS. Ils fonctionnent en conjonction avec un pare-feu de réseau standard qui bloque généralement les ports. Pour qu’une application puisse offrir un service public, certains ports (tels que 80 et 443 pour une application web HTTP/HTTPS typique) doivent être ouverts. Les pirates exploitent ces ports ouverts, révélant ainsi la nécessité d’une nouvelle couche de protection supplémentaire. C’est là qu’un pare-feu applicatif ou WAF entre en jeu. Un pare-feu d’application Web examine les requêtes et les réponses HTTP pour déterminer si elles sont valides ou non. Certaines requêtes peuvent être valables pour un site/une page mais pas pour un autre. Dans de nombreux cas, les pare-feu d’application peuvent nécessiter une configuration plus poussée. La norme PCI DSS exige qu’un pare-feu applicatif bloque certaines menaces standard, conformément aux 10 principales menaces publiées par l’OWASP.