Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2239 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Load balancer and default gateway as separate instances

coewar
Hi.  I have tried to have 1 instance of an Astaro be the default gateway for some VM's, and a separate Astaro instance to be the Load Balancer of incoming traffic. This did not work as the responses from the VM's did not make it back to the LB. So what I had to do, was make the LB also be the default GW.

Is that a real limitation, or is there something I can configure in either of the Astaro instances to make this work?

My goal is to leave load balancing instace do nothing but that, and leave room to potentially replace it with something else should performance or stability be an issue.


This thread was automatically locked due to age.
  • 0
    It seems like you could use a static (policy?) route in the DG (or the balanced servers) to get the traffic back to the Load Balancer if it's not the DG.

    My goal is to leave load balancing instace do nothing but that, and leave room to potentially replace it with something else should performance or stability be an issue.

    This has been a part of Astaro for many years, so I'd be surprised if it had any stability problems.  If these are web servers, you might want to do a trial of Web Application Security - although the technology is not new, performance might be an issue for you, but reports are that it is very stable.

    Cheers - Bob
  • 0
    Can't use a static policy to address this. Maybe some other type of policy. Here's why:

    public inbound traffic comes from whatever IP. If that gets forwarded to the real servers then the default GW would need a policy to route back to the LB instance, but the problem is that it would have to essentially route ANY network.. which would defeat the point of being a default GW to provide internet access to the VM's.

    One of the things I'm trying to do is to allow the LB to forward traffic to a completely different data center (as a fail-over, not for balancing load).  This is possible with some routers from what I read, but I don't know how they could do that.
  • 0
    I possibly could use a policy on the default GW router if on the LB I SNAT to make it look like it comes from the LB. I'd prefer not to do that though to be able to see the real IP's at the web applications.
  • 0
    I may not be understanding your topology, but a couple thoughts...

    Why not just put the LB "between" the servers and the DG?  Use a Firewall rule '{Servers} -> Any -> Any : Allow'. Set the default gateway of the LB to the DG instance, and set the servers to use the LB instance as their default gateway.  I think you could bridge the two interfaces to avoid double-NATting.

    If you want to have {Servers} use the DG as default gateway, I think that could work, too.  Say these are web servers with HTTP and HTTPS.  Make policy routes on the servers for response packet traffic: [443->1:65535] and [80->1:65535], routing those packets to the LB instance instead of the DG.

    Having said all that, I still think you owe it to yourself to try a bridged instance of Web Application Security (WebApp) instead of using Load Balancing.  It also is capable of doing load balancing.  The WebApp subscription costs a little more than the NetSec subscription needed for Load Balancing, but would offer a lot more protection.  In fact, given the way licenses counts work (only a single counter), unless you already can justify Full Guard, it's a better deal to have a separate 10-IP license for a separate WebApp instance.

    Cheers - Bob
  • 0
    I would bridge eth0 and eth1 together on the instance behind the FW instance? That's to make it look like there is no router there doing anything?

    I'll try that as well as the Web application security.