Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2241 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Load balancer and default gateway as separate instances

coewar
Hi.  I have tried to have 1 instance of an Astaro be the default gateway for some VM's, and a separate Astaro instance to be the Load Balancer of incoming traffic. This did not work as the responses from the VM's did not make it back to the LB. So what I had to do, was make the LB also be the default GW.

Is that a real limitation, or is there something I can configure in either of the Astaro instances to make this work?

My goal is to leave load balancing instace do nothing but that, and leave room to potentially replace it with something else should performance or stability be an issue.


This thread was automatically locked due to age.
Parents
  • 0
    I may not be understanding your topology, but a couple thoughts...

    Why not just put the LB "between" the servers and the DG?  Use a Firewall rule '{Servers} -> Any -> Any : Allow'. Set the default gateway of the LB to the DG instance, and set the servers to use the LB instance as their default gateway.  I think you could bridge the two interfaces to avoid double-NATting.

    If you want to have {Servers} use the DG as default gateway, I think that could work, too.  Say these are web servers with HTTP and HTTPS.  Make policy routes on the servers for response packet traffic: [443->1:65535] and [80->1:65535], routing those packets to the LB instance instead of the DG.

    Having said all that, I still think you owe it to yourself to try a bridged instance of Web Application Security (WebApp) instead of using Load Balancing.  It also is capable of doing load balancing.  The WebApp subscription costs a little more than the NetSec subscription needed for Load Balancing, but would offer a lot more protection.  In fact, given the way licenses counts work (only a single counter), unless you already can justify Full Guard, it's a better deal to have a separate 10-IP license for a separate WebApp instance.

    Cheers - Bob
Reply
  • 0
    I may not be understanding your topology, but a couple thoughts...

    Why not just put the LB "between" the servers and the DG?  Use a Firewall rule '{Servers} -> Any -> Any : Allow'. Set the default gateway of the LB to the DG instance, and set the servers to use the LB instance as their default gateway.  I think you could bridge the two interfaces to avoid double-NATting.

    If you want to have {Servers} use the DG as default gateway, I think that could work, too.  Say these are web servers with HTTP and HTTPS.  Make policy routes on the servers for response packet traffic: [443->1:65535] and [80->1:65535], routing those packets to the LB instance instead of the DG.

    Having said all that, I still think you owe it to yourself to try a bridged instance of Web Application Security (WebApp) instead of using Load Balancing.  It also is capable of doing load balancing.  The WebApp subscription costs a little more than the NetSec subscription needed for Load Balancing, but would offer a lot more protection.  In fact, given the way licenses counts work (only a single counter), unless you already can justify Full Guard, it's a better deal to have a separate 10-IP license for a separate WebApp instance.

    Cheers - Bob
Children
No Data