Azure Load Balancer provoca una distribución desigual del tráfico entre dos firewalls activos

Azure Load Balancer provoca una distribución desigual del tráfico entre dos firewalls activos

3481
Created On 12/27/22 00:57 AM - Last Modified 09/03/25 01:21 AM


Symptom


Cuando hay 2 firewalls activos en Azure, uno activo firewall puede recibir más tráfico que otro.

Environment


  • Firewalls de Palo Alto VM en la plataforma Azure
  • Apoyado PAN-OS

Cause


  • Azure Load Balancer usa un modo de distribución basado en hash de cinco tuplas de forma predeterminada
    • Fuente IP
    • Puerto de origen
    • Destino IP
    • El puerto de destino
    • Tipo de protocolo
  • El hash se usa para enrutar el tráfico a instancias de back-end en buen estado dentro del grupo de back-end
  • Cuando el cliente inicia una nueva sesión desde el mismo origen, el puerto de origen IPcambia y hace que el tráfico vaya a una instancia back-end diferente
  • Cuando la persistencia de sesión se establece en "Ninguna" en Azure Portal, las solicitudes sucesivas del mismo cliente pueden ser controladas por cualquier máquina virtual

Resolution


Utilice la persistencia de sesión para resolver el problema.
  • El modo de persistencia de sesión utiliza un hash de dos tuplas (origen y destino) o de tres tuplas (origen IP IP, destino IPIPy tipo de protocolo) para enrutar a instancias back-end
  • Cuando se usa la persistencia de sesión, las conexiones desde el mismo cliente irán a la misma instancia de back-end dentro del grupo de back-end
  • El modo de persistencia de sesión tiene dos tipos de configuración:
  1. Cliente IP (2 tuplas): especifica que las solicitudes sucesivas de la misma dirección de cliente IP serán manejadas por la misma instancia de back-end.
  2. Cliente IP y protocolo (3-tupla): especifica que las solicitudes sucesivas de la misma dirección de cliente IP y combinación de protocolo serán manejadas por la misma instancia de back-end.
La configuración del modo de distribución se puede cambiar modificando la regla de equilibrio de carga en el portal.
  • Inicie sesión en Azure Portal y busque el grupo de recursos que contiene el equilibrador de carga que desea cambiar haciendo clic en Grupos de recursos
  • En la pantalla de descripción general del equilibrador de carga, seleccione Reglas de equilibrio de carga en Configuración
  • En la pantalla Reglas de equilibrio de carga, seleccione la regla de equilibrio de carga que desea cambiar el modo de distribución
  • Según la regla, el modo de distribución se cambia cambiando el cuadro desplegable Persistencia de sesión
Están disponibles las siguientes opciones:
  1. Ninguno (basado en hash): especifica que cualquier máquina virtual puede controlar las solicitudes sucesivas del mismo cliente.
  2. Cliente IP (afinidad de origen IP de dos tupla): especifica que las solicitudes sucesivas de la misma dirección de cliente IP serán controladas por la misma máquina virtual.
  3. Cliente IP y protocolo (afinidad de origen IP de tres tuplas): especifica que las solicitudes sucesivas de la misma dirección de cliente IP y combinación de protocolos serán manejadas por la misma máquina virtual.
Elija el modo de distribución y, a continuación, seleccione Guardar
Persistencia de la sesión.JPG

Additional Information


Consulta Jira para obtener más información.FWAAS-4519
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFrmCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language