Azure Load Balancer entraîne une répartition inégale du trafic entre deux pare-feu actifs

Azure Load Balancer entraîne une répartition inégale du trafic entre deux pare-feu actifs

3497
Created On 12/27/22 00:57 AM - Last Modified 09/03/25 01:21 AM


Symptom


Lorsque 2 pare-feu actifs sont sur Azure, l’un actif firewall peut recevoir plus de trafic que l’autre.

Environment


  • Pare-feu Palo Alto VM sur la plateforme Azure
  • Soutenu PAN-OS

Cause


  • Azure Load Balancer utilise un mode de distribution basé sur le hachage à cinq tuples par défaut
    • source IP
    • Port source
    • Destination IP
    • Port de destination
    • Type de protocole
  • Le hachage est utilisé pour acheminer le trafic vers des instances backend saines au sein du pool backend
  • Lorsque le client démarre une nouvelle session à partir de la même source, le port source IPchange et provoque l’acheminement du trafic vers une instance principale différente.
  • Lorsque la persistance de session est définie sur « Aucun » dans le portail Azure, les demandes successives du même client peuvent être traitées par n’importe quelle machine virtuelle

Resolution


Utilisez la persistance de session pour résoudre le problème.
  • Le mode de persistance de session utilise un hachage à deux tuples (source IP et destination) ou à trois tuples (sourceIP, destination IPIPet type de protocole) pour acheminer vers des instances backend
  • Lors de l’utilisation de la persistance de session, les connexions du même client vont à la même instance principale dans le pool principal
  • Le mode de persistance de session comporte deux types de configuration :
  1. Client IP (2-tuple) - Spécifie que les demandes successives provenant de la même adresse client IP seront traitées par la même instance principale
  2. Client IP et protocole (3-tuple) - Spécifie que les demandes successives provenant de la même adresse client IP et de la même combinaison de protocole seront gérées par la même instance principale
La configuration du mode de distribution peut être modifiée en modifiant la règle d’équilibrage de charge dans le portail.
  • Connectez-vous au portail Azure et recherchez le groupe de ressources contenant l’équilibreur de charge que vous souhaitez modifier en cliquant sur Groupes de ressources
  • Dans l’écran de présentation de l’équilibrage de charge, sélectionnez Règles d’équilibrage de charge sous Paramètres
  • Dans l’écran Règles d’équilibrage de charge, sélectionnez la règle d’équilibrage de charge dont vous souhaitez modifier le mode de distribution
  • En vertu de la règle, le mode de distribution est modifié en modifiant la liste déroulante Persistance de session
Les options suivantes sont disponibles :
  1. Aucun (basé sur le hachage) - Spécifie que les demandes successives du même client peuvent être gérées par n’importe quelle machine virtuelle
  2. Client IP (affinité source IP à deux tules) - Spécifie que les demandes successives provenant de la même adresse client IP seront gérées par la même machine virtuelle
  3. Client IP et protocole (affinité source IP à trois tuples) - Spécifie que les demandes successives provenant de la même adresse client IP et de la même combinaison de protocole seront gérées par la même machine virtuelle
Choisissez le mode de distribution, puis sélectionnez Enregistrer
persistance de session.JPG

Additional Information


Veuillez contacter Jira pour plus d’informationsFWAAS-4519
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFrmCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language