Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Lync 2010 Edge Publication : Équilibrage de charge DNS ou répartition de charge matérielle ?

Posted by Teruin laurent le janvier 10, 2013


La publication des services Edge est une chose délicate car parfois incomprise par les services réseaux car impliquant des contraintes liées à la supportabilité de Nat et des flux Vidéo.

Dans l’environnement Lync deux solutions sont possibles pour publier des services Edge vers l’internet.

  • La première est de se baser sur les fonctions de répartiteur de charges matérielles déjà présentes au sein de l’entreprise.
  • La seconde est de ne pas recourir aux répartiteurs de charge pour utiliser des fonctions plus primaires que sont les fonctions d’équilibrage de charge DNS.

Mais avant de détailler les avantages et les inconvénients de deux solutions, petit rappel sur la technologie DnsLb souvent confondue avec DnsRoundRobin.

Les fonctions d’équilibrage de charge DNS (Dnslb) se basent sur la publication multiple d’une ressource de quelque nature que ce soit, (dans notre exemple nous considérons pour Lync, les ressources sip.unfiedit.com, Webcon.unifiedit.com, Av.unifiedit.com) au sein d’un DNS. Dans le cas d’un environnement Round Robin possédant deux enregistrements inscrits pour la même ressource, le serveur DNS reverra aléatoirement soit le premier soit le second enregistrement au client. Ce dernier tentera ensuite de se connecter à l’adresse Ip renvoyée par le serveur DNS et ce, même si le service en question est offline. Si le serveur Lync frontal ou Edge correspondant à cette adresse ip est hors service, alors le client Lync renverra une erreur de connexion. L’utilisateur aura peut-être la chance, une fois que le cache DNS client se soit vidé de cet enregistrement, de peut-être, tomber sur le second enregistrement et de facto se connecter alors sur le second serveur Lync qui lui est en fonction. Mais rien n’est moins sûr…. C’est le principe de la roulette.

Dans l’environnement d’équilibrage de charge DNS (Dnslb), le principe est un peu différent car dans ce cas le service DNS va renvoyer aux clients les deux enregistrements correspondants au service demandé et seul le client va décider de choisir aléatoirement telle ou telle adresses IP. C’est donc le client qui va effectuer la répartition de charge en lieu et place d’un répartiteur de charge ou d’un service DNS Round Robin. Dans l’environnement Lync sachez que les fonctions de Dnslb sont supportées pour les pools frontaux, les pools de serveurs Edge, les pools directeurs et les pools de serveurs de médiation autonomes mais pas pour la répartition de charges http. Pour celle-ci vous devrez obligatoirement passer par une répartition de charge matérielle.

Publication des Edge à travers un Équilibrage de charge DNS

Pour déployer l’équilibrage de charge DNS Dnslb sur l’interface externe de votre pool de serveurs Edge, vous avez besoin des entrées DNS suivantes et si vous comptez correctement, vous devrez dans le cas d’une publication de deux serveurs Edge recourir à 6 adresses IP publiques:

  • SIP : Pour le service Edge d’accès, vous avez besoin d’une entrée pour chaque serveur dans le pool. Chaque entrée doit résoudre le nom de domaine complet du service Edge d’accès (par exemple, sip.unifiedit.com)
  • Webconf : Pour le service Edge de conférence web, vous avez besoin d’une entrée pour chaque serveur dans le pool. Chaque entrée doit résoudre le nom de domaine complet du service Edge de conférence web (par exemple, webconf.unifiedit.com)
  • AV : Pour le service Edge audio/vidéo, vous avez besoin d’une entrée pour chaque serveur dans le pool. Chaque entrée doit résoudre le nom de domaine complet du service Edge audio/vidéo (par exemple, av. unifiedit.com)

Dans ce cas de figure 6 adresses IP publique seront nécessaires est devront être natées de l’extérieur vers les adresses IP externes de vos deux serveurs Lync Edge. C’est ce qu’illustre le schéma suivant issue de la documentation Microsoft.


Intérêts de la publication par Équilibrage de charge DNS des services Edge

L’intérêt de cette solution est quelle est relativement simple à mettre en place et permet de traverser un Firewall qui va effectuer de la translation d’adresse vers le réseau interne. Dans le cas de notre réseau par exemple, l’adresse IP publique 131.107.155.10 sera natée vers la 10.45.16.10 et la 131.107.155.11 vers le second serveur Edge répondant sur l’adresse 10.45.16.11.

Simple efficace mais…. Mais …vous avez dit mais ?

Cette solution a quelques limitations notamment dans le cas de la fédération avec des anciennes versions OCS (Ocs & OCS R2) et les messageries publiques qui elles, ne savent pas gérer les fonctions de DnsLB. L’objectif et vous l’aurez compris, est de faire de la répartition de charge a pas cher et en toute simplicité mais à la seule condition que les clients se connectant à cet environnement Lync soient en mesure de tirer profit des fonctions de DNSLB ce qui, encore une fois, n’est pas le cas des anciennes versions OCS. (Limitation présente également sur Exchange UM).

L’autre limitation que j’ai trouvée est l’impossibilité de faire une configuration en actif passif via cette technologie.

L’autre point de configuration que vous devez prendre en compte, est le fait que si vous voulez être supporté par les équipes technique de Microsoft, la répartition de charge des Edge Internes et Externes doit identique de part et d’autre des serveurs Edge. C’est-à-dire que si vous utilisez de la répartition de charge par équilibre de charge DNS coté Internet sur les serveurs Edge alors vous devez le faire également pour les cartes internes des Edges concernés.

Publication des Edge à travers des répartiteurs de charges Matériel

Dans le cas de l’utilisation de la répartition de charge les choses sont un peu plus compliquées…. car dans ce cas de figure, votre scénario de déploiement vous demandera de mettre en place 9 adresses IP publiques et de porter ces deux adresses IP directement sur des équipements que l’on aimerait voir …..un peu plus protégés.

Si vous regardez bien le schéma ci-dessous issu de la documentation Microsoft vous constaterez que les répartiteurs de charges mais aussi les cartes externes des serveurs Edge en place, portent directement les adresses IP publiques. Cette configuration si vous la présentez à votre RSSI préféré ne tardera surement pas de le faire réagir….. d’autant plus qu’il vous faudra annoncer dans un deuxième temps la liste des ports de communications à ouvrir ;-)

Pour information nous avons monté cette solution tout à fait fonctionnelle sur deux sites et nous avons pu observer grâce aux Firewall de périphérie que les clients Lync se connectaient aux HLB mais également directement vers les serveurs Edge via leurs connexions externes.


Intérêts de la publication des Edge à travers des répartiteurs de charges Matériel

L’intérêt de la publication des services Edge à travers des répartiteurs de charges matériel est à mon sens très limité, car consommateur d’adresses IP publiques, compliqué, et offrant un niveau de sécurité limité. Le seul intérêt est de fournir un seul point de connexion coté internet et permettant de facto une solution de répartition de charge pour les anciennes fédérations et les messageries publiques. Je vous laisse juge si le jeu en vaut la chandelle.

Cordialement
Laurent Teruin

 

 

 

About these ads

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 225 autres abonnés

%d blogueurs aiment cette page :