文章目录
深信服AD应用交付
先进的应用交付产品(ADC)能帮助用户缓解来自于当今复杂应用环境部署和交付的挑战。过去的十年,伴随着企业级应用以业务流程和用户生产力为目标,向基于浏览器模式的大量迁移,同时也见证了面向服务架构(SOA) 、Web2.0和现今云计算模型被广泛采用。
基于改善业务应用环境的理念,应用交付产品提供了一系列功能以应付复杂的网络环境。在业务持久性、终端用户访问体验、数据中心可用性等多个应用领域,均可通过部署应用交付产品予以优化。此外,应用交付产品能够帮助减少所需部署的服务器数量,提供实时的控制机制助力于数据中心虚拟化,降低数据中心的供电和冷却方面的要求,使用户的业务更好地顺应紧凑、节能、环保的趋势。
随着Internet的快速发展和业务量的不断提高,基于网络的数 据访问流量迅速增长,特别是数据中心、大型企业以及门户网站等,对业务的交付能力和可靠性等都提出了更高的要求。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效又 透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强 网络数据处理能力、提高网络的灵活性和可用性。
1.应用交付解决方案概述
1.1 传统路由器的负载均衡方式
传统的边界路由器的运营商链路负载方式只有通过ECMP或策略路由的方式来实现
(1)路由器ECMP链路负载方式
路由器ECMP链路负载方式:配置多条等价默认路由分别指向不同的ISP,通过路由选路将内网用户上网数据量HASH到ISP链路上实现链路负载
缺点:无法根据链路带宽进行区分调度,经常出现跨运营商转发情况,如访问电信的服务器被转发到联通ISP,配置NAT映射会出现来回路径不一致访问不通的情况,资源利用率低
(2)路由器策略路由链路负载方式
路由器策略路由链路负载方式:对内网网段进行划分,配置策略路由指定某网段的用户强制走指定的ISP链路,其余流量通过匹配默认路由转发
缺点:无法根据链路带宽进行区分调度,还是会出现跨运营商转发情况,调度策略不灵活,资源利用率低
缺点:网络建设成本高,维护复杂,服务器负载不均匀,资源利用率低,业务可靠性低
1.2 AD应用交付解决方案
负载均衡(Load Balance,简称LB),是一种服务器或网络设备的集群技术。负载均衡将特定的业务(网络服务、网络流量等)分担给多个服务器或网络设备,从而提高了业务处理能力,保证了业务的高可用性。
应用交付(Application Deliver,简称AD),与负载均衡相比,在强调稳定性的基础上,增加了智能和优化方面的功能特性,以帮助用户应对来自于复杂应用环境中部署并交付服务的挑战。
负载均衡技术是应用交付解决方案的核心,负载均衡是在原有网络结构之上提供了一种廉价、有效、透明的方法,来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
扫描二维码关注公众号,回复: 6775873 查看本文章
它有两方面的含义:
(1)大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间;
(2)出口多线路链路负载时,自动选择最优的线路实现带宽的合理高效使用。
在企业网服务器群中部署负载均衡设备,主要可以达到以下效果:
(1)解决用户并发访问时的网络拥塞;
(2)抵御来自内外部的DoS攻击,保证服务器安全;
(3)避免了网络关键服务出现单点失效;
(4)提高服务器及其他资源的利用效率;
(5)提高服务器响应速度,为用户提供更好的服务质量
2.应用交付组网方案
深信服AD系列应用交付产品支持路由、旁路两种部署模式,支持VLAN、STP等局域网协议,并可与动态路由协议(例如OSPF、RIPv1、RIPv2)网络进行对接,以帮助用户应对各种复杂的网络环境。在业务持久性、终端用户访问体验、数据中心可用性等多个应用领域,均可通过部署AD设备予以优化。
在AD设备上启动SNMP服务后,用户可使用SNMP客户端软件查询到AD设备的CPU负载、内存占用、新建连接、并发连接、吞吐量等各种信息,方便地监控设备的硬件负载状况。此外,AD设备也支持 ACL功能,允许用户根据连接的五元组对访问进行精确的控制。
2.1 部署模式
部署模式是指设备以什么样的工作方式部署到用户网络中去,不同的部署方式对用户的网络影响各有不同,具体以何种部署方式需要综合用户具体的网络环境和用户的功能需求而定。
(1)路由模式
网关部署模式一般是将AD部署在互联网出口或者是内网服务器前端,逻辑网络层面,设备有两个或多个接口连接到网络内,数据经过路由转发会穿过设备。设备配置里,既有WAN属性接口,也有LAN属性的接口
将深信服AD 设备通过网关模式串接在用户网络链路中,所有流量都通过 AD处理,当用访问请求到达深信服AD时,深信服 AD设备将根据预先设定的策略,将用户流量分配到最佳的互联网链路之上,同时在服务器群组中为用户提供性能最佳的服务器,保证用户访问体验,提高用户满意度。此种部署模式适合于链路负载、服务器负载以及全局负载需求。
路由部署Ⅰ
常规的AD 设备部署模式,可以同时实现服务器负载和多链路负载,AD设备上做 NAT,防火墙做透明模式。
路由部署Ⅱ
防火墙上做 NAT(WAN1-LAN1 / WAN2-LAN2),AD设备做路由,可以同时实现服务器负载和多链路负载。防火墙需要同时接两条线到AD设备上,做DNS 端口映射。
(2)旁路模式
旁路部署模式是AD旁路在接入或者核心交换机上,只有需要做负载的流量转发到AD做负载均衡策略,其它业务或者服务器访问外网的流量直接从交换机转发。
在AD逻辑网络层面,只有一个口连接到网络内。所有数据的进出都是通过这个接口完成的,这个接口在设备配置里是WAN口属性,不配置LAN属性的接口。旁路模式无法做出方向负载均衡
深信服AD设备以旁路模式部署到网络之中,此种模式不会改变客户的网络结构,同时设备上架时不会造成业务的中断,可以实现设备的快速简单部署。当用户请求到达深信服AD设备,根据预先设定的负载据策略为用户选择最佳服务器,提升服务器利用率,避免服务器任务分配不均的情况出现,此种模式适合于服务器负载均衡需求。
旁路部署Ⅰ
防火墙做端口映射或直通到 AD 设备,只要 DNS请求能够到达设备就可实现对入站流量的链路负载均衡,同时也可以实现对服务器的负载均衡。
旁路部署Ⅱ
此种旁路多线的部署模式,要求前端防火墙支持策略路由功能,并针对AD的 WAN口地址做策略路由,可实现对出站和入站流量的链路负载均衡,以及对服务器的负载均衡。
3.应用交付功能特性
3.1 智能路由
智能路由本质上是一种高级策略路由,可基于数据流的源地址、目的地址、 协议端口等条件进行选路,实现多条外网线路智能负载
如图所示,配置智能路由可以实现内网用户访问电信公网业务走电信ISP线路, 访问联通公网业务走联通ISP链路,其余流量自动选路,避免了跨运营商访问 情况,提高用户公网访问速度,充分利用ISP链路带宽
AD应用交付设备默认内置了精准的 ISP地址段可供智能路由使用,匹配条件都可自定义,选路策略更加灵活。
需要注意的是智能路由的优先级比静态动态路由低,如果路由表里面有其他的默认路由会导致智能路由失效
智能路由直接关联的匹配条件:
1、源地址
2、目的地址、域名、应用
3、协议条件
智能路由隐含关联的条件:
1、链路状态(是否正常可用)
2、链路带宽繁忙程度
3、DNS代理解析的目标地址
4、智能路由匹配顺序
3.2 DNS代理
3.2.1 应用场景
用户环境:用户网络结构如下图所示。有两条公网线路电信和联通承载内网用户上网业务,已使用负载设备的智能路由功能针对上网的流量做了合理的策略选路
用户需求:内网终端配置的DNS地址很随机,针对DNS解析的流量无法保障在电信和联通之间均衡调度,间接也导致了出口线路的整体流量不均。
客户内网有一台web服务器映射到公网,内网也可以使用公网域名www.xxx.com访问,但是DNS解析流量和WEB访问流量均需要经过AD设备,需要内网用户访问域名时直接解析为服务器内网地址访问
3.2.2 解决方案
针对出站链路DNS域名流量不均衡以及配置内网DNS解析策略的场景,诞生了DNS代理的功能。
启用DNS代理功能后,AD会按照设置的匹配规则截取经过设备的DNS数据,然后按照自身的选择策略来决定从哪个接口找哪个DNS服务器发送域名请求,实现域名解析流量的均衡。并且可以在DNS代理中配置DNS记录,使内网访问指定域名时解析为指定地址进行访问
3.2.3 需求配置
根据对应的配置来决定是否需要截取DNS解析流量做代理;匹配代理的解析再按照选择策略来决定从哪个线路的DNS服务器去解析。
DNS代理还可以实现一些特殊的需求,如指定的域名需要从指定的线路DNS服务器去解析。 或配置DNS记录,指定某些域名解析成对应的IP地址
3.3 智能DNS
3.3.1 应用场景
用户环境:出口有两条运营商线路分别为电信和联通,内网有1台服务器提供WEB服 务。已经从域名服务商注册域名www.xxx.com,通过域名www.xxx.com可以解析成电信和联通线路的公网地址,经过AD的NAT映射访问到内部WEB服务。由于公网DNS服务器无法根据不同运营商的用户返回不同的地址,会出现跨运营商访问WEB服务慢的情况,且当出口线路出现故障时无法感知导致WEB服务访问不通。
用户需求:根据用户所属运营商返回对应出口链路的IP地址,联通用户从联通链路访 问到服务器,电信用户从电信访问,其他运营商自动选择最快链路访问。如果某条出口链路异常,自动切换到正常链路
3.3.2 解决方案
在AD应用交付设备上启用DNS服务器功能,同时监听两条公网链路的DNS请求,域名提供商配置域名www.xxx.com的NS记录指向AD的电信联通链路公网地址。使外网用户解析域名时DNS请求能够发送到AD设备上。
AD上配置智能DNS,对域名解析过程中引入智能解析的策略,实现智能DNS解析, 联通用户返回联通地址,电信用户返回电信地址。并在AD上配置链路健康检测,某条公网链路故障自动切换到正常链路
3.3.3 基本原理
第一步:外网用户将DNS解析请求发送给Local DNS服务器。
第二步:Local DNS将通过查询本地记录发送请求给域名提供商。
第三步:域名提供商将域名对应的NS记录和NS记录对应的A记录返回给Local DNS服务器。
第四步:Local DNS根据域名供应商返回的NS记录值将请求(A)发送给AD设备(212.10.204.28)。
第五步:AD接收到DNS请求数据, 目的IP为220.10.15.1,匹配上DNS服务器,解析该DNS报文,发现请求域名是www.xxx.com,匹配上智能DNS策略,根据DNS请求报文的源地址,返回联通IP地址给 Local DNS。
第六步:Local DNS将AD联通IP地址告诉客户端,客户端通过联通IP访问WEB服务
3.4 虚拟服务
3.4.1 应用场景
用户环境:出口有两条线路分别为电信和联通,AD上已经配置了智能DNS做入站负载,内网新增2台服务器提供相同的WEB服务器对外提供服务。传统的NAT端口映射无法将同一IP的同一端口映射给多台服务器,无法监控服务器状态只提供转发服务,服务器出现故障无法自动切换
用户需求:需要将内网三台Web服务器作为冗余设备方式发布到公网供访问。保证不管哪台服务器故障均不能影响正常的业务接入
3.4.2 解决方案
在AD应用交付设备上配置虚拟服务将电信和联通公网IP的Web服务与内网的三台Web服务器就关联,通过访问电信或联通IP的Web服务能够调度访问到三台Web服务器,并为服务器配置状态监视器,实时监控服务器状态,当服务器出现异常时,自动将访问数据量调度到正常的服务器上。
3.4.3 基本原理
虚拟服务可以理解为高级版端口映射,能够实现一对多或多对多的服务映射进行**三层、四层和七层的负载均衡**,并且具有更多的优化功能
1.节点选择策略:根据调度策略选择服务器节点对用户提供服务
2.会话保持:保证同一用户前后连接在超时范围内调度到同一个服务器节点
3.节点监视器:实时监控服务器节点的服务状态,当节点服务状态异常时自动将节点设置为离线状态,访问数据不再往离线节点调度
1.三层负载:三层负载是对整个IP层数据的负载,不区分协议和端口,类似于NAT的静态映射的高级版,数据转发模式为NAT模式
2.四层负载:四层负载就是基于IP+端口的负载均衡,区分协议和端口,转发速度比七 层负载更快,数据转发模式为NAT模式
3.七层负载:基于URL等应用层信息的负载均衡,数据转发模式为代理模式,七层负载AD相当于一个代理服务器,和客户端与服务端都有可靠的TCP连接
AD应用交付包含有多种服务器节点选择策略,可以根据实际情况设置
1.轮询:轮流选择节点池内节点,机会均等
2.加权轮询:按照每个节点的权重比例,选择每个节点的机会与其权重成正比,权重越高的节点,被选中的几率越大
3.加权最小连接:选择(连接数/权重)最小的节点
4.最快响应时间:节点监视器探测每个节点以获取节点响应时间,响应时间越小,被选择的机会越大。
5.动态反馈:节点监视器通过SNMP监视节点负载,根据节点负载动态改变其权值,使负载轻的节点获得更多的选择机会,负载重的节点获得较少的选择机会,从而达到各个节点的负载均衡。
6.哈希:根据哈希的关键字(如URI、HOST、源IP及源PORT等)经过哈希运算得到哈希值,使不同的关键字尽可能平均调度节点池中各个节点,相同关键字的访问调度到同一个节点。
7.优先级:优先调度优先级高的节点,优先级高的节点不可用时才会调度到下一级节点
虚拟服务会话保持:保证用户前后连接在超时范围内调度到同一个服务器节点。避免敏感业务继续访问时调度到其他节点出现访问异常,AD应用交付默认存在两个会话保持分别为SourceIP和Cookie,也可根据自身需求新建会话保持,可以选创建的会话保持类型有 SourceIP、Cookie、HTTP Passive、Radius、SSL SessionID
1.SourceIP:基于客户端源IP地址进行会话保持
2.Cookie:基于对HTTP应答报文头部进行插入,被动记录,改写cookie做会话保持
3.HTTP Passive:基于HTTP请求方向和应答方向报文的某个字段做会话保持
4.Radius:基于radius协议中的属性值进行会话保持
5.SSL SessionID:基于SSL会话ID进行会话保持
虚拟服务节点状态监视器:根据设置的监视器实时监控服务器节点状态是否正常,如果节点出现异常,监视器能够及时发现并上报AD,将异常节点状态设置为失效,后续虚拟服务不再往该节点调度访问数据。并且节点状态监视器依然还在工作,当节点恢复正常时再上报AD,将节点状态恢复正常,重新往该节点调度访问数据。
4.应用交付典型应用场景
4.1 出站负载均衡
4.1.1 案例环境
网络结构如下图所示,两条公网线路:电信200M和联通100M ,内网分为服务器区和办公区。
4.1.2 案例需求
1.办公区终端上网保证访问电信地址走自动走电信线路,联通地址走联通线路,其他运营商地址走电信线路,且包括上网域名解析数据尽量要均衡出去。
2.服务器区上网优先都走电信线路,只有电信线路故障后再从联通线路出去。
4.1.3 解决方案配置
1、按照实际规划的地址配置完成网络接口信息:IP地址、网关、带宽等,并启用监视器实时监控WAN口状态
2.、根据办公区上网的需求,配置对应的智能路由策略规则
3、根据服务器区上网的需求,配置对应的智能路由策略规则 
5、配置NAT上网规则,NAT源地址转换配置为默认即可
4.2 入站负载均衡
4.2.1 案例环境
网络结构如下图所示,两条公网线路:电信200M和联通100M ,内网一 台Web服务器对外提供服务,已在域名提供商上申请了域名www.xxx.com,同时将NS记录指向了AD出口电信和联通地址
4.2.2 案例需求
保证公网电信联通用户访问www.xxx.com域名解析出对应运营商线路的 IP地址,其它运营商终端解析统一返回电信线路IP地址,且保证线路互为备份,即电信故障解析统一返回联通地址,联通故障返回电信地址。
4.2.3 解决方案配置
1、开启AD DNS服务器功能,监听公网口IP地址,创建电信和联通的LDNS地址集
2、新建虚拟IP池同时关联监视器按照需求首选策略需选择静态就近性,备选推荐轮询
3、新建DNS映射规则,将域名与步骤3中的虚拟IP池与域名进行关联
4、配置静态就近性规则,保证电信用户优先返回电信IP地址,联通返回联通IP地址,其它运营商用户优先返回电信IP地址
4.3 服务器负载均衡
4.3.1 案例环境
网络结构如下图所示,两条公网线路:电信200M和联通100M ,内网三 台Web服务器,已在域名提供商上申请了域名www.xxx.com,同时将NS记录指向了 AD出口电信和联通地址,AD已配置智能DNS
4.3.2案例需求
将服务器区的3台服务器发布到公网,公网用户访问方式 http://www.abc.com,同时做到服务器间的冗余效果,任何一台服务器故障不会影响到公网用户接入访问;公网同一客户端在8小时之内必须始终调度到同一节点服务器
1、根据实际场景自定义服务或使用预定于服务的和公网IP组
4、新建虚拟服务,将服务、公网IP组、Web服务器节点池进行关联即完成配置
