《负载均衡发展趋势与部署.docx》由会员分享,可在线阅读,更多相关《负载均衡发展趋势与部署.docx(45页珍藏版)》请在三一办公上搜索。
1、F5 BIG-IP LTM 部署规范参考一、负载均衡技术的发展在门户网站设计中,如何容许大量用户同时访问,能够使网站有大量吞吐量是一个关键点。甚至有许多博客,当流量逐步增加时,为了使网站有大吞吐量,都会使用负载均衡这样低成本的技术,下面简单介绍一下常用负载均衡技术。1:软件负载均衡技术该技术适用于一些中小型网站系统,可以满足一般的均衡负载需求。软件负载均衡技术是在一个或多个交互的网络系统中的服务器上安装一个或多个相应的负载均衡软件来实现的一种均衡负载技术。软件可以很方便的安装在服务器上,并且实现一定的均衡负载功能。软件负载均衡技术配置简单、操作也方便,最重要的是成本很低。2:硬件负载均衡技术由
2、于硬件负载均衡技术需要额外的增加负载均衡器,成本比较高,所以适用于流量高的大型网站系统。硬件负载均衡技术是在多台服务器间安装相应的负载均衡设备,也就是负载均衡器来完成均衡负载技术,与软件负载均衡技术相比,能达到更好的负载均衡效果。3:本地负载均衡技术本地负载均衡技术是对本地服务器群进行负载均衡处理。该技术通过对服务器进行性能优化,使流量能够平均分配在服务器群中的各个服务器上,本地负载均衡技术不需要购买昂贵的服务器或优化现有的网络结构。4:全局负载均衡技术全局负载均衡技术适用于拥有多个低于的服务器集群的大型网站系统。全局负载均衡技术是对分布在全国各个地区的多个服务器进行负载均衡处理,该技术可以通
3、过对访问用户的IP地理位置判定,自动转向地域最近点。很多大型网站都使用的这种技术。5:链路集合负载均衡技术链路集合负载均衡技术是将网络系统中的多条物理链路,当作单一的聚合逻辑链路来使用,使网站系统中的数据流量由聚合逻辑链路中所有的物理链路共同承担。这种技术可以在不改变现有的线路结构,不增加现有带宽的基础上大大提高网络数据吞吐量,节约成本。总结,负载均衡主要有两种常用技术。第一种是将大量的同时发送的数据流在多个节点上进行处理。第二种是将单一负载的大量分担在多个节点上进行并行处理,并且在所有节点都完成处理后将结果合并起来输出给用户。而现在,负载均衡技术已经不是什么新鲜技术,一般维护过服务器,或有两
4、台以上的服务器都可以使用负载均衡技术二、负载均衡厂商1:思科已停止ACE的研发思科已经停止进一步开发ACE负载均衡产品,其主要包括两种设备标准机架式设备,以及板卡式设备,但仍将继续销售该产品并提供支持。这表明思科将放弃该市场,而对于应用交付的厂商来说这无疑是个好消息,目前作为该领域的重要厂商F5已经采取以旧换新计划。应用交付和网络是两个独立的领域,应用交付厂商F5关注网络第7层,而思科关注传统的2-4层,随着互联网的发展,单独的负载均衡器已经不能够应对巨大的流量和网络攻击,而且如果以网络的方式进行应用实施和安装,未来客户使用起来将会比较麻烦。那么为什么还会有人选择思科的ACE产品呢?其一:选择
5、思科ACE的客户专注于企业,较为保守,它们关注供应商的可靠性,需要一流的支持。其二,购买思科一站式解决方案有利于网络设施便利和后期支持。 Gartner在2009年认为“负载均衡已死”,到了2012这个预测成真,此次思科宣布停止研发ACE产品,之前另一个网络巨头Juniper也停止了此类产品的研发,更是印证了这个判断,这也意味着此后应用交付的市场将会变得更火火热。负载均衡是应用交付的一部分,很早以前,F5就从负载均衡转向应用交付。其BIG-IP产品覆盖范围广泛,且都具有高速缓存和压缩功能,iRules、iControl和完整代理架构提供良好的灵活性。能够让企业实现盈利的速度更快,管理成本更低。
6、2:F5换购计划换购的意义不是用负载均衡替换负载均衡产品,对此,F5 Networks中国区技术总监吴静涛表示F5是把应用交付的架构导入到负载均衡的架构,为用户做一个应用交付的架构,为未来长远的数据中心扩容和业务做打算。当然,能够思科ACE的厂商不止一家,市场上厂商之间的互相攻击也是常见战术,他说:“应用交付产品性能不在于单一性能指标,更重要的是所有技术整合在一起的表现。”3:F5集成的应用交付网络(ADN)F5将在2013年6月30日前提供针对Cisco负载平衡产品的双倍普通以旧换新积分(最高达$12,000),能够进行以旧换新的Cisco 型号包括:ACE 模块、ACE 设备、CSS、CS
7、M 和GSS。此日期前,F5 合作伙伴还可通过所有Cisco ACE 以旧换新交易注册享受5% 额外折扣(仅限合作伙伴发起的机会),F5 新的Cisco ACE迁移服务帮助客户有效地从ACE迁移至BIG-IP,以旧换新计划的客户将享受到标准迁移服务产品的25%折扣三、负载均衡的应用1:服务器负载均衡负载均衡建立在现有网络结构之上,扩展了网络设备和服务器的带宽、增加了吞吐量,同时提升了网络的数据处理能力、灵活性和可用性,具有低成本且有效透明的优点。负载均衡在应用模式上可分为服务器负载均衡和链路负载均衡(含全局负载均衡),本次先着重谈谈服务器负载均衡。长期以来,负载均衡产品给大家的印象就是部署在庞
8、大的服务器群前端,售价昂贵,是比较神秘的产品,如同旧时王谢堂前燕,仅是大户人家的网络才会需要。而事实上,负载均衡产品对于中小型网络业务平台同样适用,尤其是当前负载均衡产品已经可以提供“飞入寻常百姓家”的售价,所以如果用户的业务系统采用了大量的服务器双机(每种子业务都采用服务器双机),随着业务量的激增需要搭建一个弹性平台来满足业务量的变化,此时应考虑选择负载均衡产品来优化其业务平台。负载均衡产品的实现与形态负载均衡,在业界又称之为4、7层交换机。二层交换机靠Mac地址表来转发报文,三层交换机是对目的IP进行“一次路由,多次转发”,负载均衡则是根据数据流的IP+端口甚至需要解析数据流Payload
9、来确定转发的目的服务器,如果开启会话保持功能,则可以实现“一次负载均衡分发,多次转发”。传统的负载均衡产品图1 传统负载均衡器内部架构传统的硬件负载均衡产品采用通用处理器(如Intel的x86处理器)+通用的交换芯片架构,通用处理器CPU实现L4、L7的分发处理;交换芯片(ASIC)完成二三层转发并对外提供物理接口,不参与L4、L7业务。它的产品形态是独立的盒式设备。传统负载均衡一般采用旁路组网方式部署在交换或路由设备上,通过交换或路由设备进行引流分发并回送至交换或路由设备上,报文所流经的路径是:网络设备负载均衡器的交换芯片负载均衡器的处理器负载均衡器的交换芯片网络设备。2. 模块化的负载均衡
10、产品当前市场除了传统盒式的负载均衡产品外,也有另外一种形态的负载均衡产品,它以业务模块的形式将负载均衡的业务处理部分集成到交换机设备中,通常被成为LB(Load Balance)业务模块或插卡(如图2所示),集成了LB的交换机又被称为负载均衡交换机。图2 负载均衡交换机模块化产品有以下特点:共享网络特性。以H3C SecBlade LB模块为例,由于与网络设备共享了统一的软件平台,天然支持丰富的路由协议如RIP、BGP、OSPF和IPv6等网络特性。一些传统的负载均衡产品是通过License使用上述网络特性。共享硬件器件。负载均衡模块在以插卡方式集成到网络设备上之后,一方面通过复用交换路由的双
11、主控、双电源等器件分享高可靠资源,另一方面还通过复用交换路由的电源系统、交换接口提供更优的性价比。节约机架空间、简化组网。在宝贵的机房空间中,负载均衡模块集成在交换路由设备中,节约机房空间;在组网中,无须外联引流,简化组网和配置维护工作量。对比盒式产品的报文所流经的路径,模块化产品则简化了这个流程,其报文的路径是:网络设备负载均衡模块的处理器网络设备。四、典型的部署场景与方案1. 服务器负载均衡的应用场景如图3所示,通过集成LB板卡的负载均衡交换机,采用物理上的扁平化组网,大大简化组网方案。对于服务器负载均衡部署场景,在数据流处理模式上可以分为NAT模式和DR模式。图3 负载均衡应用场景2.
12、负载均衡的NAT组网模式该组网模式下负载均衡使用NAT技术对请求、响应报文做两次地址转换,因此被称为NAT方式(如图4所示)。技术优势:组网灵活,对服务器没有额外要求,不需要修改服务器配置,适用于各种组网 。图4 负载均衡NAT组网模式图5 负载均衡DR组网模式五、 应用价值分析1. 提升业务系统的伸缩性当业务系统服务器无法支撑当前的业务量时,用户可以选择更换更高性能的服务器,但更为合理的做法是通过在既有业务服务器基础上通过集群或硬件负载均衡,以增量的方式增加服务器,而外部用户仅感受到是一台高性能服务器在提供服务,从而极大提升业务系统的伸缩性。单个业务系统:某个业务系统可以方便地新增业务服务器
13、满足业务量增长,通过硬件负载均衡设备,无须为每个节点购买商业集群软件的License、无须在每台服务器上配置集群探测信息,只需在负载均衡上简单的添加一台服务器的实IP地址即可。新增业务系统:对于新增业务系统,可以在硬件负载均衡设备添加一个虚服务,配置好实体服务器的负载均衡调度算法、实体服务器健康检测算法即可,不仅可以节省双机或集群软件的投资,同时也简化了业务配置维护的工作量。但业务量增长也可能导致负载均衡设备本身成为业务系统的瓶颈,因此负载均衡设备自身也应具备适用业务量变化的伸缩性。在这一要求上,模块化产品和盒式产品表现不尽相同。图6所示为通过在交换机中根据业务量灵活部署多个LB业务板卡方式实
14、现性能的平滑扩容和线性叠加。以H3C为例,一台交换机设备允许集成多个LB业务板卡,多个LB模块又可以虚拟成一台负载均衡设备来使用,服务器网关设置在交换机上,每个LB业务模块均对外提供统一的VIP。客户端流量访问业务时,交换机通过等价路由方式将流量均分至LB业务模块,每个LB模块对数据流进行一次源IP的NAT处理(每个LB的NAT地址池均不重合),保证服务器响应报文能返回到同一块LB业务板处理。图6 多LB业务模块n:1虚拟化详解独立的盒式负载均衡设备,也可通过以上机理实现,但需要提前规划好交换机物理接口数量,且负载均衡器均不响应针对VIP的ARP请求,以避免出现VIP的ARP地址表冲突问题。2
15、. 提升业务平台的可靠性在一些中小型业务系统中,关键的业务系统一般采用服务器双机来保障核心业务的可靠性,如果这两台服务器不安装双机热备软件,那么单纯靠网络设备通过物理端口的up/down状态来探测服务器故障状态是远不够的。因为无法发现服务器网口UP但内部业务进程挂死的情况,最后只能通过用户投诉发现,这对于核心业务系统而言是无法容忍的。通过部署负载均衡为服务器双机提供可靠性是一种较好的方式。一是负载均衡通过探测服务器业务层面的健康检测,确保用户的业务请求分发到健康的服务器;二是方便后续业务系统扩容;三是避免了设备利用率低下的问题。服务器部署双机软件时,两台服务器是工作主/备模式,服务器利用率仅为
16、50%,而负载均衡设备则通过负载均衡分发算法,将两台服务器均利用起来,相当于服务器双机工作在主/主模式,利用率达到100%。可以说在业务系统规模较小时部署负载均衡设备是一种具有前瞻性的组网方案,H3C公司自身的数据中心所有的业务系统均部署了负载均衡设备,为大量的业务双机服务器提供了可靠性保障。3. 提升业务系统的响应速度通过硬件负载均衡设备提升业务系统的响应速度源自以下两个方面:通过服务器调度分发算法负载均衡可以通过“最小响应时间”、“最低CPU、内存利用率”等方式,将用户请求数据流分发到响应最快的服务器,从而提升业务系统的响应时间。通过应用优化技术业务系统是丰富多样的,例如网上购物、网上报税
17、和网上银行等业务系统会采用Https应用,并采用SSL加密方式来提供服务,如果让服务器参与大量的业务数据SSL加解密,其性能会受到极大影响,因此可将SSL加解密下移至负载均衡设备上来实现。另外可采用TCP连接服用技术,将大量用户的百万级的TCP连接终结在负载均衡设备上,负载均衡设备与服务器之间则保持一定数量的常连接,这样可以大大减轻服务器在网络连接上的资源消耗。其他技术如WebCache、代理压缩等技术手段也是提供特定业务系统响应速度的方式。4. 提升业务系统的安全性传统的负载均衡设备中集成防火墙、IPS等功能,但这些安全功能是通过负载均衡CPU来实现。开启防火墙、IPS功能之后,通常会严重影
18、响负载均衡自身的性能,针对这种情况,一些厂商是通过设置高额的License来限制用户使用防火墙、IPS功能,H3C的做法是在负载均衡交换机中集成专业的FW、IPS硬件业务模块来保护用户的业务系统免遭27层的攻击,也就是将安全功能交由另外的安全业务板卡与交换机集成去保障。图7所示为在业务系统前端,负载均衡交换机中部署了多种专业的安全板卡以提供一体化的应用交付平台。图7 X-BOX一体化应用交付平台六、结束语负载均衡由早期DNS方式负载均衡模式发展而来,现在其内涵已越来越广,因此业界又采用一个新的用语来总结,即应用交付网络(Application Delivery Networking,简称ADN
19、),范围包含服务器负载均衡、链路负载均衡、全局负载均衡、应用优化、27层安全等等。附:H3C负载均衡产品介绍H3C负载均衡产品面向运营商、门户网站、大中型企业、行业的数据中心,提供完善的服务器负载均衡、链路负载均衡等功能。部署在数据中心的汇聚层或核心层,基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上,以保证数据中心的响应速度和业务连续性。部署在多ISP链路的出口(如电信、网通等),为了提高链路利用率,通过对链路状态的检测,采用对应的调度算法将数据合理、动态的分发到不同链路上。H3C负载均衡产品创新地实现了应用优化、安全与网络的深度融合,具有路由、交换、
20、负载均衡、2-7层安全等功能。负载均衡产品具有高度的弹性伸缩功能,用户可以根据自己的需要灵活选择功能模块,保护用户投资,可以适应各种复杂的组网环境。附:多链路负载均衡负载均衡建立在现有网络结构之上,扩展了网络设备和服务器的带宽、增加了吞吐量,同时提升了网络的数据处理能力、灵活性和可用性,具有低成本且有效透明的优点。负载均衡在应用模式上可分为服务器负载均衡和链路负载均衡(含全局负载均衡),继上期介绍服务器负载均衡之后,本文重点谈链路负载均衡。1 多链路部署后引发的问题许多企业都意识到单条互联网出口链路带来的问题:链路一旦中断,内部员工将无法访问互联网,分支机构VPN中断,网站邮箱均无法对外服务。
21、因此许多企业会部署多条运营商链路来解决单出口的不可靠。在单链路时代,出口一般会部署路由器或防火墙,部署多链路后,将多链路直接连接到路由器或防火墙上是否可以?这种组网情况,一般在路由器或防火墙上将内网用户outbound(注:outbound一般指的是内网访问互联网,inbound指的是互联网用户访问内网的业务系统,下同。)流量通过策略路由方式发送到指定链路,这是种静态的方式,如在高校网络出口,ISP1分配给教师用户使用,ISP2分配给学生使用,到晚上学生上网高峰期ISP2成为流量瓶颈时,ISP1却是空闲的。出口的设备在outbound方向,要将内部访问外网报文送到健康可用的链路上,健康可用不仅
22、仅是端口UP或下一条路由可达,还需要对指定的IP地址做动态探测。当部署多条链路后,对外提供的业务系统(如网站等)会对不同的ISP发布不同的公网IP地址。当外网用户首次访问网站系统时,如何响应外部用户的DNS域名请求,也是路由器或防火墙遇到的新问题。当外网用户访问内部的业务系统时,需保证响应报文从原路返回,否则可能会出现访问速度奇慢甚至无法访问。以上这些是当前出口路由器或防火墙遇到的新问题,可通过出口链路负载均衡来解决上述问题。2 链路负载均衡核心功能介绍1) 出口链路健康探测所谓健康检测,就是负载均衡设备定期对链路服务状态进行探测,收集相应信息,及时隔离工作异常的链路。健康检测的结果除标识链路
23、能否工作外,还可以统计出链路的响应时间,作为选择链路的依据。负载均衡技术支持丰富的健康性检测方法,可以有效地探测和检查链路的运行状态。ICMP方式:向链路上的节点发送ICMP Echo报文,若收到ICMP Reply,则链路正常。TCP Half Open方式:向链路上节点的某端口发起TCP连接建立请求,若成功建立TCP半开连接,则链路正常。DNS方式:向链路上的DNS服务器发送DNS请求,若收到正确的DNS应答,则链路正常。图1负载均衡链路故障探测功能2) Outbound方向链路负载均衡最理想的outbound链路负载均衡算法是就近性探测,即将将数据流分发到响应最快的出链路上, Outbo
24、und链路负载均衡是以报文的目的地址为目的进行检测,Inbound链路负载均衡是以DNS请求的源地址为目的进行检测。根据检测结果计算出最优链路,并通过最优链路转发业务流量。就近性检测根据以下几个参数进行加权计算,得出链路加权数,并根据链路加权数的大小判断链路的优劣:链路物理带宽:即链路的可用带宽值。链路成本:取决于每条链路的成本值,比如租用联通10M链路每月1万元,租用电信10M链路每月1.5万元,则两条链路的成本比例为2:3,两条链路成本的取值应该满足该比例。链路延迟时间(即RTT):通过链路健康性检测获得。路由跳数(即TTL):通过链路健康性检测获得。ISP表项:负载均衡内置各运营商IP地
25、址列表,outbound方向报文的目的IP地址如果与某ISP表项匹配,则将报文从匹配的ISP链路送出去。链路静态调度算法:对每条链路轮询(加权轮询)分发数据流、根据报文的源IP/Port Hash、选择链路中并发连接数最少、链路中最大剩余带宽等方式。持续性(会话保持)表项:针对网上银行、电子购物等应用,某一用户的一次交易过程中的多个连接从同一个链路送出去(做NAT时保证源IP不变,否则网银或电子购物服务器会将源IP漂移的报文视为攻击),就是持续性功能。负载均衡设备会将首次出方向报文的选路结果记录下来形成持续性表项,某数据流后续报文均根据持续性表项进行转发。图2 Outbound链路负载均衡选路
26、示意图负载均衡设备对出方向的每一个数据流的目的IP进行探测,选出最优链路进行分发。在实际应用中,尤其是在大型网络中如高校出口、运营商出口,其用户群访问的目的IP以数十万甚至上百万来计,如果负载均衡设备本身同时探测每个目的IP的响应时间,对负载均衡设备性能消耗较大,因此就近性探测方法一般针对小型网络或对ISP表项无法匹配的数据流。如图2所示,对出方向数据流首先进行ISP表项匹配,对于目的IP未匹配的报文可采用静态分发算法如轮询或加权轮询、动态算法如链路最小并发连接等以及就近性探测均可。3) Inbound方向链路负载均衡内网和外网之间存在多条链路时,通过Inbound链路负载均衡可以实现在多条链
27、路上分担外网用户访问内网服务器的流量。Inbound链路负载均衡的典型组网如图3所示。图3Inbound链路负载均衡组网图Inbound链路负载均衡中,负载均衡设备作为权威名称服务器记录域名与内网服务器IP地址的映射关系。一个域名可以映射为多个IP地址,其中每个IP地址对应一条物理链路。外网用户通过域名方式访问内网服务器时,本地DNS服务器将域名解析请求转发给权威名称服务器负载均衡设备,负载均衡设备依次根据就近性算法、ISP表选择最佳的物理链路,并将通过该链路与外网连接的接口IP地址作为DNS域名解析结果反馈给外网用户,外网用户通过该链路访问内网服务器。这里提及的就近性算法、ISP表项匹配原理
28、与Outbound同,只是探测的是入方向报文的源IP而已。详细的实现机制见图4。图4 Inbound链路负载均衡实现示意图(智能DNS功能)4) 来回路径一致在多ISP出口的应用场景中,用户对互联网提供公众服务(如WEB、邮件系统)中,由于出口路由器一般配置静态策略居多,容易出现用户请求报文与服务器响应报文来回路径不一致的情况。如图5所示。图5 链路负载均衡来回路径一致功能这将会导致两个问题:1、 用户访问业务速度极慢,请求报文从电信进来,响应报文从移动出去,并跨网回送到电信,容易受到运营商跨网转发的速度瓶颈。2、 用户无法正常访问业务:如果运营商的设备开启URPF(反向单播逆向路径检测)功能
29、,那么响应报文可能会被其他运营商丢弃。为此,H3C的解决方法是特有的记录上一跳功能来保证用户的请求报文和响应报文来回路径一致。其实现原理是:负载均衡设备依据用户请求报文的五元组生成会话表,并把该会话表与入端口(物理或逻辑)对应关系记录成上一跳表项;但服务器响应报文会匹配到会话表,负载均衡设备会不再经路由查询、自动选路等处理直接将响应报文从入接口转发出去。5) 防链路拥塞功能在多家ISP链路情况下,无论Outbound方向采用何种负载均衡算法,都要防止链路出现流量过载。H3C负载均衡提供防链路拥塞功能来避免流量过载情况,负载均衡设备针对每条链路设置流量阈值,一般阈值略低于链路物理带宽值,当该链路
30、的实际流量达到阈值后,后续按策略应由该链路转发的新的数据流会分发到其他低负载链路上。3 链路负载均衡应用场景分析1) 同一家运营商,多条链路图6 多条相同运营商链路此种情况多为备份+带宽扩容,各链路的质量(除带宽外)大致相同,因此建议直接采用基于各条链路带宽值的加权轮询方式进行负载均衡(如图6建议按1:1:2的权值进行轮询分发),无需链路就近性探测,并建议开启会话保持功能,保证同一条数据流的后续报文从同一链路出去,以便出方向的NAT地址转换使用相同的IP地址,避免访问网银业务、电子购物等应用时被误认为攻击而导致无法正常交易。2、不同运营商,多条链路(1)图7 多条不同运营商链路(一)大型的网络
31、中较多使用此方式,在实现链路备份+链路带宽扩容的同时,将对外提供的业务系统同时发布到多家运营商(每个运营商内的用户访问速度均较快),如图7所示。由于目的IP是ISP1的报文可能被轮询到ISP2的链路上,访问速度会不理想,按照outbound访问最快的原则,网络规模较小的情况,可采用就近性探测+会话保持+链路保护机制,对于规模较大的网络建议采用根据ISP地址匹配进行分流,对于目的IP与ISP表项不匹配的数据流,可采用就近性探测或按照链路带宽的加权轮询的方式,并开启基于源IP的会话保持功能。3) 不同运营商,多条链路(2)图8 多条不同运营商链路(二)在多家运营商、多条运营商链路的用户,某些业务需
32、要独享一定的带宽,比如高校出口网络,教师办公需要一定的带宽保证。如图8所示,H3C负载均衡提供在一条物理链路上配置多条逻辑链路功能,在一条链路上给教师分配一定带宽的逻辑链路,教师的教学办公的流量从优先保障的链路转发,学生的流量从剩余的逻辑链路和其他物理链路按照上述“不同运营商,多条链路之一”进行转发。4) 广域网多链路在广域网链路中,常常会采用双链路方式,负载均衡可较好的对广域网流量进行负载均衡并提供高可靠性和特定业务流的带宽保障,如图9所示。图9 广域网链路负载均组网说明LB将出方向的流量按照加权轮询方式将流量分担到两条广域网链路上。 LB实现链路保护机制:针对每条链路设置流量阈值,流量超过
33、阈值,新数据流将分发到另一条链路。 链路故障检测:LB通过ICMP或TCP half open探测链路故障,并将数据流分发到健康的链路上。 视频数据流的Qos,LB为视频数据流创建一条独享的逻辑链路(最小带宽保障),其他办公流量走剩下的带宽。 来回路径一致:LB记录广域网来的数据流的上一跳接口,保证数据流来回路径一致。4 链路负载均衡组网方案图10 典型出口链路负载均衡组网方案出口链路负载均衡根据不同算法进行选路,选路之后需要做NAT。NAT对出口设备而言是非常专业的功能,但对一般负载均衡厂家的设备而言,却非其核心功能。因为NAT要具备丰富完善的ALG功能(应用层网关,满足各种不同应用穿越NA
34、T)。并且单IP做NAT地址转换要不受限6万个并发连接的限制。根据公安部82号令,出口NAT日志需要保留至少60天,如果负载均衡负责输出大流量NAT日志,会造成负载均衡性能大幅下降。基于以上原因,并不推荐负载均衡承担NAT功能。建议NAT由专业的设备如路由器或防火墙来实现。5 结束语在多链路的出口环境下,通过部署负载均衡设备,一方面克服了传统出口路由器防火墙静态策略转发数据流的不灵活性,其次提供的智能DNS功能(Inbound链路负载均衡)提升了对外业务系统的访问体验。H3C在湖南某高校出口部署链路负载均衡设备后,带宽利用率提升了近50%,可见,链路负载均衡让网络出口更高效、更可靠和更智能。智
35、能DNS租赁3负载均先均衡硬件产品,一般都有智能DNS功能,品牌有F5、A10等,但造价太贵。建议按年购买该业务,品牌有dnspod、DNSLA等。一 F5部署架构根据目前F5 BIG-IP LTM设备在网络环境中部署的需求不断增加,为了能够使BIG-IP LTM组建的网络环境更加有效提高网络安全、稳定性及业务的整体性能,我们对BIG-IP LTM在组网结构方面进行了细致分析,介绍使用现状,以便为部署F5 BIG-IP LTM设备的人员提供帮助和参考。第2章、概述2.1文档目的该文档的主要目的是能够帮助部署F5 BIG-IP LTM人员,在BIG-IP LTM网络方面的组网结构选择、部署方法等
36、提供有效的分析和参考,使F5 BIG-IP LTM在网络环境中更加规范有效。2.2文档范围该文档主要针对F5 BIG-IP LTM设备在构建整体网络环境,BIG-IP在网络环境中的位置,连接方式等方面进行了详细的描述和分析。同时介绍了F5 BIG-IP LTM设备本身物理端口特性、工作模式,VLAN划分方法、IP地址分配原则、路由配置策略等方面的细节。2.3目标读者该文档主要阅读对象为F5 BIG-IP LTM部署的设计和管理人员,借此文档对F5 BIG-IP LTM组网规范和在现有网络环境中部署进行了解。也适用于对F5 BIG-IP LTM设备有所了解的其他网络设计、管理或工程人员。第3章、
37、F5 LTM组网原则在应用F5 BIG-IP LTM在网络环境中进行组网时,根据系统的原有架构设计,及业务的应用模式,在保证原有业务的正常运行条件下,本着能够满足功能、具备可靠性、可扩展性、可管理性的原则,建立规范的负载均衡网络,顺利实现安全、优化、可用的目标。同时在部署F5 BIG-IP LTM时要最大化的保护既有投资,确保F5 BIG-IP应用在综合组网环境的正常运行,避免设备之间的依赖行,设备的更新必须具有独立性,支持网络的逐渐升级。避免把简单易于实现的组网模式变成复杂的组网过程,如网络和应用部门各自为战,各个应用系统之间相对独立的部署,由于没有及时沟通,导致了应用的部署及其复杂,应用系
38、统不断提出不同需求,使得网络部门为不同的应用系统准备不同的网络环境而致使网络结构的复杂,这样不仅增加了网络故障的发生几率,而且影响应用服务质量。3.1可用性F5 BIG-IP LTM部署在网络环境中,最终目的是对业务应用流量的负载均衡,保证高性能的对外提供服务。因此在部署F5 BIG-IP LTM首先要满足所有的需求功能,包括网络功能、业务系统功能及BIG-IP LTM自身负载均衡功能,达到整个系统运行的可用性。3.2可靠性在网络环境中,所有应用均为关键性业务系统,因此要求由F5 BIG-IP LTM组建的网络必须为高可靠型。根据BIG-IP LTM自身的特性提供了高效的HA环境,在发生故障时
39、可实现毫秒级的主备切换速度,为应用业务的持续运行提供了有效保障。3.3扩展性在F5 BIG-IP LTM组建的网络环境里,BIG-IP LTM在应用服务中起到了核心的作用,在其组建网络时避免BIG-IP LTM与其他网络设备存在依赖性,随着以后性能需求的增加可以对BIG-IP LTM进行伸缩性的扩展。同时F5 BIG-IP LTM设备本身可支持对后端服务器横向扩展,支持动态的增加或删除负载均衡服务器组中任何数量的服务器,实现服务器的高扩展性。3.4可管理F5 BIG-IP LTM 组建的高性能负载均衡网络,要求对BIG-IP LTM设备本身及它所负载均衡的服务器必须能够实现可控制、可管理。BI
40、G-IP LTM支持灵活安全的命令行接口与WEB图形界面的管理。同时遵循标注的SNMP协议第三方网管软件管理。在对所负载均衡的服务器,BIG-IP LTM可以对服务器组中服务器进行灵活的操作,如在不影响业务情况下进行主机维护与软件升级等操作,实现对服务器的可管理性。第4章、F5 LTM组网结构F5 BIG-IP LTM设备在组建负载均衡网络过程中,该设备的部署位置至关重要,在一般的网络部署结构中以及目前F5 BIG-IP LTM的组网结构成功案例中,通常的部署结构分为串行结构和并行结构。在当前这种复杂的网络环境中,串行结构与并行结构在实际应用与运行中同样是相对较为规范合理的部署。4.1串行结构
41、在部署F5 BIG-IP LTM设备组网时,所谓的串行结构,指的是BIG-IP LTM在网络拓扑结构中位于上下两层网络设备之间,如位于交换机与交换机之间等,所有的网络流量在最终到达服务器或者返回客户端前必须经过BIG-IP LTM设备处理,因此整个网络结构,应用业务功能的实现对BIG-IP LTM设备依赖性较强。在串行结构中,BIG-IP LTM与其他网络设备可以有不同的连接方式,每种连接方式都在网络结构中体现不同实施策略,包括从安全性、可靠性及可用性角度的分析考虑。下面我们介绍两种常见且部署较为规范的串行结构。4.1.1串行组网方式一如下图:在以上面的拓扑结构进行组网,F5 BIG-IP L
42、TM处于两组核心交换机中间,使用单条链路进行链接,形成整体的串行结构,同时为典型的口字型结构。数据的访问流向均先经过上层核心交换机,通过上层核心交换机进入F5 BIG-IP LTM负载均衡设备,根据BIG-IP LTM实施的负载均衡策略对流量进行负载均衡,经过下层交换机到达相应的服务器,返回的数据流亦然。在F5 BIG-IP LTM与下端交换机层面,BIG-IP LTM直接与交换机相连,所有被负载均衡的服务器与交换机相连,这种部署结构,当BIG-IP LTM的固有端口有限,而服务器的数量大于BIG-IP LTM端口数量时,此时通过该方法在逻辑上有效的增加了BIG-IP LTM端口数量。同时可以
43、根据应用业务的不同,在下层交换机上进行多VLAN的划分,以隔离不用业务的服务器,或在交换机上利用良好ACL执行服务器间访问策略。从拓扑图中我们可以看到BIG-IP LTM的这种连接方式无论在网络结构以及数据流走向方面都比较清晰有序。在可靠性方面两台F5 BIG-IP LTM互为主备模式,同时BIG-IP LTM可以探测上下两层交换机状态,一旦检测到对应的交换机出现故障,BIG-IP LTM可以及时进行主备切换,保证应用业务的持续性。4.1.2串行组网方式二如下图:在以上面的拓扑结构进行组网,F5 BIG-IP LTM同样处于两组核心交换机中间,分别使用双条链路与上下两组交换机进行链接,形成整体
44、的串行结构中的交叉连接方式。此连接方式需要BIG-IP LTM提供相应的端口密度,在网络环境中,负载均衡设备都为BIG-IP LTM6400以上型号,因此所提供的端口密度都能够满足不同的需求。F5 BIG-IP LTM的这种组网方式,数据流访问过程同样必须经过BIG-IP LTM传递到下层交换机,负载均衡到相应的服务器。这种组网方式在数据的可靠性、冗余性上有了很大的提高,BIG-IP LTM通过与上下层核心交换机利用生成树协议(STP)使交叉连接的双链路其中一条成为备份状态,当其中一条链路出现故障,可利用另一条链路接管所有流量。同时这种连接方式减少了BIG-IP LTM对上下层相关网络设备的依
45、赖性,只有当与BIG-IP LTM连接的两条链路全部down掉后,BIG-IP才发生主备切换,减少了BIG-IP LTM由于其他网络设备引起的链路故障导致发生的切换。通过以上的分析及拓扑图我们可以看到,F5 BIG-IP LTM这种交叉连接方式增加链路的冗余度,使网络环境状态更趋于可靠、稳定。为应用业务的有效运行提供了保障。4.1.3两种方式比较分析F5 BIG-IP LTM串行结构的组网中,我们介绍了两种常见的BIG-IP LTM连接方式,一种为单链路连接,另一种为双链路的交叉连接方式。两种方式在网络环境中有着各自的组网特点,发挥了不同的作用。方式一,单条链路组建的F5 BIG-IP LTM
46、串行结构,整体网络结构比较单一整齐,业务数据流走向清晰可见,易于运维人员的设计、部署实施,及后续的维护、管理,相关故障的排查。在可靠性方面,两台BIG-IP LTM采用主备(Active/Standby)模式,当BIG-IP LTM设备本身或者由于上下层对应交换机出现故障导致流量中断,BIG-IP LTM均可以进行毫秒级切换,保证应用业务的持续性。由于采用的是单链路连接,因此在链路的可靠性、冗余性相对较弱,一条链路的故障必须导致F5 BIG-IP LTM进行切换,同时BIG-IP LTM与上下层网络设备存有一定的相互依赖性,在某些环境下,相关网络设备的切换,BIG-IP LTM同时需要切换,即
47、使BIG-IP LTM设备运行正常,增加了F5 BIG-IP LTM设备主备切换的概率。方式二,双链路交叉连接的串行结构,增强了网络整体结构的冗余性、可靠性,一条链路的故障不会引起BIG-IP LTM主备状态切换,应用业务流量可依靠另一链路进行传输,使整体网络环境状态更趋于稳定。并且由于冗余链路的出现,减轻了BIG-IP LTM与其他网络设备的依赖性,数据流的走向可以根据不同链路进行传输。虽然双链路的串行结构,加强了网络结构的冗余性与可靠性,但此连接方式相对较为复杂,数据流走向存在多种选择,同时与其他网络设备存在生成树(STP)计算问题,无论是在部署实施、还是日常的管理、维护及相关故障的排除但
48、来了一定的难度。以上两种串行连接方式,所有的网络流量在到达服务器前或者服务器主动发起的出访流量必须经过F5 BIG-IP LTM设备,由于BIG-IP LTM在网络中的特殊位置,一些非负载均衡流量也需要经过BIG-IP LTM,此时我们需要在F5 BIG-IP LTM进行Forwarding VS的配置,对不同流量经由BIG-IP LTM时进行转发,降低了BIG-IP LTM的使用性能。通过对以上分析,及现有F5 BIG-IP LTM所组建的网络结构运行稳定情况,一般我们建议应用BIG-IP LTM进行网络结构设计时,选择方式一的单链路口字型组网方式。4.2并行结构所谓的并行结构,指的是F5 BIG-IP LTM以旁路的方式部署在现已运行(或新建)的网络环境中,通过这种组网结构方式,BIG-IP LTM可以方便、快速的部署到现有网络环境中,实现负载均衡功能,同
