A10-GSLB多數(shù)據(jù)中心技術(shù)方案

1、A10GSL眩數(shù)據(jù)中心部署方案A10的Thunder系列產(chǎn)品可以在數(shù)據(jù)中心同時(shí)作為負(fù)載均衡(SLB設(shè)備和全局負(fù)載均衡(GSLB設(shè)備。無(wú)論是單數(shù)據(jù)中心還是多數(shù)據(jù)中心，Thunder系列產(chǎn)品都可以根據(jù)需求，實(shí)現(xiàn)高可用或容災(zāi)方式部署。單數(shù)據(jù)中心高可用部署網(wǎng)絡(luò)拓?fù)銽hunder系列產(chǎn)品在單數(shù)據(jù)中心的高可用部署如下圖所示:部署方式說(shuō)明Thunder作為互聯(lián)網(wǎng)由口網(wǎng)關(guān)1） 在數(shù)據(jù)中心的出口處，部署高性能的Thunder硬件產(chǎn)品，作為互聯(lián)網(wǎng)出口鏈路的網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)多鏈路之間的負(fù)載分檔和冗余備份。2） 2臺(tái)Thunder設(shè)備采用HA方式部署，以實(shí)現(xiàn)高可用性保障。3） 2臺(tái)Thunder設(shè)備之間建議部署專門的心

2、跳線（可在設(shè)備上指定任意以太接口作為心跳口），以實(shí)現(xiàn)心跳監(jiān)測(cè)的高可用性。4） Thunder設(shè)備的上連接口或下連接口建議采用三層方式部署（即兩臺(tái)Thunder的上/下連接口需要在不同的三層子網(wǎng)中）。主備設(shè)備的切換可通過(guò)主動(dòng)ARP更新實(shí)現(xiàn)快速收斂。5） 結(jié)合Thunder產(chǎn)品的虛擬分區(qū)（ADP）功能，可以實(shí)現(xiàn)不同VLAN或不同鏈路群組之間的分隔部署和管理。Thunder系列產(chǎn)品最大支持1024個(gè)虛擬分區(qū)，因此，可以實(shí)現(xiàn)最大1024個(gè)租戶與傳統(tǒng)網(wǎng)絡(luò)、鏈路的分隔部署。Thunder作為應(yīng)用負(fù)載均衡(SLB設(shè)備1) 在每個(gè)數(shù)據(jù)中心中，部署Thunder產(chǎn)品作為SLB設(shè)備，實(shí)現(xiàn)對(duì)不同應(yīng)用系統(tǒng)的負(fù)載分擔(dān)功

3、能和高可用性的要求。2) Thunder可采用獨(dú)立部署、HA雙機(jī)熱備方式部署或aVCS集群方式部署。采用HA雙機(jī)熱備或集群方式部署時(shí)，兩臺(tái)或多臺(tái)Thunder設(shè)備之間需要進(jìn)行心跳檢測(cè)。可部署專門的以太口作為心跳接口，或利用已有的數(shù)據(jù)口作為心跳接口。Thunder之間的心跳線如果采用交換機(jī)連接，需要交換機(jī)支持IGMP組播包轉(zhuǎn)發(fā)。3) Thunder設(shè)備建議采用旁路方式部署。如果采用aVCS#群方式部署時(shí)，建議采用二層方式部署，在二層方式下部署，主備設(shè)備的切換為毫秒級(jí)；采用主備HA部署時(shí)建議在三層網(wǎng)絡(luò)下部署，主備設(shè)備的切換取決于三層路由的收斂速度。4) 對(duì)于每個(gè)不同部門或應(yīng)用系統(tǒng)，可分配獨(dú)立的虛擬

4、分區(qū)(ADP),以供不同的部門或應(yīng)用系統(tǒng)使用，實(shí)現(xiàn)部署、管理上的隔離和負(fù)載均衡設(shè)備資源共享。在Thunder上為每個(gè)ADP租戶分配獨(dú)立的分區(qū)，每個(gè)分區(qū)可設(shè)置獨(dú)立的管理員帳號(hào)，可設(shè)定能夠使用的設(shè)備系統(tǒng)資源，每個(gè)ADP分區(qū)具有獨(dú)立的L2-7層配置信息和數(shù)據(jù)信息。5) 推薦型號(hào)：a)對(duì)于低性能/小流量需求的系統(tǒng)：可采用Thunder930(5Gbps吞吐量)；b)對(duì)于高性能/大流量的需求，可采用：i. Thunder1030S(10G)ii. Thunder3030S(30G)iii. Thunder4430S(40G)提供40GE接口多數(shù)據(jù)中心容災(zāi)部署在多數(shù)據(jù)中心中，Thunder產(chǎn)品除了可以在每

5、個(gè)數(shù)據(jù)中心內(nèi)提供鏈路負(fù)載均衡（LLB和服務(wù)器負(fù)載均衡（SLB以外，還可以提供卓越的多數(shù)據(jù)中心全局負(fù)載均衡（GSLB功能，實(shí)現(xiàn)入向流量分擔(dān)和智能調(diào)度。我們推薦兩種部署方式。部署方式說(shuō)明（DNS服務(wù)器代理模式）網(wǎng)絡(luò)部署拓?fù)湓诙鄶?shù)據(jù)中心中流量的轉(zhuǎn)發(fā)過(guò)程正常情況首先簡(jiǎn)單介紹一下用戶通過(guò)互聯(lián)網(wǎng)絡(luò)訪問(wèn)Web應(yīng)用服務(wù)器的整個(gè)過(guò)程。如下圖所示，我們將通過(guò)客戶端訪問(wèn)來(lái)說(shuō)明客戶端訪問(wèn)的整個(gè)過(guò)程。Client如圖所示，客戶端(Client)在瀏覽器地址欄中輸入,發(fā)起對(duì)該網(wǎng)站的訪問(wèn)請(qǐng)求，客戶端首先向LDNS(LocalDNS發(fā)出域名解析請(qǐng)求，要求LDNS1供所對(duì)應(yīng)的IP地址。LDNS通過(guò)遞歸查詢，從上級(jí)DNS服務(wù)器得

6、到的授權(quán)DNS(AuthoritativeDNS,ADNS)服務(wù)器IP地址，于是，LDNS向ADNS域名服務(wù)器發(fā)送域名解析請(qǐng)求，要求對(duì)域名進(jìn)行解析。ADNS將的域名解析結(jié)果返回給LDNSLDNS將的域名解析結(jié)果返回給客戶端?？蛻舳双@得域名所對(duì)應(yīng)的IP地址，于是，客戶端向這個(gè)IP地址發(fā)送對(duì)域名的訪問(wèn)請(qǐng)求。A10的全局負(fù)載均衡GSL限術(shù)可以實(shí)現(xiàn)多鏈路或多數(shù)據(jù)中心環(huán)境下入向訪問(wèn)流量的鏈路選擇，加入全局負(fù)載均衡設(shè)備后，全局負(fù)載均衡設(shè)備可以通過(guò)控制DNS的解析結(jié)果，從而實(shí)現(xiàn)智能引導(dǎo)，使不同地域或運(yùn)營(yíng)商的用戶訪問(wèn)進(jìn)入指定的某個(gè)數(shù)據(jù)中心或入口鏈路。A10GSLBS過(guò)靜態(tài)或動(dòng)態(tài)選擇算法，選擇最佳的數(shù)據(jù)中心或鏈

7、路，將用戶端的域名解析到某個(gè)數(shù)據(jù)中心或鏈路的應(yīng)用服務(wù)IP地址，并返回給客戶端。A10-1江壬A10-2以上圖為例，我們?nèi)匀煌ㄟ^(guò)客戶端訪問(wèn)來(lái)說(shuō)明A10GSL電如何通過(guò)智能DNS技術(shù)來(lái)進(jìn)行選擇的。A10負(fù)載均衡設(shè)備部署在北京和上海兩個(gè)數(shù)據(jù)中心。原來(lái)在授權(quán)ADNS上解析為分屬兩個(gè)數(shù)據(jù)中心的IP地址（VIP-BJVIP-SH,采用隨機(jī)輪詢的方式應(yīng)答域名解析請(qǐng)求，這樣就會(huì)出現(xiàn)無(wú)法就近性訪問(wèn)的錯(cuò)位和延時(shí)，并且由于DNS服務(wù)器自身是不會(huì)主動(dòng)去探測(cè)域名A記錄的可達(dá)性和負(fù)載情況，因此無(wú)法做到客觀、準(zhǔn)確的流量分發(fā)。這些DNS服務(wù)器自身技術(shù)的局限性，正好是全局負(fù)載均衡設(shè)備的價(jià)值和優(yōu)勢(shì)所在！有了全局負(fù)載均衡設(shè)備后，可

8、以在授權(quán)ADNS服務(wù)器上將分別（輪詢）委派給北京和上海數(shù)據(jù)中心的A10全局負(fù)載均衡設(shè)備來(lái)解析（委派給和）,并在北京、上海兩個(gè)數(shù)據(jù)中心的A10全局負(fù)載均衡設(shè)備上建立的子域，配置針對(duì)智能解析的算法和策略:通過(guò)策略設(shè)置最終確定不同地域、運(yùn)營(yíng)商、不同流量的訪問(wèn)分配到北京VIP-BJ還是上海VIP-SH客戶端訪問(wèn)的過(guò)程如下:客戶端（Client）在瀏覽器地址欄中輸入,發(fā)起對(duì)該網(wǎng)站的訪問(wèn)請(qǐng)求。如同前面的實(shí)例一樣，客戶端向LDNS發(fā)出域名解析請(qǐng)求，如圖示中第1步，要求LDN即供所對(duì)應(yīng)的IP地址。如圖示中第2步，LDNS通過(guò)遞歸查詢，從上級(jí)DNS服務(wù)器得到的授權(quán)ADNS服務(wù)器IP地址，于是，LDNS向ADNS

9、域名服務(wù)器發(fā)送域名解析請(qǐng)求，要求對(duì)域名進(jìn)行解析。ADNS收到LDNS發(fā)來(lái)的域名解析請(qǐng)求后，將域名解析采用輪詢方式委派給北京和上海的A10全局負(fù)載均衡設(shè)備進(jìn)行處理。A10全局負(fù)載均衡設(shè)備收到LDNS服務(wù)器的解析請(qǐng)求后，根據(jù)當(dāng)前所采用的GSL璉擇算法（如基于IP就近性或者動(dòng)態(tài)探測(cè)等）和當(dāng)前鏈路、數(shù)據(jù)中心的使用情況，對(duì)返回的解析結(jié)果進(jìn)智能處理，然后將域名解析結(jié)果返回給LDNS如圖示中第3步，如果判斷從北京數(shù)據(jù)中心訪問(wèn)快，則將VIP-BJ乍為域名解析結(jié)果返回給LDNS若判斷從上海數(shù)據(jù)中心訪問(wèn)快，則將VIP-SH作為域名解析結(jié)果返回給LDNS如圖示中第4步，LDNS將的域名解析結(jié)果返回給客戶端。如圖示中

10、第5步，客戶端獲得域名所對(duì)應(yīng)的IP地址，于是，客戶端向這個(gè)IP地址發(fā)起訪問(wèn)。通常此IP地址為數(shù)據(jù)中心本地A10應(yīng)用負(fù)載均衡設(shè)備上的VIP地址（VIP-BJ或VIP-SH,通過(guò)本地應(yīng)用負(fù)載均衡的處理機(jī)制（SLB,保障應(yīng)用的高可用性和針對(duì)后臺(tái)服務(wù)器的負(fù)載分擔(dān)。A10GSLBK術(shù)通過(guò)對(duì)DNS的解析結(jié)果進(jìn)行智能選擇處理，完成了多鏈路或多數(shù)據(jù)中心的入向路徑智能選擇和負(fù)載分流。一般情況下，選擇算法分為靜態(tài)和動(dòng)態(tài)兩大類。靜態(tài)的選路算法一般基于源IP地址進(jìn)行選擇，通過(guò)查詢客戶端LDNSIPt址所屬白運(yùn)營(yíng)商ISP或地域，來(lái)選擇最佳鏈路或數(shù)據(jù)中心，這種方法最直接、最高效，但需要事先將IP地址段按照所屬的運(yùn)營(yíng)商IS

11、P或地域?qū)傩赃M(jìn)行分類并綁定到不同的數(shù)據(jù)中心或鏈路上。動(dòng)態(tài)的算法則是通過(guò)動(dòng)態(tài)檢測(cè)的方法，分析多個(gè)鏈路和數(shù)據(jù)中心的負(fù)載情況、響應(yīng)時(shí)間、鏈路優(yōu)先級(jí)等狀況，通過(guò)比較這些指標(biāo)，返回最佳的服務(wù)IP。A10GSLB勺各種算法可以組合使用，由于國(guó)內(nèi)運(yùn)營(yíng)商之間互聯(lián)互通不是很好，通常建議對(duì)國(guó)內(nèi)IP盡可能采用靜態(tài)綁定，對(duì)于國(guó)外或國(guó)內(nèi)未知IP采用動(dòng)態(tài)探測(cè)，若動(dòng)態(tài)探測(cè)無(wú)法得到結(jié)果，則可配置輪詢方法返回地址或者指定返回某一地址。A10設(shè)備DNS工作模式A10設(shè)備的DNS支持3種工作模式：1）授權(quán)DNSServerA10設(shè)備代替用戶原來(lái)的ADNS,將用戶所有域名遷移到A10設(shè)備，由A10設(shè)備完成普通或者智能DNS解析。優(yōu)點(diǎn)

12、：可以省掉客戶的DNSServer降低網(wǎng)元復(fù)雜度，并提高DNS處理性能。缺點(diǎn)：由于A10設(shè)備與原來(lái)的DNSServe配置習(xí)慣不一樣，可能不適應(yīng)。2）輔助性授權(quán)DNSServer保留用戶的ADNS,ADNS將需要智能解析的域名委派給A10設(shè)備處理。優(yōu)點(diǎn)：無(wú)需向用戶原來(lái)的上級(jí)DNS機(jī)構(gòu)注冊(cè)IP,只處理部分域名，對(duì)ADNS的影響最小。缺點(diǎn)：需要用戶的ADNS做一定的配置修改，將用戶的請(qǐng)求域名轉(zhuǎn)發(fā)給A10設(shè)備來(lái)處理。3）DNSProxy將用戶自己的ADNS在A10設(shè)備上做映射，LDNS請(qǐng)求首先到達(dá)A10設(shè)備，然后A10設(shè)備轉(zhuǎn)發(fā)給用戶的ADNS來(lái)解析。ADNS的解析結(jié)果返回后，A10設(shè)備進(jìn)行智能處理，返

13、回最優(yōu)的服務(wù)IP給客戶端。優(yōu)點(diǎn)：不用修改用戶ADNS的配置，可同時(shí)對(duì)ADNS實(shí)現(xiàn)負(fù)載均衡。缺點(diǎn)：需要把ADNS的注冊(cè)IP配置到A10設(shè)備上面，ADNS改成別的IP。以上工作模式應(yīng)該選擇哪種取決于不同用戶的現(xiàn)實(shí)環(huán)境和整體考慮。Thunder系歹U產(chǎn)品提供的LB功能Thunder系列產(chǎn)品為用戶提供完善的應(yīng)用交付解決方案。作為L(zhǎng)B產(chǎn)品，Thunder能夠提供的主要功能包括：提高應(yīng)用系統(tǒng)的可靠性通過(guò)Thunder自身的HA高可用性部署，提高整體系統(tǒng)的可靠性，保證業(yè)務(wù)連續(xù)性通過(guò)全局服務(wù)器負(fù)載均衡功能，提供數(shù)據(jù)中心級(jí)的流量?jī)?yōu)化、調(diào)度和容災(zāi)Web業(yè)務(wù)優(yōu)化和加速TCP優(yōu)化，通過(guò)TCP優(yōu)化、連接復(fù)用等技術(shù)，降低

14、后端服務(wù)器負(fù)載，提升整體業(yè)務(wù)系統(tǒng)的處理性能SSL加速，將SSL功能卸載至負(fù)載均衡設(shè)備，通過(guò)SSL芯片處理流量加解密，提升安全性的同時(shí)，降低后端服務(wù)器的負(fù)載和證書管理難度。RAM緩存，將用戶訪問(wèn)的熱點(diǎn)內(nèi)容緩存至Thunder的內(nèi)存中，加快用戶訪問(wèn)速度，降低后端服務(wù)器負(fù)載HTTP壓縮，提升帶寬使用效率，加快用戶Web頁(yè)面的訪問(wèn)速度完善的業(yè)務(wù)安全保護(hù)解決方案Web應(yīng)用防火墻（WAF）,經(jīng)過(guò)ICSA認(rèn)證的Web應(yīng)用防火墻，對(duì)跨站腳本攻擊、SQL注入等常見(jiàn)的Web攻擊性能進(jìn)行識(shí)別和阻斷。應(yīng)用訪問(wèn)管理（AAM）,簡(jiǎn)化應(yīng)用訪問(wèn)管理系統(tǒng)的部署和維護(hù)，增強(qiáng)可擴(kuò)展性DNS應(yīng)用防火墻（DAF）,彳障DNS系統(tǒng)的安全性，緩解DNS在遭受攻擊時(shí)的系統(tǒng)壓力，阻斷針對(duì)DNS系統(tǒng)發(fā)起的攻擊行為。DDoS攻擊緩解和防御，通過(guò)多維度L4-7的訪問(wèn)行為的分析和識(shí)別，發(fā)現(xiàn)、阻斷和緩解各種DDoS攻擊，有效的保護(hù)用戶的業(yè)務(wù)系統(tǒng)。全面、易用、開(kāi)放的管理系統(tǒng)，簡(jiǎn)化運(yùn)營(yíng)復(fù)雜度、提升管理效率、降低成本CLI/GUI簡(jiǎn)單易用