深信服負載均衡方案

1、、概述隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，企業(yè)開始更多地使用互聯(lián)網(wǎng)來交付其關鍵業(yè)務應用，企業(yè)生產力的保證越來越多的依賴于企業(yè)IT架構的高可靠運行，尤其是企業(yè)數(shù)據(jù)中心關鍵業(yè)務應用的高可用性，所以企業(yè)越來越關注如何在最大節(jié)省IT成本的情況下維持關鍵應用7X24小時工作,保證業(yè)務的連續(xù)性和用戶的滿意度。然而，由于中國電信發(fā)展的歷史問題，使得不同運營商之間的互連互通一直存在著很大的問題。例如，通過電信建立的應用服務器，如果是網(wǎng)通的用戶訪問該資源的時候，Ping的延時有幾百甚至上千毫秒，用戶訪問時，可能會出現(xiàn)應用響應緩慢甚至沒有響應造成無法訪問的問題。這樣企業(yè)在建立應用服務器時，如果用戶采用單條接入鏈路，無論是采

2、用電信還是網(wǎng)通網(wǎng)絡鏈路，勢必都會造成相應的網(wǎng)通或電信用戶訪問非常緩慢。如果只保持一條到公共網(wǎng)絡的連接鏈路則意味著頻繁的單點故障和脆弱的網(wǎng)絡安全性。在互聯(lián)網(wǎng)鏈路的穩(wěn)定性日益重要的今天，顯然，單個互聯(lián)網(wǎng)無法保證應用服務的質量和應用的可用性以及可靠性，而應用服務的中斷，將會帶來重大損失。因此，采用多條鏈路已成為保證互聯(lián)網(wǎng)鏈路穩(wěn)定性和快速性的必然選擇。而傳統(tǒng)的多鏈路的解決方案也不能完全保證應用的可靠性和可用性；傳統(tǒng)多歸路方案通過每條互聯(lián)網(wǎng)鏈路為內網(wǎng)分配一個不同的IP地址網(wǎng)段來實現(xiàn)對鏈路質量的保證。這樣來解決方案雖然能夠解決一些接入鏈路的單點故障問題，但是這樣不僅沒有實現(xiàn)真正上的負載均衡，而且配置管理復

3、雜。路由協(xié)議不會知道每一個鏈路當前的流量負載和活動會話。此時的任何負載均衡都是很不精確的，最多只能叫做“鏈路共享”。出站訪問，有的鏈路會比另外的鏈路容易達到。雖然路由協(xié)議知道一些就近性和可達性，但是他們不可能結合諸如路由器的HOP數(shù)和到目的網(wǎng)絡延時及鏈路的負載狀況等多變的因素，做出精確的路由選擇。入站流量，有的鏈路會比另外的鏈路更好地對外提供服務。沒一種路由機制能結合DNS，就近性,路由器負載等機制做出判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務。所以說，傳統(tǒng)的多鏈路接入依靠復雜的設計，解決了一些接入鏈路存在單點故障的問題。但是，它遠遠沒有把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。二、需求分析為了提升應

4、用系統(tǒng)的穩(wěn)定性和可靠行，通過已經(jīng)部署多條互聯(lián)網(wǎng)鏈路以保證網(wǎng)絡服務的質量，消除單點故障，減少停機時間。目前需要在如下兩種情況下實現(xiàn)多條鏈路的負載均衡：1、內部的應用系統(tǒng)和網(wǎng)絡工作站在訪問互聯(lián)網(wǎng)絡的服務和網(wǎng)站時如何能夠在多條不同的鏈路中動態(tài)分配和負載均衡，這也被稱為出站流量的負載均衡。2、互聯(lián)網(wǎng)絡的外部用戶如何在外部訪問內部的網(wǎng)站和應用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務器和應用系統(tǒng)，這也被稱作為入站流量的負載均衡。正對上述問題，我們推薦使用深信服AD應用交付解決方案，可以智能的為客戶解決上述問題：對于出站流量，AD接收到流量以后，

5、可以智能的將出站流量分配到不同的INTERNET接口，并做源地址的NAT，可以指定某一合法IP地址進行源地址的NAT，也可以用AD的接口地址自動映射，保證數(shù)據(jù)包返回時能夠正確接收。對于入站流量，AD分別綁定兩個運營商的公網(wǎng)地址，解析來自兩個運營商的DNS解析請求AD不僅可以根據(jù)服務器的健康狀況和響應速度回應LDNS相應的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時間判斷鏈路的好壞，并且綜合以上兩個參數(shù)回應LDNS相應的IP地址。三、解決方案3.1網(wǎng)絡拓撲深信服鏈路負載均衡解決方案能夠很好的解決上述問題。本方案設計采用SINFORAD應用交付設備來實現(xiàn)網(wǎng)絡中兩條鏈路的智能負載

6、；具體部署情況如下：H斧爵內附劇盧3.2方案描述3.2.1方案設計總體描述本方案設計采用深信服AD應用交付設備來實現(xiàn)網(wǎng)絡中兩條鏈路入站（從Internet發(fā)起對內部服務器的訪問）和出站（內部客戶端發(fā)起對Internet的訪問）方向負載均衡；整個系統(tǒng)采用全冗余網(wǎng)絡連接方式設計，來保證系統(tǒng)的高可用性和高可靠性。方案具體實現(xiàn)方式如下：對于出站流量，AD接收到流量以后，可以智能的將訪問ISP1的資源的出站流量分配到ISP1的接口，并做源地址的NAT，（可以指定某一合法IP地址進行源地址的NAT，也可以用AD的接口地址自動映射），保證數(shù)據(jù)包返回時能夠正確接收，其他的流量走ISP2的線路。對于入站流量，A

7、D分別綁定兩個ISP服務商的公網(wǎng)地址，解析來自兩個ISP服務商的DNS解析請求。ISP1的用戶訪問通過ISP1的線路訪問內部，其他的用戶訪問通過ISP2的線路來訪問內部。AD不僅可以根據(jù)服務器的健康狀況和響應速度回應LDNS相應的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時間判斷鏈路的好壞，并且綜合以上兩個參數(shù)回應LDNS相應的IP地址。鏈路負載均衡及冗余兩臺AD以主備的方式實現(xiàn)網(wǎng)絡中兩條鏈路的負載均衡及冗余。AD可以根據(jù)相應的鏈路負載均衡算法來實現(xiàn)快速訪問的智能引導，比如將訪問電信的用戶引導至電信鏈路，訪問網(wǎng)通的用戶引導到網(wǎng)通鏈路，解決了不同ISP之間的互連互通問題，保證

8、了最好的訪問速度和最高的訪問效率。同時，AD的健康檢查機制實現(xiàn)對鏈路健康狀況的實時監(jiān)控，當有鏈路出現(xiàn)故障時AD會屏蔽故障鏈路，并自動將流量切向其它正常工作的備份鏈路，實現(xiàn)了鏈路的高可用性。設備自身冗余性兩臺SINFORAD設備以主備的冗余方式方連接，處于備份狀態(tài)的設備采用“心跳線”監(jiān)測運行的設備的狀態(tài)，當檢測出設備故障時，兩臺設備就會產生毫秒級切換，備份設備會切換為運行主機，為用戶提供服務，保證了系統(tǒng)的高可用性。易于管理性SINFORAD產品提供https的安全Web全中文的界面管理，本地基于SerialConsole的管理和SSH安全遠程命令行管理；SINFORAD產品還支持商業(yè)能分析功能，

9、能夠全面統(tǒng)計鏈路的運行狀況如會話連接數(shù)、用戶數(shù)、應用分布情況、ip來源等相關情況，方便管理員對網(wǎng)絡進行優(yōu)化四、關鍵技術介紹4.1SINFORAD鏈路負載工作原理目前鏈路負載均衡設備功能主要分為外部用戶接入鏈路選擇和內部用戶訪問外網(wǎng)資源鏈路選擇兩個方面。關于SINFORAD鏈路負載的工作原理分為兩部分介紹：入站流量（Internet用戶訪問內網(wǎng)服務器及DNS查詢的流量）和出站流量（內網(wǎng)用戶主動發(fā)起的訪問Internet服務器的流量）。入站流量SINFORAD需要用戶將域名的解析功能導向到SINFORAD，由AD來進行域名的解析。舉個例子來說，當用戶遠程通過域名訪問對外發(fā)布網(wǎng)站時，逐步通過遠程用戶

10、的本地DNS服務器、根DNS服務器，最終由SINFORAD來進行域名的解析。然后SINFORAD就會通過靜態(tài)列表或者動態(tài)判斷算法，在多挑鏈路中選擇最優(yōu)的線路，然后將域名解析成相應線路的IP地址，返回給用戶。具體訪問流程如下：假定現(xiàn)在外部公網(wǎng)一個用戶訪問，SINFORAD處理入站流量的過程如下：1）:客戶端向本地DNS發(fā)出域名解析請求，請求解析域名的IP地址。2）：本地DNS首先在本地搜索是否有相應的記錄，如果沒有就向ROOT服務器發(fā)起查詢的地址，得到2個NS記錄，分別對應SINFORAD在兩個ISP網(wǎng)段的地址DNS服務器，3）：本地DNS查詢到達LinkController。SINFORAD先

11、判斷鏈路的健康狀況，再根據(jù)預先定義的負載均衡算法決定返回給本地DNS哪個IP地址。4）：本地DNS得到解析結果，并將結果返回給客戶端。5）：客戶端對得到的IP地址發(fā)起連接請求，請求最終到達SINFORAD。出站流量出站流量主要是由內部用戶和服務器主動發(fā)起的對公網(wǎng)的訪問，當這部分流量到達SINFORAD時，SINFORAD會通過預先設定的好策略判斷每條條鏈路的健康狀況，并決定將流量負載均衡到哪條鏈路，然后數(shù)據(jù)包的源地址轉換成相應ISP網(wǎng)段的公網(wǎng)地址，再將該數(shù)據(jù)包發(fā)出；響應數(shù)據(jù)包返回到SINFORAD時，SINFORAD將目的地址進行轉換之后將數(shù)據(jù)包發(fā)給內部的用戶或服務器。4.2鏈路負載均衡算法輪

12、詢：將所有網(wǎng)絡鏈路放在一個隊列當中，按順序依次返回給用戶隊列中下一個網(wǎng)絡鏈路的IP地址。加權輪詢，由于各條互聯(lián)網(wǎng)鏈路的吞吐量可能不一，因此可以為各條鏈路分配不同的加權值。根椐這個比例，把數(shù)據(jù)流量輪詢分配到每條鏈路。加權最少連接算法，是一種動態(tài)調度算法，它通過鏈路當前所活躍的連接數(shù)來估計鏈路數(shù)的負載情況。AD需要記錄各個鏈路已建立的連接書，當一個請求被調度到某鏈路，其連接數(shù)加1；當連接中止或超時，其連接數(shù)減一;加權最小連接算法通過以各條鏈路上的實際連接數(shù)為權值，在調度新連接時盡可能的使各條鏈路上已建立連接數(shù)為1：1,AD將把新的連接請求分配到當前比例最小的鏈路上靜態(tài)就近性：SINFORAD搜集了

13、各運營商所有的IP地址庫并提供實時更新，目標IP屬于哪個運營上選擇那個運營商鏈路；同時，用戶可在上為某個目標定義靜態(tài)的最佳鏈路。例如目標IP地址屬于ISP1的，應選擇ISP1鏈路；目標IP地址屬于ISP2的，應選擇ISP2鏈路。動態(tài)就近性：在選擇最佳鏈路時，SINFORAD通過綜合考慮與目標網(wǎng)絡之間的路由節(jié)點數(shù)量、數(shù)據(jù)傳輸?shù)难舆t和鏈路的實時負載，準確計算出最佳路徑。因此用戶能充分地享受到優(yōu)化的服務和快速地響應。4.4鏈路健康檢查SINFORAD通過多個Internet站點的可達性，來共同判斷一條鏈路的狀況。例如，通過電信線路檢查www,sina,com、www,sohu,com、以及www,qq,com的TCP80端口，并對檢查結果做或”運算。這樣,只要其中一個站點可達，即可表明鏈路狀態(tài)良好。該方法即避免了ICMP檢查的局限性，也避免了單一站點檢查帶來的單點失誤。4.5商業(yè)智能分析SINFORAD是深信服最新推出的應用交付系列設備,與傳統(tǒng)的負載均衡設備不同，他更加關注企業(yè)應用的整體交付過程中所出現(xiàn)的一系列問題其突出特色就是SINFORAD的智能分析功能.SINFORAD具備強大的統(tǒng)計分析功能，能夠有效統(tǒng)計分