負載均衡原理

1、實用標準文案負載均衡分全局負載均衡和本地負載均衡地負載均衡是指對本地的服務器群做負載均衡，全局負載均衡是指對分別放置在不同的地理位置、有不同網絡結構的服務器群間作負載均衡。循環(huán) DNS就是每次解析域名時指向IPlooplist里的下一個 IP.負載均衡路由器通過某種策略把請求發(fā)送到響應最快的server 上，同時可以滿足故障轉移故障恢復 .但是負載均衡路由器本身需要維護，通常需要有兩個，來防止單點故障.例如 Alteon180和 F5Network的 Big-IP負載均衡可以針對不同的網路層次鏈路聚合技術（第二層負載均衡） 是將多條物理鏈路當作一條單一的聚合邏輯鏈路使用，網絡數(shù)據流量由聚合邏輯

2、鏈路中所有物理鏈路共同承擔，由此在邏輯上增大了鏈路的容量，使其能滿足帶寬增加的需求.現(xiàn)在經常使用的是4 至 7 層的負載均衡。第四層負載均衡將一個Internet上合法注冊的 IP 地址映射為多個內部服務器的IP 地址，對每次 TCP 連接請求動態(tài)使用其中一個內部IP 地址，達到負載均衡的目的。在第四層交換機中， 此種均衡技術得到廣泛的應用，一個目標地址是服務器群 VIP（虛擬 IP，VirtualIPaddress）連接請求的數(shù)據包流經交換機，交換機精彩文檔實用標準文案根據源端和目的IP 地址、 TCP 或 UDP 端口號和一定的負載均衡策略，在服務器 IP 和 VIP 間進行映射，選取服務

3、器群中最好的服務器來處理連接請求。第七層負載均衡控制應用層服務的內容，提供了一種對訪問流量的高層控制方式，適合對 HTTP 服務器群的應用。第七層負載均衡技術通過檢查流經的HTTP報頭，根據報頭內的信息來執(zhí)行負載均衡任務。第七層負載均衡優(yōu)點表現(xiàn)在如下幾個方面：1.通過對 HTTP 報頭的檢查，可以檢測出HTTP400 、500 和 600 系列的錯誤信息，因而能透明地將連接請求重新定向到另一臺服務器，避免應用層故障。2.可根據流經的數(shù)據類型（如判斷數(shù)據包是圖像文件、壓縮文件或多媒體文件格式等），把數(shù)據流量引向相應內容的服務器來處理，增加系統(tǒng)性能。3.能根據連接請求的類型， 如是普通文本、 圖象

4、等靜態(tài)文檔請求， 還是 asp 、cgi等的動態(tài)文檔請求， 把相應的請求引向相應的服務器來處理，提高系統(tǒng)的性能及安全性。缺點 :第七層負載均衡受到其所支持的協(xié)議限制（一般只有 HTTP），這樣就限制了它應用的廣泛性， 并且檢查 HTTP 報頭會占用大量的系統(tǒng)資源，勢必會影響到系統(tǒng)的性能，在大量連接請求的情況下， 負載均衡設備自身容易成為網絡整體性能的瓶頸負載均衡策略 :精彩文檔實用標準文案1.輪循均衡（ RoundRobin）：每一次來自網絡的請求輪流分配給內部中的服務器，從 1 至 N 然后重新開始。此種均衡算法適合于服務器組中的所有服務器都有相同的軟硬件配置并且平均服務請求相對均衡的情況。

5、2.權重輪循均衡（ WeightedRoundRobin）：根據服務器的不同處理能力，給每個服務器分配不同的權值，使其能夠接受相應權值數(shù)的服務請求。例如：服務器 A 的權值被設計成 1，B 的權值是 3 ，C 的權值是 6 ，則服務器 A 、B、C 將分別接受到 10% 、30 、 60 的服務請求。此種均衡算法能確保高性能的服務器得到更多的使用率，避免低性能的服務器負載過重。3.隨機均衡（ Random ）：把來自網絡的請求隨機分配給內部中的多個服務器。4.權重隨機均衡（ WeightedRandom）：此種均衡算法類似于權重輪循算法，不過在處理請求分擔時是個隨機選擇的過程。5.響應速度均衡

6、（ ResponseTime）：負載均衡設備對內部各服務器發(fā)出一個探測請求（例如 Ping ），然后根據內部中各服務器對探測請求的最快響應時間來決定哪一臺服務器來響應客戶端的服務請求。此種均衡算法能較好的反映服務器的當前運行狀態(tài)，但這最快響應時間僅僅指的是負載均衡設備與服務器間的最快響應時間，而不是客戶端與服務器間的最快響應時間。6.最少連接數(shù)均衡（ LeastConnection）：客戶端的每一次請求服務在服務器停留的時間可能會有較大的差異，隨著工作時間加長， 如果采用簡單的輪循或隨機均衡算法，每一臺服務器上的連接進程可能會產生極大的不同，并沒有達到真正的負載均衡。最少連接數(shù)均衡算法對內部中

7、需負載的每一臺服務器都有一個數(shù)據精彩文檔實用標準文案記錄，記錄當前該服務器正在處理的連接數(shù)量，當有新的服務連接請求時，將把當前請求分配給連接數(shù)最少的服務器， 使均衡更加符合實際情況， 負載更加均衡。此種均衡算法適合長時處理的請求服務，如FTP。7.處理能力均衡：此種均衡算法將把服務請求分配給內部中處理負荷（根據服務器 CPU 型號、 CPU 數(shù)量、內存大小及當前連接數(shù)等換算而成）最輕的服務器，由于考慮到了內部服務器的處理能力及當前網絡運行狀況， 所以此種均衡算法相對來說更加精確，尤其適合運用到第七層（應用層）負載均衡的情況下。8.DNS 響應均衡（ FlashDNS ）：在 Internet上

8、，無論是 HTTP 、FTP 或是其它的服務請求，客戶端一般都是通過域名解析來找到服務器確切的IP 地址的。在此均衡算法下，分處在不同地理位置的負載均衡設備收到同一個客戶端的域名解析請求，并在同一時間內把此域名解析成各自相對應服務器的IP 地址（即與此負載均衡設備在同一位地理位置的服務器的IP 地址）并返回給客戶端，則客戶端將以最先收到的域名解析IP 地址來繼續(xù)請求服務，而忽略其它的 IP 地址響應。在種均衡策略適合應用在全局負載均衡的情況下，對本地負載均衡是沒有意義的。服務故障的檢測方式和能力1.Ping 偵測：通過 ping 的方式檢測服務器及網絡系統(tǒng)狀況，此種方式簡單快速，但只能大致檢測

9、出網絡及服務器上的操作系統(tǒng)是否正常，對服務器上的應用服務檢測就無能為力了。2.TCPOpen 偵測：每個服務都會開放某個通過TCP 連接，檢測服務器上某個精彩文檔實用標準文案TCP 端口（如 Telnet 的 23 口， HTTP 的 80 口等）是否開放來判斷服務是否正常。3.HTTPURL 偵測：比如向 HTTP 服務器發(fā)出一個對 main.html文件的訪問請求，如果收到錯誤信息，則認為服務器出現(xiàn)故障。并發(fā)連接數(shù)并發(fā)連接數(shù)是指防火墻或代理服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目，它反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力， 這個參數(shù)的大

10、小直接影響到防火墻所能支持的最大信息點數(shù)。并發(fā)連接數(shù)是衡量防火墻性能的一個重要指標。在目前市面上常見防火墻設備的說明書中大家可以看到，從低端設備的500 、 1000 個并發(fā)連接，一直到高端設備的數(shù)萬、數(shù)十萬并發(fā)連接，存在著好幾個數(shù)量級的差異。那么，并發(fā)連接數(shù)究竟是一個什么概念呢？它的大小會對用戶的日常使用產生什么影響呢？要了解并發(fā)連接數(shù)， 首先需要明白一個概念， 那就是“會話”。 這個“會話”可不是我們平時的談話，但是可以用平時的談話來理解，兩個人在談話時，你一句，我一句，一問一答，我們把它稱為一次對話，或者叫會話。同樣，在我們用電腦工作時，打開的一個窗口或一個Web 頁面，我們也可以把它叫

11、做一個“會話”，擴展到一個局域網里面，所有用戶要通過防火墻上網，要打開很多個窗口或Web精彩文檔實用標準文案頁面發(fā)（即會話），那么，這個防火墻，所能處理的最大會話數(shù)量，就是“并發(fā)連接數(shù)”。像路由器的路由表存放路由信息一樣，防火墻里也有一個這樣的表， 我們把它叫做并發(fā)連接表， 是防火墻用以存放并發(fā)連接信息的地方，它可在防火墻系統(tǒng)啟動后動態(tài)分配進程的內存空間，其大小也就是防火墻所能支持的最大并發(fā)連接數(shù)。大的并發(fā)連接表可以增大防火墻最大并發(fā)連接數(shù)，允許防火墻支持更多的客戶終端。盡管看上去， 防火墻等類似產品的并發(fā)連接數(shù)似乎是越大越好。但是與此同時，過大的并發(fā)連接表也會帶來一定的負面影響：1.并發(fā)連接

12、數(shù)的增大意味著對系統(tǒng)內存資源的消耗以每個并發(fā)連接表項占用300B 計算， 1000 個并發(fā)連接將占用300B 1000 8bit/B 2.內3Mb存空間，10000 個并發(fā)連接將占用23Mb內存空間， 100000 個并發(fā)連接將占用230Mb內存空間，而如果真的試圖實現(xiàn)1000000個并發(fā)連接的話那么，這個產品就需要提供2.24Gb 內存空間！2.并發(fā)連接數(shù)的增大應當充分考慮CPU 的處理能力CPU 的主要任務是把網絡上的流量從一個網段盡可能快速地轉發(fā)到另外一個網段上，并且在轉發(fā)過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統(tǒng)計和訪問審計等操作， 這都要求防火墻對并發(fā)連接表中的相應表項

13、進行不斷的更新讀寫操作。如果不顧CPU 的實際處理能力而貿然增大系統(tǒng)的并發(fā)連接表，勢必影響防火墻對連接請求的處理延遲，造成某些連接超時， 讓更多的連接報文被重發(fā)，進而導致更多的連接超時，最后形成雪崩效應， 致使整個防火墻系統(tǒng)崩潰。精彩文檔實用標準文案3.物理鏈路的實際承載能力將嚴重影響防火墻發(fā)揮出其對海量并發(fā)連接的處理能力雖然目前很多防火墻都提供了10/100/1000Mbps的網絡接口，但是，由于防火墻通常都部署在Internet出口處，在客戶端 PC 與目的資源中間的路徑上， 總是存在著瓶頸鏈路該瓶頸鏈路可能是2Mbps專線，也可能是512Kbps 乃至 64Kbps 的低速鏈路。這些擁擠

14、的低速鏈路根本無法承載太多的并發(fā)連接， 所以即便是防火墻能夠支持大規(guī)模的并發(fā)訪問連接，也無法發(fā)揮出其原有的性能。有鑒于此，我們應當根據網絡環(huán)境的具體情況和個人不同的上網習慣來選擇適當規(guī)模的并發(fā)連接表。 因為不同規(guī)模的網絡會產生大小不同的并發(fā)連接，而用戶習慣于何種網絡服務以及如何使用這些服務，同樣也會產生不同的并發(fā)連接需求。高并發(fā)連接數(shù)的防火墻設備通常需要客戶投資更多的設備，這是因為并發(fā)連接數(shù)的增大牽扯到數(shù)據結構、 CPU、內存、系統(tǒng)總線和網絡接口等多方面因素。如何在合理的設備投資和實際上所能提供的性能之間尋找一個黃金平衡點將是用戶選擇產品的一個重要任務。 按照并發(fā)連接數(shù)來衡量方案的合理性是一個

15、值得推薦的辦法。以每個用戶需要10.5 個并發(fā)連接來計算：一個中小型企業(yè)網絡（ 1000 個信息點以下，容納4 個 C 類地址空間）大概需要10.5 1000=10500個并發(fā)連接，因此支持20000 30000 最大并發(fā)連接的防火墻設備便可以滿足需求；大型的企事業(yè)單位網絡（比如信息點數(shù)在1000 10000 之間）大概會需要105000 個并發(fā)連接，所以支持100000 120000 最大并發(fā)連接的防火墻就可精彩文檔實用標準文案以滿足企業(yè)的實際需要 ;而對于大型電信運營商和ISP 來說，電信級的千兆防火墻（支持120000 200000 個并發(fā)連接）則是恰當?shù)倪x擇。為較低需求而采用高端的防火

16、墻設備將造成用戶投資的浪費， 同樣為較高的客戶需求而采用低端設備將無法達到預計的性能指標。利用網絡整體上的并發(fā)連接需求來選擇適當?shù)姆阑饓Ξa品可以幫助用戶快速、準確的定位所需要的產品， 避免對單純某一參數(shù)“愈大愈好”的盲目追求，縮短設計施工周期， 節(jié)省企業(yè)的開支。 從而為企業(yè)實施最合理的安全保護方案。在利用并發(fā)連接數(shù)指標選擇防火墻產品的同時，產品的綜合性能、 廠家的研發(fā)力量、資金實力、企業(yè)的商業(yè)信譽和經營風險以及產品線的技術支持和售后服務體系等都應當納入采購者的視野，將多方面的因素結合起來進行綜合考慮，切不可盲目的聽信某些廠家廣告宣傳中的大并發(fā)連接的宣傳，要根據自己業(yè)務系統(tǒng)、 企業(yè)規(guī)模、發(fā)展空間

17、和自身實力等因素多方面考慮。用戶數(shù)限制防火墻的用戶數(shù)限制分為固定限制用戶數(shù)和無用戶數(shù)限制兩種。前者比如 SOHO型防火墻一般支持幾十到幾百個用戶不等，而無用戶數(shù)限制大多用于大的部門或公司。要注意的是，用戶數(shù)和并發(fā)連接數(shù)是完全不同的兩個概念，并發(fā)連接數(shù)是指防火墻的最大會話數(shù)（或進程），每個用戶可以在一個時間里產生很多的連接，在購買產品時要區(qū)分這兩個概念。精彩文檔實用標準文案吞吐量網絡中的數(shù)據是由一個個數(shù)據包組成，防火墻對每個數(shù)據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數(shù)據包數(shù)量。隨著 Internet的日益普及，內部網用戶訪問Internet的需求在不斷增加，一些企業(yè)也需要對外提供諸如WWW 頁面瀏覽、 FTP 文件傳輸、DNS 域名解析等服務，這些因素會導致網絡流量的急劇增加，而防火墻作為內外網之間的唯一數(shù)據通道，如果吞吐量太小， 就會成為網絡瓶頸， 給整個網絡的傳輸效率帶來負面影響。因此，考察防火墻的吞吐能力