深信服負(fù)載均衡方案

1、、概述隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，企業(yè)開始更多地使用互聯(lián)網(wǎng)來交付其關(guān)鍵業(yè)務(wù)應(yīng)用，企業(yè)生產(chǎn)力的保證越來越多的依賴于企業(yè)IT架構(gòu)的高可靠運(yùn)行，尤其是企業(yè)數(shù)據(jù)中心關(guān)鍵業(yè)務(wù)應(yīng)用的高可用性，所以企業(yè)越來越關(guān)注如何在最大節(jié)省IT成本的情況下維持關(guān)鍵應(yīng)用7X24小時工作,保證業(yè)務(wù)的連續(xù)性和用戶的滿意度。然而，由于中國電信發(fā)展的歷史問題，使得不同運(yùn)營商之間的互連互通一直存在著很大的問題。例如，通過電信建立的應(yīng)用服務(wù)器，如果是網(wǎng)通的用戶訪問該資源的時候，Ping的延時有幾百甚至上千毫秒，用戶訪問時，可能會出現(xiàn)應(yīng)用響應(yīng)緩慢甚至沒有響應(yīng)造成無法訪問的問題。這樣企業(yè)在建立應(yīng)用服務(wù)器時，如果用戶采用單條接入鏈路，無論是采

2、用電信還是網(wǎng)通網(wǎng)絡(luò)鏈路，勢必都會造成相應(yīng)的網(wǎng)通或電信用戶訪問非常緩慢。如果只保持一條到公共網(wǎng)絡(luò)的連接鏈路則意味著頻繁的單點(diǎn)故障和脆弱的網(wǎng)絡(luò)安全性。在互聯(lián)網(wǎng)鏈路的穩(wěn)定性日益重要的今天，顯然，單個互聯(lián)網(wǎng)無法保證應(yīng)用服務(wù)的質(zhì)量和應(yīng)用的可用性以及可靠性，而應(yīng)用服務(wù)的中斷，將會帶來重大損失。因此，采用多條鏈路已成為保證互聯(lián)網(wǎng)鏈路穩(wěn)定性和快速性的必然選擇。而傳統(tǒng)的多鏈路的解決方案也不能完全保證應(yīng)用的可靠性和可用性；傳統(tǒng)多歸路方案通過每條互聯(lián)網(wǎng)鏈路為內(nèi)網(wǎng)分配一個不同的IP地址網(wǎng)段來實(shí)現(xiàn)對鏈路質(zhì)量的保證。這樣來解決方案雖然能夠解決一些接入鏈路的單點(diǎn)故障問題，但是這樣不僅沒有實(shí)現(xiàn)真正上的負(fù)載均衡，而且配置管理復(fù)

3、雜。路由協(xié)議不會知道每一個鏈路當(dāng)前的流量負(fù)載和活動會話。此時的任何負(fù)載均衡都是很不精確的，最多只能叫做“鏈路共享”。出站訪問，有的鏈路會比另外的鏈路容易達(dá)到。雖然路由協(xié)議知道一些就近性和可達(dá)性，但是他們不可能結(jié)合諸如路由器的HOP數(shù)和到目的網(wǎng)絡(luò)延時及鏈路的負(fù)載狀況等多變的因素，做出精確的路由選擇。入站流量，有的鏈路會比另外的鏈路更好地對外提供服務(wù)。沒一種路由機(jī)制能結(jié)合DNS，就近性,路由器負(fù)載等機(jī)制做出判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務(wù)。所以說，傳統(tǒng)的多鏈路接入依靠復(fù)雜的設(shè)計，解決了一些接入鏈路存在單點(diǎn)故障的問題。但是，它遠(yuǎn)遠(yuǎn)沒有把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。二、需求分析為了提升應(yīng)

4、用系統(tǒng)的穩(wěn)定性和可靠行，通過已經(jīng)部署多條互聯(lián)網(wǎng)鏈路以保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點(diǎn)故障，減少停機(jī)時間。目前需要在如下兩種情況下實(shí)現(xiàn)多條鏈路的負(fù)載均衡：1、內(nèi)部的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)工作站在訪問互聯(lián)網(wǎng)絡(luò)的服務(wù)和網(wǎng)站時如何能夠在多條不同的鏈路中動態(tài)分配和負(fù)載均衡，這也被稱為出站流量的負(fù)載均衡。2、互聯(lián)網(wǎng)絡(luò)的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應(yīng)用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達(dá)服務(wù)器和應(yīng)用系統(tǒng)，這也被稱作為入站流量的負(fù)載均衡。正對上述問題，我們推薦使用深信服AD應(yīng)用交付解決方案，可以智能的為客戶解決上述問題：對于出站流量，AD接收到流量以后，

5、可以智能的將出站流量分配到不同的INTERNET接口，并做源地址的NAT，可以指定某一合法IP地址進(jìn)行源地址的NAT，也可以用AD的接口地址自動映射，保證數(shù)據(jù)包返回時能夠正確接收。對于入站流量，AD分別綁定兩個運(yùn)營商的公網(wǎng)地址，解析來自兩個運(yùn)營商的DNS解析請求AD不僅可以根據(jù)服務(wù)器的健康狀況和響應(yīng)速度回應(yīng)LDNS相應(yīng)的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時間判斷鏈路的好壞，并且綜合以上兩個參數(shù)回應(yīng)LDNS相應(yīng)的IP地址。三、解決方案3.1網(wǎng)絡(luò)拓?fù)渖钚欧溌坟?fù)載均衡解決方案能夠很好的解決上述問題。本方案設(shè)計采用SINFORAD應(yīng)用交付設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)中兩條鏈路的智能負(fù)載

6、；具體部署情況如下：H斧爵內(nèi)附劇盧3.2方案描述3.2.1方案設(shè)計總體描述本方案設(shè)計采用深信服AD應(yīng)用交付設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)中兩條鏈路入站（從Internet發(fā)起對內(nèi)部服務(wù)器的訪問）和出站（內(nèi)部客戶端發(fā)起對Internet的訪問）方向負(fù)載均衡；整個系統(tǒng)采用全冗余網(wǎng)絡(luò)連接方式設(shè)計，來保證系統(tǒng)的高可用性和高可靠性。方案具體實(shí)現(xiàn)方式如下：對于出站流量，AD接收到流量以后，可以智能的將訪問ISP1的資源的出站流量分配到ISP1的接口，并做源地址的NAT，（可以指定某一合法IP地址進(jìn)行源地址的NAT，也可以用AD的接口地址自動映射），保證數(shù)據(jù)包返回時能夠正確接收，其他的流量走ISP2的線路。對于入站流量，A

7、D分別綁定兩個ISP服務(wù)商的公網(wǎng)地址，解析來自兩個ISP服務(wù)商的DNS解析請求。ISP1的用戶訪問通過ISP1的線路訪問內(nèi)部，其他的用戶訪問通過ISP2的線路來訪問內(nèi)部。AD不僅可以根據(jù)服務(wù)器的健康狀況和響應(yīng)速度回應(yīng)LDNS相應(yīng)的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時間判斷鏈路的好壞，并且綜合以上兩個參數(shù)回應(yīng)LDNS相應(yīng)的IP地址。鏈路負(fù)載均衡及冗余兩臺AD以主備的方式實(shí)現(xiàn)網(wǎng)絡(luò)中兩條鏈路的負(fù)載均衡及冗余。AD可以根據(jù)相應(yīng)的鏈路負(fù)載均衡算法來實(shí)現(xiàn)快速訪問的智能引導(dǎo)，比如將訪問電信的用戶引導(dǎo)至電信鏈路，訪問網(wǎng)通的用戶引導(dǎo)到網(wǎng)通鏈路，解決了不同ISP之間的互連互通問題，保證

8、了最好的訪問速度和最高的訪問效率。同時，AD的健康檢查機(jī)制實(shí)現(xiàn)對鏈路健康狀況的實(shí)時監(jiān)控，當(dāng)有鏈路出現(xiàn)故障時AD會屏蔽故障鏈路，并自動將流量切向其它正常工作的備份鏈路，實(shí)現(xiàn)了鏈路的高可用性。設(shè)備自身冗余性兩臺SINFORAD設(shè)備以主備的冗余方式方連接，處于備份狀態(tài)的設(shè)備采用“心跳線”監(jiān)測運(yùn)行的設(shè)備的狀態(tài)，當(dāng)檢測出設(shè)備故障時，兩臺設(shè)備就會產(chǎn)生毫秒級切換，備份設(shè)備會切換為運(yùn)行主機(jī)，為用戶提供服務(wù)，保證了系統(tǒng)的高可用性。易于管理性SINFORAD產(chǎn)品提供https的安全Web全中文的界面管理，本地基于SerialConsole的管理和SSH安全遠(yuǎn)程命令行管理；SINFORAD產(chǎn)品還支持商業(yè)能分析功能，

9、能夠全面統(tǒng)計鏈路的運(yùn)行狀況如會話連接數(shù)、用戶數(shù)、應(yīng)用分布情況、ip來源等相關(guān)情況，方便管理員對網(wǎng)絡(luò)進(jìn)行優(yōu)化四、關(guān)鍵技術(shù)介紹4.1SINFORAD鏈路負(fù)載工作原理目前鏈路負(fù)載均衡設(shè)備功能主要分為外部用戶接入鏈路選擇和內(nèi)部用戶訪問外網(wǎng)資源鏈路選擇兩個方面。關(guān)于SINFORAD鏈路負(fù)載的工作原理分為兩部分介紹：入站流量（Internet用戶訪問內(nèi)網(wǎng)服務(wù)器及DNS查詢的流量）和出站流量（內(nèi)網(wǎng)用戶主動發(fā)起的訪問Internet服務(wù)器的流量）。入站流量SINFORAD需要用戶將域名的解析功能導(dǎo)向到SINFORAD，由AD來進(jìn)行域名的解析。舉個例子來說，當(dāng)用戶遠(yuǎn)程通過域名訪問對外發(fā)布網(wǎng)站時，逐步通過遠(yuǎn)程用戶

10、的本地DNS服務(wù)器、根DNS服務(wù)器，最終由SINFORAD來進(jìn)行域名的解析。然后SINFORAD就會通過靜態(tài)列表或者動態(tài)判斷算法，在多挑鏈路中選擇最優(yōu)的線路，然后將域名解析成相應(yīng)線路的IP地址，返回給用戶。具體訪問流程如下：假定現(xiàn)在外部公網(wǎng)一個用戶訪問，SINFORAD處理入站流量的過程如下：1）:客戶端向本地DNS發(fā)出域名解析請求，請求解析域名的IP地址。2）：本地DNS首先在本地搜索是否有相應(yīng)的記錄，如果沒有就向ROOT服務(wù)器發(fā)起查詢的地址，得到2個NS記錄，分別對應(yīng)SINFORAD在兩個ISP網(wǎng)段的地址DNS服務(wù)器，3）：本地DNS查詢到達(dá)LinkController。SINFORAD先

11、判斷鏈路的健康狀況，再根據(jù)預(yù)先定義的負(fù)載均衡算法決定返回給本地DNS哪個IP地址。4）：本地DNS得到解析結(jié)果，并將結(jié)果返回給客戶端。5）：客戶端對得到的IP地址發(fā)起連接請求，請求最終到達(dá)SINFORAD。出站流量出站流量主要是由內(nèi)部用戶和服務(wù)器主動發(fā)起的對公網(wǎng)的訪問，當(dāng)這部分流量到達(dá)SINFORAD時，SINFORAD會通過預(yù)先設(shè)定的好策略判斷每條條鏈路的健康狀況，并決定將流量負(fù)載均衡到哪條鏈路，然后數(shù)據(jù)包的源地址轉(zhuǎn)換成相應(yīng)ISP網(wǎng)段的公網(wǎng)地址，再將該數(shù)據(jù)包發(fā)出；響應(yīng)數(shù)據(jù)包返回到SINFORAD時，SINFORAD將目的地址進(jìn)行轉(zhuǎn)換之后將數(shù)據(jù)包發(fā)給內(nèi)部的用戶或服務(wù)器。4.2鏈路負(fù)載均衡算法輪

12、詢：將所有網(wǎng)絡(luò)鏈路放在一個隊(duì)列當(dāng)中，按順序依次返回給用戶隊(duì)列中下一個網(wǎng)絡(luò)鏈路的IP地址。加權(quán)輪詢，由于各條互聯(lián)網(wǎng)鏈路的吞吐量可能不一，因此可以為各條鏈路分配不同的加權(quán)值。根椐這個比例，把數(shù)據(jù)流量輪詢分配到每條鏈路。加權(quán)最少連接算法，是一種動態(tài)調(diào)度算法，它通過鏈路當(dāng)前所活躍的連接數(shù)來估計鏈路數(shù)的負(fù)載情況。AD需要記錄各個鏈路已建立的連接書，當(dāng)一個請求被調(diào)度到某鏈路，其連接數(shù)加1；當(dāng)連接中止或超時，其連接數(shù)減一;加權(quán)最小連接算法通過以各條鏈路上的實(shí)際連接數(shù)為權(quán)值，在調(diào)度新連接時盡可能的使各條鏈路上已建立連接數(shù)為1：1,AD將把新的連接請求分配到當(dāng)前比例最小的鏈路上靜態(tài)就近性：SINFORAD搜集了

13、各運(yùn)營商所有的IP地址庫并提供實(shí)時更新，目標(biāo)IP屬于哪個運(yùn)營上選擇那個運(yùn)營商鏈路；同時，用戶可在上為某個目標(biāo)定義靜態(tài)的最佳鏈路。例如目標(biāo)IP地址屬于ISP1的，應(yīng)選擇ISP1鏈路；目標(biāo)IP地址屬于ISP2的，應(yīng)選擇ISP2鏈路。動態(tài)就近性：在選擇最佳鏈路時，SINFORAD通過綜合考慮與目標(biāo)網(wǎng)絡(luò)之間的路由節(jié)點(diǎn)數(shù)量、數(shù)據(jù)傳輸?shù)难舆t和鏈路的實(shí)時負(fù)載，準(zhǔn)確計算出最佳路徑。因此用戶能充分地享受到優(yōu)化的服務(wù)和快速地響應(yīng)。4.4鏈路健康檢查SINFORAD通過多個Internet站點(diǎn)的可達(dá)性，來共同判斷一條鏈路的狀況。例如，通過電信線路檢查www,sina,com、www,sohu,com、以及www,qq,com的TCP80端口，并對檢查結(jié)果做或”運(yùn)算。這樣,只要其中一個站點(diǎn)可達(dá)，即可表明鏈路狀態(tài)良好。該方法即避免了ICMP檢查的局限性，也避免了單一站點(diǎn)檢查帶來的單點(diǎn)失誤。4.5商業(yè)智能分析SINFORAD是深信服最新推出的應(yīng)用交付系列設(shè)備,與傳統(tǒng)的負(fù)載均衡設(shè)備不同，他更加關(guān)注企業(yè)應(yīng)用的整體交付過程中所出現(xiàn)的一系列問題其突出特色就是SINFORAD的智能分析功能.SINFORAD具備強(qiáng)大的統(tǒng)計分析功能，能夠有效統(tǒng)計分