目录
负载均衡是一种集群技术,在数据中心建设以及企业网出口建设中起到至关重要的作用。它将特定的业务分担给多台服务器、网络设备或者多条链路、从而提高业务的整体处理能力,同时保证业务的可靠性
根据服务的对象负载均衡技术分为:
服务器负载均衡
链路负载均衡
应用场景:数据中心服务器介入区域
服务器负载均衡模式:
服务器的负载分担可以根据部署方式的不同分为两种,网络地址转换、直连路由。
网络地址转换(NAT):将客户端的请求报文的目的ip地址转换为真实服务器的ip地址,发给真实服务器,并将服务器应答报文原地址转换为虚服务ip地址,发给客户端。此种方式可以直接部署在网络中。
直连路由(DR):将客户端请求报文的目的mac地址转换为真实服务器的mac地址,将请求发送给真实服务器,而真实服务器直接将响应报文返回客户端。此种方式一般多使用旁挂方式部署。
优点:解决传统服务器部署负载不均的问题
提高业务的可靠性,保证服务质量
业务虚拟一体化,管理维护方便
提高系统处理能力的同时降低整体投资成本
场景:企业、高校和数据中心等互联网出口
按照业务流量的方向可以分为Outbound链路负载均衡和Inbound链路负载均衡
(1):Outbound链路负载均衡:将用户访问外网的流量均匀的分担到多条链路上。
(2):Inbound链路负载均衡:多条链路上分担用户访问内网的流量。
实现原理:负载均衡设备一次根据持续性功能,acl策略、就近性探测、段度算法等选择对家的物理链路,将业务流量分发到该链路上。同时采用健康检查检测链路状态,一旦出现问题就不在将数据分发到该链路上,不仅起到负载分担也起到链路备份的功能。
Outbound负载均衡
实现原理:负载均衡设备作为权威域名服务器记录域名与内弯服务器ip地址的ingsheguanxi。一个域名可以映射多个ip地址。每个ip地址对应一条物理链路。外网用户通过域名方式访问内网服务器时,负载均衡设备根据acl策略、ISP选路以及就进行探测选择最佳的物理线路,并将对应的ip地址作为dns解析结果返回给用户,外网通过该链路访问内部服务器。
Inbound负载均衡
(1)到(6)用户通过递归查询、迭代查询,找到负载均衡设备。
(7)负载均衡设备通过就近性检查发现用户处于移动网络中
(8)负载均衡设备返回移动接口的IP地址给用户本地dns服务器。
(9)(10)用户得到www.honliv.com对应的移动的地址,从移动线路访问
优点:实现流量的负载分担,提高网络质量
实现监控链路状态,提高链路可靠性
丰富灵活的选路机制,满足多种业务需求。
负载均衡中的调度算法是一种分发机制,设备根据这种机制把数据分给不同的服务器或者链路。
常用的调度算法:
最大带宽:常用于链路负载均衡技术,负载均衡设备统计各链路的带宽利用率,把新的连接发送给当前带宽剩余最大的链路上。
轮询:把数据依次分发给个台服务器或者链路,轮询算法适合服务器软硬件配置均衡
或者多条链路带宽均等的情况下。
加权轮询:根据服务器的处理能力,或者链路质量的好坏。分配不同的权值,这样处理能力高的服务器或者链路就会承担更多的业务。
最小链接:负载均衡对内部服务器或者链路都有一个数据记录,记录当前服务器处理的连接数,当有新的连接请求时分配给连接数最小的服务器。
公司不断发展接入的运营商线路越来越多。目前公司拥有ISP线路共7条,移动有2条100兆,联通线路有3条100兆1条80兆,电信线路有一条30兆,总带宽610兆。具体情况如下表所示:
运营商 | 线路带宽/M | 个数/条 | 总计/M |
移动 | 100 | 2 | 200 |
联通 | 100 | 3 | 300 |
联通 | 80 | 1 | 80 |
电信 | 30 | 1 | 30 |
610 |
目前的负载方式是在防火墙上做策略路由,根据源地址的不同将内网用户手动负载到各个线路上,不同线路的用户使用不同的dns。
这种方法有诸多缺点:
1:配置麻烦要考虑各个运营商dns的不同,
2:高峰时期不能动态调整。联通线路整体压力小于移动,联通空闲资源不能动态分给
移动。
3:公司员工反映上网高峰时期(20点-24点)网速缓慢。
为解决上述问题,公司引入信安世纪负载均衡设备进行测试。
在原始网络环境中所有ISP接入防火墙,用户的数据由防火墙做统一的处理。
由于联通1承载绝大部分公司对外业务,为确保业务不受影响,仅对其余六条线路进行测试,测试环境如下图所示:业务流量走联通1保持不变,用户上网流量通过策略路由导入信安世纪负载均衡。
Infosec NSAE设备能够在极大地提高企业核心应用和业务平台的可用性、性能以及安全性的同时,降低企业数据中心成本和复杂性。作为一个为企业级应用服务设计的应用交付解决方案,Infosec NSAE设备代表了新一代的应用负载均衡和性能优化产品,仅仅通过一个功能强大的系统,即可提供高度集成的应用交付功能。
在实际调试中学习到,信安世纪INFOSEC NSAE 15000产品不仅能实现服务器负载均衡、链路负载均衡,也支持nat、防火墙、qos、集群部署等高级功能,同事拥有一定缓存能力,能提供有限的HTTP、dns的内网缓存。图形化监控管理方面可以根据需要自己定制监控图形,这样做增加了配置复杂度但是提高可灵活性。
系统配置:配置主机名、主机时间、配置接口地址、配置路由等,实现设备基本网络联通。导入isp路由表,实现根据目的地址选路。支持nat确保内网用户正常上网。配置集群、健康检查等高可用即使。支持防火墙功能,提供强大的访问控制。提供各个接口、内部nat表、tcp连接数的监控。
服务器负载均衡:主要针对服务器:通过配置虚拟服务使用同一ip地址对外部提供服务,负载均衡设备对后台集群服务器进行2层-7层的负载分担。
代理:信安世纪负载均衡提供有限的缓存服务,能将HTTP、dns缓存到本地,供内部用户使用加快网页访问速度,缩短dns响应时间。
高级链路负载均衡:提供inbound与outbound双向的负载均衡,通过负载均衡算法将内部流量均匀分配到ISP 线路,并且提供动态调整。通过智能dns对inbound的流量进行优化,处于不同isp的用户访问内部服务器时设备分配不同的ip地址,从而提高响应速度。
管理工具:提供配置文件管理、系统信息管理、用户管理、自定义监控图标等。自定义监控图标可以自己定义监控对象、监控参数又很好的灵活性。
使用dns欺骗造成网络阻塞
问题描述:为解决dns问题,内网用户使用dns不同。厂家工程师在负载均衡上配置虚拟dns服务,将内部dns请求进行拦截,返回统一的dns响应。测试初期运行正常。当把电信dns添加到虚拟服务之后出现大面积网络访问缓慢。
问题解决:去掉电信dns
问题原因:电信资源相对较多,用户通过dns欺骗得到较多的电信地址,从电信出口出去,然而电信只有30兆带宽,所以造成网络缓慢。
经过与工程师讨论最终决定去掉dns欺骗,采用常规方法。目的地址选路+设置带宽阈值。内网用户使用不同的运营商的dns,根据目的地址选路找到响应dns之后返回主机地址,在通过isp选了寻找目的主机。这种方法用户使用那个运营商的dns,负载均很就会把数据分配到响应运营商。当超过接口带宽阈值时设备自动将数据负载到其他线路。
1:设备稳定运行两周对各个运营商接口进行检测结果如下:
从监控数据来看,几条外线带宽使用率基本均衡。能自动将内网流量分配到各条外网线路上。电信线路的使用率明显高于其他线路,移动线路的负载压力远小于联通,负载均衡并没有很好的调整。而且由于每条线路均未达到最高峰,自动调整功能未能直观体现。
联通2线路监控:入方向带宽使用率达到70%左右,出方向带宽使用率达到80%左右。
联通3线路监控:入方向带宽使用率达到60%左右,出方向带宽使用率达到80%左右。
联通4线路监控:入方向带宽使用率达到50%左右,出方向带宽使用率达到60%左右。
电信1线路监控:入方向带宽使用率达到90%左右,出方向带宽使用率达到100%左右。
移动1线路监控:入方向带宽使用率达到50%左右,出方向带宽使用率达到10%左右。
移动2线路监控:入方向带宽使用率达到40%左右,出方向带宽使用率达到15%左右。
针对测试目能得出以下结论
1:能解决内网不同dns问题,用户使用不同dns将不会影响用户上网。
2:能实现各个运营商线路的均衡分配,但是动态调整能力特别是不同运营商之间的动态调整能力未知。
3:高峰时期网络慢的问题不能起到很明显的改善作用
4:目的地址选路+带宽权值的负载方式类似于现有防火墙ISP选路+多出口。
本文出自 “网络蟑螂” 博客,请务必保留此出处http://fenggao.blog.51cto.com/8119616/1601969
原文地址:http://fenggao.blog.51cto.com/8119616/1601969