Array负载均衡解决方案文档格式.docx
《Array负载均衡解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《Array负载均衡解决方案文档格式.docx(27页珍藏版)》请在冰豆网上搜索。
2.3.实用性和可靠性27
2.4.安全性28
2.5.可管理性28
三、APV产品线29
四、ArrayNetworks公司简介30
前言
目前负载均衡产品的市场已经从传统的负载均衡领域逐步发展为现在的应用交付市场,随着市场需求变化的同时,产品的技术架构也发生了巨大的变化。
在传统的负载均衡市场中,如链路负载均衡、服务器负载均衡,更多需求是对设备四层交换的性能,基于NP、ASIC技术的负载均衡产品因其四层处理性能比较优秀,在早期的负载均衡市场取得了较好的成绩。
但随着Web2.0技术的迅猛发展,客户的需求也发生了巨大的变化,诸如HTTP压缩、HTTPCache、HTTP的连接复用,还有对SSL加解密等复杂运算的需求。
基于NP、ASIC技术的传统负载均衡产品就已经远远不能满足用户快速变化的功能需求了,多核技术因其具备强大的处理七层复杂应用,已经成为应用交付产品的风向标。
Array新款负载均衡产品-APV系列采用了AsymmetricMulti-Processing(异步无锁多核,坚持AMP)技术,形成强劲的SpeedCore架构,同时发挥多处理器、多核的效能,结合在多路并行和端口高速转发技术,处理性能有了巨大飞跃,使ArrayAPV产品应用交付设备的性能得到了数倍提升。
一般负载均衡解决方案往往由多个单一功能设备组成,数据传输延迟大、管理维护困难,而ArrayAPV则具备高性能、高可靠性和可扩充性特点,可以为客户节省大量的硬件、维护、设置、机架空间和人力方面的投入。
ArrayAPV系列是具有高性能与多功能的应用交付控制器,能够将应用数据更加快捷的交付给用户。
ArrayAPV系列产品继续秉承了一贯的ALLINONE体系架构,将众多的传统的数据中心包处理功能,如服务器负载均衡、链路负载均衡、全局负载均衡、SSL加速、HTTP压缩、Cache及Webwall防火墙,攻击防护、动态路由、QoS带宽管理等功能,都整合到了一个易于操作的系统中,在保证高性能的同时,降低了基础设施成本。
同时也降低了数据中心的能源消耗。
并且全线产品均通过了RoHS认证和WEEE认证,Array正为客户打造一个绿色的数据中心贡献自己的力量。
一、ArrayAPV系列设备功能简介
1.1.服务器负载均衡(ServerLoadBalance)
ArrayAPV产品通过基于OSI2-7层协议的精确流量控制,能够提供完全的服务器负载均衡。
APV可以实现动态分配每一个应用请求到后台的服务器,并实时按需检查各个服务器的健康状态,并将下一个请求分配给最佳性能的服务器,当任何服务器或应用程序不能正常提供服务时,并将会把接下来的访问请求分配给其它服务器,实现整个应用平台的高可靠性。
ArrayAPV提供的服务器负载均衡服务(SLB),使每台服务器的处理能力都能得到充分的发挥。
SLB可以实现如下的功能:
Ø
提供真正面向应用层的HTTP、DNS、Radius、SIP、RTSP,以及基于TCP/UDP等应用的负载均衡;
提供丰富的负载均衡策略和算法来,来实现真正的合理的流量分配;
多层次的健康探测机制,保证了业务的7*24不间断;
结合Cache、连接复用技术、HTTP压缩等加速技术,有效减少后台服务器的负载,保护企业的投资成本。
1.1.1SLB的工作模式
SLB(服务器负载均衡):
能够通过基于服务器的健康状态和负载能力,在多个服务器之间共同分担用户请求,改善应用系统性能,扩展应用系统的整体处理能力。
基本的服务器负载均衡数据处理过程如下:
如图所示:
负载均衡上设定虚拟服务(譬如web服务,端口为80),其虚地址(VIP)为100.10.10.10,同时将后台的提供相同应用的真实服务设定在服务组中。
1)用户直接通过域名或VIP进行业务访问(如果采用域名,则域名应被解析成VIP)
2)用户的请求发到负载均衡后,负载均衡依据当前的服务器健康状态以及预先设定的算法将请转发到最佳的一个真实服务上
3)真实服务器处理完请求回将Response再返回给负载均衡,之后负载均衡返回给用户端。
实现服器负载均衡(SLB)有以下优点:
●扩展应用系统的整体处理能力:
通过在本地各服务器之间实现服务器负载均衡,将所有相同应用的服务器组以一个固定的IP地址向用户提供服务。
相对于传统的单台服务器提供服务,其整体处理能力得到了扩展和提高。
●改善应用系统的可靠性和可用性:
通过基于服务器的状态健康监测技术,能够及时判断服务器组内每台服务器的运行状态,并进行智能负载分担,大大提高了整体系统的可靠性和可用性。
●便于提高应用系统的整体性能:
SLB的实现方式非常适合于应用系统的整体性能的提高,在几乎不影响应用的情况下,提高整体性能和处理能力。
ArrayAPV中的SLB功能,能够全面实现二到七层负载分担算法,通过完善的健康检查机制和自身的集群功能来保障业务的永久可用,通过自身的高处理性能和应用加速功能的紧密集成,使得用户的投资效益最大化。
ArrayAPV的服务器负载均衡在处理数据包时可以采用三种模式执行:
ReverseProxyMode(反向代理模式)、TransparentMode(透明模式)以及TriangleMode(三角传输)。
为了进一步提高系统的灵活性,三种模式可以基于不同的应用进行选择。
(1)ReverseProxyMode(反向代理模式)
ArrayAPV的反向代理模式是指负载均衡接收到用户的请求后,以代理的方式转发给内部的服务器。
因此,与后台服务器建连的源地址为APV的接口地址。
反向代理模式下,无需对原有网络进行额外调整,同时结合TCP连接服用技术,对应用性能进行优化
(2)TransparentMode(透明模式)
ArrayAPV的透明模式是指ArrayAPV在转发用户请求时,透明地将客户端的连接定向到特定的服务器上,即用户的源IP地址对服务器是透明的,服务器可以知道哪个客户对其进行了访问。
透明模式实现时,服务器可以记录下哪些IP地址的客户端曾经进行过访问。
但这种方式实现时结构和路由设计必须保障服务器端对源地址来的响应必须经过APV,同时由于每个请求的源IP地址都不一样,因此无法利用连接池技术改善系统性能。
(3)TriangleMode(三角模式)
ArrayAPV的三角传输功能是专门为低入站/高出站的应用(例如:
视频点播)设计的。
它能以最快,最有效的方式响应请求。
对于三角传输,管理员可以使用RoundRobin(rr),PersistentIP(pi),HashIP(hi),ConsistentHashIP(chi),Leastconnections(lcandSNMP(snmp)等方式来选择一个合适后台服务。
在三角传输模式下,SLB只支持Tcp、Udp和Ip类型的虚拟服务。
三角传输数据包流:
1.客户通过路由器向ArrayAPV上的虚拟IP10.3.61.18发送一个请求。
2.ArrayAPV把这个请求转送给一个后台服务。
在这个后台服务中,由于管理员已经把这个虚拟地址10.3.61.18指定为loopback接口,因此这个后台服务能够接收到这个请求。
3.这个后台服务直接把响应返回到路由器。
由于在这个后台服务器中,默认的路由器IP地址被指定为10.3.61.1,所以响应会直接被返回到路由器。
在整个数据包流中,客户端的请求是经过ArrayAPV到达后台服务,但是,后台服务的响应直接返回客户端而不经过ArrayAPV。
注意:
在三角传输模式下的SLB健康检查是基于后台服务的系统IP地址,而不是loopback地址。
这就意味着即使健康检查表明后台服务是可用的,但是后台服务也有可能是不可用的。
1.1.2.SLB的负载均衡算法
SLB的负载均衡算法分为策略(Policy)和算法(Method)两种。
Policy是指虚拟服务(virtualservice)和服务组(Group)之间的对应,对不同的组选择机制,而Method是指在一个组内部的多个服务器之间的选择机制。
先看Method,ArrayAPV支持多种服务器负载均衡算法(持续性的和非持续性的),包括轮循算法、最少连接算法、最短响应时间算法、散列算法等等。
此外实际服务器可以被分配不同的加权值来调整被分配的流量。
可以使性能高的大型服务器支持更多的负载。
为了避免服务器因过载而崩溃,可为实际服务器指定最大连接阈值来避免该服务器过载。
任何服务器可被指定为另一台服务器的备份服务器或溢出服务器,从而进一步保证了应用可用性。
⏹非持续性算法(Non-Persistent):
一个客户端的不同的请求可能被动态的分配到一个实服务组中的不同的实服务器上进行处理。
主要有:
轮循算法、最少连接算法、响应速度算法等。
轮循算法(RoundRobin):
每一次来自网络的请求轮流分配给内部中的每台服务器,从1至N然后重新开始。
此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况;
如果服务器的性能处理能力不同的情况下,可以借助权重值,实现分权重的轮询算法,譬如3:
2:
1。
最少连接算法(LeastConnection):
最少连接数均衡算法对内部中有负载的每一台服务器记录正在处理的连接数量,当有新的服务连接请求时,将把当前请求分配给连接数最少的服务器,使均衡更加符合实际情况,负载更加均衡。
此种均衡算法适合长时间处理的请求服务。
最快响应时间(ShortestResponse):
具有最快响应速度的服务将负责下一个请求。
使用此方法,快速服务和响应慢的服务都会被充分利用。
快速服务开始会得到更多的负载,但是随着负载越来越重,快速服务的响应时间会加长,原先相对响应慢的服务就有机会获取客户请求。
。
此种均衡算法能较好地反映服务器的当前运行状态,但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间,而不是客户端与服务器间的最快响应时间。
⏹持续性算法(Persistent):
从一个特定的客户端发出的请求都被分配到一个实服务组中的同一个实服务器上进行处理(譬如要求用户认证的WEB应用)。
主要包括:
A.基于IP的算法
PersistentIP(pi):
基于用户IP地址来选择服务器。
HashIP(hi):
基于用户IP地址的HASH值,来选择服务器
HashIPandport(hip)基于用户的IP和Port进行Hash,选择服务器。
ConsistentHashIP(chi):
一致性HashIP。
多台APV设备可采用相同的HASH值进行IP地址保持
B.基于报头/请求的算法
HashHeader(hh):
基于用户请求报中HTTP报头来选择服务器;
PersistentHostname(ph):
基于用户请求报中HTTP报头的Hostname的HASH值,来选择服务器;
PersistentURL(pu):
基于对URITag和值的静态对应关系来选择服务器。
SSLSessionID(SSLsid):
基于SSL会话ID来选择服务器。
SSLSessionID(SSLid):
这是基于应用服务采用的时SSL协议,每个SSLsession都有一个特定的SSLsessionID,根据这个ID的保持行算法就是SSLID
C.基于Cookie的算法
PersistentCookie(pc):
选择服务器基于用户请求包用CookieName/Value的静态对应关系;
HashCookie(hc):
选择服务器基于用户请求包用CookieName/Value的Hash值对应关系;
InsertCookie(ic):
选择服务器基于Array向服务器响应包中插入Cookie;
Re-writeCookie(rc):
选择服务器基于Array向服务器响应包中重写Cookie值。
(必须为重写指定Cookie值的偏移量
EmbedCookie:
选择服务器基于Array向服务器响应包中嵌入Cookie,它会见查会话已有的cookie;
1.1.3.SLB的负载均衡策略
一个VirtualService可能对应多个服务组,SLB的负载均衡策略时服务选择定义的组的策略,主要有三大类:
基础性策略、保持性策略、QOS策略。
(1)基础性策略
Static:
在Virtualservice和Realservice之间建立静态的对应关系
Default:
缺省策略,在没有七层匹配策略时生效。
Backup:
在匹配一条策略成功,但组内的realservices比可用,或组内的Method匹配失败时生效。
(2)保持性策略,同上一部分Method的匹配规则。
须和Method配合使用。
PersistentURL
PersistentCookie
RewriteCookie
InsertCookie
Header
(3)QOS策略:
七层的负载均衡策略可以根据应用的Header进行更加智能的负载均衡策略
QOSCookie:
根据请求的Cookie的值进行均衡
QOSHostname:
根据访问的包头中的Hostname包头进行均衡
QOSURL:
根据URL字符串进行组的选择
QOSNetwork:
根据客户端的源IP地址进行均衡。
RegularExpression:
更灵活的表达式
Header:
根据特定的包头进行均衡
Redirect:
将客户端的HTTPrequest从一个host转向到另一个host。
1.1.4Array的SLB健康检查
ArrayAPV通过对服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用服务器。
当Array的健康检测机制,检测到服务器重新恢复正常以后,将使该服务器可以自动回到服务器群之中,所有这些服务器故障的处理,对进行操作的用户是完全透明的。
ArrayAPV对服务器的健康检查,可采用多种方式:
ICMP健康检查
简单的发个ICMPecho(ping)请求给后台服务器。
如果后台服务器有ICMP回答,服务将被认为是好的。
否则服务不可用。
这种健康检查并不能保证真正的应用服务是好用的。
TCP健康检查
TCP健康检查简单的与后台服务器建立一个TCP连接。
如果连接建立失败,后台服务不可用。
反之,后台服务是好的。
此检查与指定的端口建立连接,但是并不能保证实际服务功能上没有问题。
更为有效的健康检查是通过HTTP请求来实现的。
TCPS健康检查
TCPS检查基于SSL握手协议来检查能否与后台SSL服务器正常握手。
如果SSL握手失败,服务不可用。
成功握手说明后台服务是好的。
简而言之就是与后台服务器建立SSL连接。
HTTPS健康检查
HTTPS健康检查也是基于SSL握手协议来检查能否于后台SSL服务器正常握手。
如果SSL握手成功,ArrayAPV就会给后台服务发送预定义的HTTP请求。
如果后台服务返回的响应与期望响应一致,那么后台服务就是可用的;
反之,后台服务就是不可用的。
使用HTTPS健康检查,用户必须提前定义好HTTP请求和与请求匹配的响应。
同时,在进行客户端认证时导入的客户端证书必须是用DER规则加密的。
HTTP健康检查
HTTP健康检查在建立TCP连接的基础上向后台服务发送预定义的HTTP请求。
如果后台服务的回答与期望回答一致,服务是好的。
否则,服务不可用。
使用此健康检查时,需要预先定义一组HTTP请求以及匹配的回答。
Script-TCP健康检查&
Script-UDP健康检查
Script_tcp和script_udp是更为细致的健康检查,不是根据一个请求/响应来判断服务好坏,而是根据一个包括多次请求与响应的握手系列来更为准确的了解后台服务情况。
它们分别基于不同传输层连接:
TCP或UDP连接。
Script-TCPS健康检查
Script-TCPS健康检查通过SSL握手协议来检查HTTPS后台服务是否可用。
在SSL握手成功之后,它的工作步骤与script-TCP健康检查相同。
DNS健康检查
DNS健康检查与后台服务建立UDP连接并且发送一个测试DNS请求,然后等待后台服务的回答。
如果有DNS回答,后台服务可用,否则后台服务不是健康的。
Radius-Auth健康检查&
Radius-Acct健康检查
Radius-auth健康检查和radius-acct健康检查主要用来检查RADIUS后台服务状况。
它们都是由一系列RADIUS握手协议过程来完成的。
Radius-auth检查客户认证情况。
Radius-acct检查资源授权情况。
RTSP-TCP
RTSP健康检查打开一个TCP连接,并且向后台服务器发送RTSP"
OPTIONS"
请求。
如果后台服务器作出应答,这个服务器将被标记为"
up"
,否则将被标记为"
down"
SIP-UDP&
SIP-TCPHealthCheck
SIP健康检查打开一个udp或者tcp连接,并且向后台服务器发送SIP"
请求。
HTTP请求和应答
为HTTP健康检查预定义了一组HTTP请求和一组期望应答。
应答匹配时,则服务被认为UP
1.1.5Array的SLB的特点
实时监控服务器应用系统的状态,并智能屏蔽故障应用系统;
实现多台服务器的负载均衡,提升系统的可靠性;
可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容;
提供服务器在线维护和调试的手段。
1.2.Array应用交付的加速技术
1.2.1.ConnectionMultiplexing连接复用技术
主要作用是为了改善现有系统的总体性能,其技术原理是自动实现HTTP1.0到HTTP1.1的转换;
TCP/IP协议栈在处理长连接时具有更好的性能;
将Web流量的多个短连接合并为一个长连接,改善了服务器的性能.
采用ArrayConnectionMultiplexing(连接复用)技术后的效果比较:
Array采用ConnectionMultiplexing(连接复用)技术,其优点在于:
⏹加快了与后台服务器之间的TCP/UDP连接处理速度
a)ArrayAPV预先与后台服务器之间建立多个连接,并保持住它们(每个服务器最多预先建立20个连接);
b)如果有客户端的请求,根据负载分担算法被分配到某个后台服务器上,ArrayAPV从预先建立的该服务器的连接池中选择一个连接,在此连接上发送客户端的请求,一个连接可以被用来传送多个请求(每个连接最多可以同时处理90个请求);
c)显著的减少了后台服务器需要处理的用户端连接数
⏹改善了服务器的性能.
a)服务器不需要花费更多的时间处理TCP/UDP连接建立和拆除的工作
b)服务器不需要耗费更多的资源保持多个客户端连接
1.2.2.硬件SSL加速
SSL协议是对HTTP请求上的敏感数据加密的技术。
握手、加密和解密过程由Web服务器处理。
此过程会给Web服务器添加额外的工作负载。
由web服务器提供传统的软件SSL加速方式严重降低了web服务器的性能,供应商提供了可改进SSL处理的硬件。
这些硬件称为“SSL加速器”或“SSL终结器”(SSLTerminator)。
SSL加速器截获加密的通信并执行SSL处理(握手、加密和解密)。
加速器与Web服务器之间的通信通常是以明文形式进行的。
通过使用专用硬件来执行SSL处理,您可以在站点上获得更好的性能。
浏览器向Web站点发出HTTPS请求。
SSL加速器截获该请求并对其进行解密。
然后以明文形式(HTTP)将该请求转发到Web服务器。
当响应被返回时,SSL加速器对响应加密,然后将其发送回浏览器。
Array公司的APV系列设备,正是这样一款性能卓越的SSL加速器。
通常情况下,ArraySSL数据处理流程为:
1、首先客户端与Array设备上的SSL虚拟主机建立一个加密的HTTPS会话。
2、然后Array设备与后台原始服务器建立一个非加密的http会话。
3、数据在发给后台服务器前,SSL虚拟主机解密客户端的请求后再发给后端服务器。
ArrayAPV采用了高性能的硬件加速方式。
并且支持端到端的安全,SSL加速器到后台服务器之间也可以采用SSL加密方式。
SSL不仅支持HTTPS协议,还支持POPS的安全email传输方式。
SSL标准支持如下:
⏹支持128位或192位的强密钥加密。
⏹支持SSLv3,TLSv1(SSLv3.1)得SSL版本。
⏹支持所有主流版本得加密密码。
⏹支持加速的1024位公钥。
SSL服务器和客户端支持认证。
并内置证书管理功能,支持客户端证书并且客户端证书可以在http请求中的报头传递,支持证书链中的中间证书,支持动态上传证书吊销列表,其中证书支持如下:
⏹支持CSR方式灵活的生成PEM(Base64)格式的外部证书。
⏹支持导入OpenSSL,MicrosoftIIS,andNetscape的证书和私钥。
⏹证书可以导入OpenSSL/ApacheSSLPEMformat,MicrosoftIIS(v4/v5)nativeformat,andNetscapeiPlanetDB等格式。
支持基于客户密码强度的https重定向,支持HTTP报头中用X-Forwarded-For来传递客户端的源地址信息用户审计。
Array采用了快速的证书解析的专利技术,在证书认证环境下的SSL加速性
升级会员 