負載均衡器部署方式和工作原理

caixingyun發表於2016-06-01
在現階段企業網中,只要部署WEB應用防火牆,一般能夠遇到負載均衡裝置,較常見是f5、redware的負載均衡,在負載均衡方面f5、redware的確做得很不錯,但是對於我們安全廠家來說,有時候帶來了一些小麻煩。昨日的一次割接中,就遇到了國內廠家華夏創新的負載均衡裝置,導致昨日割接失敗。 在本篇部落格中,主要對負載均衡裝置做一個介紹,針對其部署方式和工作原理進行總結。

概述

負載均衡(Load Balance

由於目前現有網路的各個核心部分隨著業務量的提高,訪問量和資料流量的快速增長,其處理能力和計算強度也相應地增大,使得單一的伺服器裝置根本無法承擔。在此情況下,如果扔掉現有裝置去做大量的硬體升級,這樣將造成現有資源的浪費,而且如果再面臨下一次業務量的提升時,這又將導致再一次硬體升級的高額成本投入,甚至效能再卓越的裝置也不能滿足當前業務量增長的需求。

負載均衡實現方式分類

1:軟體負載均衡技術

該技術適用於一些中小型網站系統,可以滿足一般的均衡負載需求。軟體負載均 衡技術是在一個或多個互動的網路系統中的多臺伺服器上安裝一個或多個相應的負載均衡軟體來實現的一種均衡負載技術。軟體可以很方便的安裝在伺服器上,並且 實現一定的均衡負載功能。軟體負載均衡技術配置簡單、操作也方便,最重要的是成本很低。

2:硬體負載均衡技術

由於硬體負載均衡技術需要額外的增加負載均衡器,成本比較高,所以適用於流量高的大型網站系統。不過在現在較有規模的企業網、政府網站,一般來說都會部署有硬體負載均衡裝置(原因1.硬體裝置更穩定,2.也是合規性達標的目的)硬體負載均衡技術是在多臺伺服器間安裝相應的負載均衡裝置,也就是負載均衡器來完成均衡負載技術,與軟體負載均衡技術相比,能達到更好的負載均衡效果。

3:本地負載均衡技術

本地負載均衡技術是對本地伺服器群進行負載均衡處理。該技術通過對伺服器進行效能優化,使流量能夠平均分配在伺服器群中的各個伺服器上,本地負載均衡技術不需要購買昂貴的伺服器或優化現有的網路結構。

(如微軟NLB網路負載均衡技術,該技術通過多臺伺服器上起應用完成負載均衡的實現,原理是幾臺伺服器虛擬出一個IP地址,應用會使伺服器輪循響應資料, 但是在一次安全閘道器的部署當中就遇到了問題,大家以後可以注意本次經驗,問題簡單描述如下:當外部測試PC,向虛擬IP地址發了一個ping包之後,虛擬 IP迴應一個資料包,另外,實主機也均迴應資料包,導致安全裝置認為會話不是安全的。所以進行阻斷,致使業務不正常。)

4:全域性負載均衡技術(也稱為廣域網負載均衡)

全域性負載均衡技術適用於擁有多個低於的伺服器叢集的大型網站系統。全域性負載均衡技術是對分佈在全國各個地區的多個伺服器進行負載均衡處理,該技術可以通過對訪問使用者的IP地理位置判定,自動轉向地域最近點。很多大型網站都使用的這種技術。

5:鏈路集合負載均衡技術

鏈路集合負載均衡技術是將網路系統中的多條物理鏈路,當作單一的聚合邏輯鏈路來使用,使網站系統中的資料流量由聚合邏輯鏈路中所有的物理鏈路共同承擔。這種技術可以在不改變現有的線路結構,不增加現有頻寬的基礎上大大提高網路資料吞吐量,節約成本。

總結:

負載均衡至少有四種應用:

§  伺服器負載均衡;

§  廣域網路伺服器負載均衡 

§  防火牆負載均衡;

§  透明網站加速器負載均衡。

伺服器負載均衡負責將客戶請求的任務分發到多臺伺服器,用以擴充套件服務能力並超出一臺伺服器的處理能力,並且能夠使應用系統具有容錯能力。

廣域網路伺服器負載均衡負責將客戶的請求導向到不同的資料中心的伺服器群中,以便為客戶提供更快的響應速度和針對某一資料中心出現災難性事故時智慧的冗災處理。

防火牆負載均衡將請求負載分發到多臺防火牆,用來提高安全效能以便超出一臺防火牆的處理能力。

透明網站加速器(Transparent cache)使導向流量交換到多臺網站加速器中,用以解除安裝網站伺服器的靜態內容到網站加速器(Cache)中,從而提高網站服務的效能和加速cache的響應時間。

硬體負載均衡部署方式

負載均衡硬體裝置的部署一般有兩種:一種是串聯部署、一種是旁路部署。在部分,我們主要通過 F5負載均衡的直連和旁路配置模式解析硬體負載均衡裝置的部署方式。

1、直連模式結構

負載均衡

結構說明:圖中BigipF5負載均衡裝置,bigip上面使用公開的ip地址,bigip下面同負載均衡的伺服器使用不公開的ip地址。但對外提供服務則使用公開的ip

負載均衡旁路部署

結構說明:圖中BigipF5負載均衡裝置,bigip和下面同交換機連線的伺服器都使用公開的ip地址。

第二,看一下兩種模式的流量走向直連下的正常流量走向,如圖

負載均衡串聯部署流量走向圖

如上圖,bigip同客戶端的流量在bigip的上聯介面,bigip同伺服器的流量在下面的介面。
再看旁路模式下的流量走向,如圖

負載均衡旁路部署流量走向

如上圖,無論同客戶端還是同伺服器的通訊流量均在bigip的一個介面上。
第三、兩種模式的對比和思考
1
、從介面流量壓力上看
直連情況下,bigip同客戶端的流量在bigip的上聯介面,bigip同伺服器的流量在下聯的介面,故bigip單一介面壓力較小。
在旁路模式下, bigip無論同客戶端還是同伺服器的通訊流量均在bigip的一個介面上,故bigip單一介面壓力較大。為解決此問題,可以在bigip和交換機之間採用鏈路聚合技術,即埠捆綁,以避免介面成為網路瓶頸。
2
、從網路結構安全性上看
直連情況下,可以不公佈內部伺服器使用的真實ip地址,只需要公佈提供負載均衡的虛擬地址即可,而在旁路情況下,則客戶端可以得知伺服器的真實地址,在此模式下,為保證伺服器的安全性,伺服器的閘道器指向bigip,可以使用bigip上的包過濾(防火牆)功能來保護伺服器。

3、從管理方便性上看
直連情況下,因伺服器的真實地址可以隱含,故管理起來需要在bigip上啟用地址翻譯(NAT)功能,相對會複雜一些。而旁路模式則不需要地址翻譯的配置。

4、從擴充套件性上看

直連模式不支援npath模式,旁路模式支援npath模式,啟用npath模式可減少F5裝置的壓力,旁路npath模式下的流量走向,如下圖。(在該種流量走向的情況下,如果網路中有安全裝置,很可能會出現問題,具體的問題還要看安全裝置是在負載均衡裝置之上,還是負載均衡裝置之下)

npath流量走向圖

在旁路模式下,使用npath的流量處理方式,所有伺服器迴應的流量可以不通過bigip,這樣可以大大減少bigip上流量的壓力。但npath的流量處理方式不能工作在直連的模式。

5、後續系統改造時,兩種模式的工作複雜程度不一樣
如果對一個原先沒有負載均衡技術的系統進行負載均衡技術的改造,那麼,在直連情況下,需要修改伺服器的ip地址同時網路結構也要做調整(將伺服器調到 bigip後端),同時相關聯的應用也要改動,需要進行嚴格的測試才能上線執行;然而,在旁路模式下,僅僅需要改動一下伺服器的閘道器,原有系統的其它部分 (包括網路結構)基本不需要做改動,故前者對系統改動較大,後者則改動較小。

最後總結一下,相對於直連模式,旁掛模式在系統架構中的主要優點:
1
、增加了網路的靈活性:F5採用旁掛的方式,則後端伺服器的閘道器指向的為三層交換機的地址,而不是F5的地址,在對網路裝置維護時可以方便的採用修改路由的方式使裝置下線,便於維護管理。同時,一些特殊的應用也可在核心交換機上採用策略路由的方式指向特定的網路裝置。

2、提高了網路整體的可靠性:由於旁路方式的存在,如果F5裝置出現問題,可在交換機上修改路由使用資料流繞過F5,而不會對整個業務系統造成影響。

3、針對某些特殊應用,提高了速度:採用旁路的方式後,一些特定的的對速度、時延敏感的應用資料在進入和離開時可以採用不同的路徑,例如:在流入時可經過F5裝置,對其進行檢查,負載均衡。而在該資料流離開時,則不經過F5,以提高其速度。

相關文章