多链路及服务器负载均衡
方案建议书
目录
一.概述 ......................................................................................... 错误!未定义书签。二.用户需求 ................................................................................. 错误!未定义书签。系统总体目标 ................................................................................ 错误!未定义书签。系统功能需求 ................................................................................. 错误!未定义书签。系统性能需求 ................................................................................. 错误!未定义书签。系统安全性需求 ............................................................................ 错误!未定义书签。可管理性需求 ................................................................................ 错误!未定义书签。网络安全需求 ................................................................................ 错误!未定义书签。三需求分析 .................................................................................... 错误!未定义书签。多链路的负载均衡和冗余 ............................................................ 错误!未定义书签。系统高可用性 ................................................................................ 错误!未定义书签。高度的安全性 ................................................................................ 错误!未定义书签。系统管理 ........................................................................................ 错误!未定义书签。其它 ................................................................................................ 错误!未定义书签。四.方案设计 ................................................................................. 错误!未定义书签。网络拓扑图.................................................................................... 错误!未定义书签。方案设计描述 ................................................................................. 错误!未定义书签。五.关键技术介绍 ......................................................................... 错误!未定义书签。链路负载均衡技术特点 ................................................................ 错误!未定义书签。 LinkController工作原理 ................................................................ 错误!未定义书签。链路负载均衡算法 ........................................................................ 错误!未定义书签。链路健康检查 ................................................................................ 错误!未定义书签。 UIE + iRules ..................................................................................... 错误!未定义书签。带宽管理 ........................................................................................ 错误!未定义书签。
HTTP流量压缩............................................................................... 错误!未定义书签。设备自身冗余机制 ........................................................................ 错误!未定义书签。 API接口--iControl介绍 ................................................................. 错误!未定义书签。 Cisco ASA5500系列防火墙技术特点 ........................................... 错误!未定义书签。六.新购设备 ................................................................................. 错误!未定义书签。 F5 BIG-IP LTM 1600参数............................................................... 错误!未定义书签。 CISCO ASA5520-DC-K8 参数 .......................................................... 错误!未定义书签。七.F5专业服务条款 .................................................................... 错误!未定义书签。八.设备清单及报价 ..................................................................... 错误!未定义书签。
一.概述
随着企业开始更多地使用互联网来交付其关键业务应用,只保持一条到公共网络的连接链路则意味着频繁的单点故障和脆弱的网络安全性。BIG-IP链路控制器可以无缝地监控多条WAN连接的可用性与性能,以智能地管理到某一站点
的双向流量,从而提供出色的容错性和优化的互联网访问,保证关键业务的稳定运行。
二.用户需求
系统总体目标
系统建设的总体目标为:
1.高性能:采用丰富的负载均衡算法对多链路、防火墙、服务器进行负载均衡,使流量得以合理分配,从而保证系统的整体性能得以大幅度提升。
2.高可靠性:保证系统运行稳定,单一设备故障不能影响系统的正常运行。3.高安全性:构建安全防预体系,防御网络攻击。
4.良好的系统扩充能力,随着访问量的增加能够满足系统不断扩充的需求。5.系统具有良好的可管理性。
6.丰富的会话保持策略能够满足灵活多样的动态调整。
7.通过中文的监视平台,方便直观地管理与监视应用的状态及健康状况。
系统功能需求
作为服务系统的核心,负载均衡系统必须满足以下业务需求:
1.冗余的系统实施方案,任何单点故障不影响系统的正常运营
在接入系统的设计中,对于所有的设备,均采用冗余设计和实施,充分考虑到各种设备和线路的中断或故障情况,在发生故障时系统能迅速切换,保证系统的正常运营。
2.链路的负载均衡和冗余:要求在正常情况下将用户对外的访问流量负载均衡到多条链路上,在某链路故障时自动将其流量切换到另外的链路,自动的透明容错,当链路恢复时自动将其加入到负载均衡中来。
3.防火墙的负载均衡:对两台防火墙进行负载均衡,包括External、Internal、DMZ区的负载均衡。要求在正常情况下两台防火墙上的流量是均衡的,在某台防火墙故障时自动将其流量切换到另外的防火墙,自动的透明容错,当故障的防火墙恢复时自动将其加入到负载均衡中来。
4.设备自身的高可用性
设备自身需要具备高可用性,能够在双机冗余模式下工作,冗余切换迅速。5.带宽管理
提供基于IP地址或特定应用的带宽控制功能,针对某一IP地址或特定应用限制或者保证一定的网络带宽,保证关键应用的稳定运行。
6.升级能力
负载均衡产品应当具有良好的系统和软件升级能力。
7.SSL加速
集中处理SSL加解密的工作,减轻服务器处理SSL的负担,搭建高性能的电子商务平台。
服务器状态监测,动态监测服务器状态。
系统性能需求
系统的整体系统响应时间、整体系统性能和故障切换能力应达到或高于以下要求:
1.能够在一定的访问压力下提供正常服务;
2.单台设备出现故障后,冗余设备能达到毫秒级切换;
3.系统稳定性强,系统响应时间(例如服务器故障后负载均衡对故障的反映)短(几秒钟之内)。
系统安全性需求
1.负载均衡产品本身具有良好的系统安全性,不存在安全漏洞;
2.产品提供安全的访问管理环境;
3.具有一定的安全防护能力,协助防火墙和其他IDS设备构建动态防御体系,防御网络常见攻击,提高系统整体的安全防护能力。
可管理性需求
在可管理性方面,需要具备以下几点:
1.机架式机箱;
2.客户端中文管理软件能够方便地安装到流行的操作系统上(如WinXP,Win2K等);
3.提供有效的关于用户、流量等的报表、统计工具;
4.提供有效的备份恢复手段;
5.提供有效的故障报警手段;
6.提供有效的系统监控手段并为通用的监控工具(如OpenView,Tivoli)提供接口;
7.系统的配置管理方便,系统报告的可用性强,能提供完善的访问统计和流量管理;
8.能够提供GUI的良好的维护界面和日常维护方案;
9.加密通讯,保证安全的设备管理。
网络安全需求
网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换
的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。
三需求分析
多链路的负载均衡和冗余
与互联网络相关的关键业务都需要安排和配置多条ISP接入链路以保证网络服务的质量,消除单点故障,减少停机时间。多条ISP接入的方案并不是简单的多条不同的广域网络的路由问题,因为不同的ISP有不同自治域,所以必须考虑到两种情况下如何实现多条链路的负载均衡:
内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡,这也被称为OUTBOUND流量的负载均衡。互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为INBOUND流量的负载均衡。
F5 的LinkController可以智能的解决以上两个问题:
对于OUTBOUND流量,LinkController接收到流量以后,可以智能的将OUTBOUND流量分配到不同的INTERNET接口,并做源地址的NAT,可以指定某一合法IP地址进行源地址的NAT,也可以用LinkController的接口地址自动映射,保证数据包返回时能够正确接收。
对于INBOUND流量,LinkController分别绑定两个ISP 服务商的公网地址,解析来自两个ISP服务商的DNS解析请求。LinkController不仅可以根据服务器的健康状况和响应速度回应LDNS相应的IP地址,还可以通过两条链路分别与LDNS
建立连接,根据RTT时间判断链路的好坏,并且综合以上两个参数回应LDNS相应的IP地址。
系统高可用性
系统高可用性主要可以从以下几个方面考虑:
1.设备自身的高可用性:F5 BIG-IP专门优化的体系结构和卓越的处理能力保证%的正常运行时间,在双机冗余模式下工作时可以实现毫秒级切换,保证系统稳定运行,另外还有冗余电源模块可选。在采用双机备份方式时,备机切换时间最快会在200ms之内进行切换。BIG-IP 产品是业界唯一的可以达到毫秒级切换的产品, 而且设计极为合理,所有会话通过Active 的BIG-IP 的同时,会把会话信息通过同步数据线同步到Backup的BIG-IP,保证在Backup BIG-IP内也有所有的用户访问会话信息;另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频,当Active BIG-IP故障时,watchdog会首先发现,并通知Backup BIG-IP接管Shared IP,VIP等,完成切换过程,因为Backup BIG-IP中有事先同步好的会话信息,所以可以保证访问的畅通无阻。
2.链路冗余:BIG-IP可以检测每条链路的运行状态和可用性,做到链路和ISP 故障的实时检测。一旦出现故障,流量将被透明动态的引导至其它可用链路。通过监控和管理出入数据中心的双向流量,内部和外部用户均可保持网络的全时连接。
3.服务器冗余,多台服务器同时提供服务,当某一台服务器故障不能提供服务时,用户的访问不会中断。BIG-IP可以在OSI七层模型中的不同层面上对服务器进行健康检查,实时监测服务器健康状况,如果某台服务器出现故障,BIG-IP确定它无法提供服务后,就会将其在服务队列中清除,保证用户正常的访问应用,确保回应内容的正确性。
高度的安全性
BIG-IP采用防火墙的设计原理,是缺省拒绝设备,它可以为任何站点增加额外的安全保护,防御普通网络攻击。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理,提高设备自身的安全性;能够拆除空闲连接防止拒绝服务攻击;能够执行源路由跟踪防止IP欺骗;拒绝没有ACK缓冲确认的SYN防止SYN攻击;拒绝teartop和land攻击;保护自己和服务器免受ICMP攻击;不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。
BIG-IP的Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接,这可以保护BIG-IP不会因流量过多而瘫痪。BIG-IP可以随着攻击量的增加而加快连接切断速率,从而提供一种具有极强适应能力、能够防御最大攻击量的解决方案。
BIG-IP的Delay Binding技术可以为部署在BIG-IP后面的服务器提供全面地SYN Flood保护。此时,BIG-IP设备作为安全代理来有效保护整个网络。
BIG-IP可以和其它安全设备配合,构建动态安全防御体系。BIG-IP可以根据用户单位时间内的连接数生成控制访问列表,将该列表加载到其它安全设备上,有效控制攻击流量。
系统管理
BIG-IP提供HTTPS、SSH、Telnet、SNMP等多种管理方式,用户客户端只需操作系统自带的浏览器软件即可,不需安装其它软件。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理。直观易用的Web图形用户界面大服务降低了多归属基础设施的实施成本和日常维护费用。
BIG-IP包含详尽的实时报告和历史纪录报告,可供评测站点流量、相关ISP性能和预计带宽计费周期。管理员可以通过全面地报告功能充分掌握带宽资源的利用状况。
另外,通过F5 的i-Control 开发包,目前国内已有基于i-Control开发的网管软件x-control, 可以定制针对系统服务特点的监控系统,比如服务的流量情况、各种服务连接数、访问情况、节点的健康状况等等,进行可视化显示。
告警方式可以提供syslog、snmp trap、mail等方式。
其它
BIG-IP内置i-Control SDK二次开发包,可以通过API接口方便的取得各种流量统计信息,作为计费的依据。在Web用户界面上面也可以方便的查看各种流量统计信息,如果需要按照流量计费,可以使用以上两种方式取得流量的统计信息。
F5 NETWORKS免费提供安装在服务器端、动态获取服务器信息的agent软件,将其安装在服务器端以后,就可以动态获取服务器当前运行状态。
内存扩充能力: F5 BIG-IP3400以上单机最大可扩充到4GB内存,此时可支持800万并发回话;BIG-IP 3400以及BIG-IP 1500单机最大可扩充至2GB内存,此时可支持400万并发会话数。
升级能力:F5 所有设备均可通过软件方式升级,在服务有效期内,升级软件包由F5公司提供。
IP地址过滤和带宽控制:BIG-IP可以根据访问控制列表对数据包进行过滤,并且针对某一关键应用进行带宽控制,确保关键应用的稳定运行。
配置管理及系统报告:F5 BIG-IP提供WEB 界面配置方式和命令行方式进行配置管理,并在其中提供了丰富的系统报告,更可通过i-Control自行开发复杂的配置及报告生成。
服务:在F5的体系中,拥有代理商、厂商等多级服务与支持体系,可以保证用户购买的产品得到优异的售后服务支持,提供24小时热线服务电话。
四.方案设计
网络拓扑图
此方案设计中采用的拓扑图如下所示:
链路负载均衡网络拓扑图
方案设计描述
方案设计总体描述
本方案设计采用F5 Networks公司链路负载均衡设备BIG-IP LTM1600来实现网络中多条链路Outbound(内部客户端发起对Internet的访问)方向负载均衡;采用CISCO ASA5520-AIP40-K9防火墙对企业网进行防护,并开启ssl vpn功能,实现外网用户对公司内网的安全访问。
整个系统采用全冗余网络连接方式设计,来保证系统的高可用性和高可靠性。
方案具体实现方式如下:
1. 交换机实现多链路聚合,采用2台使ISP链路连入不同设备,实现ISP链路冗余,不会因设备故障导致网络中断。
2. 对于Outbound流量,LinkController接收到流量以后,可以智能的将访问ISP1的资源的Outbound流量分配到ISP1的接口,并做源地址的NAT,(可以指定某一合法IP地址进行源地址的NAT,也可以用LinkController的接口地址自动映射),保证数据包返回时能够正确接收,其他的流量走ISP2的线路。
3. 防护墙的接入对与来自外网流量进行检测和防护;开启ssl vpn功能,实现外网客户端安全接入。
链路负载均衡及冗余
两台LinkController以Active-Backup方式实现网络中两条链路的负载均衡及冗余。LinkController可以根据相应的链路负载均衡算法和iRules规则来实现快速访问的智能引导,比如将访问电信的用户引导至电信链路,访问网通的用户引导至网通链路,解决了不同ISP之间的互连互通问题,保证了最好的访问速度和最高的访问效率。同时,LinkController的健康检查机制实现对链路健康状况的实时监控,当有链路出现故障时LinkController会屏蔽故障链路,并自动将流量切向其它正常工作的备份链路,实现了链路的高可用性。
设备自身冗余性
BIGIP设备以Active-Backup的冗余方式方连接,处于Backup的设备采用“心跳线”监测Active的设备的状态,当检测出设备故障时,两台设备就会产生
ms级切换,Backup设备会切换为Active,为用户提供服务,保证了系统的高可用性。
易于管理性
BIGIP产品不仅提供https的安全Web界面管理,本地基于Serial Console的管理和SSH安全远程命令行管理,还有基于中文网管软件XControl的管理,灵活多样的管理方式使日常的维护和Troubleshooting更加方便快捷。
XControl是北京信诺瑞得信息技术有限公司基于F5开放API接口iControl和SDK开发包开发出来的,针对F5设备进行监控管理的软件产品。
五.关键技术介绍
链路负载均衡技术特点
LinkController工作原理
Link Controller的工作原理可以分成两部分介绍:Inbound流量(Internet用户访问内网服务器及DNS查询的流量)和Outbound流量(内网用户主动发起的访问Internet服务器的流量),下面从这两方面介绍Link Controller的工作原理。Outbound流量
这部分流量主要是内部用户和服务器主动发起的对公网的访问,当这部分流量到达LinkController时,LinkController会判断两条链路的健康状况并决定将流量负载均衡到哪条链路,判断好将流量分配到哪条链路之后将数据包的源地址转换成相应ISP网段的公网地址(SNAT)后将该数据包发出;响应数据包返回到
LinkController时,LinkController将目的地址进行转换之后将数据包发给内部的用户或服务器。
链路负载均衡算法
随机(Random):随机返回给用户某一条链路的IP地址。
比率(Ratio):预先给每条链路定义一个权值,按照这个比率返回给用户某一条链路对应的IP地址。
返回给LDNS(Return to DNS):立即将连接请求返回给LDNS处理。
轮询(Round Robin):将提供某种应用的所有站点放在一个队列当中,按顺序依次返回给用户队列中下一个站点的IP地址。
静态会话保持(Static Persist):这种算法将维护一个LDNS到某一个站点的映射表,同一个LDNS的查询请求在预定的时间过期之前会返回同一个IP地址。
完成比例(Completion Rate):当接收到LDNS的查询请求的时候,LinkController 会返回给用户丢包或超时数据包最少的链路对应的IP地址。
跳数(Hops):当接收到LDNS的查询请求的时候,LinkController会发起查询请求的LDNS之间的路由跳数。BIG-IP LC根据返回的跳数解析给LDNS跳数最少的站点的IP地址。
千字节/秒(Kilobyte/second):LinkController会选择一个当前处理的Kbyte/Sec数值最小的一个站点返回给发起查询请求的LDNS。
最小连接数(Least Connection):LinkController会选择一个当前处理连接最少的站点返回给发起查询请求的LDNS。
包比例(Packet Rate):LinkController会选择一个当前每秒钟处理数据包最少的一个站点返回给发起访问请求的LDNS。
基于拓扑的路由(Topology):采用拓扑数据库,LinkController 链路控制器可准确确定用户的位置,并根据预定义的策略通过所需链路路由流量。
RTT(Round Trip Times):当收到LDNS查询请求的时候,LinkController会反向探测发起查询请求的LDNS,并且计算从发起反向探测到接受到响应得时间间隔。LinkController根据这个时间间隔返回给LDNS一个间隔最短的链路对应的IP地址。
服务质量(QoS):LinkController通过收集每条链路中心RTT时间、跳数、完成比率、包比率、地理拓扑、链路容量、VS(Virtual Server)容量、Kbyte/Sec的数值进行综合计算,计算之后每个数据中心都会有一个权值,然后根据这个权值返回给LDNS相应的站点的IP地址。
VS 容量(VS Capacity):当使用这种算法的时候,LinkController将所有的Virtual Server放在一个队列当中,并把每个Virtual Server的容量作为他们的权重,按照这个权重返回给LDNS相应的站点Virtual Server的IP地址。
链路健康检查
在Layer 2 健康检查涉及到用来对给定的IP地址寻找MAC地址的地址分辨协议(ARP) 请求。因为BIGIP设置了真实网络设备(链路对端网关)的IP地址,它会发送针对每一个真实网络设备(链路对端网关)的IP地址的ARP请求以找到相应的MAC地址,网络设备(链路对端网关)会响应这个ARP请求,除非它已经停机。
在Layer 3 健康检查涉及到对真实路由器发送”ping”命令。“ping”是常用的程序来确认一个IP地址是否在网络中存在,或者用来确认链路是否正常工作。
在Layer 4,BIGIP会试图联接到一个特定应用在运行的TCP或UDP端口。举例来说,如果VIP是被绑定在端口80做Web应用的话,BIGIP试图建立一个联接到真实服务器的80端口。BIGIP发送一个TCP SYN 请求包到每个真实服务器的80端口,并检查回应的TCP SYN ACK数据包是否收到,如果哪一个没有收到,BIGIP就确认那台服务器不能正常提供服务,BIGIP单独针对服务器的每个应用端
口做健康检查并单独做关于其服务器的诊断结果是非常重要的。这样一来真实服务器的80服务可能停机,但是端口21可能正常工作,BIGIP可以继续利用这个服务器的21端口提供FTP服务,同时确认这个服务器的Web应用已经停机,这样一来就提供了一个高效率的负载均衡解决方案,细分健康检查的做法有效地提高了服务器的处理能力。采用在链路对端放置服务器的方式可以判断链路是否正常工作
UIE + iRules
在BIGIP上,我们还可以同过BIGIP的UIE和iRules来实现七层的流量检测和灵活的负载均衡策略定义。
UIE—Universal Inspection Engine 通用搜索引擎,可以检测TCP/UDP数据包中的任何内容,例如客户端IP、客户端源端口、服务端IP、服务端端口、客户端数据、服务端数据。通过一系列的字符串和二进制处理机制,可以将处理的结果交给iRules进行判断和处理。
iRules可以根据UIE监测到的数据来对流量进行处理。例如,iRules可以配置为判断以下条件:
是否在数据包中包含以”cgi”作为结尾的HTTP请求
是否数据包的源地址是以八进制“206”为开头
是否在TCP的数据包中包含字符串“ABC”
在获取判断条件后,iRules则可对该数据流进行处理。例如:
如果数据包源IP为则将其分配到服务器
如数据包前50个字符包含字母“REAL”则将其丢弃
如果数据包第一个字符为0xE3则将其放入4Mbps的一个RateClass进行带宽控制。
带宽管理
BIGIP灵活的第7层带宽管理能力可使企业对带宽进行有效管理,以确保高优先级应用能够得到按时交付。同时,它还提供了定制控制能力,以设定基于应
用的带宽限制(容许的带宽峰值),甚至还能在应用之间建立队列关系。
带宽管理的功能特点:
1.灵活的带宽管理
1.灵活的带宽限制
2.支持带宽借用
3.根据应用进行带宽列队(带宽平均分配,FIFO)
2.从二层到七层的精细的流量分类
可以根据IP地址,端口,以及基于七层内容进行流量分类,定制适合的带宽
策略。
3.双向流量控制
BIGIP可以提供双向流量的带宽管理,确保高优先级应用能够按时交付。
HTTP流量压缩
利用BIGIP的流量压缩功能,支持多种类型的文件压缩,从而在降低80%网络带宽的同时,将应用性能提高3倍以上,并且解决了互联网延迟和客户机连接瓶颈对其应用性能的所造成的影响。
设备自身冗余机制
BIGIP可以实现两种方式实现冗余连接,一是Active-Backup方式,另一种是Active-Active方式。物理连接方式如下图所示:
Core Switch
Server
1
2
1表示心跳线
2同步数据线
F5 Networks公司BIGIP产品是业界唯一实现双机冗余毫秒级切换的产品,而且设计合理。所有会话通过Active BIGIP同时,会话信息会通过同步数据线同步到Backup BIGIP,保证Active与Backup设备会话信息同步。且每台设备中的watchdog芯片通过心跳线检监测对方设备电平,当Active BIGIP故障时,watchdog会首先发现,并且通知Backup BIGIP接管shared ip,VIP等,完成冗余切换过程,Backup BIGIP变成Active Backup,由于Backup BIGIP事先已经保存了所有会话数据信息,可以保证所有在线会话的通畅和完整。
两台设备的多种模式的冗余切换触发机制:
Watch dog:完全通过“心跳线”监测物理信号判断设备的运行状况,适时
进行冗余切换,采用这种方式,切换时间在50ms—200ms。
Gateway failsafe:处于Active状态的BIGIP定期与网关设备取得联系,若
在timeout时间内得不到任何响应,就自动切换为Standby状态。
Vlan Arm failsafe:通过判断某个Vlan是否有流量,触发切换。
API接口--iControl介绍
为了确保电子商务取得成功,应用和网络必须能够紧密结合。网络通知应用;应用指导网络,这就是F5新型体系结构的基础。
i-Control提供了业界最紧密集成的产品套件,利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。它提供了端到端集成所需要的产
品间的安全通信,而且还可以通过开放式XML API对F5产品进行编程,以支持客户与合作伙伴应用间的集成(F5的i-Control内部通信协议)。F5互联网流量、应用和网络管理体系如下图所示:
F5互联网流量、应用和网络管理体系结构
这种架构方式克服了多厂商解决方案的最大问题:互操作性和管理复杂性,而且还避免了单厂商套件的最大问题:有限的灵活性、缺乏足够的集成能力。这种架构使服务提供商和企业能够:
管理和控制全球范围的互联网流量和内容
部署并实施SLA政策
将政策应用到多种技术上,如防火墙、VPN和QoS设备
接收告警并管理关于网络和设备活动的报告
保持适当的系统配置
i-Control能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过i-Control开放的安全通信协议和SOAP/XML API,网络设备能够与应用进行通信,应用可以控制网络,从而避免出现易于出错的过程和人为干预。
i-Control能够提供网络产品间安全、加密的互相通信能力,并为无缝应用集成带来了方便,其中包括:
本地流量管理
分布于全球的流量管理
将内容部署到远程服务器上
管理网络中高速缓存提供的内容版本
显著减少管理分布式网络所需的资源
客户、合作伙伴及第三方集成商都可以使用i-Control软件开发套件(SDK),它具有开放式的SOAP/XML或CORBA API。随着i-Control的推出,F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。
通过将i-Control与F5的业界领先iTCM产品相结合使用,可以实施并部署F5
的完整互联网控制体系结构,从而增强了7层性能。任何第三方和客户都可以通过i-Control将自己的应用与网络系统集成在一起,从而提供无与伦比的7层性能。
F5亚太区i-Control合作开发伙伴北京信诺瑞得信息技术有限公司已经利用i-Control软件开发套件(SDK)开发出了F5设备集中管理平台X-Control。它可以对F5设备进行集中、可视化的管理,主要有以下功能:
设备集中管理:设备的分区域、网络中心等多级管理体系、方便的拖放式设备管理。
可视化设备对象管理:可视化、直观、即时得到对象信息、Enable/Disable 选中的对象、鼠标单击进行对象的监控、流量统计及预警。
对象监控:实时流量监控(VIP、Pool、节点、设备)、CPU监控、内存使用率监控、定制监控参数、监控图表导出。如下图所示:
F5 Networks 多出口链路负载均衡解决方案建议
目录 一.多出口链路负载均衡需求分析 (3) 二.多出口链路负载均衡解决方案概述 (4) 2.1多出口链路负载均衡网络拓朴设计 (4) 2.2方案描述 (5) 2.3方案优点 (6) 2.3.1 拓扑结构方面 (6) 2.3.2安全机制方面 (6) 三.技术实现 (7) 3.1F5多出口链路负载均衡(产品选型:B IGIP LC) (7) 3.2O UTBOUND流量负载均衡实现原理 (8) 3.3I NBOUND流量负载均衡实现原理 (9) 3.4在链路负载均衡环境中的DNS设计和域名解析方式 (11) 3.4.1 Root DNS(注册DNS)直接与F5多链路负载均衡器配合 (11) 3.4.2 Root DNS(注册DNS)通过第三方DNS Server与F5多链路负载均衡器配合(我 们建议这种方式) (13) 3.5F5设备双机冗余----毫秒级切换原理 (15) 3.6S TATEFUL F AIL O VER 技术(与F5设备双机冗余有关) (16) 四.产品介绍 (17) 4.1F5B IGIP (17)
一.多出口链路负载均衡需求分析 为了保证XXXX出口链路的高可用性和访问效率,计划拥有两条线路:一条中国网通链路,一条中国电信链路。F5公司的多链路负载均衡设备(Bigip)能够提供独具特色的解决方案,不但能够充分利用这两条链路(双向流量按照预设的算法分担到不同的链路上,一旦一条链路不通的情况下,能够无缝切换到另外一条可用链路上);而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的多个ISP之间的互联互通问题。具体解决方案特色如下: 提供内网至internet流量的负载均衡(Outbound) 实现从Internet对服务器访问流量的负载均衡(Inbound) 支持自动检测和屏蔽故障Internet链路 支持多种静态和动态算法智能均衡多个ISP链路的流量 支持多出口链路动态冗余,流量比率和切换 支持多种DNS解析和规划方式,适合各种用户网络环境 支持Layer2-7交换和流量管理控制功能 完全支持各种应用服务器负载均衡,防火墙负载均衡 多层安全增强防护,抵挡黑客攻击 业界领先的双机冗余切换机制,能够做到毫秒级切换 详细的链路监控报表,提供给网络管理员直观详细的图形界面 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定,安全的设备运行记录
服务器集群设计 服务器集群技术随着服务器硬件系统与网络操作系统的发展而产生的,在可用性、高可靠性、系统冗余等方面越来越发挥重要中用,是核心系统必不可少的。数据库保存者抄表系统的数据,是整个信息系统的关键所在。 解决系统可靠性的措施通常是备份和群集。备份不能快速恢复,主要用于安全保存,数据库和系统的快速故障恢复通常采用HA(高可用)群集模式, HA 能提供不间断的系统服务,在线系统发生故障时,离线系统能立即发现故障并立即进行接管,继续对外提供服务。HA技术可以有效防止关键业务主机宕机而造成的系统停止运行,被广泛采用。HA技术有两种模式: 具有公共存储系统的HA 数据存储在公共的存储系统上,服务器1为活动服务器,服务器2为待机服务器(备份服务器),当服务器1发生故障时(软或硬件故障),服务器2通过私有网络(心跳路径)侦测到服务器1的故障并自动接管服务器1上所有的资源(如IP地址、存储系统、数据库服务、计算机名等),继续为客户机提供数据或其他应用服务。 独立存储系统的HA数据存储在各自服务器的独占存储设备上(内置磁盘或磁盘阵列) ,没有共享存储系统,数据保存在每个服务器独占的存储设备上。通过镜像技术使每台服务器的数据保持同步,切换时间更短,可靠性比共享存储系统的方案更高,并避免了单点崩溃的可能性,增加了数据的安全性及系统的可用性。两台服务器之间的距离不受外部存储设备连接线的限制,因而可以将两台服务器放置在不同位置。
根据上述分析、系统要求、应用软件采用三层结构的优势以及艾因泰克在发电企业几十家的建设经验,方案采用独立存储系统的HA模式。 由于两套数据库服务器只有一台在线工作,方案本着最大限度节约资源的原则,充分高性能服务器的性能,在备用服务器上运行系统的WEB应用。采用双机双应用,互为备用结构。即在线数据库服务器是 WEB应用服务器的备用服务器,在线WEB应用服务器是数据库服务器的备用服务器。这种结构不但充分发挥性能服务器的优势,又保证关键服务器具有自动备用服务器。不但节约了成本,而且避免了采用共用存储设备单点故障带来的数据丢失的灾难,是最佳的选择。 数据库和应用服务器集群结构如下图: 服务器采用2台PowerEdge R900,配置7块146G磁盘,2块磁盘组成RAID 1镜像,作为操作系统盘。5块组成磁盘组成RAID 5,作为数据盘。 集群镜像软件选用RoseMirrorHA。RoseMirrorHA是一个可靠的、稳定的、高性能的应用高可用保护解决方案,实现应用程序的保护,保证了业务的持续运
2003服务器集群实验 一、服务器集群简介 什么是服务器群集?有何作用? 服务器群集是一组协同工作并运行Microsoft群集服务(Microsoft Cl uster Service,MSCS)的独立服务器。它为资源和应用程序提供高可用性、故障恢复、可伸缩性和可管理性。它允许客户端在出现故障和计划中的暂停时,依然能够访问应用程序和资源。如果群集中的某一台服务器由于故障或维护需要而无法使用,资源和应用程序将转移到可用的群集节点上。 服务器群集不同于NLB群集,服务器群集是有独立计算机系统(节点)构成的组,不同节点协同工作,就像单个系统一样,从而确保关键的应用程序和资源始终可由客户端使用。用于访问量较少的企业内网的服务器的冗余和可靠性。 哪些版本的操作系统支持服务器群集? 只有两个版本的windows server 2003系统支持该技术:企业版和数据中心版。 服务器群集的应用范围? 服务器群集最多可以支持8个节点,可实现DHCP、文件共享、后台打印、MS SQL server、exchange server等服务的可靠性。 二、群集专业术语 节点: 构建群集的物理计算机 群集服务: 运行群集管理器或运行群集必须启动的服务 资源: IP地址、磁盘、服务器应用程序等都可以叫做资源 共享磁盘: 群集节点之间通过光纤SCSI 电缆等共同连接的磁盘柜或存储 仲裁资源: 构建群集时,有一块磁盘会用来仲裁信息,其中包括当前的服务状态各个节点的状态以及群集转移时的一些日志 资源状态: 主要指资源目前是处于联机状态还是脱机状态 资源依赖: 资源之间的依存关系 组: 故障转移的最小单位 虚拟服务器: 提供一组服务--如数据库文件和打印共享等 故障转移: 应用从宕机的节点切换到正常联机的节点
网络设备及链路冗余部署 ——基于锐捷设备 冗余技术简介 随着Internet的发展,大型园区网络从简单的信息承载平台转变成一个公共服务提供平台。作为终端用户,希望能时时刻刻保持与网络的联系,因此健壮,高效和可靠成为园区网发展的重要目标,而要保证网络的可靠性,就需要使用到冗余技术。高冗余网络要给我们带来的体验,就是在网络设备、链路发生中断或者变化的时候,用户几乎感觉不到。 为了达成这一目标,需要在园区网的各个环节上实施冗余,包括网络设备,链路和广域网出口,用户侧等等。大型园区网的冗余部署也包含了全部的三个环节,分别是:设备级冗余,链路级冗余和网关级冗余。本章将对这三种冗余技术的基本原理和实现进行详细的说明。 8.2设备级冗余技术 设备级的冗余技术分为电源冗余和管理板卡冗余,由于设备成本上的限制,这两种技术都被应用在中高端产品上。 在锐捷网络系列产品中,S49系列,S65系列和S68系列产品能够实现电源冗余,管理板卡冗余能够在S65系列和S68系列产品上实现。下面将以S68系列产品为例为大家介绍设备级冗余技术的应用。 8.2.1S6806E交换机的电源冗余技术 图8-1 S6806E的电源冗余 如图8-1所示,锐捷S6806E内置了两个电源插槽,通过插入不同模块,可以实现两路AC电源或者两路DC电源的接入,实现设备电源的1+1备份。工程中最常见配置情况是同 时插入两块P6800-AC模块来实现220v交流电源的1+1备份。 电源模块的冗余备份实施后,在主电源供电中断时,备用电源将继续为设备供电,不会造成业务的中断。 注意:在实施电源的1+1冗余时,请使用两块相同型号的电源模块来实现。如果一块是交流电源模块P6800-AC,另一块是直流电源模块P6800-DC的话,将有可能造成交换机损坏。 8.2.2 S6806E交换机的管理板卡冗余技术 图8-2 S6806E的管理卡冗余 如图8-2所示,锐捷S6806E提供了两个管理卡插槽,M6806-CM为RG-S6806E的主管理模块。承担着系统交换、系统状态的控制、路由的管理、用户接入的控制和管理、网络维护等功能。管理模块插在机箱母板插框中间的第M1,M2槽位中,支持主备冗余,实现热备份,同时支持热插拔。 简单来说管理卡冗余也就是在交换机运行过程中,如果主管理板出现异常不能正常工作,交换机将自动切换到从管理板工作,同时不丢失用户的相应配置,从而保证网络能够正常运行,实现冗余功能。 在实际工程中使用双管理卡的设备都是自动选择主管理卡的,先被插入设备中将会成为主管理卡,后插入的板卡自动处于冗余状态,但是也可以通过命令来选择哪块板卡成为主管理卡。具体配置如下
WAN广域网链路负载均衡测试项目测试项目背景:
测试环境描述 1.1 需求描述 XX股份领导反应:通过互联网采用SSL VPN方式,访问青岛总部内网的OA系统速度慢。为了解决此问题,目前采用三种测试方案: 1、CITRIX; 2、新增加一台JUNIPER SA4000; 3、增加一台F5 BIGIP LC设备和两条分别为青岛联通、青岛移动的100M 链路结合进行WAN链路负载均衡测试。 第二种测试方案目前已做完,效果不理想,当前准备执行第三套测试方案。 F5 BIGIP LC以及如何在使用GTM一张静态的表单(https://www.doczj.com/doc/475562021.html,er)来实现Topology计算。 由于LC只能解析A记录,无法解析SOA 、MX、PTR记录,所以LC只能做一台DNS的子域,无法取代客户的DNS服务器(https://www.doczj.com/doc/475562021.html,)。 测试要求:解决电信和网通的南北互连互通问题,用户有二条链路,(一条网通线路,一条电信线路)。 测试规则如下: 1.访问CNC网站走CNC线路 2.访问CT网站走CT的线路 3.访问本地域名(https://www.doczj.com/doc/475562021.html,)CNC用户从CNC线路过来访问 4.访问本地域名(https://www.doczj.com/doc/475562021.html,)CT用户从CT线路访问
测试环境描述
2测试设备配置步骤 2.1 基础配置 2.1.1进入管理界面,激活license。 注意事项:激活LC设备的license后,一定要完全重新启动一次
(Full_box_reboot)。系统会自动生成相关的文件和启动相应的服务。
2.1.2Platform相关设置 由于是部分授权,所以LC将作为https://www.doczj.com/doc/475562021.html,的子域的Nameserver Hostname:使用NS 的https://www.doczj.com/doc/475562021.html, 提醒:上线测试Root和admin密码一定要修改,不可以使用默认的。
惠普服务器集群系统解决方案 计算系统与信息网络不停顿的运行与连接即高可用性已成为各行业特别是要求实时行业业务运行的基本要求。 惠普凭借丰富的经验创制的HP NetServer为您提供当今市场上最完备的高可用性系列产品和最优质的服务,使您的关键业务应用程序能连续可靠地高效运转。惠普还与业界领先的软硬件供应商联袂,为优化您的业务环境提供最为广泛的选择。同时,我们还可为您提供得益于最新、最优技术的服务器解决方案。 对于可用性要求高的公司,HP NetServer支持集群技术,例如Microsoft Windows NT(r)Server 4.0Enterprise Edition和Windows2000Advanced Server中包含的Microsoft(r)Cluster Server(MSCS),HP NetServer还支持Novell’s NetWare Cluster Services for NetWare5和Veritas公司的高可用性解决方案。同时在应用前景广泛的Linux操作系统平台上惠普公司也有性能优异的Longer HA双机解决方案。 某些业务要求为最终用户或其它系统提供的服务不能有丝毫中断,为此惠普采用Microsoft Windows NT环境下的虚拟服务器阵列技术,为您提供"HP NetServer超级保障解决方案",作为集群技术的补充,这些业界领先的解决方案将系统的正常运行时间提升到最高水平--使关键任务服务实现了不停顿的处理,连续的数据存取,不间断的连接以及始终如一的性能。 用户可根据实际的应用需求选择合适的解决方案,使HP NetServer真正的无忧之选。 在今天的商务应用系统中,稳定持续的系统运行时间变得越来越重要,而传统意义中的小型机系统使得普通用户望而却步。用户需用的是更高的可用性以及更低的成本。 集群系统 集群系统是一种提供高可用性、改善性能和增强企业应用软件可管理性的有效途径。随着基于Intel平台的服务器业已成为关键性业务和应用的主流服务器,集群技术的应用也日益广泛。 集群系统优点 集群可有效地提高系统的可用性。如果一个服务器或应用程序崩溃,集群系统中另一个服务器在继续工作的同时,接管崩溃服务器的任务,最大限度地缩短用户服务器和应用程序宕机的时间。 集群的另外一个优点是通过增加现有系统的的节点,提高了系统的延展性,使系统因故障中断的可能性降到最低。在这种架构中,多服务器的运行是针对相同的应用程序或数据库
本文由szg81贡献 doc1。 七台服务器的集群方案 在传统的终端/主机的网络模式时代,终端功能简单,无需维护工作,在主机一端进行专门的管理与维护,具有资源共享、便于 管理的特点。但是,主机造价昂贵,终端没有处理能力,限制了网络的规模化发展。之后的客户机/服务器模式推进了计算产业 的标准化和开发化的发展,为系统提供了相当大的灵活性,但是随着分布系统规模的规模扩大,系统的维护和管理带来了巨大 的开销。面向 Internet 的服务型应用,需要高性能的硬件平台作为支持,将并行技术应用在服务器领域中,是计算机发展的必然 趋势。并行处理技术在高性能计算领域中,高可用和高性能是集群服务器系统发展的两个重要方向。 集群的概念 集群英文名称是 CLUSTER,是一组相互独立的、通过高速网络互联的计算机,它们构成了一个组,并以单一系统的模式加以管 理。一个客户与集群相互作用时,集群像是一个独立的服务器。集群配置是用于提高可用性和可缩放性。和传统的高性能计算 机技术相比,集群技术可以利用各档次的服务器作为节点,系统造价低,可以实现很高的运算速度,完成大运算量的计算,具 有较高的响应能力,能够满足当今日益增长的信息服务的需求。 集群技术应用的需求 Internet 用户数量呈几何级数增长和科学计算的复杂性要求计算机有更高的处理能力,而 CPU 的发展无法跟上不断增长的需求, 于是我们面临以下问题: ●大规模计算如基因数据的分析、气象预报、石油勘探需要极高的计算性能。 ●应用规模的发展使单个服务器难以承担负载。 ●不断增长的需求需要硬件有灵活的可扩展性。 ●关键性的业务需要可靠的容错机制。 IA 集群系统(CLUSTER)的特点 ●由若干完整的计算机互联组成一个统一的计算机系统; ●可以采用现成的通用硬件设备或特殊应用的硬件设备,例如专用的通讯设备; ●需要特殊软件支持,例如支持集群技术的操作系统或数据库等等; ●可实现单一系统映像,即操作控制、IP 登录点、文件结构、存储空间、I/O 空间、作业管理系统等等的单一化; ●在集群系统中可以动态地加入新的服务器和删除需要淘汰的服务器, 从而能够最大限度地扩展系统以满足不断增长的应用的需 要; ●可用性是集群系统应用中最重要的因素,是评价和衡量系统的一个重要指标; ●能够为用户提供不间断的服务,由于系统中包括了多个结点,当一个结点出现故障的时候,整个系统仍然能够继续为用户提供 服务; ●具有极高的性能价格比,和传统的大型主机相比,具有很大的价格优势; ●资源可充分利用,集群系统的每个结点都是相对独立的机器,当这些机器不提供服务或者不需要使用的时候,仍然能够被充分 利用。而大型主机上更新下来的配件就难以被重新利用了。 实现服务器集群的硬件配置 ●网络服务器 七台 ●服务器操作系统硬盘 七块 ●ULTRA 160 LVD SCSI 磁盘阵列 一个 ●18G SCSI 硬盘 十块 ●网络服务网卡 十四块 服务器集群的实践步骤 ●在安装机群服务之前的准备: 1、 十四块 18G SCSI 硬盘组成磁盘阵列,做 RAID5。 2、 两台服务器要求都配置双网卡,分别安装 Microsoft Windows Server2008 操作系统,并配置网络。 3、 所有磁盘必须设置成基本盘,阵列磁盘分区必须大于 7 个。 4、 每台服务器都要加入域当中,成为域成员,并且在每台服务器上都要有管理员权限。 ●安装配置服务器网络要点 1、在这一部分,每个服务器需要两个网络适配器,一个连接公众网,一个连接内部网(它只包含了群集节点) 内部网适配器 。 建立点对点的通信、群集状态信号和群集管理。每个节点的公众网适配器连接该群集到公众网上,并在此驻留客户。 2、安装 Microsoft Windows 2000 Adwance Server 操作系统后,开始配置每台服务器的网络。在网络连接中我们给连接公众网的 命名为"外网",连接内部网的命名为"内网"并分别指定 IP 地址为:节点 1:内网:ip:10.10.10.11 外网 ip:192.168.0.192 子网 掩码:255.255.255.0 网关:192.168.0.191(主域控制器 ip) ;节点 2:内网:ip:10.10.10.12 外网 ip:192.168.0.193 子网掩码: 255.255.255.0 网关:192.168.0.191;节点 3:内网:ip:10.10.10.13 外网 ip:192.168.0.194 子网掩码:255.255.255.0 网关: 192.168.0.191;节点 4:内网:ip:10.10.10.14 外网 ip:192.168.0.195 子网掩码:255.255.255.0 网关:192.168.0.191;节点 5: 内
Tomcat集群与负载均衡(转载) 在单一的服务器上执行WEB应用程序有一些重大的问题,当网站成功建成并开始接受大量请求时,单一服务器终究无法满足需要处理的负荷量,所以就有点显得有点力不从心了。另外一个常见的问题是会产生单点故障,如果该服务器坏掉,那么网站就立刻无法运作了。不论是因为要有较佳的扩充性还是容错能力,我们都会想在一台以上的服务器计算机上执行WEB应用程序。所以,这时候我们就需要用到集群这一门技术了。 在进入集群系统架构探讨之前,先定义一些专门术语: 1. 集群(Cluster):是一组独立的计算机系统构成一个松耦合的多处理器系统,它们之间通过网络实现进程间的通信。应用程序可以通过网络共享内存进行消息传送,实现分布式计算机。 2. 负载均衡(Load Balance):先得从集群讲起,集群就是一组连在一起的计算机,从外部看它是一个系统,各节点可以是不同的操作系统或不同硬件构成的计算机。如一个提供Web服务的集群,对外界来看是一个大Web服务器。不过集群的节点也可以单独提供服务。 3. 特点:在现有网络结构之上,负载均衡提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。集群系统(Cluster)主要解决下面几个问题: 高可靠性(HA):利用集群管理软件,当主服务器故障时,备份服务器能够自动接管主服务器的工作,并及时切换过去,以实现对用户的不间断服务。 高性能计算(HP):即充分利用集群中的每一台计算机的资源,实现复杂运算的并行处理,通常用于科学计算领域,比如基因分析,化学分析等。 负载平衡:即把负载压力根据某种算法合理分配到集群中的每一台计算机上,以减轻主服务器的压力,降低对主服务器的硬件和软件要求。 目前比较常用的负载均衡技术主要有: 1. 基于DNS的负载均衡 通过DNS服务中的随机名字解析来实现负载均衡,在DNS服务器中,可以为多个不同的地址配置同一个名字,而最终查询这个名字的客户机将在解析这个名字时得到其中一个地址。因此,对于同一个名字,不同的客户机会得到不同的地址,他们也就访问不同地址上的Web服务器,从而达到负载均衡的目的。 2. 反向代理负载均衡(如Apache+JK2+Tomcat这种组合) 使用代理服务器可以将请求转发给内部的Web服务器,让代理服务器将请求均匀地转发给多台内部Web服务器之一上,从而达到负载均衡的目的。这种代理方式与普通的代理方式有所不同,标准代理方式是客户使用代理访问多个外部Web服务器,而这种代理方式是多个客户使用它访问内部Web服务器,因此也被称为反向代理模式。 3. 基于NAT(Network Address Translation)的负载均衡技术(如Linux Virtual Server,简称LVS)
网关冗余和负载均衡VRRP 一、交换机SW1(R6)交换机SW2(R4)配置 R6>enable R6#conf t R6(config)#hostname SW1 SW1 (config)#int fa0/0 SW1 (config-if)#no shutdown SW1 (config-if)#exit SW1 (config)#int fa0/1 SW1 (config-if)#no shutdown SW1 (config-if)#exit SW1 (config)#int fa0/2
SW1 (config-if)#no shutdown SW1 (config-if)#exit SW1#vlan database SW1 (vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 SW1 (vlan)#exit SW1#conf t SW1 (config)#int range fa0/0 - 2 SW1 (config-if-range)#switchport access vlan 2 SW1 (config-if-range)#exit SW1 (config-if-range)#exit SW1(config)#int vlan 2 SW1(config-if)#ip add 192.168.13.2 255.255.255.0 SW1(config-if)#no shutdown SW1(config-if)#exit SW1(config)#exit SW1# R4>enable R4#conf t R4(config)#host SW2 SW2(config)#int fa0/1 SW2(config-if)#no shutdown SW2(config-if)#exit SW2(config)#int f0/0 SW2(config-if)#no shutdown SW2(config-if)#exit SW2(config)#exit SW2#vlan database SW2(vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 SW2(vlan)#exit SW2#conf t SW2(config)#int range fa0/0 - 1 SW2(config-if-range)#switchport access vlan 2 SW2(config-if-range)#end SW2# 二、配置PC1(R7)PC2(R5) R7>enable R7#conf t
某铁路集团多链路接入及服务器负载均衡 项目概况: 1.该用户为国内某铁路集团 2.用户有一个主数据中心同时接入电信和网通和联通线路 3.客户集团内部用户对内流量和对外流量日益增长 4.内部的服务器应用需要具有高可靠性,能够满足日常在线的web更新。 客户需求: 1.实现内部用户外出访问时的链路负载均衡,访问网通的web时候走网通链路,但是当网通链路段掉了还要可以从其它线路外出访问。
2.内部的应用服务器也需要inbound的负载均衡。 3.用户一部分旧型号机器需要和新型号设备一起按照一定权重来提供某一种应用。 4.所有的服务器需要7*24小时的不间断服务基础上实现在线的更新动作。 5.在将来有很好的扩展性,还可以灵活增加新的接入链路而不涉及内部改动。 6.要求方案设计简单,部署容易在将来有很好的扩展性,还可以灵活增加新的接入链路而不涉及内部改动。 F5 的解决方案: 1.采用两台1500LC来实现HA双机的99.999%高可用。 2.对外连接3条链路,出口通过Irule来实现静态的最优路径选择,进来的流量通过动态探测+静态拓扑来实现智能入站链路的负载均衡。 3.根据静态的比率算法来实现对内部不同性能服务器的负载均衡。 4.需要对后台业务服务器进行升级维护的时候,利用F5温暖关机的特性,阻止用户的新建连接,保持在线用户的连接,直到在线廉洁树下降到零,再由网管人员将服务器下线。 5.通过F5 灵活的TCP 优化及会话保持技术满足业务应用需求。 为什么选择F5: 1.F5 负载均衡器双机心跳线方式提供毫秒级快速切换,是诸如客票系统这样的关键业 务系统所必需的。 2.F5 负载均衡器高性能高稳定性在中国诸多用户业务环境中得到证实。 3.高效灵活的链路选择能力,可以根据客户需求进行动静态的处理。 4.稳定而简单的结构部署:整个部署和实施过程,不需要影响到原有的拓扑结构,在 经过实验验证可行后,可以整套架构直接插入原有拓扑结构中间,不涉及任何网络 改动,实现无缝的整合和接入。 5.通过透明监控检查ISP 网络或互联网上各个设备的可用性来确定整个链路的可用性。
系统结构: 两台服务器集群,通过网络同时与阵列相连。其中一台为当前活动服务器,另一台热备。 服务器间通过心跳线相连,确保集群讯息传递。 目的: 为防止单点故障,集群服务通过服务器即时切换,实现任意一台服务器故障后,用户依然能对阵列上所存储的资源进行操作而不受影响,为维修或更换设备赢得时间。 整体思路: 1.在阵列上创建仲裁分驱和共享分驱 2.启动集群服务器中的一台A,查看是否识别出阵列上划分的空间。是则格式化分驱, 并启动集群服务器B,检查其是否识别已分驱的磁盘。是则关闭服务器B,然后在 服务器A上创建集群 3.选择域,输入要创建的集群名称 4.输入节点A主机名,可点击BROWSE选择服务器名称 5.等待系统执行前至配置,如无异常执行下一步 6.输入集群ip地址,此地址为虚拟集群服务器地址,并无实际设备存在
7.在域服务器上创建一个集群用户,在集群向导中输入用户名密码 8.点击QUORUM选择在阵列上创建的仲裁磁盘,结束配置 9.启动集群服务器B,启动集群管理服务,选择加入集群。 10.选择要加入集群的节点服务器B 11.等待配置完成,若无异常进行下一步 12.输入集群服务器所在域的域用户密码 13.检察配置信息,无误则结束配置 14.右键单击RESOURCE新建资源 15.输入资源名称并选择资源类型及所在组 16.将与之关联的服务器加入相关组 17.设置共享名称及路径,单击完成结束配置 18.设置共享资源完全共享权限 19.在当前管理服务器上设置共享磁盘的权限 一.环境准备条件: 1.域服务器至少一台 2.在域中创建用户,为后边集群服务器登陆使用 3.两台准备做集群的节点服务器,需配置双网卡。 4.准备心跳线一根,将两台节点服务器相连。 二。配置集群 域用户:cluster 主机A信息: 主机A名称:NASA 域名:12.CALT.CASC 公网IP:10.21.0.171 心跳IP:192.168.0.1 主机B信息: 主机B名称:NASB 域名:12.CALT.CASC 公网IP:10.21.0.172 心跳IP:192.168.0.2
大家都知道一台服务器的处理能力,主要受限于服务器自身的可扩展硬件能力。所以,在需要处理大量用户请求的时候,通常都会引入负载均衡器,将多台普通服务器组成一个系统,来完成高并发的请求处理任务。 之前负载均衡只能通过DNS来实现,1996年之后,出现了新的网络负载均衡技术。通过设置虚拟服务地址(IP),将位于同一地域(Region)的多台服务器虚拟成一个高性能、高可用的应用服务池;再根据应用指定的方式,将来自客户端的网络请求分发到
服务器池中。网络负载均衡会检查服务器池中后端服务器的健康状态,自动隔离异常状态的后端服务器,从而解决了单台后端服务器的单点问题,同时提高了应用的整体服务能力。 网络负载均衡主要有硬件与软件两种实现方式,主流负载均衡解决方案中,硬件厂商以F5为代表目前市场占有率超过50%,软件主要为NGINX与LVS。但是,无论硬件或软件实现,都逃不出基于四层交互技术的“转发”或基于七层协议的“代理”这两种方式。四层的转发模式通常性能会更好,但七层的代理模式可以根据更多的信息做到更智能地分发流量。一般大规模应用中,这两种方式会同时存在。 2007年F5提出了ADC(Application delivery controller)的概念为传统的负载均衡器增加了大量的功能,常用的有:SSL卸载、压缩优化和TCP连接优化。NGINX也支持很多ADC的特性,但F5的中高端型号会通过硬件加速卡来实现SSL卸载、压缩优化这一类CPU密集型的操作,从而可以提供更好的性能。 F5推出ADC以后,各种各样的功能有很多,但其实我们最常用的也就几种。这里我也简单的总结了一下,并和LVS、Nginx对比了一下。
多链路负载均衡及冗余
目录 1.目的 (3) 2.环境拓扑 (3) 3.链路负载均衡 (3) 3.1 基于源IP的负载均衡 (4) 3.2基于权重的负载均衡 (6) 3.3基于出口流量阀值的负载均衡 (6) 3.4 其他负载均衡 (7) 3.5 策略路由 (7) 4.链路冗余 (8) 4.1 检测服务器 (8) 4.2管理距离与优先级 (8) 5.负载均衡与冗余 (9) 6.参考 (9)
1.目的 本文档针对FortiG ate在具有两条或两条以上出口时的负载均衡及链路冗余配置进行说明。Fortigate在多链路可以支持不同方式的负载均衡,在链路负载均衡的同时,也可以实现链路的冗余。 2.环境拓扑 本文使用FortiGate-VM 做演示。本文支持的系统版本为FortiOS v4.0MR3 Patch2及更高。 该配置中使用FortiGate-VM1 模拟两条WAN线路,通过FortiGate-VM2连接至外网,实际环境可以据此参考。 3.链路负载均衡 链路负载均衡功能需要为2个不同的出网接口分别配置一条默认路由,如果实现负载均衡,需要2条或多条静态路由的管理距离以及优先级保持一致。同时也需要保证配置内网去往2条出口的策略。 如果使用静态路由的话可以把出网路由的管理距离配置成相等的,也就是等价路由。如果是ADSL、DHCP等动态获取的网关的话可以把“从服务器中重新得到网关”选中同时将动态获取的路由的管理距离配置即可。在默认路由已经配置完成的情况下,如果仍然有某些特定的数据流需要从指定的出口出网的话,可
以使用策略路由功能来完成这样的需求。策略路由的优先级高于动态和静态路由,按照从上到下的次序来匹配的。 负载均衡包括三种模式: 1.基于源IP的负载均衡; 2.基于权重的负载均衡; 3.基于出口流量阀值的负载均衡。 3.1 基于源IP的负载均衡 基于源IP的负载均衡, 当路由表中有多个出网路由时,FortiGate设备会按内置的算法实现负载均衡,这个算法不能被修改。这个算法是:假设路由表中有n条出网路由,则防火墙会将内网源IP地址的最后一组数值除n取余,余1走第一条出网路由,余n-1走第n-1条出网路由,余0走第n条出网路由。 本例的出网规则是:,如果想让某些IP走特定的接口需要策略路由来实现。
中小企业多链路负载均衡的解决方案前言: 目前很多企业为了提高信息发布的性能和可靠性,向多个电信运营商同时租用互联网线路,所以拥有两条或两条以上的互联网连接链路,这些用户希望分别通过多条链路使用网络平台和资源,但是这样的网络出口建设形式,暴露出以下问题,并亟待解决。 企业广域网链路络存在的问题: 1、链路的单点失效性: 采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个企业网络的瘫痪。 2、链路性能的瓶颈: 单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对Internet 访问时所需的带宽,同时也无法满足大量的Internet上的用户对企业的访问。 3、网络安全防护能力弱: 目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限,DOS/DDOS 网络攻击会对广域网络由器产生严重的影响。 现有的多条链路,互相之间没有联系,这就导致了两条链路的完全独立,不能互为所用;两条或多条链路分别独立接入,链路的占用可能不平均,带宽不能得到充分的利用;任一条链路的中断都会影响正常的上网工作,缺乏容错机制。 解决方案: 面对以上问题,应该在企业网络出口处部署一台梭子鱼LinkBalancer 330链路负载均衡器,如下图所示:
LB330链路负载均衡器部署在出口路由器和防火墙之间,这样可以实现对多条internet 接入链路的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound 流量(internet用户访问内部服务器)双向的负载均衡,并且可以根据智能算法选择最优路径,以达到最佳访问速度。如果当一个ISP1出现故障,负载均衡器可以及时地检测到,并将内外网流量转到ISP2上,网络仍然可以正常运行。LB330链路负载均衡器支持多达3条外接链路。此外,LB330链路负载均衡器具备抵御DoS/DDoS的功能,有效地保护内网的服务器免遭攻击。 方案特点: 1.增加企业出口带宽,并提供了广域网链路的冗余。 2.通过智能算法,可通过最优路径实现内外网访问。 3.可以抵御DoS和 DDoS攻击有效的保护内网服务器。 为什么选择梭子鱼: 1、聚合链路带宽
服务器双机热备方案精 编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
双机热备方案 双机热备针对的是服务器的临时故障所做的一种备份技术,通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。 1.集群技术 在了解双机热备之前,我们先了解什么是集群技术。 集群(Cluster)技术是指一组相互独立的计算机,利用高速通信网络组成一个计算机系统,每个群集节点(即集群中的每台计算机)都是运行其自己进程的一个独立服务器。这些进程可以彼此通信,对网络客户机来说就像是形成了一个单一系统,协同起来向用户提供应用程序、系统资源和数据,并以单一系统的模式加以管理。一个客户端(Client)与集群相互作用时,集群像是一个独立的服务器。计算机集群技术的出发点是为了提供更高的可用性、可管理性、可伸缩性的计算机系统。一个集群包含多台拥有共享数据存储空间的服务器,各服务器通过内部局域网相互通信。当一个节点发生故障时,它所运行的应用程序将由其他节点自动接管。 其中,只有两个节点的高可用集群又称为双机热备,即使用两台服务器互相备份。当一台服务器出现故障时,可由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续对外提供服务。可见,双机热备是集群技术中最简单的一种。 2. 双机热备适用对象 一般邮件服务器是要长年累月工作的,且为了工作上需要,其邮件备份工作就绝对少不了。有些企业为了避免服务器故障产生数据丢失等现象,都会采用RAID技术和数据备份
技术。但是数据备份只能解决系统出现问题后的恢复;而RAID技术,又只能解决硬盘的问题。我们知道,无论是硬件还是软件问题,都会造成邮件服务的中断,而RAID及数据备份技术恰恰就不能解决避免服务中断的问题。 要恢复服务器,再轻微的问题或者强悍的技术支持,服务器都要中断一段时间,对于一些需要随时实时在线的用户而言,丢失邮件就等于丢失金钱,损失可大可小,这类用户是很难忍受服务中断的。因此,就需要通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。 3. 实现方案 双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式。 1)基于共享的存储设备的方式 基于存储共享的双机热备是双机热备的最标准方案。对于这种方式,采用两台服务器(邮件系统同时运行在两台服务器上),使用共享的存储设备磁盘阵列(邮件系统的数据都存
集群的负载均衡技术综述 摘要:当今世界,无论在机构内部的局域网还是在广域网如Internet上,信息处理量的增长都远远超出了过去最乐观的估计,即使按照当时最优配置建设的网络,也很快会感到吃不消。如何在完成同样功能的多个网络设备之间实现合理的业务量分配,使之不致于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况,负载均衡机制因此应运而生。本组在课堂上讲解了《集群监控与调度》这一课题,本人在小组内负责负载均衡部分内容,以及PPT的制作。 关键词:负载均衡集群网络计算机 一、前言 负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。 其实,负载均衡并非传统意义上的“均衡”,一般来说,它只是把有可能拥塞于一个地方的负载交给多个地方分担。如果将其改称为“负载分担”,也许更好懂一些。说得通俗一点,负载均衡在网络中的作用就像轮流值日制度,把任务分给大家来完成,以免让一个人累死累活。不过,这种意义上的均衡一般是静态的,也就是事先确定的“轮值”策略。 与轮流值日制度不同的是,动态负载均衡通过一些工具实时地分析数据包,掌握网络中的数据流量状况,把任务合理分配出去。结构上分为本地负载均衡和地域负载均衡(全局负载均衡),前一种是指对本地的服务器集群做负载均衡,后一种是指对分别放置在不同的地理位置、在不同的网络及服务器群集之间作负载均衡。 服务器群集中每个服务结点运行一个所需服务器程序的独立拷贝,诸如Web、FTP、Telnet或e-mail服务器程序。对于某些服务(如运行在Web服务器上的那些服务)而言,程序的一个拷贝运行在群集内所有的主机上,而网络负载均衡则将工作负载在这些主机间进行分配。对于其他服务(例如e-mail),只有一台主机处理工作负载,针对这些服务,网络负载均衡允许网络通讯量流到一个主机上,并在该主机发生故障时将通讯量移至其他主机。 二、负载均衡技术实现结构 在现有网络结构之上,负载均衡提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务: 1.解决网络拥塞问题,服务就近提供,实现地理位置无关性 2.为用户提供更好的访问质量 3.提高服务器响应速度
Array Networks 链路负载均衡解决方案 -Array APV系列、AppVelocity应用于企业网络优化
目录 1. 多链路接入背景介绍 (3) 1.1 单链路接入单点故障 (3) 1.2 运营商之间互访 (4) 1.3 双链路解决方案的产生以及其衍生的问题 (4) 2. Array 提供最佳的解决方案 (6) 2.1 方案介绍 (6) 2.2 流出(Outbound)流量处理 (7) 2.3 其它重要功能设置: (8) 2.4 流入(Inbound)流量处理 (8) 3. 解决方案功能特点介绍 (10) 3.1. 全面的链路监控能力 (10) 3.2. 全路经健康检查 (10) 3.3. 策略路由 (11) 3.4. APV-LLB的链路负载均衡解决方案具有以下功能和优点: (11) 3.5. 链路优化功能与其他应用性能提高功能 (11) 3.5.1. Http 压缩功能 (11) 3.5.2. Cache 功能 (11) 3.5.3. Connection Multiplexing(连接复用)技术 (12) 3.5.4. Connection Pooling(连接池)技术 (12) 3.5.5. Array SpeedStack?技术 (12) 3.6. 安全防护功能 (13) 3.7. Cluster技术 (13) 3.8. Array APV 配置管理 (14) 3.9. 可扩展性 (14) 3.9.1. 服务器负载均衡与广域网负载均衡 (14) 3.9.2. 扩展的SSL加速适用于电子商务 (14) 4. 链路负载均衡对企业的价值 (14)
XX科研院所 服务器虚拟集群系统 技术方案
目录 1前言 (1) 2项目建设必要性分析 (1) 3方案设计 (3) 3.1总体拓扑 (3) 3.2方案概述 (3) 3.3VM WARE 服务器虚拟化方案 (5) 3.3.1服务器虚拟化方案概述 (5) 3.3.2方案架构及描述 (7) 3.3.3方案优势 (15) 3.4C ITRIX X EN DE SKTOP桌面虚拟化方案 (16) 3.4.1桌面虚拟化概述 (16) 3.4.2方案架构及描述 (29) 3.4.3Citrix产品及功能描述 (36) 3.5V F OGLIGHT虚拟环境监控方案 (40) 3.5.1虚拟环境监控方案概述 (40) 3.5.2方案介绍 (44) 3.6接入网络解决方案 (54) 3.6.1方案描述 (54) 3.6.2物理布局设计 (58) 3.6.3方案优势 (59) 3.6.4业务服务器区接入层设计的创新发展 (60) 3.6.5基于Nexus产品的创新设计总结 (64) 4配置方案 (65)
1前言 广泛采用的IT 平台在应用范围和复杂性方面急速发展,服务器数量、网络复杂程度和存储容量也随着一波波的技术变革而激增。由此导致的诸多问题目前仍在困扰着各信息化部门。如:服务器利用率低下、多应用并存导致系统不稳定、整机备份还原困难、计划内或计划外的停机导致服务中断等。 服务器虚拟化技术,经过数十年的发展,成功的解决了这些问题,为基础资源整合提供了理想的解决方案。通过部署服务器虚拟集群,将多个服务器、网络存储设备、备份系统等作为一个资源池,从资源池中灵活的分配适当的资源给相应的应用,使得上述问题迎刃而解。今天,服务器虚拟化技术已经被广泛应用在各个领域,作为绿色数据中心的核心技术手段,发挥着重大的作用。 2项目建设必要性分析 随着信息化工作的不断推进,XX科研院所已建立若干重要应用系统等。这些系统的正常运行切实保障了XX科研院所的科研生产顺利开展,大大提高了工作效率和科研能力。这些应用无不需要良好的服务器环境作为支撑,而且随着应用数量及性能要求的不断提高,对服务器环境资源的要求也将越来越高。同时,随着科研生产对信息化的依赖性增强,保障数据中心稳定、不间断的运行显得越来越重要。 数据中心现有多台服务器,每台服务器都运行多个应用服务。目前主要存在以下几个问题: 1.服务器资源使用率不均匀平均使用率低于40%。 2.计划外或计划内停机维护,影响应用服务的不间断运行。 3.部署新应用的成本较高。 这些问题越来越严重的影响着数据中心安全稳定的运行,解决这些问题迫在眉睫。