《h3c全场景负载均衡解决方案剖析》由会员分享,可在线阅读,更多相关《h3c全场景负载均衡解决方案剖析(39页珍藏版)》请在金锄头文库上搜索。
1、H3C全场景负载均衡解决方案,日期:,密级:,杭州华三通信技术有限公司,服务器负载均衡解决方案 链路负载均衡解决方案,目录,存在问题一:业务服务器负荷的均衡性,业务1,业务2,业务n,业务1,业务2,业务n,业务量提升, 增补服务器,两个问题: 1、受传统三层交换模式下的应用限制,一个业务IP无法同时供多台服务器使用; 2、如果每种业务发布多个业务IP,需知会业务使用者,且,存在服务器负荷不均匀,存在问题二:业务服务器故障感知,ERP系统,硬件,操作系统,网站,硬件层面,操作系统,应用层面,邮箱系统,OA系统,故障感知 盲区,问题: 传统三层交换模式在分发业务请求时,无法感知服务器的操作系统和
2、应用系统层面的故障,易引发故障投诉。,存在问题三:业务服务器安全问题,业务1,业务2,业务n,问题: 业务服务器面临着如非法访问、DDOS攻击、病毒等各类安全威胁。,H3C业务负载均衡解决方案,业务1,业务2,业务n,专业FW、IPS模块,LB模块,提供专业的网络层攻击、应用层攻击防御,LB作为三层交换机功能延伸,对外发布业务虚IP,提供四、七层交换功能。提升“业务自适应能力”。,H3C业务负载均衡解决方案,业务1,业务2,业务n,VIP1,VIP2,VIPn,增强业务自适应性 LB终结业务请求报文,虚IP/Port与业务请求报文IP/Port与进行匹配,并采用负载均衡分发算法将请求报文转发至
3、实体服务器,扩展业务处理能力,增强网络自适应性。 服务器健康检查: LB从硬件、操作系统、应用等多个层面检查业务服务器是否故障,仅将业务请求数据分发至健康的服务器。,业务服务器健康检测,DNS,Radius,SSL,ICMP,TCP,HTTP,FTP,硬件网卡,服务层面,应用层面,UDP,POP3,SMTP,IMAP,RTSP,SIP,应用不断丰富中,根据响应内容判断服务器状况,模拟客户端对应用发送连接或内容请求,发送ICMP Echo报文,根据收到ICMP响应判断服务器状况,根据TCP连接成功否或内容判断服务器状况,发送TCP连接或请求内容,负载均衡,业务服务器,灵活的业务服务器负载均衡分发
4、,负载均衡设备,客户端,1,2,3,4,5,6,丰富的持续性(会话保持)算法,负载均衡设备,1,2,3,建立持续性表项,某次业务数据流后续报文送到同一实服务器,H3C负载均衡-1:N虚拟化,Client,Client,Client,管理权限虚拟化 虚服务虚拟化 分发策略虚拟化 持续性虚拟化 健康检查虚拟化,应用场景: 云计算系统 MPLS VPN内服务器前端,LB一虚多,H3C负载均衡-N:1虚拟化,SecBlade LB1,SecBlade LB3,SecBlade LB2,交换机接口板 (网关),多模块、单VIP,IP1,IP2,IP3,交换机接口板 (网关),SNAT-IP1,SNAT-
5、IP2,SNAT-IP3,SIP1,SIP2,SIP3,Client,H3C负载均衡SSL 加速,S75E+LB+SSL VPN,HTTPS 流量,Web,APP,DB,HTTP 流量,采用专业的硬件SSL加速业务引擎 SSL加速处理处理流程 1、 客户端发起HTTPS连接请求,协商传输的加密算法,确认双方身份,并交换会话密钥。 2、负载均衡对请求的信息进行解密,通过HTTP的方式发送给后端的服务器。 3、服务器返回处理结果给负载均衡设备。 4、负载均衡设备对请求的结果进行加密,返回给客户端。,负载均衡模式双机热备,支持主/备、主/主模式 LB之间启用VRRP,并通过心跳线同步LB会话表项;
6、主机级和会话级备份实现业务无缝切换,FW模块,H3C负载均衡交换机,IPS模块,防DDos攻击模块,支持多种业务模块,包括:防火墙、IPS入侵防护、应用控制及管理、网流分析、无线控制等 所有插卡支持统一管理,按需部署不同业务模块,满足不断增长的业务需求:,专业的安全功能扩展,H3C 负载均衡产品,S7500E,S9500E,S12500,S8800,SecBlade LB For S7500E/S9500E/S10500/S12500,SecBlade LB For SR8800,机架式 主机,负载均衡 业务板,S10500,LB应用案例-天地图,门户应用服务,矢量应用服务,影像应用服务,S7
7、5E+LB,产品及方案特色 交换+多核架构,性能强劲,可靠性高,满足724小时在线服务器 LB可扩容,满足未来业务增长,保护用户投资,负载均衡部署策略 负载均衡分发技术:新建业务节点性能相同,采用对集群节点干扰小的轮询调度策略; 会话保持:该网站暂时不提供连续交互会话的功能 ,后续会开展需保持会话业务。 服务器健康检查:在线地理信息服务网站采用HTTP检测方式,即定时与服务器集群中服务器发出HTTP请求并验证响应结果。,LB应用案例江苏移动IMS系统,S75E+LB,IMS 业务服务器,移动城域网,产品及方案特色 一机两用:运营商认可交换机式LB,性能高、可靠性高,可平滑扩容,IMS系统服务器
8、直连S75E,简化网络层次。,继F5000在中移动IMS系统规模应用后, LB再次在IMS核心业务系统稳定运行。,负载均衡部署策略 负载均衡分发技术:新建业务节点性能相同,采用对集群节点干扰小的轮询调度策略; 会话保持:本次系IMS内DNS业务暂时不提供保持会话。 服务器健康检查:IMS内DNS业务采用基于DNS的健康检测,即LB模拟客户端定时向DNS服务器发起DNS请求,根据返回值来判断服务器正常与否。,LB应用案例海南人民医院HIS系统,S75E+LB,影像服务器,S12500,行业及系统: 医院HIS系统 挑战: 保障7X24业务连续 提升影像资料下载速度 具备业务不断扩充能力 方案优点
9、: Lb在S75E IRF2环境下部署,可靠性高 双主影像服务器,下载能力提升1倍 DR工作模式,大容量文件下载不经过LB 具备新增业务和业务扩容能力,案例点评:LB在现代化大型三甲医院的核心业务系统的成功应用,安徽农信网银数据中心,行业及系统: 银行 网银系统 应用场景: 网银多出口链路负载均衡、网银服务器负载均衡 方案描述: LB在部署在网银多ISP出口,提供“智能DNS功能”和H3C独有的“保持上一条”功能,提升不同运营商用户的高速业务体验。 LB部署在网银数据中心前端,提供网银服务器的负载均衡,实现7X24小时服务。,服务器负载均衡解决方案 链路负载均衡解决方案,目录,部分宽带运营商网
10、络现状,电信,联通,省干网关,地市节点,广电、铁通、移动等运营商通过租赁电信和联通线路进行宽带运营。 通过在出口路由器上配置ACL策略路由方式将互联网宽带用户静态的指向不同的出口链路。,问题一:部分互联网宽带用户上网慢,电信,联通,省干网关,地市节点,被静态策略至某联通链路,出口网关无法根据用户访问的目的IP选路,导致部分用户上网速度慢、体验差。,问题二:维护工作量繁琐,电信,联通,省干网关,地市节点,需在出口网关路由器上经常性的为新增宽带用户添加静态策略,维护工作量大。,天天加策略,问题三:链路故障探测及处理,电信,联通,省干网关,地市节点,链路故障后,手工调整策略期间,宽带用户无法上网,会
11、投诉或传播负面信息。,H3C出口多链路负载均衡解决方案,电信,联通,省干网关,地市节点,在出口部署一体式的FW+LB网关。 FW实现大容量NAT功能 LB实现链路负载均衡功能 根据用户目的地址进行自动选路,无须配置静态策略 用户上网速度感知优于静态策略方式 链路故障,自动将用户流量切换至可用链路。,IRF,FW,LB,出口链路负载均衡逻辑示意图,SecBlade LB 1,SecBlade LB 2,SecBlade LB n,接口板,可靠性一: 任一LB故障,流量将均分至正常的LB,万兆板,电信,联通,交换机通过等价路由方式将流量均分至各LB板卡 LB通过逻辑子接口与四个链路连接。 LB通过
12、链路负载均衡算法分发流量。 LB探测链路故障,自动将流量分担至可用的链路。,等价路由分发,可靠性二: 任一链路故障,流量将均分至正常的链路,电信,联通,电信,联通,出链路负载均衡,路由器静态策略模式,ISP匹配流,未知流,轮询 加权轮询 源地址Hash 最小连接 就近性探测,ISP匹配流,未知流,默认路由,提升1丰富的出口流量分发算法,提升1分发算法比较,静态分发 轮询/随机、加权轮询/随机 源IP/Port Hash,动态分发 (加权)最小连接、最大剩余带宽,就近性探测(生成就近性表项) 链路可用带宽、链路延迟时间(RTT) 链路成本、路由跳数(TTL),ISP表项匹配 内置电信、联通等IS
13、P地址表项,静态策略路由 动态路由,路由器,负载均衡,来源于APNIC(亚太互联网络信息中心),出链路负载均衡之“outbound智能选路功能”,ISP1,ISP1表项,ISP2表项,ISP3表项,ISP2,ISP3,目的IP,目的IP,目的IP,未知目的IP,ISP表项匹配,静态分发 轮询/随机、加权轮询/随机 源IP/Port Hash,动态分发 (加权)最小连接、最大剩余带宽,就近性探测(生成就进行表项) 链路可用带宽、链路延迟时间(RTT) 链路成本、路由跳数(TTL),内网用户,负载均衡,互联网,电信-1G,联通-500M,目的IP为电信的流量,950M,150M,1.1G,保护阈值
14、950M,电信-1G,联通-500M,目的IP为电信的流量,1G,100M,1.1G,X,负载均衡链路阈值保护,路由器静态策略模式,每条ISP设置阈值,链路数据流达到阈值后,LB不再向该链路发送数据流。,提升2出口链路流量阈值保护,提升3出口故障或拥塞后流量牵引,电信-1G,联通-500M,目的IP为电信的流量,X,电信-1G,联通-500M,目的IP为电信的流量,950M,150M,1.1G,保护阈值950M,出口故障后流量牵引,出口拥塞后流量牵引,入方向链路负载均衡之“智能DNS功能”,ISP1,ISP2,ISP3,匹配,返回对应ISP的DNS-IP,负载均衡,Client,客户端访问网站
15、系统时如何请求到最快的域名IP地址?,用户源IP是否匹配某ISP表项?,就近探测最优链路,不匹配,返回最优ISP的DNS-IP,H3C网站,DNS请求逻辑图,Local DNS,Local DNS,记录上一跳功能(外部访问网内资源),电信,联通,移动,请求报文,响应报文,X,响应报文,来回路径不一致问题: 1、跨网导致响应慢,用户体验差 2、如ISP开URPF,响应报文丢弃 解决方法-记录上一条: H3C负载均衡设备依据用户请求报文的五元组生成会话表,并把该会话表与入端口(物理或逻辑)对应关系记录成上一跳表项; 服务器响应报文会匹配到会话表,直接将响应报文从入接口发出去。,河南铁通出口链路解决
16、方案,2*10GE,链路1,链路2,FW+LB,链路1,链路2,FW,LB,链路1,链路2,链路3,内部流量均分至LB,联通,CRN,电信,S7610+ FW+LB,河南有线逐渐割接改造中,2010年原网络,2011年部分出口逐步改造,采用S7600系列虚拟化交换机插框通过LB插卡和FW插卡的配合完成两条联通线路的NAT出口改造。,S5800-60C-PWR,S5800-60C-PWR,S7506E+SecBlade FW +SecBlade IPS+SecBlade LB,CMNET省网汇聚路由器NE40E-A,CMNET,CMNET省网汇聚路由器NE40E-A,3G视频等数据业务预留区,自有业务
