A10 GSLB 多数据中心部署方案A10 的 Thunder系列产品可以在数据中心同时作为负载均衡( SLB)设备和全局负载均衡 (GSLB)设备无论是单数据中心还是多数据中心, Thunder 系列产品都可以根据需求,实现 高可用或容灾方式部署单数据中心高可用部署网络拓扑Thunder系列产品在单数据中心的高可用部署如下图所示:部署方式说明Thunder 作为互联网出口网关1) 在数据中心的出口处,部署高性能的 Thunder 硬件产品,作为互联网出口链路的网 关设备,实现多链路之间的负载分档和冗余备份2) 2台 Thunder设备采用 HA 方式部署,以实现高可用性保障3) 2 台 Thunder 设备之间建议部署专门的心跳线(可在设备上指定任意以太接口作为 心跳口),以实现心跳监测的高可用性4) Thunder 设备的上连接口或下连接口建议采用三层方式部署(即两台 Thunder 的上 /下连接口需要在不同的三层子网中)主备设备的切换可通过主动 ARP 更新实现快 速收敛5) 结合 Thunder 产品的虚拟分区( ADP)功能,可以实现不同 VLAN 或不同链路群组 之间的分隔部署和管理。
Thunder 系列产品最大支持 1024个虚拟分区,因此,可以 实现最大 1024 个租户与传统网络、链路的分隔部署Thunder 作为应用负载均衡( SLB )设备1) 在每个数据中心中,部署 Thunder产品作为 SLB 设备,实现对不同应用系统的负载 分担功能和高可用性的要求2) Thunder可采用独立部署、 HA 双机热备方式部署或 aVCS 集群方式部署采用 HA 双机热备或集群方式部署时,两台或多台 Thunder 设备之间需要进行心跳检测可 部署专门的以太口作为心跳接口,或利用已有的数据口作为心跳接口 Thunder 之 间的心跳线如果采用交换机连接,需要交换机支持 IGMP 组播包转发3) Thunder 设备建议采用旁路方式部署如果采用 aVCS 集群方式部署时,建议采用 二层方式部署,在二层方式下部署,主备设备的切换为毫秒级;采用主备 HA 部署 时建议在三层网络下部署,主备设备的切换取决于三层路由的收敛速度4) 对于每个不同部门或应用系统,可分配独立的虚拟分区( ADP ),以供不同的部门 或应用系统使用,实现部署、管理上的隔离和负载均衡设备资源共享在 Thunder 上为每个 ADP 租户分配独立的分区,每个分区可设置独立的管理员帐号,可设定 能够使用的设备系统资源,每个 ADP 分区具有独立的 L2-7 层配置信息和数据信 息。
5) 推荐型号:a) 对于低性能 /小流量需求的系统:可采用 Thunder 930(5Gbps吞吐量);b) 对于高性能 /大流量的需求,可采用:i. Thunder 1030S( 10G)ii. Thunder 3030S( 30G)iii. Thunder 4430S( 40G)--提供 40GE 接口多数据中心容灾部署在多数据中心中, Thunder产品除了可以在每个数据中心内提供链路负载均衡( LLB )和 服务器负载均衡( SLB )以外,还可以提供卓越的多数据中心全局负载均衡( GSLB)功能,实 现入向流量分担和智能调度我们推荐两种部署方式部署方式说明( DNS 服务器代理模式)网络部署拓扑在多数据中心中流量的转发过程 正常情况首先简单介绍一下用户通过互联网络访问 Web 应用服务器的整个过程如下图所示,我们 将通过客户端访问来说明客户端访问的整个过程Client如图所示,客户端( Client)在浏览器地址栏中输入,发起对该网站的访问请求,客户端 首先向 LDNS( Local DNS)发出域名解析请求,要求 LDNS提供所对应的 IP地址LDNS 通过递归查询,从上级 DNS 服务器得到的授权 DNS(Authoritative DNS, ADNS )服 务器 IP地址,于是, LDNS 向ADNS 域名服务器发送域名解析请求,要求对域名进行解析。
ADNS 将的域名解析结果返回给 LDNS LDNS 将的域名解析结果返回给客户端客户端获得域名所对应的 IP 地址,于是,客户端向这个 IP地址发送对域名的访问请求A10的全局负载均衡 GSLB 技术可以实现多链路或多数据中心环境下入向访问流量的链路 选择,加入全局负载均衡设备后,全局负载均衡设备可以通过控制 DNS 的解析结果,从而实现智能引导,使不同地域或运营商的用户访问进入指定的某个数据中心或入口链路 A10 GSLB 通过静态或动态选择算法,选择最佳的数据中心或链路,将用户端的域名解析到某个数 据中心或链路的应用服务 IP 地址,并返回给客户端以上图为例,我们仍然通过客户端访问来说明 A10 GSLB 是如何通过智能 DNS 技术来进 行选择的 A10负载均衡设备部署在北京和上海两个数据中心原来在授权 ADNS 上解析为分属两个数据中心的 IP地址( VIP-BJ,VIP-SH),采用随机轮询的方式应答域名解析请求,这 样就会出现无法就近性访问的错位和延时,并且由于 DNS 服务器自身是不会主动去探测域名 A 记录的可达性和负载情况,因此无法做到客观、准确的流量分发这些 DNS 服务器自身技术的局限性,正好是全局负载均衡设备的价值和优势所在!有了全局负载均衡设备后,可以在授 权 ADNS 服务器上将分别(轮询)委派给北京和上海数据中心的 A10 全局负载均衡设备来解析(委派给和),并在北京、上海两个数据中心的 A10 全局负载均衡设备上建立的子域,配置针 对智能解析的算法和策略,通过策略设置最终确定不同地域、运营商、不同流量的访问分配到 北京 VIP-BJ,还是上海 VIP-SH 。
客户端访问的过程如下:客户端( Client)在浏览器地址栏中输入,发起对该网站的访问请求如同前面的实例一 样,客户端向 LDNS 发出域名解析请求,如图示中第 1步,要求 LDNS 提供所对应的 IP地 址如图示中第 2步, LDNS 通过递归查询,从上级 DNS服务器得到的授权 ADNS服务器 IP 地址,于是, LDNS 向 ADNS 域名服务器发送域名解析请求,要求对域名进行解析ADNS 收到 LDNS 发来的域名解析请求后,将域名解析采用轮询方式委派给北京和上海的 A10 全局负载均衡设备进行处理A10全局负载均衡设备收到 LDNS 服务器的解析请求后,根据当前所采用的 GSLB选择算 法(如基于 IP 就近性或者动态探测等)和当前链路、数据中心的使用情况,对返回的解析结果 进智能处理,然后将域名解析结果返回给 LDNS如图示中第 3 步,如果判断从北京数据中心 访问快,则将 VIP-BJ 作为域名解析结果返回给 LDNS ;若判断从上海数据中心访问快,则将 VIP-SH 作为域名解析结果返回给 LDNS 如图示中第 4步, LDNS 将的域名解析结果返回给客户端如图示中第 5 步,客户端获得域名所对应的 IP地址,于是,客户端向这个 IP地址发起访 问。
通常此 IP地址为数据中心本地 A10应用负载均衡设备上的 VIP地址( VIP-BJ 或VIP- SH),通过本地应用负载均衡的处理机制( SLB),保障应用的高可用性和针对后台服务器的 负载分担A10 GSLB 技术通过对 DNS 的解析结果进行智能选择处理,完成了多链路或多数据中心的 入向路径智能选择和负载分流一般情况下,选择算法分为静态和动态两大类静态的选路算 法一般基于源 IP地址进行选择,通过查询客户端 LDNS IP 地址所属的运营商 ISP或地域,来 选择最佳链路或数据中心,这种方法最直接、最高效,但需要事先将 IP 地址段按照所属的运营 商 ISP 或地域属性进行分类并绑定到不同的数据中心或链路上动态的算法则是通过动态检测 的方法,分析多个链路和数据中心的负载情况、响应时间、链路优先级等状况,通过比较这些 指标,返回最佳的服务 IP A10 GSLB 的各种算法可以组合使用,由于国内运营商之间互联互 通不是很好,通常建议对国内 IP 尽可能采用静态绑定,对于国外或国内未知 IP采用动态探 测,若动态探测无法得到结果,则可配置轮询方法返回地址或者指定返回某一地址A10 设备 DNS 工作模式A10 设备的 DNS 支持 3 种工作模式:1) 授权 DNS Server:A10 设备代替用户原来的 ADNS ,将用户所有域名迁移到 A10 设备,由 A10 设备完成普通或者智能 DNS 解析。
优点:可以省掉客户的 DNS Server,降低网元复杂度,并提高 DNS 处理性能 缺点:由于 A10 设备与原来的 DNS Server配置习惯不一样,可能不适应2) 辅助性授权 DNS Server:保留用户的 ADNS ,ADNS 将需要智能解析的域名委派给 A10设 备处理优点:无需向用户原来的上级 DNS 机构注册 IP,只处理部分域名,对 ADNS 的影响最 小缺点:需要用户的 ADNS 做一定的配置修改,将用户的请求域名转发给 A10 设备来处理3) DNS Proxy : 将用户自己的 ADNS 在 A10 设备上做映射, LDNS 请求首先到达 A10 设备, 然后 A10 设备转发给用户的 ADNS 来解析 ADNS 的解析结果返回后, A10设备进行智能 处理,返回最优的服务 IP 给客户端优点:不用修改用户 ADNS 的配置,可同时对 ADNS 实现负载均衡 缺点:需要把 ADNS的注册 IP配置到 A10设备上面, ADNS 改成别的 IP以上工作模式应该选择哪种取决于不同用户的现实环境和整体考虑Thunder 系列产品提供的 LB 功能Thunder系列产品为用户提供完善的应用交付解决方案。
作为 LB 产品, Thunder能够提供 的主要功能包括:提高应用系统的可靠性 通过高性能的负载均衡功能,为用户构建可扩展的系统 通过健康检查,提供完善的应用系统容错机制 通过 Thunder 自身的 HA 高可用性部署,提高整体系统的可靠性,保证业务连续性 通过全局服务器负载均衡功能,提供数据中心级的流量优化、调度和容灾Web业务优化和加速TCP 优化,通过 TCP 优化、连接复用等技术,降低后端服务器负载,提升整体业 务系统的处理性能SSL 加速,将 SSL 功能卸载至负载均衡设备,通过 SSL 芯片处理流量加解密,提 升安全性的同时,降低后端服务器的负载和证书管理难度RAM 缓存,将用户访问的热点内容缓存至 Thunder 的内存中,加快用户访问速 度,降低后端服务器负载HTTP 压缩,提升带宽使用效率,加快用户 Web 页面的访问速度 完善的业务安全保护解决方案Web 应用防火墙( WAF ),经过 ICSA 认证的 Web 应用防火墙,对跨站脚本攻 击、 SQL注入等常见的 Web攻击性能进行识别和阻断应用访问管理( AAM ),简化应用访问管理系统的部署和维护,增强可扩展性DNS 应用防火墙( DAF ),保障 DNS 系统的安全性,缓解 DNS 在遭受攻击时的 系统压力,阻断针对 DNS 系统发起的攻击行为。
DDoS 攻击缓解和防御,通过多维度 L4-7 的访问行为的分析和识别,发现、阻断 和缓解各种 DDoS 攻击,有效的保护用户的业务系统全面、易用、开放的管理系统,简化运营复杂度、提升管理效率、降低成本CLI/GUI :简单易用的管理界面 aFleX:基于 DPI (Deep。