《负载均衡原理》由会员分享,可在线阅读,更多相关《负载均衡原理(5页珍藏版)》请在金锄头文库上搜索。
1、负载均衡分全局负载均衡和本地负载均衡地负载均衡是指对本地的服务器群做负载均衡,全局负载均衡是指对分别放置在不同的地理位置、有不同网络结构的服务器群间作负载均衡。循环就是每次解析域名时指向里的下一个负载均衡路由器通过某种策略把请求发送到响应最快的上,同时可以满足故障转移/故障恢复.但是负载均衡路由器本身需要维护,通常需要有两个,来防止单点故障.例如和的负载均衡可以针对不同的网路层次链路聚合技术(第二层负载均衡)是将多条物理链路当作一条单一的聚合逻辑链路使用,网络数据流量由聚合逻辑链路中所有物理链路共同承担,由此在逻辑上增大了链路的容量,使其能满足带宽增加的需求.现在经常使用的是4至7层的负载均衡
2、。第四层负载均衡将一个上合法注册的地址映射为多个内部服务器的地址,对每次连接请求动态使用其中一个内部地址,达到负载均衡的目的。在第四层交换机中,此种均衡技术得到广泛的应用,一个目标地址是服务器群(虚拟,)连接请求的数据包流经交换机,交换机根据源端和目的地址、或端口号和一定的负载均衡策略,在服务器和间进行映射,选取服务器群中最好的服务器来处理连接请求。第七层负载均衡控制应用层服务的内容,提供了一种对访问流量的高层控制方式,适合对服务器群的应用。第七层负载均衡技术通过检查流经的报头,根据报头内的信息来执行负载均衡任务。第七层负载均衡优点表现在如下几个方面:通过对报头的检查,可以检测出、和系列的错误
3、信息,因而能透明地将连接请求重新定向到另一台服务器,避免应用层故障。2. 可根据流经的数据类型(如判断数据包是图像文件、压缩文件或多媒体文件格式等),把数据流量引向相应内容的服务器来处理,增加系统性能。能根据连接请求的类型,如是普通文本、图象等静态文档请求,还是、等的动态文档请求,把相应的请求引向相应的服务器来处理,提高系统的性能及安全性。缺点第七层负载均衡受到其所支持的协议限制(一般只有),这样就限制了它应用的广泛性,并且检查报头会占用大量的系统资源,势必会影响到系统的性能,在大量连接请求的情况下,负载均衡设备自身容易成为网络整体性能的瓶颈负载均衡策略:轮循均衡(R每一次来自网络的请求轮流分
4、配给内部中的服务器,从至然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况。权重轮循均衡():根据服务器的不同处理能力,给每个服务器分配不同的权值,使其能够接受相应权值数的服务请求。例如:服务器的权值被设计成1的权值是3的权值是6则服务器、将分别接受到10、%30、60的服务请求。此种均衡算法能确保高性能的服务器得到更多的使用率,避免低性能的服务器负载过重。随机均衡():把来自网络的请求随机分配给内部中的多个服务器。权重随机均衡():此种均衡算法类似于权重轮循算法,不过在处理请求分担时是个随机选择的过程。响应速度均衡():负载均衡设备对内部
5、各服务器发出一个探测请求(例如),然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好的反映服务器的当前运行状态,但这最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间,而不是客户端与服务器间的最快响应时间。最少连接数均衡():客户端的每一次请求服务在服务器停留的时间可能会有较大的差异,随着工作时间加长,如果采用简单的轮循或随机均衡算法,每一台服务器上的连接进程可能会产生极大的不同,并没有达到真正的负载均衡。最少连接数均衡算法对内部中需负载的每一台服务器都有一个数据记录,记录当前该服务器正在处理的连接数量,当有新的服务连接请求时,将
6、把当前请求分配给连接数最少的服务器,使均衡更加符合实际情况,负载更加均衡。此种均衡算法适合长时处理的请求服务,如。7权处理能力均衡:此种均衡算法将把服务请求分配给内部中处理负荷(根据服务器型号、数量、内存大小及当前连接数等换算而成)最轻的服务器,由于考虑到了内部服务器的处理能力及当前网络运行状况,所以此种均衡算法相对来说更加精确,尤其适合运用到第七层(应用层)负载均衡的情况下。响应均衡():在上,无论是、或是其它的服务请求,客户端一般都是通过域名解析来找到服务器确切的地址的。在此均衡算法下,分处在不同地理位置的负载均衡设备收到同一个客户端的域名解析请求,并在同一时间内把此域名解析成各自相对应服
7、务器的地址(即与此负载均衡设备在同一位地理位置的服务器的地址)并返回给客户端,则客户端将以最先收到的域名解析地址来继续请求服务,而忽略其它的地址响应。在种均衡策略适合应用在全局负载均衡的情况下,对本地负载均衡是没有意义的。服务故障的检测方式和能力1. i侦测:通过i的方式检测服务器及网络系统状况,此种方式简单快速,但只能大致检测出网络及服务器上的操作系统是否正常,对服务器上的应用服务检测就无能为力了。2. 侦测:每个服务都会开放某个通过连接,检测服务器上某个端口(如的23口,的80口等)是否开放来判断服务是否正常。3. 侦测:比如向服务器发出一个对i文件的访问请求,如果收到错误信息,则认为服务
8、器出现故障。并发连接数并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到,从低端设备的50、01000个并发连接,一直到高端设备的数万、数十万并发连接,存在着好几个数量级的差异。那么,并发连接数究竟是一个什么概念呢?它的大小会对用户的日常使用产生什么影响呢?要了解并发连接数,首先需要明白一个概念,那就是“会话”。这个“会话”可不是我们平时的
9、谈话,但是可以用平时的谈话来理解,两个人在谈话时,你一句,我一句,一问一答,我们把它称为一次对话,或者叫会话。同样,在我们用电脑工作时,打开的一个窗口或一个页面,我们也可以把它叫做一个“会话”,扩展到一个局域网里面,所有用户要通过防火墙上网,要打开很多个窗口或页面发(即会话),那么,这个防火墙,所能处理的最大会话数量,就是“并发连接数”。像路由器的路由表存放路由信息一样,防火墙里也有一个这样的表,我们把它叫做并发连接表,是防火墙用以存放并发连接信息的地方,它可在防火墙系统启动后动态分配进程的内存空间,其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数,允许防
10、火墙支持更多的客户终端。尽管看上去,防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时,过大的并发连接表也会带来一定的负面影响:1.并发连接数的增大意味着对系统内存资源的消耗以每个并发连接表项占用300B计算,1000个并发连接将占用300BX1000X8bit/B2.3Mb内存空间,10000个并发连接将占用23Mb内存空间,100000个并发连接将占用230Mb内存空间,而如果真的试图实现1000000个并发连接的话那么,这个产品就需要提供2.2内存空间!并发连接数的增大应当充分考虑的处理能力的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流
11、量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾的实际处理能力而贸然增大系统的并发连接表,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。3. 物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力虽然目前很多防火墙都提供了101001000的网络接口,但是,由于防火墙通常都部署在出口处,在客户端与目的资源中间的路径上,总是存在着瓶颈链路该瓶颈链路可能是专线,也可能是51乃至的低速链路。这些拥挤的低
12、速链路根本无法承载太多的并发连接,所以即便是防火墙能够支持大规模的并发访问连接,也无法发挥出其原有的性能。有鉴于此,我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不同规模的网络会产生大小不同的并发连接,而用户习惯于何种网络服务以及如何使用这些服务,同样也会产生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备,这是因为并发连接数的增大牵扯到数据结构、内存、系统总线和网络接口等多方面因素。如何在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点将是用户选择产品的一个重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐的办法。以每
13、个用户需要10.5个并发连接来计算:一个中小型企业网络(1000个信息点以下,容纳个类地址空间)大概需要10.5X1000=10500个并发连接,因此支持0000-000(最大并发连接的防火墙设备便可以满足需求;大型的企事业单位网络(比如信息点数在100010000之间)大概会需要105000个并发连接,所以支持100000-120000最大并发连接的防火墙就可以满足企业的实际需要而对于大型电信运营商和来说,电信级的千兆防火墙(支持100000000个并发连接)则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费,同样为较高的客户需求而采用低端设备将无法达到预计的性能指标。利用
14、网络整体上的并发连接需求来选择适当的防火墙产品可以帮助用户快速、准确的定位所需要的产品,避免对单纯某一参数“愈大愈好”的盲目追求,缩短设计施工周期,节省企业的开支。从而为企业实施最合理的安全保护方案。在利用并发连接数指标选择防火墙产品的同时,产品的综合性能、厂家的研发力量、资金实力、企业的商业信誉和经营风险以及产品线的技术支持和售后服务体系等都应当纳入采购者的视野,将多方面的因素结合起来进行综合考虑,切不可盲目的听信某些厂家广告宣传中的大并发连接的宣传,要根据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑。用户数限制防火墙的用户数限制分为固定限制用户数和无用户数限制两种。前者比如型
15、防火墙一般支持几十到几百个用户不等,而无用户数限制大多用于大的部门或公司。要注意的是,用户数和并发连接数是完全不同的两个概念,并发连接数是指防火墙的最大会话数(或进程),每个用户可以在一个时间里产生很多的连接,在购买产品时要区分这两个概念。吞吐量网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。随着的日益普及,内部网用户访问的需求在不断增加,一些企业也需要对外提供诸如页面浏览、文件传输、域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于我们更好的评价其性能表现。这也是测量防火墙性能的重要指标。吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称防火墙,由于其算法依靠软件实现,通信量远远没有达到实际只有-纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性是真正的防火墙。对于中小型企业来讲,选择吞吐量为百兆级的防火墙即可满足需要,而对于电信、金融、保险等大公司大企业部门就需要采用吞吐量千兆级的防火墙产品。
