1、 Page 1 of 10A10 GSLB 多 数 据 中 心 部 署 方 案A10 的 Thunder 系列产品可以在数据中心同时作为负载均衡(SLB)设备和全局负载均衡(GSLB )设备。无论是单数据中心还是多数据中心,Thunder 系列产品都可以根据需求,实现高可用或容灾方式部署。单数据中心高可用部署网络拓扑Thunder 系列产品在单数据中心的高可用部署如下图所示:Page 2 of 10部署方式说明Thunder 作为互联网出口网关1) 在数据中心的出口处,部署高性能的 Thunder 硬件产品,作为互联网出口链路的网关设备,实现多链路之间的负载分档和冗余备份。2) 2 台 Thu
2、nder 设备采用 HA 方式部署,以实现高可用性保障。3) 2 台 Thunder 设备之间建议部署专门的心跳线(可在设备上指定任意以太接口作为心跳口),以实现心跳监测的高可用性。4) Thunder 设备的上连接口或下连接口建议采用三层方式部署(即两台 Thunder 的上/下连接口需要在不同的三层子网中)。主备设备的切换可通过主动 ARP 更新实现快速收敛。5) 结合 Thunder 产品的虚拟分区( ADP)功能,可以实现不同 VLAN 或不同链路群组之间的分隔部署和管理。Thunder 系列产品最大支持 1024 个虚拟分区,因此,可以实现最大 1024 个租户与传统网络、链路的分隔
3、部署。Page 3 of 10Thunder 作为应用负载均衡(SLB)设备1) 在每个数据中心中,部署 Thunder 产品作为 SLB 设备,实现对不同应用系统的负载分担功能和高可用性的要求。2) Thunder 可采用独立部署、 HA 双机热备方式部署或 aVCS 集群方式部署。采用 HA 双机热备或集群方式部署时,两台或多台 Thunder 设备之间需要进行心跳检测。可部署专门的以太口作为心跳接口,或利用已有的数据口作为心跳接口。Thunder 之间的心跳线如果采用交换机连接,需要交换机支持 IGMP 组播包转发。3) Thunder 设备建议采用旁路方式部署。如果采用 aVCS 集群
4、方式部署时,建议采用二层方式部署,在二层方式下部署,主备设备的切换为毫秒级;采用主备 HA 部署时建议在三层网络下部署,主备设备的切换取决于三层路由的收敛速度。4) 对于每个不同部门或应用系统,可分配独立的虚拟分区(ADP),以供不同的部门或应用系统使用,实现部署、管理上的隔离和负载均衡设备资源共享。在 Thunder上为每个 ADP 租户分配独立的分区,每个分区可设置独立的管理员帐号,可设定能够使用的设备系统资源,每个 ADP 分区具有独立的 L2-7 层配置信息和数据信息。5) 推荐型号:a) 对于低性能/小流量需求的系统:可采用 Thunder 930(5Gbps 吞吐量);b) 对于高
5、性能/大流量的需求,可采用:i. Thunder 1030S (10G )ii. Thunder 3030S (30G)iii. Thunder 4430S (40G)- 提供 40GE 接口Page 4 of 10多数据中心容灾部署在多数据中心中,Thunder 产品除了可以在每个数据中心内提供链路负载均衡(LLB)和服务器负载均衡(SLB)以外,还可以提供卓越的多数据中心全局负载均衡(GSLB)功能,实现入向流量分担和智能调度。我们推荐两种部署方式。部署方式说明(DNS 服务器代理模式)网络部署拓扑Page 5 of 10在多数据中心中流量的转发过程正常情况首先简单介绍一下用户通过互联网络
6、访问 Web 应用服务器的整个过程。如下图所示,我们将通过客户端访问 来说明客户端访问的整个过程。I n t e r n e tW e b A D N SL D N SC l i e n t(1)DNSQuery(2)DNSQuery(3)DNSReply(4)DNSReply(5)TCPConnection如图所示,客户端(Client)在浏览器地址栏中输入 ,发起对该网站的访问请求,客户端首先向 LDNS(Local DNS)发出域名解析请求 ,要求 LDNS 提供 所对应的 IP 地址。LDNS 通过递归查询,从上级 DNS 服务器得到 的授权 DNS(Authoritative
7、DNS, ADNS) 服务器 IP 地址,于是 ,LDNS 向 ADNS 域名服务器发送域名解析请求,要求对 域名进行解析。ADNS 将 的域名解析结果返回给 LDNS。LDNS 将 的域名解析结果返回给客户端。客户端获得 域名所对应的 IP 地址,于是,客户端向这个 IP 地址发送对 域名的访问请求。Page 6 of 10A10 的全局负载均衡 GSLB 技术可以实现多链路或多数据中心环境下入向访问流量的链路选择,加入全局负载均衡设备后,全局负载均衡设备可以通过控制 DNS 的解析结果,从而实现智能引导,使不同地域或运营商的用户访问进入指定的某个数据中心或入口链路。A10 GSLB
8、通过静态或动态选择算法,选择最佳的数据中心或链路,将用户端的域名解析到某个数据中心或链路的应用服务 IP 地址,并返回给客户端。以上图为例,我们仍然通过客户端访问 来说明 A10 GSLB 是如何通过智能DNS 技术来进行选择的。 A10 负载均衡设备部署在北京和上海两个数据中心。原来 在授权 ADNS 上解析为分属两个数据中心的 IP 地址(VIP-BJ,VIP-SH),采用随机轮询的方式应答域名解析请求,这样就会出现无法就近性访问的错位和延时,并且由于 DNS服务器自身是不会主动去探测域名 A 记录的可达性和负载情况,因此无法做到客观、准确的流量分发。这些 DNS 服务器自身技术的局限性
9、,正好是全局负载均衡设备的价值和优势所在!有了全局负载均衡设备后,可以在授权 ADNS 服务器上将 分别(轮询)委派给北京和上海数据中心的 A10 全局负载均衡设备来解析(委派给 和),并在北京、上海两个数据中心的 A10 全局负载均衡设备上建立 的子域,配置针对 智能解析的算法和策略,通过策略设置最终确定不同地域、运营商、不同流量的访问分配到北京 VIP-BJ,还是上海 VIP-SH。客户端访问 的过程如下:Page 7 of 10客户端(Client )在浏览器地址栏中输入 ,发起对该网站的访问请求。如同前面的实例一样,客户端向 LDNS 发出域名解析请求,如图示中第 1 步,要求
10、 LDNS 提供 所对应的 IP 地址。如图示中第 2 步,LDNS 通过递归查询,从上级 DNS 服务器得到 的授权 ADNS 服务器 IP 地址,于是,LDNS 向 ADNS 域名服务器发送域名解析请求,要求对 域名进行解析。ADNS 收到 LDNS 发来的域名解析请求后,将域名解析采用轮询方式委派给北京和上海的A10 全局负载均衡设备进行处理。A10 全局负载均衡设备收到 LDNS 服务器的解析请求后,根据当前所采用的 GSLB 选择算法(如基于 IP 就近性或者动态探测等)和当前链路、数据中心的使用情况,对返回的解析结果进智能处理,然后将域名解析结果返回给 LDNS。如图示中第 3
11、 步,如果判断从北京数据中心访问快,则将 VIP-BJ 作为域名解析结果返回给 LDNS;若判断从上海数据中心访问快,则将 VIP-SH作为域名解析结果返回给 LDNS。如图示中第 4 步,LDNS 将 的域名解析结果返回给客户端。如图示中第 5 步,客户端获得 域名所对应的 IP 地址,于是,客户端向这个IP 地址发起访问。通常此 IP 地址为数据中心本地 A10 应用负载均衡设备上的 VIP 地址(VIP-BJ或 VIP-SH),通过本地应用负载均衡的处理机制(SLB),保障应用的高可用性和针对后台服务器的负载分担。A10 GSLB 技术通过对 DNS 的解析结果进行智能选择处理,完成
12、了多链路或多数据中心的入向路径智能选择和负载分流。一般情况下,选择算法分为静态和动态两大类。静态的选路算法一般基于源 IP 地址进行选择,通过查询客户端 LDNS IP 地址所属的运营商 ISP 或地域,来选择最佳链路或数据中心,这种方法最直接、最高效,但需要事先将 IP 地址段按照所属的运营商ISP 或地域属性进行分类并绑定到不同的数据中心或链路上。动态的算法则是通过动态检测的方法,分析多个链路和数据中心的负载情况、响应时间、链路优先级等状况,通过比较这些指标,返回最佳的服务 IP。 A10 GSLB 的各种算法可以组合使用,由于国内运营商之间互联互通不是很好,通常建议对国内 IP 尽可能采
13、用静态绑定,对于国外或国内未知 IP 采用动态探测,若动态探测无法得到结果,则可配置轮询方法返回地址或者指定返回某一地址。Page 8 of 10A10 设备 DNS 工作模式A10 设备的 DNS 支持 3 种工作模式:1) 授权 DNS Server:A10 设备代替用户原来的 ADNS,将用户所有域名迁移到 A10 设备,由A10 设备完成普通或者智能 DNS 解析。优点:可以省掉客户的 DNS Server,降低网元复杂度,并提高 DNS 处理性能。缺点:由于 A10 设备与原来的 DNS Server 配置习惯不一样,可能不适应。2) 辅助性授权 DNS Server:保留用户的 A
14、DNS,ADNS 将需要智能解析的域名委派给 A10 设备处理。优点:无需向用户原来的上级 DNS 机构注册 IP,只处理部分域名,对 ADNS 的影响最小。缺点:需要用户的 ADNS 做一定的配置修改,将用户的请求域名转发给 A10 设备来处理。3) DNS Proxy: 将用户自己的 ADNS 在 A10 设备上做映射,LDNS 请求首先到达 A10 设备,然后A10 设备转发给用户的 ADNS 来解析。ADNS 的解析结果返回后,A10 设备进行智能处理,返回最优的服务 IP 给客户端。优点:不用修改用户 ADNS 的配置,可同时对 ADNS 实现负载均衡。缺点:需要把 ADNS 的注册
15、 IP 配置到 A10 设备上面, ADNS 改成别的 IP。以上工作模式应该选择哪种取决于不同用户的现实环境和整体考虑。Thunder 系列产品提供的 LB 功能Thunder 系列产品为用户提供完善的应用交付解决方案。作为 LB 产品,Thunder 能够提供的主要功能包括:提高应用系统的可靠性Page 9 of 10 通过高性能的负载均衡功能,为用户构建可扩展的系统 通过健康检查,提供完善的应用系统容错机制 通过 Thunder 自身的 HA 高可用性部署,提高整体系统的可靠性,保证业务连续性 通过全局服务器负载均衡功能,提供数据中心级的流量优化、调度和容灾 Web 业务优化和加速 TC
16、P 优化,通过 TCP 优化、连接复用等技术,降低后端服务器负载,提升整体业务系统的处理性能 SSL 加速,将 SSL 功能卸载至负载均衡设备,通过 SSL 芯片处理流量加解密,提升安全性的同时,降低后端服务器的负载和证书管理难度。 RAM 缓存,将用户访问的热点内容缓存至 Thunder 的内存中,加快用户访问速度,降低后端服务器负载 HTTP 压缩,提升带宽使用效率,加快用户 Web 页面的访问速度完善的业务安全保护解决方案 Web 应用防火墙( WAF),经过 ICSA 认证的 Web 应用防火墙,对跨站脚本攻击、SQL 注入等常见的 Web 攻击性能进行识别和阻断。 应用访问管理(AA
17、M),简化应用访问管理系统的部署和维护,增强可扩展性 DNS 应用防火墙( DAF),保障 DNS 系统的安全性,缓解 DNS 在遭受攻击时的系统压力,阻断针对 DNS 系统发起的攻击行为。 DDoS 攻击缓解和防御,通过多维度 L4-7 的访问行为的分析和识别,发现、阻断和缓解各种 DDoS 攻击,有效的保护用户的业务系统。全面、易用、开放的管理系统,简化运营复杂度、提升管理效率、降低成本 CLI/GUI:简单易用的管理界面 aFleX:基于 DPI(Deep Packet Inspection)的全面的流量管理 aXAPI 开放接口:开放的、可编程的管理接口,与第三方定制与集成 aGalaxy:自动化的集中管理 /运维软件,降低 TCO 的利器Page 10 of 10 第三方集成:与主流 SDN/Cloud 集成(VMware 、OpenStack) 其他 应用交付分区、应用交付 3 层虚拟化 虚拟机箱系统 aVCS (Virtual Chassis System) aXAPI 接口,便于实现定制化管理和第三方系统集成 aFleX 自定义脚本功能
