文档库 最新最全的文档下载
当前位置:文档库 › SANGFOR_AD_V3.7_技术白皮书_201106

SANGFOR_AD_V3.7_技术白皮书_201106

深信服应用交付产品技术白皮书

深信服科技有限公司

2011年06月

版权声明

深圳市深信服电子科技有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。未经深圳市深信服电子科技有限公司书面同意,任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款

本文档仅用于为最终用户提供信息,其内容如有更改,恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠,但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈

如果您有任何宝贵意见,请反馈:

信箱:广东省深圳市南山区麒麟路1号创业中心四楼邮编:518052

电话:0755-********

传真:0755-********

您也可以访问深信服科技网站:https://www.wendangku.net/doc/5016417398.html,获得最新技术和产品信息

目录

第1章应用交付,后负载均衡时代的选择 (1)

1.1背景概述 (1)

1.1.1负载均衡专注的领域 (1)

1.1.2应用交付概念的诞生 (2)

1.2快速、智能的应用交付网络 (2)

第2章深信服应用交付解决方案 (3)

2.1方案概述 (3)

2.2概念介绍 (3)

2.3多链路负载均衡 (4)

2.3.1出站流量负载均衡 (4)

2.3.2入站流量负载均衡 (6)

2.3.3链路负载算法 (8)

2.3.4链路健康检查 (9)

2.4服务器负载均衡 (9)

2.4.1L4服务器负载均衡 (10)

2.4.2L7服务器负载均衡 (11)

2.4.3基于URL负载均衡 (12)

2.4.4服务器负载算法 (14)

2.4.5会话保持机制 (14)

2.4.6服务器健康检查 (16)

2.4.7服务器平滑退出 (17)

2.4.8服务器平滑进入 (17)

2.5服务器性能优化 (17)

2.5.1TCP连接复用 (18)

2.5.2内存缓存 (19)

2.5.3HTTP压缩 (19)

2.5.4SSL卸载 (20)

2.6全局负载均衡 (21)

2.6.1多站点访问调度 (21)

2.6.2就近性判断机制 (23)

2.6.3健康检查机制 (23)

2.7设备部署方式 (24)

2.7.1路由模式 (24)

2.7.2网桥模式 (25)

2.7.3单臂模式 (25)

第3章应用交付特色技术 (26)

3.1单边加速技术 (26)

3.1.1应用背景 (26)

3.1.2功能机制 (27)

3.1.3应用说明 (28)

3.2商业智能分析 (29)

3.2.1应用背景 (29)

3.2.2主要功能 (30)

3.2.3应用说明 (31)

3.3智能优化技术 (32)

3.3.1DNS透明代理 (32)

3.3.2链路繁忙控制 (33)

3.3.3智能路由 (34)

3.3.4智能告警 (34)

第4章深信服科技简介 (34)

第1章应用交付,后负载均衡时代的选择

1.1背景概述

传统的负载均衡技术为用户提供了一种性价比不错的方法,通过扩展网络设备和服务器的带宽及吞吐量,进而提升网络数据处理的稳定性。而应用交付与负载均衡相比,在强调稳定性的基础上,增加了智能和优化方面的功能特性,以帮助用户应对来自于复杂应用环境中部署并交付服务的挑战。通过合理地部署应用交付设备,用户不仅能进一步改善其业务应用的性能与安全性,更可提高数据中心的基础设施效率,乃至应对未来部署虚拟化数据中心的趋势。

1.1.1负载均衡专注的领域

服务器负载均衡原先被创造出来用以解决网络方面的问题,例如将访问请求在一组负责特定Web应用交付的服务器之间进行分配。最初是通过简单的DNS轮询来实现的,但是这种方法有其局限性。因此市场上出现了特定功能的负载均衡设备,通过分析入站的应用请求,将这些请求动态地映射到可用的服务器之上。

为了应对用户日趋复杂的访问需求,负载均衡方面的革新一直在持续,最初是集中于入站方面的问题,例如动态识别服务器的工作负荷和故障,以及确保用户访问操作不会丢失的会话保持功能。然而,市场很快又发生了演变,并开始着眼于其他问题,诸如应用和服务器的效率方面,最佳的例子便是SSL卸载技术的采用。

最后,关注点转移到了出站流量方面。市场上不断涌现出出一系列的技术和功能,用以改善通过网络交付业务应用的效率。创新点也从专注于基础设施效率的单纯网络技术,转移

到了业务应用的性能优化和安全方面,而负载均衡也开始从一个单纯的网络产品发展应用交付这样一个触及网络、服务器、业务应用乃至安全方面的全方位概念。

1.1.2应用交付概念的诞生

先进的应用交付产品能帮助用户缓解来自于当今复杂应用环境部署和交付的挑战。过去的十年,伴随着企业级应用以业务流程和用户生产力为目标,向基于浏览器模式的大量迁移,同时也见证了面向服务架构(SOA)、Web2.0和现今云计算模型被广泛采用。

基于改善业务应用环境的理念,应用交付产品提供了一系列功能以应付复杂的网络环境。在业务持久性、终端用户访问体验、数据中心可用性等多个应用领域,均可通过部署应用交付产品予以优化。此外,应用交付产品能够帮助减少所需部署的服务器数量,提供实时的控制机制助力于数据中心虚拟化,降低数据中心的供电和冷却方面的要求,使用户的业务更好地顺应紧凑、节能、环保的趋势。

1.2快速、智能的应用交付网络

虽然应用交付产品能提供如此丰富的优化功能,可以改善用户的业务应用性能与安全性,但是国内用户在实际使用中还是以传统负载均衡的方面居多。然而在中国乃至整个亚洲市场,在线上业务和电子商务等方面都逐渐涌现出更复杂的应用交付需求,这对发布业务应用的服务商而言也意味着将面临更多的挑战。与欧美发达国家相比,国内在宽带普及率和线路质量等方面都还存在一定的差距,因此用户访问体验还存在很大的优化空间。换言之,应用交付层面的种种性能优化特性,在这种环境中会愈加地凸显出来,甚至被一定程度地放大。

应用交付技术发展至今已经十分成熟,各厂商的产品之间基本上都是大同小异,只是侧重点有所不同;有的走得是集中方案,有的强调整合,有的偏重于安全;而深信服致力于提供快速、智能的应用交付解决方案,在众多功能细节中都体现了我们对于不同地域、不同用户群市场需求的深刻理解,旨在让我们的客户能获得超出业界同类产品的投资回报,在改善用户访问体验的同时,提升自身的业务竞争力。

第2章深信服应用交付解决方案

2.1方案概述

深信服AD产品作为专业的应用交付设备,能够为用户的应用发布提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。配合性能优化、单边加速以及多重智能管理等技术,实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分的利用。不仅扩展应用系统的整体处理能力,提高其稳定性,更可切实改善用户的访问体验,降低组织的IT投资成本。

2.2概念介绍

负载均衡算法:深信服AD设备根据设定的策略机制将来自业务访问的数据流量调度到不同的真实服务,例如对应服务器负载均衡中的服务器、链路负载均衡中的链

路、以及全局负载均衡中的站点,用以调度的策略机制被通称为负载均衡算法。

健康检查:深信服AD设备对服务器以及链路进行主动探测,依据不同的健康性检测方法,可以判断服务器或链路的健康状况是否能正常提供服务。

就近性:在多链路负载均衡的场景中,深信服AD设备通过访问端地理位置的远近,链路隶属的运营商,以及实时探测的链路健康状况等因素进行分析比对,并根据判

断结果选择最优链路,保证数据流量经由最优链路来传输。

虚拟服务:深信服AD设备对外发布的服务被称为虚拟服务。虚拟服务包含了服务类型(协议)、节点池(一个或多个服务器的集合)、会话保持方法等配置属性,并

通过IP或域名的方式发布。客户的访问请求通过网络到达深信服AD设备,并匹

配到虚拟服务后,再由AD设备按照设定的负载均衡策略调度到真实服务器。

会话保持:深信服AD设备提供有一种称为会话保持的机制,可以识别客户与服务器之间交互过程的关连性,在实现负载均衡的同时,还可保证一系列相关连的访问

请求会保持分配到同一台服务器之上。在这种特定情况下,AD设备将放弃原有的

负载均衡算法。

IP地址库:深信服AD设备内置的IP地址库收录了不同运营商拥有的地址段信息,以便链路负载均衡可以基于报文的源或目的IP地址查找IP地址库,并得到对应的

运营商信息,再根据运营商信息为访问流量选择一条合适的物理链路。

2.3多链路负载均衡

深信服AD应用交付设备集合出入站智能DNS解析、轮询、加权轮询、静态就近性、动态就近性等算法,解决多链路网络环境中流量分担的问题,充分提高多链路的带宽利用率,节约企事业单位对通信链路的投资;并且通过为用户分配最佳的通信线路,使用户获得绝佳的访问体验。此外,深信服AD应用交付设备还利用链路健康检查及会话保持技术,实现了在某条链路中断的情况下任然可以提供访问链接能力,充分利用了多条链路带来的可靠性保障,使对于用户的访问达到了最全面的支持。

2.3.1出站流量负载均衡

内网的用户访问互联网访问资源时,深信服AD接收到用户的访问流量后,通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上,实现出站流量负载均衡,提升互联网链路带宽利用率。

1. 实现方式

深信服AD接收到内网用户访问的流量以后,根据预先设定负载策略将访问电信的资源的出站流量分配到电信的链路之上,并做源地址的NA T,(指定某一合法IP地址进行源地址的NA T,或者用AD设备的接口地址自动映射),保证数据包返回时能够正确接收;同理,其它的访问的流量会通过相应策略会被分配到其它的运营商链路之上。

2. 工作流程

出站流量负载均衡的工作流程如下图所示

出站流量负载均衡的流程描述如下

2.3.2入站流量负载均衡

当外部用户访问内部资源时,深信服AD通过智能DNS解析技术将一个域名绑定多个运营商的公网地址,负责解析来自不同运营商用户的域名解析请求;深信服AD根据不同负载均衡策略为不同运营商的用户返回最佳的访问地址,实现用户入站流量的负载均衡。

1. 实现方式

通过在域名注册提供商处修改域名NS记录,深信服AD设备获得域名解析权,深信服实现一个域名绑定多个运营商的公网地址,负责解析来自多个运营商用户的域名解析请求。

根据实现设定负载策略可以实现,如电信的用户通过电信的线路访问内部资源,联通的

用户通过联通的线路访问内部资源;深信服AD还可以通过两条链路做反向查询,根据RTT 时间判断链路的好坏,并且综合以上两个参数返回相应的IP地址。

2. 工作流程

入站流量负载均衡的工作流程如下图所示

入站流量负载均衡的流程描述如下

2.3.3链路负载算法

深信服AD设备支持如下算法,管理员能够根据自身需求选择相应的链路分配策略,支持更多个性化链路使用规则。

轮询:将所有网络链路放在一个队列当中,按顺序依次返回给用户队列中下一个网络链路的IP地址。

加权轮询:由于各条互联网链路的吞吐量可能不一,因此可以为各条链路分配不同的加权值。根据这个比例,把数据用户请求轮询分配到每条链路。

加权最少连接:根据事先为各条链路设定的权值,在调度新连接时尽可能的使各链路的已建立连接数和其权值成比例,AD把新的连接请求分配到当前比例最小

的链路上。

静态就近性:深信服AD包含了全球各运营商的IP地址库,并提供实时更新,目标IP属于哪个运营上选择那个运营商链路;同时,用户可在上为某个目标定义

静态的最佳链路。例如目标IP地址属于ISP1的,应选择ISP1链路;目标IP地

址属于ISP2的,应选择ISP2链路。

动态就近性:在选择最佳链路时,深信服AD通过综合考虑与目标网络之间的路由节点数量、数据传输的延迟和链路的实时负载,准确计算出最佳路径。因此用

户能充分地享受到优化的服务和快速地响应。

加权最小流量:根据事先为各条链路设定的权值,在调度新连接时AD将把新的连接请求时,尽可能的使各条链路的实时流量与权值成正比,将用户请求分配到当前

比例最小的链路上,

带宽比例:由于各条互联网链路的吞吐量可能不一,因此将为各条链路的带宽大小作为权值;根据这个比例(每条链路带宽大小的比值),把数据流量分配到每

条链路上。

哈希:支持基于LOCAL DNS IP地址的哈希算法,将用户不同的用户访问调度到不同的链路上。

主备:即可以为网络设定主备链路,当主链路出现故障时,用户的访问请求才会被调度备用链路之上

首个有效:即将用户的请求全部都调度第一条有效无故障的链路之上

2.3.4链路健康检查

深信服AD通过多个Internet站点的可达性,来共同判断一条链路的状况。例如,通过电信线路检查https://www.wendangku.net/doc/5016417398.html,、https://www.wendangku.net/doc/5016417398.html,、以及https://www.wendangku.net/doc/5016417398.html,的TCP 80端口,并对检查结果做“或”运算。这样,只要其中一个站点可达,即可表明链路状态良好。该方法即避免了ICMP检查的局限性,也避免了单一站点检查带来的单点失误。

2.4服务器负载均衡

运用多台服务器集群的机制,深信服AD应用交付设备能将所有真实服务器配置成虚拟服务来实现负载均衡,对外直接发布一个虚拟服务IP。当用户请求到达应用交付设备的时候,根据预先设定的基于多重四、七层负载均衡算法的调度策略,能够合理的将每个连接快速的分配到相应的服务器,从而合理利用服务器资源。不仅在减少硬件投资成本情况下解决单台服务器性能瓶颈,同时方便后续扩容,为大并发访问量的系统提供性能保障。

通过对服务器健康状况的全面监控,深信服AD应用交付设备能实时地发现故障服务器,并及时将用户的访问请求切换到其他正常服务器之上,实现多台服务器之间冗余。从而保证关键应用系统的稳定性,不会由于某台服务器故障,造成应用系统的局部访问中断。

2.4.1L4服务器负载均衡

1. 实现方式

深信服AD支持基于IP地址、应用类型和内容等因素实现流量负载。通过这种方式管理员可以为不同类型的应用类型分配不同的服务器资源。应用类型调度支持基于不同协议上的多种应用,包括TCP、UDP、IP、DNS、e-mail、FTP、HTTP、V oIP 等等。

2. 工作流程

L4服务器负载均衡的工作流程如下图所示

L4服务器负载均衡的流程描述如下

2.4.2L7服务器负载均衡

1. 实现方式

基于七层内容的调度使管理员可以根据用户请求的内容来分配服务器资源,例如基于HTTP包头内容的负载技术让管理员可以根据用户请求的内容来分配服务器资源。例如,大型的应用系统中,静态脚本可以位于一个单独的服务器组,当发生对该静态脚本的请求时,会话就被重定向到其中某个服务器,这样就保证用户请求分配的多元化和个性化,为管理人员提供更多分配策略和机制。深信服AD设备在服务器负载均衡方面支持基于URI、HOST、COOKIE、USER_AGENT等信息的请求负载。

2. 工作流程

L7服务器负载均衡的工作流程如下图所示

L7服务器负载均衡的流程描述如下

2.4.3基于URL负载均衡

1. 实现方式

深信服AD产品支持基于URL的负载均衡,根据URL信息实现用户访问请求负载,可以将用户的访问请求定向到某台服务器,或实现在多个服务器之间进行负载均衡,从而提供优化服务器资源利用率。如通过一个公网IP地址来实现两个host域名的发布,就是典型的AD设备通过识别URL将用户访问分配对应的主机发布服务器之上。根据URL 文本中包含的信息负载技术,不仅可以保持客户持续性,而且在客户网络应用优化方面有更多个性化选择。

2. 工作流程

基于URL负载均衡的工作流程如下图所示

基于URL负载均衡的流程描述如下

2.4.4服务器负载算法

深信服AD设备支持多重负载均衡算法将所有流量均衡的分配到各个服务器,不仅充分利用所有的服务器资源,而且各个服务器均衡的承担流量处理任务,从而有效地避免服务器处理任务“不平衡”现象的发生。

轮询:按照请求的先后顺序将用户请求循环地分配到每台服务器。一旦某台服务器出现故障将不在为其分配任务,直至服务器恢复正常;

加权轮询:由于集群中的不同服务器可能有不同的功能,因此可以为各个服务器分配不同的加权值。根据这个比例,把用户的请求分配到每个服务器。

加权最小连接:根据事先为各服务器设定的权值,在调度新连接时尽可能的使服务器的已建立连接数和其权值成比例,AD把新的连接请求分配到当前比例最小

的服务器上。

最快响应: 按照响应时间大小对服务器重新分配权值,响应时间小的服务器权值大,响应时间大的服务器权值小,从而响应时间小的服务器获得更多的连接请求,但

又照顾一部分响应时间大的服务器,避免负载倾斜。

动态反馈:通过检测服务CPU等相关设备利用率综合情况,来判断各个服务器的服务处理能力的,在调度新连接时尽可能的选择性能最佳的服务器。

一致性哈希算法:支持URL、HOST、SRC_IP

优先级:将服务器按优先级分组,优先调度优先级高的,只有优先级高的服务器发生故障,才调度优先级低的服务器

哈希:支持基于URI、HOST、SRC_IP的哈希算法,将用户不同的用户访问调度到不同的链路上,如不同的域名请求访问调度不到不同的链路之上

2.4.5会话保持机制

通过深信服AD设备的会话保持技术,可以为访问用户选择曾连接上的特定服务器,实

现无缝地处理用户请求;另一方面可以减少新建连接的数量,有助于减小负载均衡设备的系统开销。

基于Cookie的会话保持机制:是利用Cookie持续性,通过客户端存储的cookie 信息来把客户端连接到合适的服务器上,其原理如下图所示:

基于Source IP的会话保持机制:也被称为基于简单会话保持,是指深信服AD设备在作负载均衡时是根据访问请求的源地址作为判断关联会话的依据,对来自同一IP地址的所有访问请求在做负载均时都会被保持到一台服务器上去。另外一个很重要的参数就是连接超时值,AD设备会为每一个进行会话保持的会话设定一个时间值,从一个会话上一次完成到这个会话下次再来之前的间隔如果小于这个超时值,AD设备会将新的连接进行会话保持,但如果这个间隔大于该超时值,AD会将新来的连接认为是新的会话然后进行负载均衡调度,其原理如下图所示:

2.4.6服务器健康检查

深信服AD设备支持包括基于硬件运行状况的检查、基于应用类型的健康检查以及自定义的健康检查机制。

基于硬件运行状况的检查:通过PING、SNMP等方式监控服务器的运行状况,一旦出现ping无回包、服务器资源消耗过高、死机等情况,都可以实时将访问请求

分配到其他正常的服务器之上。

基于应用类型的检查:深信服AD支持根据不同应用类型交互机制设定相应的健康检查机制,如HTTP、FTP、email等都可以通过相应的健康机制监控应用的运行状

况,如果发现故障,用户即被透明地分配到其它正常工作的服务器上。

自定义内容检查机制:是通过预设自定义字符串,来判断服务器应用是否运行正常;

如对某个应用用户通过预先设定该应用正常返回包中应该包含的字符串,深信服

AD检验服务器返回数据包内是否包含了该特定内容,如果没有包含该内容,就认

相关文档