A10-GSLB多数据中心技术方案

Page1of10A10GSLB多数据中心部署方案A10的Thunder系列产品可以在数据中心同时作为负载均衡（SLB）设备和全局负载均衡（GSLB）设备。无论是单数据中心还是多数据中心，Thunder系列产品都可以根据需求，实现高可用或容灾方式部署。单数据中心高可用部署网络拓扑Thunder系列产品在单数据中心的高可用部署如下图所示：Page2of10部署方式说明Thunder作为互联网出口网关1）在数据中心的出口处，部署高性能的Thunder硬件产品，作为互联网出口链路的网关设备，实现多链路之间的负载分档和冗余备份。2）2台Thunder设备采用HA方式部署，以实现高可用性保障。3）2台Thunder设备之间建议部署专门的心跳线（可在设备上指定任意以太接口作为心跳口），以实现心跳监测的高可用性。4）Thunder设备的上连接口或下连接口建议采用三层方式部署（即两台Thunder的上/下连接口需要在不同的三层子网中）。主备设备的切换可通过主动ARP更新实现快速收敛。5）结合Thunder产品的虚拟分区（ADP）功能，可以实现不同VLAN或不同链路群组之间的分隔部署和管理。Thunder系列产品最大支持1024个虚拟分区，因此，可以实现最大1024个租户与传统网络、链路的分隔部署。Page3of10Thunder作为应用负载均衡（SLB）设备1）在每个数据中心中，部署Thunder产品作为SLB设备，实现对不同应用系统的负载分担功能和高可用性的要求。2）Thunder可采用独立部署、HA双机热备方式部署或aVCS集群方式部署。采用HA双机热备或集群方式部署时，两台或多台Thunder设备之间需要进行心跳检测。可部署专门的以太口作为心跳接口，或利用已有的数据口作为心跳接口。Thunder之间的心跳线如果采用交换机连接，需要交换机支持IGMP组播包转发。3）Thunder设备建议采用旁路方式部署。如果采用aVCS集群方式部署时，建议采用二层方式部署，在二层方式下部署，主备设备的切换为毫秒级；采用主备HA部署时建议在三层网络下部署，主备设备的切换取决于三层路由的收敛速度。4）对于每个不同部门或应用系统，可分配独立的虚拟分区（ADP），以供不同的部门或应用系统使用，实现部署、管理上的隔离和负载均衡设备资源共享。在Thunder上为每个ADP租户分配独立的分区，每个分区可设置独立的管理员帐号，可设定能够使用的设备系统资源，每个ADP分区具有独立的L2-7层配置信息和数据信息。5）推荐型号：a)对于低性能/小流量需求的系统：可采用Thunder930（5Gbps吞吐量）；b)对于高性能/大流量的需求，可采用：i.Thunder1030S（10G）ii.Thunder3030S（30G)iii.Thunder4430S（40G）--提供40GE接口Page4of10多数据中心容灾部署在多数据中心中，Thunder产品除了可以在每个数据中心内提供链路负载均衡（LLB）和服务器负载均衡（SLB）以外，还可以提供卓越的多数据中心全局负载均衡（GSLB）功能，实现入向流量分担和智能调度。我们推荐两种部署方式。部署方式说明（DNS服务器代理模式）网络部署拓扑Page5of10在多数据中心中流量的转发过程正常情况首先简单介绍一下用户通过互联网络访问Web应用服务器的整个过程。如下图所示，我们将通过客户端访问来说明客户端访问的整个过程。InternetWebADNSLDNSClient(1)DNSQuery(2)DNSQuery(3)DNSReply(4)DNSReply(5)TCPConnection如图所示，客户端（Client）在浏览器地址栏中输入，发起对该网站的访问请求，客户端首先向LDNS（LocalDNS）发出域名解析请求，要求LDNS提供地址。LDNS通过递归查询，从上级DNS服务器得到hello.com的授权DNS（AuthoritativeDNS,ADNS）服务器IP地址，于是，LDNS向ADNS域名服务器发送域名解析请求，要求对域名进行解析。ADNS将。LDNS将的域名解析结果返回给客户端。客户端获得地址，于是，客户端向这个IP地址发送对域名的访问请求。Page6of10A10的全局负载均衡GSLB技术可以实现多链路或多数据中心环境下入向访问流量的链路选择，加入全局负载均衡设备后，全局负载均衡设备可以通过控制DNS的解析结果，从而实现智能引导，使不同地域或运营商的用户访问进入指定的某个数据中心或入口链路。A10GSLB通过静态或动态选择算法，选择最佳的数据中心或链路，将用户端的域名解析到某个数据中心或链路的应用服务IP地址，并返回给客户端。以上图为例，我们仍然通过客户端访问技术来进行选择的。A10负载均衡设备部署在北京和上海两个数据中心。原来地址（VIP-BJ，VIP-SH），采用随机轮询的方式应答域名解析请求，这样就会出现无法就近性访问的错位和延时，并且由于DNS服务器自身是不会主动去探测域名A记录的可达性和负载情况，因此无法做到客观、准确的流量分发。这些DNS服务器自身技术的局限性，正好是全局负载均衡设备的价值和优势所在！有了全局负载均衡设备后，可以在授权ADNS服务器上将分别（轮询）委派给北京和上海数据中心的A10全局负载均衡设备来解析（委派给dns.bj.hello.com和dns.sh.hello.com），并在北京、上海两个数据中心的A10全局负载均衡设备上建立hello.com的子域，配置针对智能解析的算法和策略，通过策略设置最终确定不同地域、运营商、不同流量的访问分配到北京VIP-BJ，还是上海VIP-SH。客户端访问的过程如下：Page7of10客户端（Client）在浏览器地址栏中输入，发起对该网站的访问请求。如同前面的实例一样，客户端向LDNS发出域名解析请求，如图示中第1步，要求LDNS提供地址。如图示中第2步，LDNS通过递归查询，从上级DNS服务器得到hello.com的授权ADNS服务器IP地址，于是，LDNS向ADNS域名服务器发送域名解析请求，要求对域名进行解析。ADNS收到LDNS发来的域名解析请求后，将域名解析采用轮询方式委派给北京和上海的A10全局负载均衡设备进行处理。A10全局负载均衡设备收到LDNS服务器的解析请求后，根据当前所采用的GSLB选择算法（如基于IP就近性或者动态探测等）和当前链路、数据中心的使用情况，对返回的解析结果进智能处理，然后将域名解析结果返回给LDNS。如图示中第3步，如果判断从北京数据中心访问快，则将VIP-BJ作为域名解析结果返回给LDNS；若判断从上海数据中心访问快，则将VIP-SH作为域名解析结果返回给LDNS。如图示中第4步，LDNS将的域名解析结果返回给客户端。如图示中第5步，客户端获得地址，于是，客户端向这个IP地址发起访问。通常此IP地址为数据中心本地A10应用负载均衡设备上的VIP地址（VIP-BJ或VIP-SH），通过本地应用负载均衡的处理机制（SLB），保障应用的高可用性和针对后台服务器的负载分担。A10GSLB技术通过对DNS的解析结果进行智能选择处理，完成了多链路或多数据中心的入向路径智能选择和负载分流。一般情况下，选择算法分为静态和动态两大类。静态的选路算法一般基于源IP地址进行选择，通过查询客户端LDNSIP地址所属的运营商ISP或地域，来选择最佳链路或数据中心，这种方法最直接、最高效，但需要事先将IP地址段按照所属的运营商ISP或地域属性进行分类并绑定到不同的数据中心或链路上。动态的算法则是通过动态检测的方法，分析多个链路和数据中心的负载情况、响应时间、链路优先级等状况，通过比较这些指标，返回最佳的服务IP。A10GSLB的各种算法可以组合使用，由于国内运营商之间互联互通不是很好，通常建议对国内IP尽可能采用静态绑定，对于国外或国内未知IP采用动态探测，若动态探测无法得到结果，则可配置轮询方法返回地址或者指定返回某一地址。Page8of10A10设备DNS工作模式A10设备的DNS支持3种工作模式：1)授权DNSServer：A10设备代替用户原来的ADNS，将用户所有域名迁移到A10设备，由A10设备完成普通或者智能DNS解析。优点：可以省掉客户的DNSServer，降低网元复杂度，并提高DNS处理性能。缺点：由于A10设备与原来的DNSServer配置习惯不一样，可能不适应。2)辅助性授权DNSServer：保留用户的ADNS，ADNS将需要智能解析的域名委派给A10设备处理。优点：无需向用户原来的上级DNS机构注册IP，只处理部分域名，对ADNS的影响最小。缺点：需要用户的ADNS做一定的配置修改，将用户的请求域名转发给A10设备来处理。3)DNSProxy:将用户自己的ADNS在A10设备上做映射，LDNS请求首先到达A10设备，然后A10设备转发给用户的ADNS来解析。ADNS的解析结果返回后，A10设备进行智能处理，返回最优的服务IP给客户端。优点：不用修改用户ADNS的配置，可同时对ADNS实现负载均衡。缺点：需要把ADNS的注册IP配置到A10设备上面，ADNS改成别的IP。以上工作模式应该选择哪种取决于不同用户的现实环境和整体考虑。Thunder系列产品提供的LB功能Thunder系列产品为用户提供完善的应用交付解决方案。作为LB产品，Thunder能够提供的主要功能包括：提高应用系统的可靠性Page9of10通过高性能的负载均衡功能，为用户构建可扩展的系统通过健康检查，提供完善的应用系统容错机制通过Thunder自身的HA高可用性部署，提高整体系统的可靠性，保证业务连续性通过全局服务器负载均衡功能，提供数据中心级的流量优化、调度和容灾Web业务优化和加速TCP优化，通过TCP优化、连接复用等技术，降低后端服务器负载，提升整体业务系统的处理性能SSL加速，将SSL功能卸载至负载均衡设备，通过SSL芯片处理流量加解密，提升安全性的同时，降低后端服务器的负载和证书管理难度。RAM缓存，将用户访问的热点内容缓存至Thunder的内存中，加快用户访问速度，降低后端服务器负载HTTP压缩，提升带宽使用效率，加快用户Web页面的访问速度完善的业务安全保护解决方案Web应用防火墙（WAF），经过ICSA认证的Web应用防火墙，对跨站脚本攻击、SQL注入等常见的Web攻击性能进行识别和阻断。应用访问管理（AAM），简化应用访问管理系统的部署和维护，增强可扩展性DNS应用防火墙（DAF），保障DNS系统的安全性，缓解DNS在遭受攻击时的系统压力，阻断针对DNS系统发起的攻击行为。DDoS攻击缓解和防御，通过多维度L4-7的访问行为的分析和识别，发现、阻断和缓解各种DDoS攻击，有效的保护用户的业务系统。全面、易用、开放的管理系统，简化运营复杂度、提升管理效率、降低成本CLI/GUI：简单易用的管理界面aFleX：基于DPI（DeepPacketInspection）的全面的流量管理aXAPI开放接口：开放的、可编程的管理接口，与第三方定制与集成aGalaxy：自动化的集中管理/运维软件，降低TCO的利器Page10of10第三方集成：与主流SDN/Clou