1.前言

　　近年來，隨著網絡及數據中心的發(fā)展，企業(yè)信息化進入一個嶄新的階段，主要表現為以下特征：

     一、分散凌亂的應用都集中管理起來，對應用的可靠性提出更高的要求；

     二、數據流量的猛增，出口帶寬又是有限的，對訪問體驗提出更高要求；

     三、多數據中心如何保證提供最佳的應用訪問引導，實現異地災備功能，對快速、安全及可靠性均提出更高要求；

　　在這樣的具體需求下，應用交付產品解決方案，有效的解決企業(yè)的信息化問題。應用交付建立在現有網絡結構之上，它提供了一種廉價有效的方法擴展服務器帶寬和增加吞吐量，加強網絡數據處理能力，提高網絡的靈活性和可用性。它主要完成以下任務：解決應用的高可用性及服務器帶寬的靈活擴展，提高服務器響應速度；提高服務器及其他資源的利用效率；避免了網絡關鍵部位出現單點失效；解決多出口鏈路網絡擁塞問題，為用戶提供更好的訪問體驗；多數據中心服務就近提供，實現數據中心之間的災備功能。

2.需求描述

2.1服務器負載均衡需求

　　大型企業(yè)的應用除了用于應用、科研、管理、圖書情報資料檢索外，還承擔著公司內外信息交流、電子郵件、公告、新聞發(fā)布，以及各種公共網絡口的訪問等任務。由于在網絡上傳輸的信息不只是數字、文字和圖形，還會隨著應用水平的提高，逐步增加語音、活動圖像及視頻圖像等高帶寬的應用。

　　企業(yè)的大多數應用都有2臺甚至更多臺的服務器來支撐，為了確保用戶能快速訪問這些應用，需要對用戶的請求以一種最快捷的方式進行響應，這些方式可以是讓多臺服務器分擔請求，也可以讓性能最好的服務器響應多點請求，甚至滿足一些特殊的要求的應用。服務器負載均衡就在此理念下提出合理的負載解決方案。

2.2鏈路負載均衡需求

　　企業(yè)通常都有幾條鏈路，最常見的就是電信一路，聯通一路。為了確保企業(yè)公司主頁等Web服務器訪問的高效性，確保電信用戶與聯通用戶可隨時隨地通過互聯網訪問其公司主頁等Web應用，采用多條接入鏈路成為最佳選擇方案。

　　采用多鏈路的解決方案可以避免Internet接入中斷的問題，從而保證系統(tǒng)接入的高有效性。同時，由于多鏈路解決方案能夠提供更好的可用性與性能，它正在被越來越多的公司所采用?？捎眯缘奶岣邅碜杂诙鄺l鏈路的使用，而性能提高則是因為同時使用多條鏈路增加了帶寬。

2.3全局負載均衡需求

　　無論用戶的數據中心內部采用多么完善的冗余機制、安全防范工具以及先進的負載均衡技術，單個數據中心的運行方式仍然不能保證關鍵業(yè)務可以7*24不間斷運行。而為了滿足處于全球范圍內不同地點的用戶在訪問應用時可以具備相同的快速訪問感受，單一的數據中心也無法實現。

　　基于以上兩個最主要的原因，用戶通過在不同物理位置構建多個數據中心的方式已經成為用戶的必然選擇。然而，在構建了多個數據中心后，如何通過有效手段實現多個數據中心間的協(xié)調工作，引導用戶訪問最優(yōu)的站點，或者當某個站點出現災難性故障后使用戶仍然可以訪問其他站點上的關鍵業(yè)務等問題成為用戶最關注的問題。

3.需求分析

　　根據需求描述，我們提供的解決方案需要滿足以下主要功能：

　　服務器負載均衡：合理的分擔用戶的請求，讓當前最佳的服務器響應用戶的請求，通過健康檢查手段確保應用的高可用性。

　　鏈路負載均衡：通過地址庫路由，訪問電信資源走電信鏈路，訪問聯通資源走聯通鏈路，進行快速的內容傳輸。

　　全局負載均衡：通過智能DNS引導，結合多種全局負載均衡算法，將用戶的訪問請求引導至最佳的數據中心站點進行處理。

　　應用加速：通過負載均衡器做前端加速，例如Http壓縮、SSL加速、Cache等，加快系統(tǒng)響應速度。

　　安全防護：確保系統(tǒng)的安全，能夠針對SYN Cookie等網絡和應用安全進行防護。

　　同時，應用交付產品解決方案還要考慮以下幾點問題:

實用性和先進性

　　采用先進成熟的技術滿足當前的業(yè)務需求，兼顧其他相關的業(yè)務需求，盡可能采用先進的網絡技術以適應更高的數據、多媒體信息的傳輸需要，使整個系統(tǒng)在一段時期內保持技術的先進，并具有良好的發(fā)展?jié)摿?，以適應未來業(yè)務的發(fā)展和技術升級的需要。

安全可靠性

　　保證將來的業(yè)務應用，網絡必須具有高可靠性。要對網絡結構、網絡設備、服務器設備等各個方面進行高可靠性的設計和建設。在采用硬件備份、冗余等可靠性技術的基礎上，采用相關的軟件技術提供較強的管理機制、控制手段和事故監(jiān)控和網絡安全保密等技術措施提高網絡系統(tǒng)的安全可靠性。

靈活性與可擴展性

　　網絡系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，所以它必須具有良好的擴展性。能夠根據將來信息化的不斷深入發(fā)展的需要，方便的擴展網絡覆蓋范圍、擴大網絡容量和提高網絡各層次節(jié)點的功能。具備靈活擴展多種物理接口的能力、多種協(xié)議支持能力，通過軟件License可平滑升級設備處理能力。

開放性/互連性

　　具備與多種協(xié)議計算機通信網絡互連互通的特性，確保網絡系統(tǒng)基礎設施的作用可以充分發(fā)揮。在結構上真正實現開放，基于國際開放式標準，包括各種廣域網、局域網、計算機及數據庫協(xié)議，堅持統(tǒng)一規(guī)范的原則，從而為未來的業(yè)務發(fā)展奠定基礎。

經濟性/投資保護

　　應以較高的性能價格比構建網絡系統(tǒng)，使資金的產出投入比達到最大值。能以較低的成本、較少的人員投入來維持系統(tǒng)運轉，提供高效能與高效益。盡可能保留并延長已有系統(tǒng)的投資，充分利用以往在資金與技術方面的投入。

可管理性

　　由于系統(tǒng)本身具有一定復雜性，隨著業(yè)務的不斷發(fā)展，網絡管理的任務必定會日益繁重。所以在網絡的設計中，必須建立一個全面的網絡管理解決方案。網絡設備必須采用智能化，可管理的設備，同時采用先進的網絡管理軟件，實現先進的分布式管理。最終能夠實現監(jiān)控、監(jiān)測整個網絡的運行狀況，合理分配網絡資源、動態(tài)配置網絡負載，可以迅速確定網絡故障等。

4.應用交付產品解決方案

4.1服務器負載均衡解決方案

4.1.1方案說明

　　方案部署如下圖所示：

　　

　　說明如下：

　　SSA采用單臂部署模式，不影響原有的網絡結構。若需要訪問后端的應用，用戶的請求先到SSA的服務地址（VIP），由SSA根據健康檢查情況及負載算法，將請求均衡到后端的服務器上，根據用戶的業(yè)務情況，可能需要開啟連接保持及源地址轉換功能。

　　為提高應用的訪問速度，可開啟連接復用、壓縮及緩存功能。為保證設備的高可用性，采用雙機部署，確保在一臺設備出現故障時，由另一臺設備及時接管業(yè)務處理。

4.1.2服務器負載均衡(SLB)實現

　　4.1.2.1 SLB的工作模式

　　服務器負載均衡可以以兩種模式：反向代理模式及直接轉發(fā)模式。

　?。?）反向代理模式

　　這種代理方式與普通的代理方式有所不同，標準代理方式是客戶使用代理訪問多個外部服務器，而這種代理方式是多個客戶使用它訪問內部服務器，因此也被稱為反向代理模式。

　　反向代理模式的優(yōu)點：可以采用單臂的結構部署；可以通過連接池技術增強系統(tǒng)性能。

　　反向代理模式的局限性：由于有些場景需要對源地址進行轉換，報文到達服務器后，看到的是轉換后的地址，此時無法記錄哪些IP的客戶端曾進行訪問。解決辦法:可以在用戶的HTTP包頭中加入X-Forwarded-For字段，用它記錄客戶端的IP地址。

　?。?）直接轉發(fā)模式

　　直接轉發(fā)模式是指在轉發(fā)用戶請求時，透明地將客戶端的連接定向到特定的服務器上，即用戶的源IP地址對服務器是透明的，服務器可以知道哪個客戶對其進行了訪問。

　　4.2.2.2 SLB的負載均衡算法

　　支持多種服務器負載均衡算法，包括：輪循、加權輪詢、最少連接算法、響應時間算法、哈希算法、優(yōu)先級算法等。此外實際服務器可以被分配不同的加權值來調整被分配的流量。比如性能高的大型服務器可配置較大的加權值，而為性能較低的小型服務器設置較小的加權值。為了避免服務器因過載而崩潰，可為實際服務器指定最大連接閾值來避免該服務器過載。任何服務器可被指定為另一臺服務器的備份服務器或溢出服務器，從而進一步保證了應用可用性。

    一、輪詢（Round Robin）：按順序將連接分配給一個服務組中的服務器。輪詢方式對所有服務器同等對待，而與連接的數量或響應時間無關。該算法相對簡單，運行穩(wěn)定。
    二、加權輪詢（Weighted Round Robin）：加權輪詢算法根據每臺服務器設定的加權值來分配請求，服務器收到的連接數與其權值成正比。
    三、最少連接（Least Connection）：最少連接是一種動態(tài)調度算法，它通過檢測服務器與設備建立的連接數來估計服務器的負載情況，并將新的連接請求分配到當前連接數最小的服務器。

    四、加權最小連接（Weighted Least Connection）：加權最小連接是與最小連接算法相似，不同之處在于分配連接時需要考慮當前服務器的權重值。
    五、優(yōu)先級（Priority）：在這種方式下，設備會將請求優(yōu)先發(fā)送給優(yōu)先級較高的服務器，當高優(yōu)先級的服務器出現故障時，才將請求發(fā)送給優(yōu)先級較低的服務器。
    六、最快響應時間（Fastest Response Time）：設備會檢測與各服務器建立TCP連接的時間，并選擇響應時間最短的服務器發(fā)送請求。IP地址哈希（IP Hash）：設備根據源、目的IP地址的Hash值進行負載均衡。

    七、URL哈希（URL Hash）：設備根據Web請求中URL的Hash值來選擇服務器，這種算法能夠保證相同的URL請求轉發(fā)到相同的服務器進行處理。在采用Cache服務器的環(huán)境中,能夠提高Cache服務器的命中率。

　?。?）會話保持（Persistent）：從一個特定的客戶端發(fā)出的請求都被分配到一個實服務組中的同一個實服務器上進行處理。主要包括：

      一、基于源IP地址的會話保持：將同一個源IP地址的連接或者請求認為是同一個用戶，根據會話保持策略，在會話保持有效期內，將這些發(fā)自同一個源IP地址的連接/請求都轉發(fā)到同一臺服務器。

     二、基于Cookie的會話保持：利用HTTP協(xié)議中的Cookie功能來實現會話保持功能。當客戶端的請求中帶有SSA設備設置的Cookie信息，則設備根據Cookie中的信息來選擇服務器；當客戶端的請求中沒有Cookie信息，則設備按照算法選擇服務器，同時，在服務器響應的response頭部中，插入Cookie信息來實現會話保持。

     三、基于目的IP的會話保持：將同一個目的IP地址的連接或者請求，根據會話保持策略，在會話保持有效期內進行會話保持。

     四、基于SSL ID的會話保持：當SSL會話建立時，會產生Session ID，該Session ID在系統(tǒng)中是唯一的，可以應用該ID值來進行會話保持。當用戶想與該服務器再次建立連接時，可以通過會話中的Session ID識別該用戶并進行會話保持。

　?。?）SLB健康檢查

　　通過對服務器的實時健康檢查，保證數據流量會自動繞過故障服務器或不可用服務器。當檢測到服務器重新恢復正常以后，將使該服務器可以自動回到服務器群之中，所有這些服務器故障的處理，對進行操作的用戶是完全透明的。

　　對服務器的健康檢查，可采用三種方式：

    一、L3：通過ICMP協(xié)議檢查系統(tǒng)當前的健康狀態(tài)。

    二、L4：通過向TCP/UDP端口發(fā)送連接請求，檢查當前應用端口的健康狀態(tài)。

    三、L7：通過向應用（如：HTTP, HTTPS, FTP, RTSP, SMTP, POP3, SNMP, DNS, RADIUS, LDAP發(fā)送指定的代碼并判斷返回值確定當前應用的健康狀態(tài)。

    四、基于腳本的健康檢查：根據具體的應用進行自定義腳本檢查，能夠對服務進行深度健康檢測。

4.2鏈路負載均衡解決方案

4.2.1方案說明

　　方案部署如下圖所示：

　　

　　說明如下：

　　SSA采用路由模式，部署在出口，外網有多條不同運營商鏈路，為保證設備的高可用性，采用雙機部署，確保在一臺設備出現故障時，由另一臺設備及時接管業(yè)務處理。對于內網用戶訪問外網資源，按照地址庫選路策略，訪問電信資源走電信鏈路，訪問聯通資源走聯通鏈路等，保證用戶的訪問體驗?？梢酝ㄟ^策略路由強制流量通過某個ISP的鏈路，或在某條鏈路失效時，所有流量仍可以經過另一條鏈路正常進出，以保證系統(tǒng)的提供服務的不間斷性。

4.2.2鏈路負載均衡(LLB)實現

　　通過鏈路負載均衡功能，能夠對用戶的多鏈路的網絡應用提供基于出站和入站的鏈路負載分擔功能,解決多鏈路下流量分擔的問題，當鏈路故障時可實現鏈路的自動切換，保持對終端用戶的透明。

　　針對出站流量:對出站流量進行策略優(yōu)先級的劃分，保證應用和流量的持續(xù)性。最高級別的路由為策略路由,可針對目的地址目的端口、源地址源端口進行鏈路選擇；緊跟著的為地址庫路由，根據運營商地址庫選路，智能分配流量；其次為靜態(tài)路由。例如需要內網A段用戶從isp1鏈路出去和B段用戶isp2鏈路出去，可以針對兩段用戶所在的IP地址段做兩條策略路由即可，這樣可以充分利用和規(guī)劃鏈路的帶寬，節(jié)省有限的帶寬資源。

    若某條鏈路的流量超過其帶寬限制，可以啟用鏈路帶寬保護，將部分流量引導至帶寬利用率較低的其它鏈路上，可保證用戶的流量基本均勻。

　　對于內網的DNS，由于用戶大多使用DHCP分配，所有用戶的DNS地址可能相同，造成解析地址為同一運營商，使訪問流量不均勻。針對此場景，可使用DNS代理功能，使其解析地址按照鏈路帶寬基本成比例分配，保障鏈路流量均勻分配。

　　針對入站流量:通過解析用戶DNS請求報文的源地址，智能DNS解析，通過基于地理位置的負載均衡算法，返回最佳的地址給客戶端，客戶端以此地址為目的地址進行訪問，使得電信用戶通過電信鏈路到達設備進而訪問應用，聯通用戶通過聯通鏈路到達設備進而訪問應用。對于其它不屬于聯通與電信地址范圍的站點，用戶訪問可以將默認的算法定向到某一個性能較好的ISP鏈路上，也可以根據加權輪詢的算法，為每個ISP的IP地址設定一個加權值，并根據加權值順序的選擇多個ISP的IP地址作為每次用戶解析請求的返回值，權值大的ISP的IP地址被選擇的次數多。通過此算法，用戶可以在多條帶寬不同的鏈路間合理分配流量，帶寬高的鏈路權值大，因此承載的流量就高。

4.3全局負載均衡解決方案

4.3.1方案說明

　　方案部署如下圖所示：

　　

　　說明如下：

　　一、兩個數據中心分別部署兩臺SSA設備；整個系統(tǒng)采用全冗余網絡連接方式設計，來保證系統(tǒng)的高可用性和高可靠性。

　　二、SSA設備以路由模式接入各個數據網絡之中，負責將用戶的DNS訪問請求，引導用戶使用最快的鏈路進行訪問站點；同時負責兩條線路的健康狀態(tài)的檢查，一旦檢測到線路的中斷，則停止相應線路的地址解析。

　　三、在各數據中心SSA上，先配置公網鏈路與虛擬服務對應關系，再設置主、備數據中心設備之間站點、鏈路以及虛擬服務的健康檢查機制，最后設定用戶訪問請求的分配策略；就可以實現將用戶訪問請求引導至最佳的數據中心，在提升用戶訪問體驗的同時，實現數據的異地災備。

4.3.2全局負載均衡(GSLB)實現

　　全局負載均衡解決方案，能夠通過唯一的域名的方式為所有發(fā)布相同服務的數據中心提供統(tǒng)一的入口，根據管理人員預先設定的負載策略將用戶的訪問請求分配到不同數據中心之上，保障用戶的訪問體驗。

　　當用戶通過域名方式進行訪問時，可以根據用戶使用的Local DNS位置進行就近性計算，將最佳站點的IP地址解析給用戶。

　　就近性計算方法：為了保障當全球范圍的用戶在訪問資源時，能夠被引導至“最優(yōu)”的數據中心，全局負載均衡設備需要對用戶到各站點之間的距離、延時及當前數據中心的負荷等眾多因素進行分析判斷。全局負載均衡支持靜態(tài)和動態(tài)兩種就近性方法，兩種方式可以并存使用。

　　靜態(tài)就近性：SSA中都內置了各個全球的IP地址形成地址庫，并能夠實現實時更新；當用戶訪問目標IP屬于哪個運營商（或地區(qū)），就為用戶選擇這個運營商（或地區(qū)）的數據中心（或鏈路）。當用戶請求沒有包含設備的地址庫中時，SSA將會主動查詢該地址所屬地區(qū)（或運營商），匹配之后再根據靜態(tài)就近性為用戶選擇數據中心。如果上述兩種方式都無法判別用戶請求IP所屬地區(qū)（或運營），則直接使用動態(tài)就近性。

　　動態(tài)就近性：當用戶發(fā)起訪問請求時，SSA可以通過綜合考慮各數據中心與請求地址之間的路由節(jié)點數量、數據傳輸的延遲和數據中心鏈路的實時負荷，準確計算出最佳路徑，將用戶引導至最佳的數據中心。

5.方案部署收益

　　本解決方案可以為客戶帶來以下收益：

    一、SLB/LLB/GSLB/Cache等功能無縫集成，方便企業(yè)未來功能擴展，降低客戶建設投入；
    二、服務器靈活分擔請求，保證服務器的壓力正常，業(yè)務正常；

    三、實時監(jiān)控服務器及鏈路的健康狀態(tài)，并智能選擇健康的節(jié)點，保證業(yè)務正常;提供連接復用技術與HTTP頁面壓縮功能，加快應用系統(tǒng)的響應速度，提高服務器系統(tǒng)處理能力，既能降低數據中心負荷，也能提升訪問體驗；

    四、支持基于內容的安全防護，一定程度上保護應用系統(tǒng)的安全性；內網訪問外網能對訪問做最優(yōu)化處理，以節(jié)省出口帶寬及鏈路狀況；

    五、實現多數據中心的全局負載均衡，提升系統(tǒng)的可靠性及安全性；

    六、雙機部署，確保應用交付產品本身的高可靠性和高性能；

    七、豐富的統(tǒng)計報表，支持導出，便于作分析以及商業(yè)決策。智能簡潔的管理界面與方式，降低運維復雜度。