項目背景:
☆ 該網站為國內著名的大型電子商務網站。
☆ 網站在國內設置有北京、上海兩大核心結點,以及十余個二級城市備份結點。
☆ 網站群的核心業務均需要做到服務器負載均衡。
☆ 對于關鍵的網上交易流量(HTTPS),采用SSL卸載和加速解決方案。
客戶需求:
☆ 服務器負載均衡:根據預設的負載策略,將不同的訪問請求分發到相應的服務器。并能夠通過規定方式檢查服務器是否正常提供相應的服務,若發現某個服務出現異常,則采用設定的方案將其隔離出應用服務器群,保證正常服務不受其影響。要求在正常情況下兩臺或多臺服務器的負載基本相同,在某臺服務器停機的情況下透明的容錯,保證關鍵應用的持續,提供特別的會話保持能力, 可以根據不同應用的特點保證個別用戶的訪問會定位在特定的服務器,只有在這臺服務器出現故障時再將訪問導向到其他服務器。
☆ SSL卸載和加速:避免SSL加解密運算對服務器造成的額外壓力,提高服務器的處理能力, 保證電子商務訪問的安全可靠。
☆ 高可靠性:通過HA方式保證系統的7x24小時服務,保證系統的高可靠性;同時提供會話鏡像功能,保證設備切換時,應用的連續性。
梭子魚負載均衡解決方案:
☆ 通過兩臺梭子魚LB640實現服務器負載均衡需求
☆ 通過LB640內置的SSL專用加速卡實現SSL卸載和加速需求
☆ 兩臺LB640配置成HA熱備模式,提供主備冗余結構
選擇梭子魚負載均衡解決方案的原因:
☆ IP及Cookie的會話保持
梭子魚負載均衡機針對終端服務提供了定制的負載均衡技術,可以選擇采用IP或Cookie保持的方式,充分保證終端客戶端的會話一致性,確保終端客戶端的會話持續性,并及時準確地檢測、報告終端服務器的有效性,即使在組播地環境中也能最大程度地滿足了用戶需求。
☆ 完全冗余鏡像/“心跳”技術實時監控
梭子魚負載均衡機的冗余配置非常簡單的,它們之間不需要任何的特殊電纜相連,只要可以IP尋址到即可。物理拓樸為簡單易行的服務器直接返回模式。當一臺梭子魚負載均衡機由于檢修或故障的原因停機后,這時另一臺梭子魚負載均衡機會以最快的速度接管其工作。梭子魚負載機秒級故障切換技術,確保了終端服務系統的不間斷運行。
☆ 先進的服務器管理技術
梭子魚負載均衡機可以對不同性能的服務器進行加權計算,對性能好的服務器可以多分擔一些流量。對有用戶數限制的服務器,梭子魚負載均衡機通過連接數限制技術,從而保證服務器連接不會超過限制,同時也保證了性能一般的服務器不會因為連接太多而宕機。
梭子魚負載均衡主要有兩種調度類型,三種動態權重調度方式。
加權輪巡策略(WRR)
輪巡是指將來自客戶端的請求依次分 配給服務器進行響應。但是由于服務器的性能并不完全相同,有的性能高,處理能力強;有的性能低,處理能力弱。因此簡單的輪循對服務器不能做到“因材施用”,這就需要引入權重的概念。權重高的服務器將優先響應連接。
加權最小連接數策略(WLC)
最小連接數策略是指負載均衡機總是選擇當前連接數最小的服務器響應客戶端的請求。同樣這種方式也沒有考慮到不同服務器間性能的差異,而且沒有考慮服務器當前的工作狀態,因此無法做到“動態均衡”。
權重調度的方式(Adaptive Scheduling):
1 自定義方式。管理員根據服務器的性能,指定相應服務器的權重。
2 通過SNMP_CPU自動調整服務器權重。梭子魚通過探測服務器CPU的負載自動調整權重,負載越低,權重約大。
3 通過LOAD_URL自動調整服務器權重,梭子魚通過測試服務器打開LOAD_URL頁面,根據該頁面返回值(0-100)來自動調整權重。
☆ 多層實時的服務器健康檢查
梭子魚負載均衡機會實時地對后臺服務器進行健康檢查,并決定在真實服務器不可用情況下服務如何處理。梭子魚負載均衡機服務監控機制可以通過3/4層上(PING, PORT 等),以及7層 (DNS, HTTP, SMTP 等)來實現。
☆ 擴充能力靈活
梭子魚負載均衡機與任何品牌、使用界面、操作系統的網絡服務器均兼容,在安裝時完全不須改變企業原有的網路架構。當您為業務擴充而更新網絡服務器,新設備只要與梭子魚負載均衡機連接,您不須費時集成新舊設備、或統合協定機制。因此梭子魚負載均衡機使您對網絡服務器的投資更為靈活,隨時依企業需求而彈性更新網絡架構;若您的企業將擴張至全球,梭子魚負載均衡機靈活的擴充能力,幫助您輕松添加全球服務的行列。
☆ 集成IPS功能
梭子魚負載均衡機裝備了一個實時更新的入侵檢測系統,通過梭子魚動態更新機制即時獲攻擊規則庫,可以保護被負載均衡的服務器抵御任何最新的基于連接的攻擊,包括以下類型:
•病毒擴散: 如NIMDA與紅色代碼這樣的網絡傳播病毒
•緩存區溢出: 一種常見的獲取控制權的惡意攻擊方式
•協議相關:針對一些特定協議如SMTP、DNS或者LDAP的攻擊.
•應用相關:針對一些特定應用的攻擊如IIS、Websphere、Cold Fusion或者Exchange.
•操作系統相關:針對已知的不同操作系統弱點的攻擊,如微軟Windows系統.