項(xiàng)目背景:
☆ 該網(wǎng)站為國(guó)內(nèi)著名的大型電子商務(wù)網(wǎng)站。
☆ 網(wǎng)站在國(guó)內(nèi)設(shè)置有北京、上海兩大核心結(jié)點(diǎn),以及十余個(gè)二級(jí)城市備份結(jié)點(diǎn)。
☆ 網(wǎng)站群的核心業(yè)務(wù)均需要做到服務(wù)器負(fù)載均衡。
☆ 對(duì)于關(guān)鍵的網(wǎng)上交易流量(HTTPS),采用SSL卸載和加速解決方案。
客戶需求:
☆ 服務(wù)器負(fù)載均衡:根據(jù)預(yù)設(shè)的負(fù)載策略,將不同的訪問(wèn)請(qǐng)求分發(fā)到相應(yīng)的服務(wù)器。并能夠通過(guò)規(guī)定方式檢查服務(wù)器是否正常提供相應(yīng)的服務(wù),若發(fā)現(xiàn)某個(gè)服務(wù)出現(xiàn)異常,則采用設(shè)定的方案將其隔離出應(yīng)用服務(wù)器群,保證正常服務(wù)不受其影響。要求在正常情況下兩臺(tái)或多臺(tái)服務(wù)器的負(fù)載基本相同,在某臺(tái)服務(wù)器停機(jī)的情況下透明的容錯(cuò),保證關(guān)鍵應(yīng)用的持續(xù),提供特別的會(huì)話保持能力, 可以根據(jù)不同應(yīng)用的特點(diǎn)保證個(gè)別用戶的訪問(wèn)會(huì)定位在特定的服務(wù)器,只有在這臺(tái)服務(wù)器出現(xiàn)故障時(shí)再將訪問(wèn)導(dǎo)向到其他服務(wù)器。
☆ SSL卸載和加速:避免SSL加解密運(yùn)算對(duì)服務(wù)器造成的額外壓力,提高服務(wù)器的處理能力, 保證電子商務(wù)訪問(wèn)的安全可靠。
☆ 高可靠性:通過(guò)HA方式保證系統(tǒng)的7x24小時(shí)服務(wù),保證系統(tǒng)的高可靠性;同時(shí)提供會(huì)話鏡像功能,保證設(shè)備切換時(shí),應(yīng)用的連續(xù)性。
梭子魚負(fù)載均衡解決方案:
☆ 通過(guò)兩臺(tái)梭子魚LB640實(shí)現(xiàn)服務(wù)器負(fù)載均衡需求
☆ 通過(guò)LB640內(nèi)置的SSL專用加速卡實(shí)現(xiàn)SSL卸載和加速需求
☆ 兩臺(tái)LB640配置成HA熱備模式,提供主備冗余結(jié)構(gòu)
選擇梭子魚負(fù)載均衡解決方案的原因:
☆ IP及Cookie的會(huì)話保持
梭子魚負(fù)載均衡機(jī)針對(duì)終端服務(wù)提供了定制的負(fù)載均衡技術(shù),可以選擇采用IP或Cookie保持的方式,充分保證終端客戶端的會(huì)話一致性,確保終端客戶端的會(huì)話持續(xù)性,并及時(shí)準(zhǔn)確地檢測(cè)、報(bào)告終端服務(wù)器的有效性,即使在組播地環(huán)境中也能最大程度地滿足了用戶需求。
☆ 完全冗余鏡像/“心跳”技術(shù)實(shí)時(shí)監(jiān)控
梭子魚負(fù)載均衡機(jī)的冗余配置非常簡(jiǎn)單的,它們之間不需要任何的特殊電纜相連,只要可以IP尋址到即可。物理拓樸為簡(jiǎn)單易行的服務(wù)器直接返回模式。當(dāng)一臺(tái)梭子魚負(fù)載均衡機(jī)由于檢修或故障的原因停機(jī)后,這時(shí)另一臺(tái)梭子魚負(fù)載均衡機(jī)會(huì)以最快的速度接管其工作。梭子魚負(fù)載機(jī)秒級(jí)故障切換技術(shù),確保了終端服務(wù)系統(tǒng)的不間斷運(yùn)行。
☆ 先進(jìn)的服務(wù)器管理技術(shù)
梭子魚負(fù)載均衡機(jī)可以對(duì)不同性能的服務(wù)器進(jìn)行加權(quán)計(jì)算,對(duì)性能好的服務(wù)器可以多分擔(dān)一些流量。對(duì)有用戶數(shù)限制的服務(wù)器,梭子魚負(fù)載均衡機(jī)通過(guò)連接數(shù)限制技術(shù),從而保證服務(wù)器連接不會(huì)超過(guò)限制,同時(shí)也保證了性能一般的服務(wù)器不會(huì)因?yàn)檫B接太多而宕機(jī)。
梭子魚負(fù)載均衡主要有兩種調(diào)度類型,三種動(dòng)態(tài)權(quán)重調(diào)度方式。
加權(quán)輪巡策略(WRR)
輪巡是指將來(lái)自客戶端的請(qǐng)求依次分 配給服務(wù)器進(jìn)行響應(yīng)。但是由于服務(wù)器的性能并不完全相同,有的性能高,處理能力強(qiáng);有的性能低,處理能力弱。因此簡(jiǎn)單的輪循對(duì)服務(wù)器不能做到“因材施用”,這就需要引入權(quán)重的概念。權(quán)重高的服務(wù)器將優(yōu)先響應(yīng)連接。
加權(quán)最小連接數(shù)策略(WLC)
最小連接數(shù)策略是指負(fù)載均衡機(jī)總是選擇當(dāng)前連接數(shù)最小的服務(wù)器響應(yīng)客戶端的請(qǐng)求。同樣這種方式也沒有考慮到不同服務(wù)器間性能的差異,而且沒有考慮服務(wù)器當(dāng)前的工作狀態(tài),因此無(wú)法做到“動(dòng)態(tài)均衡”。
權(quán)重調(diào)度的方式(Adaptive Scheduling):
1 自定義方式。管理員根據(jù)服務(wù)器的性能,指定相應(yīng)服務(wù)器的權(quán)重。
2 通過(guò)SNMP_CPU自動(dòng)調(diào)整服務(wù)器權(quán)重。梭子魚通過(guò)探測(cè)服務(wù)器CPU的負(fù)載自動(dòng)調(diào)整權(quán)重,負(fù)載越低,權(quán)重約大。
3 通過(guò)LOAD_URL自動(dòng)調(diào)整服務(wù)器權(quán)重,梭子魚通過(guò)測(cè)試服務(wù)器打開LOAD_URL頁(yè)面,根據(jù)該頁(yè)面返回值(0-100)來(lái)自動(dòng)調(diào)整權(quán)重。
☆ 多層實(shí)時(shí)的服務(wù)器健康檢查
梭子魚負(fù)載均衡機(jī)會(huì)實(shí)時(shí)地對(duì)后臺(tái)服務(wù)器進(jìn)行健康檢查,并決定在真實(shí)服務(wù)器不可用情況下服務(wù)如何處理。梭子魚負(fù)載均衡機(jī)服務(wù)監(jiān)控機(jī)制可以通過(guò)3/4層上(PING, PORT 等),以及7層 (DNS, HTTP, SMTP 等)來(lái)實(shí)現(xiàn)。
☆ 擴(kuò)充能力靈活
梭子魚負(fù)載均衡機(jī)與任何品牌、使用界面、操作系統(tǒng)的網(wǎng)絡(luò)服務(wù)器均兼容,在安裝時(shí)完全不須改變企業(yè)原有的網(wǎng)路架構(gòu)。當(dāng)您為業(yè)務(wù)擴(kuò)充而更新網(wǎng)絡(luò)服務(wù)器,新設(shè)備只要與梭子魚負(fù)載均衡機(jī)連接,您不須費(fèi)時(shí)集成新舊設(shè)備、或統(tǒng)合協(xié)定機(jī)制。因此梭子魚負(fù)載均衡機(jī)使您對(duì)網(wǎng)絡(luò)服務(wù)器的投資更為靈活,隨時(shí)依企業(yè)需求而彈性更新網(wǎng)絡(luò)架構(gòu);若您的企業(yè)將擴(kuò)張至全球,梭子魚負(fù)載均衡機(jī)靈活的擴(kuò)充能力,幫助您輕松添加全球服務(wù)的行列。
☆ 集成IPS功能
梭子魚負(fù)載均衡機(jī)裝備了一個(gè)實(shí)時(shí)更新的入侵檢測(cè)系統(tǒng),通過(guò)梭子魚動(dòng)態(tài)更新機(jī)制即時(shí)獲攻擊規(guī)則庫(kù),可以保護(hù)被負(fù)載均衡的服務(wù)器抵御任何最新的基于連接的攻擊,包括以下類型:
•病毒擴(kuò)散: 如NIMDA與紅色代碼這樣的網(wǎng)絡(luò)傳播病毒
•緩存區(qū)溢出: 一種常見的獲取控制權(quán)的惡意攻擊方式
•協(xié)議相關(guān):針對(duì)一些特定協(xié)議如SMTP、DNS或者LDAP的攻擊.
•應(yīng)用相關(guān):針對(duì)一些特定應(yīng)用的攻擊如IIS、Websphere、Cold Fusion或者Exchange.
•操作系統(tǒng)相關(guān):針對(duì)已知的不同操作系統(tǒng)弱點(diǎn)的攻擊,如微軟Windows系統(tǒng).