A10GSLB多大数据中心技术方案设计.doc

wordA10 GSLB多数据中心部署方案A10的Thunder系列产品可以在数据中心同时作为负载均衡〔SLB〕设备和全局负载均衡〔GSLB〕设备无论是单数据中心还是多数据中心，Thunder系列产品都可以根据需求，实现高可用或容灾方式部署单数据中心高可用部署网络拓扑Thunder系列产品在单数据中心的高可用部署如如下图所示：部署方式说明Thunder作为互联网出口网关1） 在数据中心的出口处，部署高性能的Thunder硬件产品，作为互联网出口链路的网关设备，实现多链路之间的负载分档和冗余备份2） 2台Thunder设备采用HA方式部署，以实现高可用性保障3） 2台Thunder设备之间建议部署专门的心跳线〔可在设备上指定任意以太接口作为心跳口〕，以实现心跳监测的高可用性4） Thunder设备的上连接口或下连接口建议采用三层方式部署〔即两台Thunder的上/下连接口需要在不同的三层子网中〕主备设备的切换可通过主动ARP更新实现快速收敛5） 结合Thunder产品的虚拟分区〔ADP〕功能，可以实现不同VLAN或不同链路群组之间的分隔部署和管理Thunder系列产品最大支持1024个虚拟分区，因此，可以实现最大1024个租户与传统网络、链路的分隔部署。

Thunder作为应用负载均衡〔SLB〕设备1） 在每个数据中心中，部署Thunder产品作为SLB设备，实现对不同应用系统的负载分担功能和高可用性的要求2） Thunder可采用独立部署、HA双机热备方式部署或aVCS集群方式部署采用HA双机热备或集群方式部署时，两台或多台Thunder设备之间需要进展心跳检测可部署专门的以太口作为心跳接口，或利用已有的数据口作为心跳接口Thunder之间的心跳线如果采用交换机连接，需要交换机支持IGMP组播包转发3） Thunder设备建议采用旁路方式部署如果采用aVCS集群方式部署时，建议采用二层方式部署，在二层方式下部署，主备设备的切换为毫秒级；采用主备HA部署时建议在三层网络下部署，主备设备的切换取决于三层路由的收敛速度4） 对于每个不同部门或应用系统，可分配独立的虚拟分区〔ADP〕，以供不同的部门或应用系统使用，实现部署、管理上的隔离和负载均衡设备资源共享在Thunder上为每个ADP租户分配独立的分区，每个分区可设置独立的管理员某某，可设定能够使用的设备系统资源，每个ADP分区具有独立的L2-7层配置信息和数据信息5） 推荐型号：a) 对于低性能/小流量需求的系统：可采用Thunder 930〔5Gbps吞吐量〕；b) 对于高性能/大流量的需求，可采用：i. Thunder 1030S 〔10G〕ii. Thunder 3030S 〔30G)iii. Thunder 4430S 〔40G〕--提供40GE接口多数据中心容灾部署在多数据中心中，Thunder产品除了可以在每个数据中心内提供链路负载均衡〔LLB〕和服务器负载均衡〔SLB〕以外，还可以提供卓越的多数据中心全局负载均衡〔GSLB〕功能，实现入向流量分担和智能调度。

我们推荐两种部署方式部署方式说明〔DNS服务器代理模式〕网络部署拓扑在多数据中心中流量的转发过程正常情况首先简单介绍一下用户通过互联网络访问Web应用服务器的整个过程如如下图所示，我们将通过客户端访问.hello.来说明客户端访问的整个过程如下列图，客户端〔Client〕在浏览器地址栏中输入.hello.，发起对该的访问请求，客户端首先向LDNS〔Local DNS〕发出域名解析请求，要求LDNS提供.hello.所对应的IP地址LDNS通过递归查询，从上级DNS服务器得到hello.的授权DNS〔Authoritative DNS, ADNS〕服务器IP地址，于是，LDNS向ADNS域名服务器发送域名解析请求，要求对.hello.域名进展解析ADNS将.hello.的域名解析结果返回给LDNSLDNS将.hello.的域名解析结果返回给客户端客户端获得.hello.域名所对应的IP地址，于是，客户端向这个IP地址发送对.hello.域名的访问请求A10的全局负载均衡GSLB技术可以实现多链路或多数据中心环境下入向访问流量的链路选择，参加全局负载均衡设备后，全局负载均衡设备可以通过控制DNS的解析结果，从而实现智能引导，使不同地域或运营商的用户访问进入指定的某个数据中心或入口链路。

A10 GSLB通过静态或动态选择算法，选择最优的数据中心或链路，将用户端的域名解析到某个数据中心或链路的应用服务IP地址，并返回给客户端以上图为例，我们仍然通过客户端访问.hello.来说明 A10 GSLB是如何通过智能DNS技术来进展选择的A10负载均衡设备部署在数据中心的IP地址〔VIP-BJ，VIP-SH〕，采用随机轮询的方式应答域名解析请求，这样就会出现无法就近性访问的错位和延时，并且由于DNS服务器自身是不会主动去探测域名A记录的可达性和负载情况，因此无法做到客观、准确的流量分发这些DNS服务器自身技术的局限性，正好是全局负载均衡设备的价值和优势所在！有了全局负载均衡设备后，可以在授权ADNS服务器上将.hello.分别〔轮询〕委派给和某某数据中心的A10全局负载均衡设备来解析〔委派给dns.bj.hello.和dns.sh.hello.〕，并在、某某两个数据中心的A10全局负载均衡设备上建立hello.的子域，配置针对.hello.智能解析的算法和策略，通过策略设置最终确定不同地域、运营商、不同流量的访问分配到VIP-BJ，还是某某VIP-SH客户端访问.hello.的过程如下：客户端〔Client〕在浏览器地址栏中输入.hello.，发起对该的访问请求。

如同前面的实例一样，客户端向LDNS发出域名解析请求，如图示中第1步，要求LDNS提供.hello.所对应的IP地址如图示中第2步，LDNS通过递归查询，从上级DNS服务器得到hello.的授权ADNS服务器IP地址，于是，LDNS向ADNS域名服务器发送域名解析请求，要求对.hello.域名进展解析ADNS收到LDNS发来的域名解析请求后，将域名解析采用轮询方式委派给和某某的A10全局负载均衡设备进展处理A10全局负载均衡设备收到LDNS服务器的解析请求后，根据当前所采用的GSLB选择算法〔如基于IP就近性或者动态探测等〕和当前链路、数据中心的使用情况，对返回的解析结果进智能处理，然后将域名解析结果返回给LDNS如图示中第3步，如果判断从数据中心访问快，如此将VIP-BJ作为域名解析结果返回给LDNS；假如判断从某某数据中心访问快，如此将VIP-SH作为域名解析结果返回给LDNS如图示中第4步，LDNS将.hello.的域名解析结果返回给客户端如图示中第5步，客户端获得.hello.域名所对应的IP地址，于是，客户端向这个IP地址发起访问通常此IP地址为数据中心本地A10应用负载均衡设备上的VIP地址〔VIP-BJ或VIP-SH〕，通过本地应用负载均衡的处理机制〔SLB〕，保障应用的高可用性和针对后台服务器的负载分担。

A10 GSLB技术通过对DNS的解析结果进展智能选择处理，完成了多链路或多数据中心的入向路径智能选择和负载分流一般情况下，选择算法分为静态和动态两大类静态的选路算法一般基于源IP地址进展选择，通过查询客户端LDNS IP地址所属的运营商ISP或地域，来选择最优链路或数据中心，这种方法最直接、最高效，但需要事先将IP地址段按照所属的运营商ISP或地域属性进展分类并绑定到不同的数据中心或链路上动态的算法如此是通过动态检测的方法，分析多个链路和数据中心的负载情况、响应时间、链路优先级等状况，通过比拟这些指标，返回最优的服务IPA10 GSLB的各种算法可以组合使用，由于国内运营商之间互联互通不是很好，通常建议对国内IP尽可能采用静态绑定，对于国外或国内未知IP采用动态探测，假如动态探测无法得到结果，如此可配置轮询方法返回地址或者指定返回某一地址A10设备DNS工作模式A10设备的DNS支持3种工作模式：1) 授权DNS Server：A10设备代替用户原来的ADNS，将用户所有域名迁移到A10设备，由A10设备完成普通或者智能DNS解析优点：可以省掉客户的DNS Server，降低网元复杂度，并提高DNS处理性能。

缺点：由于A10设备与原来的DNS Server配置习惯不一样，可能不适应2) 辅助性授权DNS Server：保存用户的ADNS，ADNS将需要智能解析的域名委派给A10设备处理优点：无需向用户原来的上级DNS机构注册IP，只处理局部域名，对ADNS的影响最小缺点：需要用户的ADNS做一定的配置修改，将用户的请求域名转发给A10设备来处理3) DNS Proxy: 将用户自己的ADNS在A10设备上做映射，LDNS请求首先到达A10设备，然后A10设备转发给用户的ADNS来解析ADNS的解析结果返回后，A10设备进展智能处理，返回最优的服务IP给客户端优点：不用修改用户ADNS的配置，可同时对ADNS实现负载均衡缺点：需要把ADNS的注册IP配置到A10设备上面，ADNS改成别的IP以上工作模式应该选择哪种取决于不同用户的现实环境和整体考虑Thunder系列产品提供的LB功能Thunder系列产品为用户提供完善的应用交付解决方案作为LB产品，Thunder能够提供的主要功能包括：l 提高应用系统的可靠性n 通过高性能的负载均衡功能，为用户构建可扩展的系统n 通过健康检查，提供完善的应用系统容错机制n 通过Thunder自身的HA高可用性部署，提高整体系统的可靠性，保证业务连续性n 通过全局服务器负载均衡功能，提供数据中心级的流量优化、调度和容灾l Web业务优化和加速n TCP优化，通过TCP优化、连接复用等技术，降低后端服务器负载，提升整体业务系统的处理性能n SSL加速，将SSL功能卸载至负载均衡设备，通过SSL芯片处理流量加解密，提升安全性的同时，降低后端服务器的负载和证书管理难度。

n RAM缓存，将用户访问的热点内容缓存至Thunder的内存中，加快用户访问速度，降低后端服务器负载n HTTP压缩，提升带宽使用效率，加快用户Web页面的访问速度l 完善的业务安全保护解决方案n Web应用防火墙〔WAF〕，经过ICSA认证的Web应用防火墙，对跨站脚本攻击、SQL注入等常见的Web攻击性能进展识别和阻断n 应用访问管理〔AAM〕，简化应用访问管理系统的部署和维护，增强可扩展性n DNS应用防火墙〔DAF〕，保障DNS系统的安全性，缓解DNS在遭受攻击时的系统压力，阻断针对DNS系统发起的攻击行为n DDoS攻击缓解和防御，通过多维度L4-7的访问行为的分析和识别，发现、阻断和缓解各种DDoS攻击，有效的保护用户的业务系统l 全面、易用、开放的管理系统，简化运营复杂度、提升管理效率、降低本钱n CLI/GUI：简单易用的管理界面n aFleX：基于DPI〔Deep Packet Inspection〕的全面的流量管理n aXAPI开放接口：开放的、可编程的管理接口，与第三方定制与集成n aGalaxy：自动化的集中管理/运维软件，降低TCO的利器n 第三方集成：与主流SDN/Cloud集成〔VMware、OpenStack……〕n 其他n 应用交付分区、应用交付3层虚拟化n 虚拟机箱系统aVCS 〔Virtual Chassis System〕l aXAPI接口，便。