Solution_负载均横解决方案.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Fortinet Confidential,*,Fortinet,负载均衡技术,Jan,2009,2,负载均衡概述,链路负载均衡,1,2,服务器负载均衡,3,负载均衡概述,3,负载均衡（,Load Balance,）建立在现有网络结构之上，它提供了一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。,链路负载均衡,通过为不同链路通过算法分配合理流量，解决,Internet,网络拥塞状况，提高用户访问网站的响应速度。,服务器负载均衡,把大量的并发访问或数据流量分担到多台服务器上分别处理，减少用户等待响应的时间,4,链路负载均衡,负载均衡概述,2,1,服务器负载均衡,3,链路冗余,优先路由,5,ISP A,ISP B,10M,专线,DMZ,二级路由,默认路由,内部网,大多数公司使用多个,ISP,线路实现链路冗余，通过路由管理距离值配置实现链路切换。,当,ISP A,链路出现问题时，流量可以切换到,ISP B,通过这种方式可以实现链路冗余，但负载没有在多条,ISP,链路上分布,链路冗余,优先路由,6,通过管理距离值选择,ISP(,路由,),当第一默认路由被检测到失效时，连接切换到第二条路由,可以通过,Ping,服务器经过接口的可达状态来检测链路是否失效。,Ping,服务器可以识别到上游设备的,3,层问题，而不仅仅是通过本地接口的是否失效来检测。,ISP A,第一默认路由,ISP B,第二默认路由,链路冗余,检测接口状态,7,在本地物理接口状态正常时，,ISP,也可能不能路由流量,上游设备的三层问题可能造成网络中断,开启网络接口选项可以监测一台上游设备,/,服务器,(,通常但不限于是下一跳的路由器,),失效网关检测在网络,选项中配置阈值,链路冗余,优先路由,+PBR,8,ISP A,ISP B,10M,专线,DMZ,二级路由,默认路由,内部网,优先路由可以通过策略路由进行扩展，以更好的使用两条链路,内网到外网的非关键流量,(,端口为,80/443),，可以被重定向到低宽带的,ISP B,链路,ISP A,可以为关键流量保留,(,DMZ+Email,),链路,A,失效时，所有的流量可以切换到链路,B,这种方式可提供基本的负载分发功能,80/443,端口流量,链路冗余,FortiOS,3.0,的,ECMP,ISP A,ISP B,10M,专线,DMZ,二级路由,默认路由,内部网,ECMP(Equal Cost Multipath),通过多个,ISP,分发流量。当静态路由配置相同的距离值和优先级时，,ECMP,将会生效,流量基于源地址进行分发,ECMP,支持,OSPF,或静态路由,(ECMP,只能在相同的路由协议下工作,),两条链路宽带相同时可正常工作，否则，宽带较低的链路将会始终饱合,(,轮循方式,),。,这种方式可以链路冗余及负载均衡,链路冗余,FortiOS,4.0 MR1,的,ECMP,10,ISP A,ISP B,10M,专线,DMZ,二级路由,默认路由,内部网,与,3.0,相同，,4.0,的,ECMP(Equal Cost Multipath),通过多个,ISP,分发流量，但有更多的功能,流量可通过三种方式在链路中分发,源,HUSH(,与,3.0,相同,),基于权重,(,基于权重的下一跳分发,),基于使用率,(,路由选择基于网关的流量,),最多支持,10,条链路,ECMP,支持,OSPF,或静态路由,(ECMP,只能在相同的路由协议下工作,),ECMP,描述,源,11,ISP A,ISP B,10M,专线,二级路由,默认路由,内部网,FortiGate,基于会话的源地址在,ECMP,路由中对会话进行负载均衡，例如：,192.168.1.1,通过,ISP A,路由,192.168.1.2,通过,ISP B,路由,192.168.1.3,通过,ISP A,路由,如果在网络中有大量的代理服务，流量分发将不平均,与,3.0,版本相同的工作方式,ECMP,ECMP,描述,权重,12,ISP A,ISP B,10M,专线,二级路由,默认路由,内部网,FortiGate,基于增加在,ECMP,路由中的权重值，在,ECMP,路由中对会话进行负载均衡，更多的流量将被指向到权重值高的路由,基于,4,层的负载均衡,(,源,/,目的,/,端口,),，根据静态路由中的路由权重值决定权重,ECMP,权重,10,权重,4,ECMP,描述,使用率,13,ISP A,ISP B,10M,专线,二级路由,默认路由,内部网,FortiGate,基于有多少流量经过路由的接口,(,例如在,ISP A,的路由接口上配置,7Mbps,阀值,),，在,ECMP,路由中对会话进行负载均衡。超过,7Mbps,的流量将被动态路由到,ISP B,。,FortiGate,把所有的,ECMP,路由会话发送到配置最低值的接口，直到这个接口处理的宽带达到链路超载阀值。,FortiGate,将把后续的会话分配到第二低值的接口中。,ECMP,流量超过使用率阀值后，将溢出到另一条链路,注意,14,在以上所有示例中，内网与多个,ISP(,公网,),之间必须使用,NAT,地址翻译。,用户的常见问题是：“在网络中使用,ECMP,后，是否会出现非对称路由的情况”。因为使用了,NAT,，所以回答的否定的。当流量被发送到任意,ISP,链路时，内部,IP,将被,NAT,为,ISP,的公网,IP,。因此，流量的返回路由不可能被指向到其它,ISP,。,上述所有,ECMP,描述都应用在对外出,(outbound),流量进行路由，而没有对来自,Internet,的进入,(inbound),的流量进行处理。进入流量将通过一些应用程序实现。,Inbound,负载均衡,SMTP,15,ISP A,ISP B,10M,专线,DMZ,二级路由,默认路由,内部网,通过,SMTP,自有功能实现冗余,在,DNS,中为,MX,记录指定权重，在主服务器失效时，可切换到第二台服务器上,也可以指定相同的权重值，两台服务器以轮循方式工作,MX,记录使用相同权重值,MX1 ISP A NAT,到邮件服务器,MX2 ISP B NAT,到邮件服务器,Mail Server,DNS,MX,MX,MX,MX,Inbound,负载均衡,HTTP/Web,16,ISP A,ISP B,10M,专线,DMZ,二级路由,默认路由,内部网,在,DNS,中指定多个,IP,地址,大多数,DNS,服务器可以为不同的客户端随机返回一个,IP,地址。,大多数浏览器在发现第一个,IP,地址失效时，可以自动切换到第二个,IP,地址,Web Server,DNS,17,服务器负载均衡,负载均衡概述,3,1,链路负载均衡,2,服务器负载均衡,18,FortiGate,把来自,Internet,对服务器的访问，分发到多台服务器上,健康检测发现某台服务器失效时，可以把流量分配到其它服务器上,HTTP,多路复用技术减少到,Web,服务器访问的会话数量,SSL Offloading,可替代服务器进行,SSL,认证,服务器,服务器负载均衡,访问服务器时，先访问到,FortiGate,外部接口的虚拟,IP,地址，由,FortiGate,将访问转发至真实服务器,一个虚拟,IP,对应多个真实服务器,IP,，实现服务器负载均衡,隐藏真实服务器,IP,，提高安全性,负载均衡支持多种算法,Static,Round Robin,Weighted,First Alive,Least RTT,Least Session,Client,VIP,X,服务器负载均衡,健康检测,某台服务器出现问题时，,FortiGate,将把流量自动转发到状态良好的服务器上,检测服务器状态可用方法,TCP,HTTP,Ping,Client,VIP,应用加速,HTTP,多路复用,Client,多个客户连接,Server Farm,健康检查,每个连接中的多个请求,客户请求复用,(,通过单个服务器会话,),在,FortiGate,上维持和客户端的大量连接，而在,FortiGate,和服务器之间建立少量常开的连接,减少服务器的资源消耗，提高服务器的处理性能。,服务器必须支持,HTTP/1.1,服务器负载均衡,虚拟服务器,22,配置虚拟服务器，用户通过访问虚拟服务器,IP,访问物理服务器,服务类型包括,HTTP,、,HTTPS,、,SSL,、,TCP,、,UDP,及,IP,服务器负载均衡方式选择分配负载的算法,通过健康检查检测服务器的状态,负载均衡方式,静态与轮询,23,静态与轮询方式都可以把流量平均的分配到各台服务器上,静态方式,根据源地址分发负载，实现,3,层负载均衡,不根据会话进行流量分发,轮询方式,基于会话进行负载均衡,不考虑服务器的响应时间或连接数,服务器,负载均衡方式,加权,24,基于权重值对流量进行分配,基于,4,层的负载均衡，根据真实服务器中配置的权重值的比例，按比例进行流量分配,服务器,权重,5,权重,10,负载均衡方式,最早存活与最小响应时间,25,最早存活,永远把流量转向第一个保持存活的服务器,“,第一”，指的是虚拟服务器配置中真实服务器的顺序,最小响应时间,根据健康检查的,ping,获得的,RTT,来判断将流量传到哪台服务器，流量一直转发到,RTT,值最低的服务器上,没有配置,Ping,监测，则默认最小响应时间为,0,服务器,负载均衡方式,最小连接数,26,FortiGate,始终把流量分配到连接数最少的服务器,连接数是指,FortiGate,分配在服务器上的连接数量,服务器,负载均衡保持方式,27,确保用户在每次发起请求时，都连接到同一台真实服务器,FortiGate,根据负载均衡方式把新发起会话发送到某台真实服务器上，如果会话中包含,HTTP Cookie,或,SSL Session ID,，则所有的含有相同,HTTP Cookie,或,SSL Session ID,的后续会话都将发送到同一台真实服务器,虚拟服务器类型设置为,HTTP,、,HTTPS,或,SSL,时，可配置保持方式,选择无，会话只根据负载均衡方式进行分配。静态方式可以实现会话保持。,选择,HTTP Cookie,，所有的含有相同的,HTTP session cookie,的,HTTP,或,HTTPS,会话将发送到同一台真实服务器上。,选择,SSL Session ID,，所有的含有相同的,SSL session ID,的会话将发送到同一台真实服务器上。,服务器,HTTP,多路复用,28,服务器,HTTP HTTPS,FortiGate,上维持和客户端的大量连接，而在,FortiGate,和服务器之间建立少量常开的连接,最小化,TCP,会话的建立，减少服务器的资源消耗，提高服务器的处理性能。,服务器必须是,HTTP/1.1,SSL offloading,29,服务器,FortiGate,进行,SSL,的加,/,解密运算，从服务器上“卸载”了,SSL,协商过程，加速客户端到服务器的,SSL,连接,选择应用,SSL offloading,连接段,客户端,FortiGate,仅在客户端和,FortiGate,设备间使用,SSL,硬件加速，,FortiGate,与服务器间使用明文通讯,可最大的提高性能,客户端,FortiGate,服务器,客户和,FortiGate,、,FortiGate,与服务器间都使用,SSL,硬件加速,FortiGate,与服务器间的,SSL,协商被简化，仍可以提高,SSL,性能,SSL,计算,负载均衡健康检查,30,FortiGate,通过健康检查的方式检测服务器运行状态,健康检查失败的服务器被不会被分配流量,健康检查方式,TCP,HTTP,PING,服务器,X,31,Thank You.,