某公司sinfor服务器负载解决方案

#服务器负载均衡解决方案深圳市深信服电子科技有限公司FOR # 目 录一、概述随着Internet的普及以及电子商务、电子政务的发展，单位的应用系统需要面对越来越高的访问量和数据量。这就对系统的稳定性和可用性以及可靠性提出了更高的要求;这样就使得单一的网络服务设备已经不能满足需要了，由此需要引入服务器的负载平衡，实现客户端同时访问多台同时工作的服务器，实现动态分配每一个应用请求到后台的服务器，并即时按需动态检查各个服务器的状态，根据预设的规则将请求分配给最有效率的服务器。实现数据流合理的分配，使每台服务器的处理能力都能得到充分的发挥，扩展应用系统的整体处理能力，提高应用系统的整体性能，改善应用系统的可用性和可用性，降低IT投资。服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它主要能够带来两方面的价值：1、建立有效的负载均衡机制。传统的负载机制是建立在较简单负载均衡机制和较简单的健康检查机制上的，不能根据服务器提供服务的具体情况向其转发有效的访问流量，通过构建新的负载均衡系统，可以采用多种负载均衡机制，根据服务器的负载能力智能确定该服务器所分担的负载。主要能够解决如下两个方面的问题：首先，大量的并发访问或数据流量将会被分担到多台设备上分别处理，进而减少用户等待响应的时间；再者，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高2、建立有效的健康检查机制。负载均衡系统应该可以对服务器的运行状况做出准确判断，确保提供的服务的正确。全面的健康检查机制不仅可以有效的监控到服务进程的有效性，即可以对应用端口提供服务的能力进行健康检查，而且对于其后应用逻辑造成的同样可以提供有效的检查机制，从而避免了客户端可以访问到服务器，但得不到正确的响应情况出现。二、需求分析*单位作为 (关于客户应用的介绍)随着访问用户数量的增加，给*单位的服务器带来越来越大的压力，如有有效的保证客户访问速度，实现访问流量在各服务器上均衡分配，充分利用各服务器资源，是目前*单位网络改造的重要目标。 *单位的*系统中有多台服务器，如果采用服务器群，会造成访问地址的复杂化和负载不平衡。对于每台服务器都必须有相应的唯一的IP地址，给用户的访问和网络管理带来不便；这些服务器之间的流量分配是随机的，不会考虑服务器当前的负载情况，在某些情形之下反而造成连接失败。为了解决上述存在的问题，*单位希望通过服务器负载均衡机制，保证用户访问流量能在各服务器上均衡分配，提高服务器资源的利用率。并且当某台服务器发生故障时能被及时检测到，并且故障服务器将会被自动隔离，直到其恢复正常后自动加入服务器群，实现透明的容错，保证服务器整体性能得到大幅提升。三、解决方案3.1网络拓扑通过和xx单位的工程的沟通，按照其单位网络架构和需求情况，我们推荐使用深信服AD服务器负载均衡解决方案。本方案设计采用SINFOR AD应用交付设备来实现网络中多台服务器的智能负载；具体部署情况如下：3.2方案描述3.2.1方案设计总体描述本方案设计采用两台深信服AD应用交付设备以冗余的方式接入网络来实现网络中多台应用服务器的负载均衡，在实现流量的负载均衡的同时，保证的整个系统的稳定和高可用性，而且没有改变原有的网络结构；同时对客户应用为SSL加密方式时，深信服提供SSL卸载技术将SSL的加密过程专家的深信服AD设备之上，由于深信服设备拥有超强的加解密能力能够满足搞并发访问网站的需求，减少服务器的性能压力，提升访问速度，甚至可以根据用户情况减少服务器的硬件投资 方案具体实现方式如下：1、 客户发出服务请求到SINFOR AD设备2、 SINFOR AD接收到请求，通过预先设定好的负载均衡算法，将数据包中目的IP地址改为选中的后台服务器IP地址，然后将数据包发出到后台选定的服务器3、 后台服务器收到后，将应答包按照其路由发回到SINFOR AD4、 SINFOR AD设备收到应答包后将其中的源地址改回成VIP的地址，发回客户端，由此就完成了一个标准的服务器负载平衡的流程。对于所有应用服务器，可以在SINFOR AD上配置Virtual Server实现负载均衡，同时SINFOR AD可持续检查服务器的健康状态，一旦发现故障服务器，则将其从负载均衡组中移除。3.2.2 服务器负载均衡及冗余两台SINFOR AD以主备的方式实现网络中多台服务器的负载均衡及冗余。AD可以根据相应的服务器负载均衡算法来实现快速访问的智能引导，当用户请求到SINFOR AD设备的时候，根据预先设定好负载策略能够合理的将每个连接快速的分配最合适的服务器，提升服务器的利用率，保证用户访问的快速性和稳定性。SINFOR AD的健康检查机制实现对服务器健康状况的实时监控，能够实时的发现出现故障的服务器，同时能够将用户的下一次连接情况平滑的切换到其他正常服务的服务器之上，保证应用服务的稳定性3.2.3 设备自身冗余性(根据客户需求进行删减) 两台SINFOR AD设备以主备的冗余方式方连接，处于备份状态的设备采用“心跳线”监测运行的设备的状态，当检测出设备故障时，两台设备就会产生毫秒级切换，备份设备会切换为运行主机，为用户提供服务，保证了系统的高可用性。3.2.4 易于管理性SINFOR AD产品提供https的安全Web全中文的界面管理，本地基于Serial Console的管理和SSH安全远程命令行管理；SINFOR AD产品还支持商业能分析功能，能够全面统计会话数的运行状况如会话连接数、用户数、应用分布情况、IP来源等相关情况，方便管理员对网络进行优化四、关键技术介绍4.1 服务器负载均衡算法SINFOR AD 通过VIP（虚拟IP地址,由IP地址和TCP/UDP应用的端口组成的一个IP）来为用户的一个或多个目标服务器提供负载均衡服务。为了保证多个用户的请求能够智能地转发到后端的应用服务器，确保在即使某个应用服务器出现故障的时候不会中断现有的应用，SIFNOR AD连续地对目标服务器进行L2到L7合理性检查，当用户通过VIP请求目标服务器服务时SINFOR AD根椐服务器群组中各个服务器的性能和网络健康情况，选择性能最佳的服务器响应用户的请求。这样，所有流量均衡的分配到各个服务器，不仅充分利用所有的服务器资源,而且各个服务器均衡的负担流量处理任务，而且有效地避免服务器处理任务“不平衡”现象的发生。SINFOR AD作为一台专业的应用交付设备，它提供6种灵活的算法和其他衍生算法将数据流有效地转发到它所连接的服务器群。用户只需要记住应用对外发布地址，即可快速的享受相应的服务。而在后台SINFOR AD会将他们的数据流通过灵活的负载均衡机制分担所有的服务器之上。轮询:轮询算法是指按照请求的先后顺序将其循环地连接到每个服务器.在这一算法包含了对服务器的健康检查如发现某台服务器出现故障,AD设备则将其排除出轮询队列,直至服务器恢复正常.这种算法的好处是简洁,他不需要记录服务器的连接状况,属于一种无状态调度;此算法在服务器组中各服务器处理性能一致的情况下比较适用,而在服务器处理性能不一的情况,而且请求服务时间相差较大的时候,轮询算法容易导致服务器之间的负载不平衡. 加权轮询算法：由于集群中的不同服务器可能有不同的功能，因此可以为各个服务器分配不同的加权值。根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7 层的故障，AD就把其从服务器队列中拿出，不参加下一次的用户请求的分配, 直到其恢复正常。通过这些分配的加权值将可以看出一个服务器相对于集群中其它服务器的处理容量。权值高的服务器先收到的连接，权值高的服务器比权值低的服务器处理更多的连加权最小连接算法：最小连接算法是一种动态调度算法，它通过服务器当前所活跃的连接数来估计服务器的负载情况。AD需要记录各个服务器已建立连接的数目，当一个请求被调度到某台服务器，其连接数加1；当连接中止或超时，其连接数减一;加权最小连接算法通过为各个服务器设定相应的权值,在调度新连接时尽可能的使服务器的已建立连接数和其权值成比例,AD把新的连接请求分配到当前比例最小的服务器上最快相应算法: AD传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7 层的故障，AD就把其从服务器队列中排除，不参加下一次的用户请求的分配.动态反馈: 通过检测服务CPU等相关设备利用率综合情况,来判断各个服务器的服务处理能力的, 在调度新连接时尽可能的选择性能最佳的服务器URL散列: 此算法是SINFOR AD专门针对cache缓存的一种算法,此算法能将缓存任务平均的分配到各个cache服务器之上,避免重复存储,提升cache服务器的利用率4.2服务器健康检查应用交付的需要解决的问题就是如何为用提供快速的访问服务,而服务器是所有应用的承载提，如果应用交付设备不能对应用进行健康检查，就无法做到对应用的高可靠性的保障。由此可见应用交付设备对应用进行健康检查的必要性。 SINFOR AD的高级健康检查功能，可以准确的做到应用层的健康检查。这种新的模块与流量复位向模块紧密相连，可以提前检验所有应用可用性和功能，SINFOR AD支持包括基础网络检查（Ping）、四层应用检查（TCP/UDP port）以及使用各种预先定义的检查程序和用户定制的检查程序。IP/TCP层（3层到4 层）监视，TCP/IP监视可以提供基本的状态监视，以检验设备或应用是可访问的。IP检查是通过Ping 和 ARP，而 TCP 检查是通过向用户定制的 TCP 端口发送 TCP Syn 请求，并接收到表明此应用正在运行的消息。7层监视，可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障，用户即被透明地复位向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。内容监视，是通过检查返回文本中是否有用户定义的字符串来实现的。例如对于一些应用如FTP、HTTP、NNTP和DNS，管理员现在可以检验服务器是否包含特定的内容。这能够保证用户获得完美的体验。如果检测到无效的内容，则认为整个应用路径被禁用，于是将用户定向到有效的数据源。用户自定义，除全面的预定义状态检查外，这种先进的状态监视模块还允许完全定制script，在其中可以定义发送和接收数据包的内容。当包含预定字符串的数据包被返回给状态监视模块时，就认为“通过”了检查，并认为应用运行正常。4.3会话保持SINFOR AD不仅可以为关键业务站点提供高可用性和智能负载平衡，与此同时，还可以识别用户固定访问特定服务器的要求，以支持用户重新建立到特定服务器的连接。在这种特定情况下，SINFOR AD将放弃原有的负载均衡算法举例来说，如果某位用户连接到了一台服务器上，那么我们肯定希望该用户在将来再次连接时将仍可连接到该台服务器上。特别是在该服务器没有与其它服务器动态共享时，这种会话持续性就显得十分有必要了。例如，让我们假设一位用户在淘宝网采购了下了一个订单，然后未进行交易支付就离开了该网站。如果在其重新登录网站后，SINFOR AD将客户请求路由至不同的服务器，那么新的服务器对该用户的数据和其所购买的商品将一无所知。如果客户第一次访问的服务器没有和其它的服务器在同一个后台数据库服务器中存储用户信息及其选购商品的话，那么具体的订单数据在新的服务器上是查询不到，这样客户只能再次重复第一次的工作。通过SINFOR AD的会话保持技术就可以为客户选择用户曾连接上的那台服务器，实现无缝地处理用户请求。SINFOR AD会话保持的功能将减少新建连接的数量，这将有助于减小负载均衡机系统开销。Cookies保持, Cookie持续性利用客户机存储的cookie信息来把客户机连接到合适的服务器上。其原理如下：首次命中HTTP请求（不带有cookie）进入SINFOR ADSINFOR AD任选一台服务器，将请求发送至该服务器来自该服务器的HTTP回复此时包括一个空白的cookie SINFOR AD重写cookie，并在粘贴一个特殊的cookie后将HTTP回复发送回去。再次命中HTTP请求（带有与上面同样的cookie）进入SINFOR ADSINFOR AD借助cookie信息确定合适的服务器HTTP请求（带有与上面同样的cookie）进入服务器HTTP回复（带有空白cookie）返回SINFOR AD，后者将向客户机提供更新后的cookie。IP保持，在这一模式下，只要持续性计数器尚未到时，指定流向某虚拟服务器的特定用户流量就会持续流向同一台服务器。4.4商业智能分析SINFOR AD是深信服最新推出的应用交付系列设备,与传统的负载均衡设备不同,他更加关注企业应用的整体交付过程中所出现的一系列问题.其突出特色就是SINFOR AD的智能分析功能.SINFOR AD具备强大的统计分析功能，能够有效统计分析链路的使用情况，包括流量、连接数、用户数；能够有效统计服务器的使用状况，包括连接数、响应时间、健康状态等；能有效统计访问用户的时间、地域分布特性以及用户的应用访问偏好。SINFOR AD能为企业提供关于链路使用情况、服务器使用情况、用户使用偏好等全面的智能报表分析,帮助企业快速全面的了解整个应用发布系统各个元素的运行状况。此功能可以为企业带来两点价值：1、为企业提供网络优化和改造的依据;2、为企业业务运营计划,提供商业决策的依据。4.5 SSL卸载技术SSL卸载技术是通过将SSL的加密过程专家的深信服AD设备之上，由于深信服设备拥有超强的加解密能力能够满足搞并发访问网站的需求，减少服务器的性能压力，提升访问速度，甚至可以根据用户情况减少服务器的硬件投资。SSL卸载技术细节说明请参见下图：通过SSL卸载技术，一般可以为两类使用带来不同的解决方案1、 已有系统的扩容的问题，随着访问人数的增多，当现用的SSL加密应用出现速度开始变慢的时，用户的选择要么是增加更多的服务器来满足性能需求，要么是通过SSL卸载技术来减轻服务器端的压力。第一种方法能够在一定的时间段内解决性能瓶颈的问题，但是如果随着用户进一步增加，就需要采购更多服务器，这样的硬件的投资会越来越多；如果选择第二种方法则不需要持续的硬件投资，就能极大的节省硬件投资成本；同时服务器的服务器的不增加，其实减少对增多硬件服务器的维护成本2、 对于新建SSL加密应用系统的单位而言，怎样才能满足更多用户的需求呢？第一、购买足够多的硬件服务器；第二、通过SSL卸载技术，极少服务器的购买台数； 相比之下，第一解决方案不仅硬件的投资成本过高，而且后续的扩容还需要更多硬件成本的投入；而第二种方案不仅能够在节省硬件成本的同时满足现在用户的访问的需要，而且即便是后续需要进一步的扩容，其硬件投资费用也要比第一方案要少得多五、SINFOR专业服务深信服科技有限公司致力于提升商业用户互联网带宽价值。利用创新、高性价比的产品，围绕商业用户Internet带宽资源，帮助用户降低成本（IPSec VPN实现网间互联）、提高效率（SSL VPN实现随时随地的移动办公、网间加速技术大幅度提升广域网速度）、防范风险（上网行为管理设备全面维护内网安全）等，提升Internet带宽价值。公司现有产品包括SSL VPN，上网行为管理，广域网加速设备和IPSec VPN等。从2000年底成立至今，公司以每年销售收入增长23倍、人员增长1倍的速度高速发展，在近四年连续入选德勤中国高科技、高成长50强。深信服科技坚持自主研发、每年将销售收入的15投入产品研发，目前已申请近30项网络及安全领域发明专利。目前，深信服科技在全国三十余个大中城市设立有直属办事处，服务销售网络遍布全国。截止到2008年底，“SINFOR”系列产品已经应用于1.4万多家客户、连接着国内外数万个网络，移动用户数量更是超过数十万个，在政府、金融、电信、教育、电网电力、石油石化、民航、物流、制造等诸多行业有着大规模的成熟应用。深信服科技以深圳总部为核心，经过多年的完善逐渐在全国范围内建设了三级服务体系，为广大用户提供全方位的服务。深信服科技服务体系覆盖广泛，布局合理，响应