Solution负载均横解决方案.ppt

Fortinet负载均衡技术,Jan,2009,2,负载均衡概述,链路负载均衡,1,2,服务器负载均衡,3,负载均衡概述,3,负载均衡（LoadBalance）建立在现有网络结构之上，它提供了一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。链路负载均衡通过为不同链路通过算法分配合理流量，解决Internet网络拥塞状况，提高用户访问网站的响应速度。服务器负载均衡把大量的并发访问或数据流量分担到多台服务器上分别处理，减少用户等待响应的时间,4,链路负载均衡,负载均衡概述,2,1,服务器负载均衡,3,链路冗余优先路由,5,ISPA,ISPB,10M专线,DMZ,二级路由,默认路由,内部网,大多数公司使用多个ISP线路实现链路冗余，通过路由管理距离值配置实现链路切换。当ISPA链路出现问题时，流量可以切换到ISPB通过这种方式可以实现链路冗余，但负载没有在多条ISP链路上分布,链路冗余优先路由,6,通过管理距离值选择ISP(路由)当第一默认路由被检测到失效时，连接切换到第二条路由可以通过Ping服务器经过接口的可达状态来检测链路是否失效。Ping服务器可以识别到上游设备的3层问题，而不仅仅是通过本地接口的是否失效来检测。,ISPA第一默认路由,ISPB第二默认路由,链路冗余检测接口状态,7,在本地物理接口状态正常时，ISP也可能不能路由流量上游设备的三层问题可能造成网络中断开启网络接口选项可以监测一台上游设备/服务器(通常但不限于是下一跳的路由器)失效网关检测在网络选项中配置阈值,链路冗余优先路由+PBR,8,ISPA,ISPB,10M专线,DMZ,二级路由,默认路由,内部网,优先路由可以通过策略路由进行扩展，以更好的使用两条链路内网到外网的非关键流量(端口为80/443)，可以被重定向到低宽带的ISPB链路ISPA可以为关键流量保留(DMZ+Email)链路A失效时，所有的流量可以切换到链路B这种方式可提供基本的负载分发功能,80/443端口流量,链路冗余FortiOS3.0的ECMP,ISPA,ISPB,10M专线,DMZ,二级路由,默认路由,内部网,ECMP(EqualCostMultipath)通过多个ISP分发流量。当静态路由配置相同的距离值和优先级时，ECMP将会生效流量基于源地址进行分发ECMP支持OSPF或静态路由(ECMP只能在相同的路由协议下工作)两条链路宽带相同时可正常工作，否则，宽带较低的链路将会始终饱合(轮循方式)。这种方式可以链路冗余及负载均衡,链路冗余FortiOS4.0MR1的ECMP,10,ISPA,ISPB,10M专线,DMZ,二级路由,默认路由,内部网,与3.0相同，4.0的ECMP(EqualCostMultipath)通过多个ISP分发流量，但有更多的功能流量可通过三种方式在链路中分发源HUSH(与3.0相同)基于权重(基于权重的下一跳分发)基于使用率(路由选择基于网关的流量)最多支持10条链路ECMP支持OSPF或静态路由(ECMP只能在相同的路由协议下工作),ECMP描述源,11,ISPA,ISPB,10M专线,二级路由,默认路由,内部网,FortiGate基于会话的源地址在ECMP路由中对会话进行负载均衡，例如：通过ISPA路由通过ISPB路由通过ISPA路由如果在网络中有大量的代理服务，流量分发将不平均与3.0版本相同的工作方式,ECMP,ECMP描述权重,12,ISPA,ISPB,10M专线,二级路由,默认路由,内部网,FortiGate基于增加在ECMP路由中的权重值，在ECMP路由中对会话进行负载均衡，更多的流量将被指向到权重值高的路由基于4层的负载均衡(源/目的/端口)，根据静态路由中的路由权重值决定权重,ECMP,权重10,权重4,ECMP描述使用率,13,ISPA,ISPB,10M专线,二级路由,默认路由,内部网,FortiGate基于有多少流量经过路由的接口(例如在ISPA的路由接口上配置7Mbps阀值)，在ECMP路由中对会话进行负载均衡。超过7Mbps的流量将被动态路由到ISPB。FortiGate把所有的ECMP路由会话发送到配置最低值的接口，直到这个接口处理的宽带达到链路超载阀值。FortiGate将把后续的会话分配到第二低值的接口中。,ECMP,流量超过使用率阀值后，将溢出到另一条链路,注意,14,在以上所有示例中，内网与多个ISP(公网)之间必须使用NAT地址翻译。用户的常见问题是：“在网络中使用ECMP后，是否会出现非对称路由的情况”。因为使用了NAT，所以回答的否定的。当流量被发送到任意ISP链路时，内部IP将被NAT为ISP的公网IP。因此，流量的返回路由不可能被指向到其它ISP。上述所有ECMP描述都应用在对外出(outbound)流量进行路由，而没有对来自Internet的进入(inbound)的流量进行处理。进入流量将通过一些应用程序实现。,Inbound负载均衡SMTP,15,ISPA,ISPB,10M专线,DMZ,二级路由,默认路由,内部网,通过SMTP自有功能实现冗余在DNS中为MX记录指定权重，在主服务器失效时，可切换到第二台服务器上也可以指定相同的权重值，两台服务器以轮循方式工作MX记录使用相同权重值MX1ISPANAT到邮件服务器MX2ISPBNAT到邮件服务器,MailServer,DNS,MX,MX,MX,MX,Inbound负载均衡HTTP/Web,16,ISPA,ISPB,10M专线,DMZ,二级路由,默认路由,内部网,在DNS中指定多个IP地址大多数DNS服务器可以为不同的客户端随机返回一个IP地址。大多数浏览器在发现第一个IP地址失效时，可以自动切换到第二个IP地址,WebServer,DNS,17,服务器负载均衡,负载均衡概述,3,1,链路负载均衡,2,服务器负载均衡,18,FortiGate把来自Internet对服务器的访问，分发到多台服务器上健康检测发现某台服务器失效时，可以把流量分配到其它服务器上HTTP多路复用技术减少到Web服务器访问的会话数量SSLOffloading可替代服务器进行SSL认证,服务器,服务器负载均衡,访问服务器时，先访问到FortiGate外部接口的虚拟IP地址，由FortiGate将访问转发至真实服务器一个虚拟IP对应多个真实服务器IP，实现服务器负载均衡隐藏真实服务器IP，提高安全性负载均衡支持多种算法StaticRoundRobinWeightedFirstAliveLeastRTTLeastSession,Client,VIP,服务器负载均衡健康检测,某台服务器出现问题时，FortiGate将把流量自动转发到状态良好的服务器上检测服务器状态可用方法TCPHTTPPing,Client,VIP,应用加速HTTP多路复用,Client,多个客户连接,ServerFarm,健康检查,每个连接中的多个请求,客户请求复用(通过单个服务器会话),在FortiGate上维持和客户端的大量连接，而在FortiGate和服务器之间建立少量常开的连接减少服务器的资源消耗，提高服务器的处理性能。服务器必须支持HTTP/1.1,服务器负载均衡虚拟服务器,22,配置虚拟服务器，用户通过访问虚拟服务器IP访问物理服务器服务类型包括HTTP、HTTPS、SSL、TCP、UDP及IP服务器负载均衡方式选择分配负载的算法通过健康检查检测服务器的状态,负载均衡方式静态与轮询,23,静态与轮询方式都可以把流量平均的分配到各台服务器上静态方式根据源地址分发负载，实现3层负载均衡不根据会话进行流量分发轮询方式基于会话进行负载均衡不考虑服务器的响应时间或连接数,服务器,负载均衡方式加权,24,基于权重值对流量进行分配基于4层的负载均衡，根据真实服务器中配置的权重值的比例，按比例进行流量分配,服务器,权重5,权重10,负载均衡方式最早存活与最小响应时间,25,最早存活永远把流量转向第一个保持存活的服务器“第一”，指的是虚拟服务器配置中真实服务器的顺序最小响应时间根据健康检查的ping获得的RTT来判断将流量传到哪台服务器，流量一直转发到RTT值最低的服务器上没有配置Ping监测，则默认最小响应时间为0,服务器,负载均衡方式最小连接数,26,FortiGate始终把流量分配到连接数最少的服务器连接数是指FortiGate分配在服务器上的连接数量,服务器,负载均衡保持方式,27,确保用户在每次发起请求时，都连接到同一台真实服务器FortiGate根据负载均衡方式把新发起会话发送到某台真实服务器上，如果会话中包含HTTPCookie或SSLSessionID，则所有的含有相同HTTPCookie或SSLSessionID的后续会话都将发送到同一台真实服务器虚拟服务器类型设置为HTTP、HTTPS或SSL时，可配置保持方式选择无，会话只根据负载均衡方式进行分配。静态方式可以实现会话保持。选择HTTPCookie，所有的含有相同的HTTPsessioncookie的HTTP或HTTPS会话将发送到同一台真实服务器上。选择SSLSessionID，所有的含有相同的SSLsessionID的会话将发送到同一台真实服务器上。,服务器,HTTP多路复用,28,服务器,HTTPHTTPS,FortiGate上维持和客户端的大量连接，而在FortiGate和服务器之间建立少量常开的连接最小化TCP会话的建立，减少服务器的资源消耗，提高服务器的处理性能。服务器必须是HTTP/1.1,SSLoffloading,29,服务器,FortiGate进行SSL的加/解密运算，从服务器上“卸载”了SSL协商过程，加速客户端到服务器的SSL连接选择应用SSLoffloading连接段客户端FortiGate仅在客户端和FortiGate设备间使用SSL