01-11 负载均衡故障处理.doc

Quidway Eudemon 300/500/1000故障处理 业务篇表格目录目 录11 SLB负载均衡故障处理11-111.1 简介11-211.1.1 虚拟服务技术11-211.1.2 基于流的转发11-311.2 故障处理过程11-311.2.1 典型组网环境11-311.2.2 配置注意事项11-411.2.3 故障诊断流程11-511.2.4 故障处理步骤11-611.3 FAQ11-711.4 故障诊断工具11-7文档版本 02 (2007-12-15)华为技术有限公司v插图目录图11-1 负载均衡示意图11-2图11-2 SLB组网图11-3图11-3 SLB故障诊断流程图11-6表格目录表11-1 display slb group命令输出信息描述11-8表11-2 display slb rserver 命令输出信息描述11-8表11-3 display slb vserver命令输出信息描述11-9Quidway Eudemon 300/500/1000故障处理 业务篇11 SLB负载均衡故障处理11 SLB负载均衡故障处理关于本章本章描述内容如下表所示。标题内容11.1 简介介绍进行负载均衡故障处理时用户所需的知识要点。11.2 故障处理过程针对典型的组网环境，介绍配置负载均衡故障处理时要注意的事项，故障处理的流程和详细的故障处理步骤。11.3 FAQ列出用户常问的问题，并给出了相应的解答。11.4 故障诊断工具介绍了进行故障处理所需的故障诊断工具，包括display命令。11.1 简介当前的网络应用中，单台服务器的处理能力已经成为网络中的瓶颈，尤其是在IDC（Internet Data Center）、网站等应用场合。具体体现在：单路服务器的平均处理能力仅为1K TPS，而访问服务器的用户却很多，如果单纯升级服务器的性能，则浪费了前期的投资，且费用昂贵。如果增加服务器的数目，需要进行复杂的控制，且容错和热备冗余方式能力有限，抗网络DoS攻击能力弱。Eudemon防火墙提出负载均衡SLB（Server Load Balance）功能解决上述问题。防火墙按照配置的算法，将用户流量分配到不同的服务器上，充分利用各个服务器的处理能力，达到最佳的可扩展性。除提供负载均衡功能外，防火墙还能支持常规攻击防范功能，保障服务器的安全。负载均衡采用以下技术，将用户流量分配到多台服务器。11.1.1 虚拟服务技术防火墙配置负载均衡功能后，多个服务器共用一个公网IP地址（即虚拟IP地址）。这些服务器被称作真实服务器。用户通过该虚拟IP地址访问这些服务器上的内容。每一个真实服务器使用不同的私网地址（真实IP地址），由防火墙或多层交换机将访问虚拟IP地址的流量按照预先配置的算法分配到每一个真实服务器。为方便管理，在虚拟服务器VServer（Virtual Server）和真实服务器RServer（Real Server）之间通过组group进行衔接。group是一个逻辑概念，防火墙通过group对真实服务器进行管理，提供网络服务。VServer/Group/Rserver之间对应关系如图11-1所示。图11-1 负载均衡示意图采用虚拟服务器有如下优点：l 节约公网IP地址l 提高系统的安全性l 提高系统的可扩展性l 服务器健康性检测Eudemon防火墙通过周期性的探测真实服务器，实现健康性检查功能。真实服务器如果可用，则返回应答报文；如果不可用，一段时间后防火墙将禁止该真实服务器，将流量按配置好的策略分配到其他的真实服务器上。使用服务器健康性检测，提高了系统的可用性，保证每次连接都是有效的，服务器都能正常提供服务。11.1.2 基于流的转发通过指定算法，将数据流发送到各个真实服务器进行处理。目前，Eudemon系列支持源地址hash、轮询、加权轮询三种负载均衡算法。11.2 故障处理过程本节介绍如下的内容。l 典型组网环境l 配置注意事项l 故障诊断流程l 故障处理步骤11.2.1 典型组网环境SLB负载均衡的典型组网如图11-2所示。负载均衡的故障处理将基于该网络。图11-2 SLB组网图在此组网中，采用了如下的方案：l 使用Eudemon防火墙作为ftp服务器负载均衡设备；l 内部网络中有三台真实服务器向外提供服务；l 对外的虚拟IP地址为；l 用户定义的ftp端口是22。11.2.2 配置注意事项配置项子项注意事项真实地址配置真实IP地址分流的主机的IP地址，将负载分配到各个实际主机中。健康检查真实服务器为主机配置健康值。虚拟地址配置虚拟服务器IP地址负载均衡时访问的IP地址，会将数据分流到各个真实IP中。虚拟服务名称配置虚拟服务器的名称。Group组配置设置真实服务器为组添加真实服务器，可以添加多个服务器，用于负载均衡到各个主机。设置负载均衡算法可以选择轮转算法、源地址哈希算法或加权轮转算法。下面以防火墙上的配置为例说明配置负载均衡时需要注意的事项。配置以太网接口IP地址略将接口加入到安全区域Eudemon firewall zone dmzEudemon-zone-dmz add interface ethernet 1/0/1Eudemon-zone-dmz quitEudemon firewall zone untrustEudemon-zone-untrust add interface ethernet 1/0/0Eudemon-zone-untrust quit打开域间包过滤规则Eudemon acl 2000Eudemon-acl-basic-2000 rule permit source 55Eudemon-acl-basic-2000 quitEudemon acl 2001Eudemon-acl-basic-2001 rule permit source 55Eudemon-acl-basic-2001 quitEudemon firewall interzone dmz untrustEudemon-interzone-dmz-untrust packet-filter 2000 inboundEudemon-interzone-dmz-untrust packet-filter 2001 outbound配置对ftp协议指定ASPF策略Eudemon firewall interzone dmz untrustEudemon-interzone-dmz-untrust detect ftpSLB部分的配置# 配置真实服务器与虚拟服务器，并配置使用加权轮询算法进行流量均衡。Eudemon slb Eudemon-slb rserver 1 rip weight 32Eudemon-slb rserver 2 rip weight 16Eudemon-slb rserver 3 rip weight 32 activeEudemon-slb group testEudemon-slb-group-test metric weightRREudemon-slb-group-test addrserver 1Eudemon-slb-group-test addrserver 2Eudemon-slb-group-test addrserver 3Eudemon-slb vserver huawei vip group test tcp vport 22 rport 21Eudemon-slb quitEudemon slb enable11.2.3 故障诊断流程针对图11-2所示的网络，在完成配置后，发现负载均衡失败，无法访问服务器。请使用下面的故障诊断流程，如图11-3所示。图11-3 SLB故障诊断流程图11.2.4 故障处理步骤步骤 1 检查防火墙是否打开负载均衡功能。在用户视图下执行命令display current-configuration，查看防火墙的配置，如果配置中没有slb enable，请在系统视图下执行命令slb enable，打开负载均衡功能。如果此时还无法访问服务器，请执行步骤2。步骤 2 检查group组是否建立。在用户视图下执行命令display slb group，查看已建立的group组。1. 如果没有建立group组，请在slb视图下建立group组，并将相应的真实服务器加入到group组中；2. 如果group组信息不正确，请修改group组信息；3. 如果此时还无法访问服务器，请执行步骤3。步骤 3 检查虚拟IP是否建立。在用户视图下执行命令display slb vserver，查看虚拟IP信息。1. 如果没有建立虚拟IP信息，请建立虚拟IP信息并与对应的group组信息绑定；2. 如果虚拟IP信息不正确，请修改虚拟IP信息；如果故障仍然没有解决，请联系华为技术支持工程师。-结束11.3 FAQl 问：配置负载均衡需要在哪个视图下进行？答：配置负载均衡必须在SLB视图下进行，在系统视图下输入SLB进入SLB视图。l 问：为什么需要引入group组的概念？答：为管理方便，在虚拟服务器Vserver和真实服务器Rserver之间通过组group进行衔接。Group是一个逻辑概念，通过group对真实服务器进行管理，提供服务类型，如：tcp或udp服务。一个VServer对应一个group。对Rserver的管理通过组来完成。l 问：什么是虚拟服务器？答：虚拟服务器是指在进行负载均衡时，多个服务器共用一个公网IP地址（虚拟IP地址），对这些服务器上内容的访问都通过该地址来进行。实际上，每一个服务器使用不同的私网IP地址（真实IP地址），由防火墙或多层交换机将访问虚拟IP地址的流量按照设定的策略分配到每一个真实服务器上。l 问：每个组最多可以配多少个Rserver？答：每个group最多支持最多16个Rserver。l 问：防火墙最多支持多少个Rserver？多少个VServer？多少个Group？答：防火墙最多支持1024个Rserver，256个VServer和256个Group。11.4 故障诊断工具# display命令命令说明display slb group显示服务器组的配置信息display slb rserver显示真实服务器的配置信息display slb vserver显示虚拟服务器的配置信息display slb group display slb groupgroup name: slbgroup metric: roundrobin vserver number: 1 virtural ip: 0 real server number: 3 real server id list: 1, 2, 3显示信息的解释如表11-1所示。表11-1 display slb group命令输出信息描述项目说明group nameSLB服务器组的名称vserver numberSLB服务器组的虚拟服务器个数virtural ipSLB服务器组的虚拟IPreal server numberSLB服务器组的真实服务器个数real server id listSLB服务器组的实服务器序号列表为1、2、3display slb rserver display slb rserverrserver 1 rip weight 32 healthchk status inactive health status 0, applied to 1 group(s)virtural ip: 0显示命令的解释如表11-2所示。表11-2 display slb rserver 命令输出信息描述项目说明rserver 1 rip ID为1的实服务器IP地址为Weight权重status inactive真实服务器的状态为未激活health status