67-负载均衡

Transcription

1 目录 1 负载均衡 概述 负载均衡的分类 服务器负载均衡的工作机制 防火墙负载均衡的工作机制 链路负载均衡的工作机制 配置链路负载均衡 配置思路 配置概述 配置全局参数 新建物理链路 配置就近性功能 新建逻辑链路组 新建逻辑链路 使能慢宕功能 新建虚服务 查看链路负载均衡统计信息 设置健康性检测参数 负载均衡典型配置举例 Outbound 链路负载均衡典型配置举例 i

2 1 负载均衡 UTM 设备仅支持链路负载均衡功能 1.1 概述 LB(Load Balance, 负载均衡 ) 是一种集群技术, 它将特定的业务 ( 网络服务 网络流量等 ) 分担给多台网络设备 ( 包括服务器 防火墙等 ) 或多条链路, 从而提高了业务处理能力, 保证了业务的高可靠性 负载均衡技术具有以下优势 : 高性能 : 负载均衡技术将业务较均衡地分配到多台设备或多条链路上, 提高了整个系统的性能 可扩展性 : 负载均衡技术可以方便地增加集群中设备或链路的数量, 在不降低业务质量的前提下满足不断增长的业务需求 高可靠性 : 单个甚至多个设备或链路发生故障也不会导致业务中断, 提高了整个系统的可靠性 可管理性 : 大量的管理工作都集中在应用负载均衡技术的设备上, 设备群或链路群只需要通常的配置和维护即可 透明性 : 对用户而言, 集群等同于一个可靠性高 性能好的设备或链路, 用户感知不到也不必关心具体的网络结构 增加和减少设备或链路均不会影响正常的业务 负载均衡的分类负载均衡包括服务器负载均衡 防火墙负载均衡和链路负载均衡三种类型, 三种负载均衡的应用场景如下 : 服务器负载均衡 : 在数据中心等组网环境中, 可以采用服务器负载均衡, 将网络服务分担给多台服务器进行处理, 提高数据中心的业务处理能力 防火墙负载均衡 : 在防火墙的处理能力成为瓶颈的组网环境中, 可以采用防火墙负载均衡, 将网络流量分担给多台防火墙设备, 提高防火墙的处理能力 链路负载均衡 : 在有多个运营商接口的组网环境中, 可以采用链路动态负载均衡, 实现链路的动态选择, 提高服务的可靠性 下面将分别介绍这三种负载均衡的工作机制 服务器负载均衡的工作机制服务器负载均衡是基于流的服务器负载均衡, 对报文进行逐流分发, 将同一条流的报文分发给同一个服务器 服务器负载均衡对基于 HTTP 的七层业务无法做到按内容进行分发, 限制了负载均衡业务的适用范围 服务器负载均衡有 NAT(Network Address Translation, 网络地址转换 ) 和直接路由 (Direct Routing, 以下简称 DR) 两种应用方式 1-1

3 1. NAT 方式的服务器负载均衡 图 1-1 NAT 方式的服务器负载均衡组网图 NAT 方式的服务器负载均衡包括以下几个基本元素 : 集群 (Cluster): 对外提供特定服务的群体, 包括 LB device 和 Server LB device: 负责分发各种服务请求到多台 Server 的设备 Server: 负责响应和处理各种服务请求的服务器 VSIP: 集群对外提供的虚服务 IP(Virtual Service IP), 供用户请求服务时使用 Server IP: 服务器的 IP 地址, 供 LB device 分发服务请求时使用 NAT 方式服务器负载均衡的工作流程如图 1-2 所示 图 1-2 NAT 方式的服务器负载均衡流程图 Host LB device Server (1) Request Dst=VSIP Src=Host IP (2) Scheduler (3) DNAT & Distribute request Dst=Server IP Src=Host IP (4) Response Dst=Host IP Src=Server IP (5) Forward response Dst=Host IP Src=VSIP Note: Dst=Destination IP Src=Source IP 流程简述请参见表

4 表 1-1 NAT 方式的服务器负载均衡流程描述 步骤说明报文的源 IP 报文的目的 IP (1) Host 发送服务请求报文 Host IP VSIP (2) LB device 接收到请求报文后, 借助调度算法计算出应 该将请求分发给哪台 Server - - (3) LB device 使用 DNAT(Destination NAT, 目的地址 NAT) 技术分发报文 Host IP Server IP (4) Server 接收并处理请求报文, 返回响应报文 Server IP Host IP (5) LB device 接收响应报文, 转换源 IP 后转发 VSIP Host IP 从以上一系列的说明可以看出 在服务器负载均衡时使用 NAT 技术,NAT 方式因此而得名 2. DR 方式的服务器负载均衡 图 1-3 DR 方式的服务器负载均衡组网图 DR 方式和 NAT 方式的主要区别 : 负载均衡过程中不使用 NAT 技术 这就意味着除了本身的 IP 地址, 服务器还需要配置 VSIP DR 方式的服务器负载均衡包括以下几个基本元素 : 集群 : 对外提供特定服务的群体, 包括 LB device General device 和 Server LB device: 负责分发各种服务请求到多台 Server 的设备 General device: 按照通常的转发规则转发数据的设备 Server: 负责响应和处理各种服务请求的服务器 VSIP: 集群对外提供的虚服务 IP, 供用户请求服务时使用 除了需要在 LB device 上配置, 还要在 Server 上配置 VSIP( 要求 Server 上的 VSIP 不能发送和响应 ARP 请求, 比如可以把 VSIP 配置在 Loopback 接口上 ) Server IP: 服务器的 IP 地址, 供 LB device 分发服务请求时使用 DR 方式服务器负载均衡的工作流程如图 1-4 所示 1-3

5 图 1-4 DR 方式的服务器负载均衡流程图 流程简述如下 : (1) Host 以 VSIP 为目的地址发送服务请求报文 (2) General device 收到请求后转发给 LB device 需要注意的是,Server 上的 VSIP 不能发送和响应 ARP 请求, 因此 General device 只会将请求转发给 LB device (3) LB device 收到请求后, 借助调度算法计算出应该将请求分发给哪台 Server (4) LB device 分发报文 需要注意的是,LB device 封装报文时, 目的 IP 为 VSIP, 目的 MAC 为 Server 的 MAC( 通过 ARP 请求 Server IP 获取 ), 这样就能保证请求报文能顺利转发给 Server (5) Server 接收并处理请求报文, 返回响应报文 需要注意的是, 响应报文的目的 IP 为 Host IP (6) General device 收到响应报文后, 直接将报文转发给 Host 从以上一系列的说明可以看出 转发请求报文时,LB device 没有采用传统的方式 ( 查找路由表 ), 而是通过修改目的 MAC 直接路由给 Server DR 方式因此而得名 防火墙负载均衡的工作机制图 1-5 防火墙负载均衡组网图 Cluster Firewall A Host A LB device A LB device B Host B IP network IP network Firewall B 防火墙负载均衡包括以下几个基本元素 : 集群 : 提供网络流量负载均衡的群体, 包括 LB device Firewall LB device: 负责分发请求发起方的网络流量到多台 Firewall 的设备 LB device 又分为一级和二级, 如果请求发起方的网络流量方向为 Host A > Host B, 则 LB device A 为一级,LB device 1-4

6 B 为二级 ; 如果请求发起方的网络流量方向为 Host B > Host A, 则 LB device B 为一级,LB device A 为二级 Firewall: 正常处理数据的防火墙 图 1-6 防火墙负载均衡流程图 LB device A Firewall LB device B (1) Traffic from source (2) Scheduler & Forward (3) Forward (4) Record & Forward to destination (5) Traffic from destination (6) Forward (7) Forward (8) Forward to source 流程简述如下 : (1) LB device A 接收流量 (2) LB device A 根据流量的目的 IP 范围和配置的负载分担规则将流量转发给某台 Firewall (3) Firewall 将流量转发给 LB device B (4) LB device B 作为二级 LB device, 记录转发该流量的防火墙, 并将流量转发到目的地 (5) LB device B 接收目的地发回的流量 (6) LB device B 根据 (4) 中的记录将流量转发给同一台 Firewall (7) Firewall 将流量转发给 LB device A (8) LB device A 将流量转发回源地址 在两台 LB device 之间并联多台防火墙进行网络流量的负载分担, 提高了网络的性能 因此, 防火 墙负载均衡又称为三明治负载均衡 防火墙负载均衡也可以和服务器负载均衡配合使用, 例如图 1-7 所示 1-5

7 图 1-7 防火墙负载均衡和服务器负载均衡综合组网图 Cluster A Firewall A Cluster B Server A IP A Host LB device A LB device B IP network VSIP Server B IP B Firewall B Server C IP C 图中 Cluster A 为防火墙负载均衡的集群,Cluster B 为 NAT 方式服务器负载均衡的集群 综合组网的工作流程就是防火墙 服务器负载均衡流程的叠加 这样的组网方式既避免了防火墙成为网络中的瓶颈, 也提高了各种网络服务 ( 如 HTTP FTP) 的性能和可用性 链路负载均衡的工作机制链路负载均衡分为 Outbound 方向和 Inbound 方向两种 : Outbound 链路负载均衡用于指导内网用户通过 LB 设备访问外部资源的路径选择, 其根据报文的目的 IP 地址和 Outbound 链路负载均衡配置, 查找合适的物理链路, 以指导流量路径选择 Inbound 链路负载均衡用于指导外部用户到 LB 设备的路径选择, 其根据 DNS 请求的域名和 Inbound 链路负载均衡配置, 查找合适的物理链路, 以指导流量路径选择 Inbound 链路负载均衡可以与服务器负载均衡配合使用 1. Outbound 链路负载均衡图 1-8 Outbound 链路负载均衡组网图 Cluster ISP1 Router A VSIP ISP2 IP network Source LB device Router B Destination ISP3 Router C Outbound 链路负载均衡包括以下几个基本元素 : 集群 : 提供网络流量负载均衡的群体, 包括 LB device 物理链路 1-6

8 LB device: 负责分发网络流量到多条物理链路的设备 物理链路 : 运营商提供的实际链路 VSIP: 集群对外提供的虚服务 IP, 即用户发送报文的目的网段 Outbound 链路负载均衡的工作流程如图 1-9 所示 图 1-9 Outbound 链路负载均衡流程图 流程简述如下 : (1) LB device 接收内网用户流量 (2) LB device 根据流量的目的 IP 和配置的 Outbound 链路负载均衡规则进行链路选择 (3) LB device 按照链路选择的结果将流量转发给选定的链路 (4) LB device 接收外网用户发回的流量 (5) LB device 将流量转发回内网用户 2. Inbound 链路负载均衡 图 1-10 Inbound 链路负载均衡组网图 Inbound 链路负载均衡包括以下几个基本元素 : 集群 : 提供网络流量负载均衡的群体, 包括 LB device 物理链路 本地 DNS 服务器 LB device: 作为待解析域名的权威服务器, 负责指导外网到内网流量的路径 物理链路 : 运营商提供的实际链路 本地 DNS 服务器 : 负责解析 Host 发送的 DNS 请求的本地 DNS 服务器 1-7

9 Inbound 链路负载均衡的工作流程如图 1-11 所示 图 1-11 Inbound 链路负载均衡流程图 流程简述如下 : (1) 外部用户进行资源访问前先进行 DNS 解析, 向其本地 DNS 服务器发送 DNS 请求 (2) 本地 DNS 服务器将 DNS 请求的源 IP 地址替换为自己的 IP 地址, 并转发给域名对应的权威 服务器 LB device (3) LB device 根据 DNS 请求的域名和配置的 Inbound 链路负载均衡规则进行域名解析 (4) LB device 按照域名解析的结果, 将 DNS 应答发送给本地 DNS 服务器 (5) 本地 DNS 服务器将解析结果转发给用户 (6) 用户使用解析结果选择的链路, 直接对 LB device 进行资源访问 1.2 配置链路负载均衡 配置思路 Outbound 链路负载均衡配置思路 Outbound 链路负载均衡模块的四个主要组成部分是物理链路 逻辑链路组 逻辑链路 虚服务, 四者之间的关系如图 1-12 所示 1-8

10 图 1-12 Outbound 链路负载均衡模块主要组成部分关系 物理链路 : 转发报文的实体 逻辑链路组 : 一组逻辑链路的集合 逻辑链路 : 基于物理链路的处理业务的逻辑载体 虚服务 : 集群面向用户的逻辑载体 一个虚服务可以对应多个逻辑链路 LB device 实现 Outbound 链路负载均衡的业务流程为 : (1) 用户向 LB device 的虚服务指定的目的网段发出报文后, 如果虚服务中指定了持续性方法, 且已存在匹配的持续性表项, 则直接根据持续性表项分发报文 ; 否则, 继续进行下面的流程 持续性方法的相关介绍请参见表 1-9 (2) 如果虚服务中使能了 ACL 策略, 则虚服务获取对应的逻辑链路组的信息, 并根据逻辑链路权值由大到小的顺序, 依次匹配逻辑链路中指定的 ACL, 对于 ACL 检查允许通过的报文, 则直接将报文分配给相应的逻辑链路 ; 如果 ACL 检查禁止通过或者没有匹配的逻辑链路, 则继续进行下面的流程 (3) 如果虚服务中使能了就近性功能, 则进行就近性检测, 根据匹配的就近性表项进行链路选择 ; 否则, 继续进行下面的流程 (4) 根据逻辑链路组中配置的链路调度算法, 将报文分配给某条逻辑链路 ( 对应一条唯一的物理链路 ) 配置概述配置 Outbound 链路负载均衡配置 Outbound 链路负载均衡的推荐步骤如表 1-2 所示 表 1-2 Outbound 链路负载均衡配置步骤步骤配置任务说明 可选 配置全局参数 启用保存上一跳信息功能, 启用单向流检测功能 缺省情况下, 保存上一跳信息和单向流检测功能均处于关闭状态 1-9

11 步骤配置任务说明 必选 新建物理链路 新建物理链路 ( 实际转发的链路 ), 配置物理链路参数 缺省情况下, 系统中没有物理链路可选配置动态就近性参数和静态就近性表项对于 Outbound 链路负载均衡, 就近性功能是指对目的地址匹配就近性表项的报文, 使用表项中的链路进行转发 ; 如果没有匹配的就近性表项, 则进行就近性检测, 即设备根据链路的网络延迟 路由器跳数 带宽 成本及权值进行计算, 从多条链路中选出到达目的网段的最优链路, 并生成动态就近性表项以指导报文转发 其中 : 网络延迟和路由器跳数通过健康性检测得到 配置就近性功能 带宽为链路的剩余带宽 成本在配置物理链路时指定 用户也可以手工添加静态就近性表项, 静态就近性表项的优先级高于动态就近性表项缺省情况下, 各个动态就近性参数都有缺省值, 系统中没有静态就近性表项 对于 Outbound 链路负载均衡, 只有在虚服务中配置了使能就近性时, 就近性功能才生效 必选 新建逻辑链路组 新建逻辑链路组, 配置逻辑链路组参数 缺省情况下, 系统中没有逻辑链路组 必选 新建逻辑链路 新建逻辑链路并加入相应的逻辑链路组 缺省情况下, 系统中没有逻辑链路 必选 新建虚服务 新建虚服务并引用相应的逻辑链路组 缺省情况下, 系统中没有虚服务 设置健康性检测参数 可选 配置健康性检测的参数 查看链路负载均衡统计信息 可选 1-10

12 步骤配置任务说明 可选 使能慢宕功能 当要将某逻辑链路对应的物理链路从集群中撤出时, 可以对该逻辑链路使能慢宕功能 这样,LB 设备不会再向该逻辑链路分配新的业务, 在该逻辑链路上原有的业务处理完后, 即可将物理链路从集群中撤出 使用慢宕功能可以避免物理链路的突然撤出而导致其上原有业务的中断 配置全局参数 在导航栏中选择 高可靠性 > 负载均衡 > 全局配置, 进入全局配置页面, 如图 1-13 所示 图 1-13 全局配置 全局参数的详细配置如表 1-3 所示 表 1-3 全局参数的详细配置 配置项 说明 设置是否启用保存上一跳信息功能 保存上一跳信息 启用保存上一跳信息功能可以保证响应报文按原路返回 防火墙负载均衡的二级 LB device 必须启用此功能设置是否启用单向流检测功能单向流环境是指一个会话中仅有一个方向的报文会通过设备, 而另一个方向的报文不通过设备, 此时设备正常的会话状态机将无法进行处理 设置启用单向流检测后, 会话管理将启用特殊的会话状态机, 可以同时处理双向流和单向流 启用单向流检测 (1) 启用单向流检测后, 部分业务功能将无法支持 ( 如 ASPF 将无法支持非 SYN 的 TCP 首包检查等 ), 系统安全性将会降低 请根据网络环境决定是否启用单向流检测, 如果网络中有单向流存在, 则应启用单向流检测, 否则将无法正确处理单向流 ; 如果网络中没有单向流存在, 则应关闭单向流检测, 以免影响系统的安全性 (2) DR 方式服务器负载的 LB device 必须在 防火墙 > 会话管理 > 基本设置 中启用单向流检测功能, 详细说明请参见 UTM 防火墙 Web 配置手册会话管理 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 1-11

13 1.2.4 新建物理链路在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > 物理链路, 进入如图 1-14 所示页面 页面显示物理链路的配置信息, 以及物理链路可用时链路的状态和出接口 单击 < 新建 > 按钮, 进入新建物理链路的配置页面, 如图 1-15 所示 图 1-14 物理链路 图 1-15 新建物理链路 新建物理链路的详细配置如表 1-4 所示 表 1-4 新建物理链路的详细配置 配置项 说明 链路名称 下一跳 物理链路名称, 唯一标识一条物理链路 物理链路对应的下一跳的 IP 地址 对物理链路进行健康性检测的类型 健康性检测类型 ICMP: 通过 ICMP 报文, 检测物理链路下一跳的可用性 TCP Half Open: 通过建立 TCP 半开连接, 检测物理链路下一跳的可用性 带宽 链路成本 物理链路允许的最大带宽 物理链路的开销 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 1-12

14 1.2.5 配置就近性功能 1. 配置动态就近性参数在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > 就近性, 默认进入 动态就近性参数 页签的页面, 如图 1-16 所示 图 1-16 动态就近性参数 动态就近性参数的详细配置如表 1-5 所示 表 1-5 动态就近性参数的详细配置 配置项 说明 按照就近性算法生成的动态就近性表项的掩码长度 表项掩码长度 选择 自然掩码 时, 表示根据生成动态就近性表项的 IP 地址的类型来确定该动态就近性表项的掩码长度, 即 : 当生成的动态就近性表项 IP 地址为 A 类地址时, 掩码长度为 8 当生成的动态就近性表项 IP 地址为 B 类地址时, 掩码长度为 16 当生成的动态就近性表项 IP 地址为 C 类 D 类或 E 类地址时, 掩码长度为 24 动态就近性表项的老化时间 表项老化时间 网络延迟权值 路由器跳数权值 动态就近性表项生成后, 如果在老化时间内没有匹配的流量经过, 则删除该动态就近性表项 ; 静态就近性表项不老化动态就近性算法中网络延迟所占的比重动态就近性算法中路由器跳数所占的比重 1-13

15 配置项 说明 带宽权值链路成本权值探测间隔超时时间 动态就近性算法中带宽所占的比重动态就近性算法中链路成本所占的比重就近性探测的时间间隔每次就近性探测的超时时间 Outbound 链路负载均衡中, 获得就近性计算参数 ( 网络延迟和路由器跳数 ) 的探测类型 Outbound 探测类型 ICMP: 通过 ICMP 报文, 探测远端地址的可达性并获得就近性计算参数 TCP Half Open: 通过建立 TCP 半开连接, 探测远端地址的可达性并获得就近性计算 参数 2. 配置静态就近性表项在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > 就近性, 单击 就近性表项 页签, 进入如图 1-17 所示的页面, 可以查看所有动态和静态就近性表项 单击 < 新建 > 按钮, 进入新建静态就近性表项的配置页面, 如图 1-18 所示 图 1-17 就近性表项 图 1-18 新建静态就近性表项 新建静态就近性的详细配置如表 1-6 所示 1-14

16 表 1-6 新建静态就近性表项的详细配置 配置项 说明 静态就近性表项的 IP 地址 IP 地址 对于 Outbound 链路负载均衡, 为报文的目的 IP 地址 掩码 物理链路 静态就近性表项的掩码长度 静态就近性表项对应的物理链路名称 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 新建逻辑链路组在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > Outbound, 默认进入 逻辑链路组 页签页面, 如图 1-19 所示 单击 < 新建 > 按钮, 进入新建逻辑链路组的配置页面, 如图 1-20 所示 图 1-19 逻辑链路组 图 1-20 新建逻辑链路组 新建逻辑链路组的详细配置如表 1-7 所示 1-15

17 表 1-7 新建逻辑链路组的详细配置 配置项 逻辑链路组名 逻辑链路组名称, 唯一标识一个逻辑链路组 说明 逻辑链路组进行流量分发的调度算法 轮转 : 把新连接依次分发给每个逻辑链路 加权轮转 : 根据逻辑链路权值大小把新连接依次分发给每个逻辑链路 ; 权值越大, 分配的新连接越多 最小连接 : 总是把新连接分发给当前活动连接数最小的逻辑链路 加权最小连接 : 总是把新连接分发给加权活动连接数 ( 当前活动连接数 / 权值 ) 最小的逻辑链路 随机 : 把新连接随机分发给每个逻辑链路 调度算法 加权随机 : 根据逻辑链路权值大小把新连接随机分发给每个逻辑链路 ; 权值越大, 随机分配的新连接越多 源地址散列 : 根据源地址把新连接分发给特定的逻辑链路, 该算法可以保证把源地址相同的新连接分发给同一逻辑链路 源地址端口散列 : 根据源地址和源端口把新连接分发给特定的逻辑链路, 该算法可以保证把源地址 源端口均相同的新连接分发给同一逻辑链路 目的地址散列 : 根据目的地址把新连接分发给特定的逻辑链路, 该算法可以保证把目的地址相同的新连接分发给同一逻辑链路 带宽 : 根据当前个物理链路的带宽占用情况, 该动态算法可以保证被分担的数据流分配到当前剩余带宽较多的物理链路逻辑链路组对逻辑链路进行健康性检测的类型 健康性检测类型 ICMP: 通过 ICMP 报文, 检测逻辑链路的可用性 TCP Half Open: 通过建立 TCP 半开连接, 检测逻辑链路的可用性 逻辑链路组检测到逻辑链路发生故障时, 处理已有连接的方法 逻辑链路故障处理 保持已有连接 : 不主动断开与故障逻辑链路的连接, 连接保持或断开由协议自身的超时机制决定 高级配置 使能温暖上线 准备时间 温暖上线时间 断开已有连接 : 主动断开与故障逻辑链路的连接 重定向已有连接 : 将连接重定向到逻辑链路组中其他可用的逻辑链路上当要在集群中新增一条链路时, 由于链路刚上线时可能无法立即承担大量的业务, 可以使能温暖上线功能 这样, 链路上线后, 在准备时间内,LB 设备不会向其分配业务 准备时间到达后, 在温暖上线时间内,LB 设备会随着时间的递增逐步增加向该链路分配业务的量 在温暖上线时间也到达后,LB 设备开始向该链路正常分配业务 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 1-16

18 1.2.7 新建逻辑链路在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > Outbound, 单击 逻辑链路 页签, 进入如图 1-21 所示的页面 单击 < 新建 > 按钮, 进入新建逻辑链路的配置页面, 如图 1-22 所示 图 1-21 逻辑链路 图 1-22 新建逻辑链路 新建逻辑链路的详细配置如表 1-8 所示 表 1-8 新建逻辑链路的详细配置 配置项 说明 逻辑链路名 权值 逻辑链路名称, 唯一标识一条逻辑链路 当逻辑链路所属的逻辑链路组的调度算法为加权轮转 加权最小连接 加权随机或带宽时, 该逻辑链路的权值 权值越小, 该逻辑链路被调度的次数越少 最大连接数限制 所属逻辑链路组 逻辑链路上的最大并发连接数 逻辑链路所属的逻辑链路组 1-17

19 配置项 说明 物理链路 逻辑链路所对应的物理链路 逻辑链路的 ACL,ACL 的具体规则在 防火墙 > ACL 中配置 ACL 只有在虚服务中配置了使能策略时, 此功能才生效 对该逻辑链路进行健康性检测时要关联的远端 IP 地址, 即只有对逻辑链路和指定远端 IP 地址的健康性检测都成功时, 才认为对逻辑链路的健康性检测成功 高级配置 关联服务器 如果在逻辑链路组中配置的健康检测类型为 TCP Half Open, 则在关联服务器中设置的端口号将不起作用 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 使能慢宕功能在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > Outbound, 单击 逻辑链路 页签, 进入如图 1-21 所示的页面 单击要使能慢宕功能的逻辑链路对应的图标, 进入修改逻辑链路页面, 单击 高级配置 前的扩展按钮, 如图 1-23 所示 图 1-23 修改逻辑链路 选中 使能慢宕 前的复选框, 单击 < 确定 > 按钮, 即可使能该逻辑链路的慢宕功能 使能慢宕功能后, 通过查看链路负载均衡统计信息, 待该逻辑链路原有的业务处理完后, 即可将相应的物理链路从集群中撤出 1-18

20 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 新建虚服务在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > Outbound, 单击 虚服务 页签, 进入如图 1-24 所示的页面 单击 < 新建 > 按钮, 进入新建虚服务的配置页面, 如图 1-25 所示 图 1-24 虚服务 图 1-25 新建虚服务 新建虚服务的详细配置如表 1-9 所示 表 1-9 新建虚服务的详细配置 配置项 说明 虚服务名 虚服务名称, 唯一标识一个虚服务 1-19

21 配置项虚服务 IP 地址掩码协议类型端口号 说明对外提供的 VSIP 和掩码, 即要进行负载均衡处理的报文的目的网段对外提供的服务的协议类型对外提供的服务的端口号 访问同一个虚服务的不同连接与链路的关联方式 选择空, 表示不采用任何关联 持续性方法 源地址方法 : 源地址相同的不同连接, 将分发到同一个链路 目的地址方法 : 目的地址相同的不同连接, 将分发到同一个链路 使用源地址方法或目的地址持续性方法可以减少 LB device 对流量进行分发的次数 持续性表项的老化时间 持续性生命值 使用持续性方法后, 会根据持续性方法生成持续性表项, 如果持续性表项在持续性生命值设定的时间范围内没有被匹配, 则删除表项 持续性方法选择空时, 不可设置 连接数限制逻辑链路组使能虚服务使能策略使能就近性 虚服务最大并发连接数虚服务引用的逻辑链路组配置完虚服务后, 是否使能虚服务是否使能引用的逻辑链路组中逻辑链路所指定的 ACL 策略是否使能就近性功能 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 查看链路负载均衡统计信息在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > Outbound, 单击 统计信息 页签 页面显示所有链路负载均衡虚服务的统计信息, 包括总连接数 活动连接数平均值 / 峰值 连接速率平均值 / 峰值 入方向转发和忽略的报文数 出方向转发报文数 单击虚服务名连接, 页面下方显示该虚服务中所有逻辑链路的统计信息, 包括总连接数 活动连接数平均值 / 峰值 连接速率平均值 / 峰值 接受报文数 发送报文数 如图 1-26 所示 1-20

22 图 1-26 统计信息 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 设置健康性检测参数在导航栏中选择 高可靠性 > 负载均衡 > 健康性检测, 进入如图 1-27 所示的页面 健康性检测共有 TCP ICMP TCP Half Open HTTP FTP 和 DNS 六种方式, 本节中只介绍链路负载均衡支持的两种方式 :ICMP 和 TCP Half Open 点击某种方式对应的图标, 即可进入对应的健康性检测参数设置页面, 如图 1-28 所示 图 1-27 健康性检测 1-21

23 图 1-28 修改健康性检测 健康性检测参数的详细配置如表 1-10 所示 表 1-10 健康性检测参数的详细配置 配置项 说明 健康性检测类型检测间隔超时时间重试次数 健康性检测时使用的方法健康性检测的时间间隔每次健康性检测的超时时间当重试次数为 n 时, 如果尝试 n 次检测, 相应的服务器或端口都不可用, 则认为该类型的健康性检测失败 可点击返回 表 1-2 Outbound 链路负载均衡配置步骤 1.3 负载均衡典型配置举例 Outbound 链路负载均衡典型配置举例 1. 组网需求用户从两个运营商分别租用了一条物理链路 ISP1 和 ISP2, 这两条物理链路的路由器跳数 带宽和成本均一致, 但 ISP2 的网络延迟小于 ISP1 希望到达目的地址为 /24 网段的报文使用物理链路 ISP1, 其他目的地址的报文使用两条链路中的最优链路 2. 配置思路根据需求分析如下 : 需求为 Outbound 方向链路动态负载均衡 Outbound 链路负载均衡 到达目的地址走最优的链路 采用就近性检测功能 目的网段为 /24 的报文走确定物理链路 ISP1 使用 ACL 根据以上分析, 采用如图 1-29 所示的组网方案 1-22

24 图 1-29 Outbound 链路负载均衡 3. 配置步骤 假设物理链路 ISP1 ISP2 已经部署完成且状态为健康,LB device 的其他特性 ( 如各接口 IP 地址及所属安全域 路由 ) 也已经配置完成, 以下将重点描述 Outbound 链路负载均衡的配置 # 定义 ACL 3000, 允许目的网段为 /24 的报文通过 在导航栏中选择 防火墙 > ACL, 单击 < 新建 > 按钮, 进行如下配置, 如图 1-30 所示 图 1-30 新建 ACL 3000 输入访问控制列表 ID 为 3000 单击 < 确定 > 按钮完成操作 单击访问控制列表 3000 对应的图标, 单击 < 新建 > 按钮, 进行如下配置, 如图 1-31 所示 1-23

25 图 1-31 配置 ACL 3000 的规则 选择操作为 允许 选中 目的 IP 地址 前的复选框, 输入目的 IP 地址为 , 输入目的地址通配符为 单击 < 确定 > 按钮完成操作 # 新建 ISP1 对应的物理链路 在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > 物理链路, 单击 < 新建 > 按钮, 进行如下配置, 如图 1-32 所示 图 1-32 新建 ISP1 对应的物理链路 1-24

26 输入链路名称为 ISP1 输入下一跳为 单击 < 确定 > 按钮完成操作 # 新建 ISP2 对应的物理链路 在物理链路的显示页面单击 < 新建 > 按钮, 进行如下配置, 参见图 1-32 输入链路名称为 ISP2 输入下一跳为 单击 < 确定 > 按钮完成操作 # 新建逻辑链路组 LogicalLinkGrp, 采用带宽调度算法 在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > Outbound, 默认进入 逻辑链路组 页签的页面, 单击 < 新建 > 按钮, 进行如下配置, 如图 1-33 所示 图 1-33 新建逻辑链路组 LogicalLinkGrp 输入逻辑链路组名为 LogicalLinkGrp 选择调度算法为 带宽 单击 < 确定 > 按钮完成操作 # 新建 ISP1 对应的逻辑链路 LogicalLink1 单击 逻辑链路 页签, 单击 < 新建 > 按钮, 进行如下配置, 如图 1-34 所示 1-25

27 图 1-34 新建 ISP1 对应的逻辑链路 LogicalLink1 输入逻辑链路名为 LogicalLink1 选择所属逻辑链路组为 LogicalLinkGrp 选择物理链路为 ISP1 输入 ACL 为 3000 单击 < 确定 > 按钮完成操作 # 新建 ISP2 对应的逻辑链路 LogicalLink2 在逻辑链路的显示页面单击 < 新建 > 按钮, 进行如下配置, 参见图 1-34 输入逻辑链路名为 LogicalLink2 选择所属逻辑链路组为 LogicalLinkGrp 选择物理链路为 ISP2 单击 < 确定 > 按钮完成操作 # 新建虚服务 vs 单击 虚服务 页签, 单击 < 新建 > 按钮, 进行如下配置, 如图 1-35 所示 1-26

28 图 1-35 新建虚服务 vs 输入虚服务名为 vs 输入虚服务 IP 地址为 选择掩码为 0 ( ) 选择协议类型为 任意 输入端口号为 0 选择逻辑链路组为 LogicalLinkGrp 选中 使能虚服务 前的复选框 选中 使能策略 前的复选框 选中 使能就近性 前的复选框 单击 < 确定 > 按钮完成操作 4. 配置结果验证 内网用户发送目的地址在 /24 网段内的报文到外网 在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > 就近性, 单击 就近性表项 页签, 查看到有如图 1-36 所示的动态就近性表项 图 1-36 就近性表项 1-27

29 正常运行一段时间后, 在导航栏中选择 高可靠性 > 负载均衡 > 链路负载均衡 > Outbound, 单击 统计信息 页签 选择查询项为 虚服务名 输入关键字为 vs 单击 < 查询 > 按钮, 查看到的统计信息如图 1-37 所示 图 1-37 统计信息 ( 一 ) 单击图标, 将虚服务 vs 的统计信息清空 内网用户发送目的地址在 /24 网段内的报文到外网 正常运行一段时间后, 单击 < 刷新 > 按钮, 查看到统计信息如图 1-38 所示 图 1-38 统计信息 ( 二 ) 1-28

30 由以上信息可以看出, 到达目的网段 /24 的报文都分发给了最优链路 ISP2, 到达目的网段 /24 的报文都分发给了需求中指定的链路 ISP1 链路负载均衡功能生效 1-29