2019年03月26日
在網(wǎng)站創(chuàng)立初期,我們一般都使用單臺(tái)機(jī)器對(duì)臺(tái)提供集中式服務(wù),但是隨著業(yè)務(wù)量越來(lái)越大,無(wú)論是性能上還是穩(wěn)定性上都有了更大的挑戰(zhàn)。這時(shí)候我們就會(huì)想到通過(guò)擴(kuò)容的方式來(lái)提供更好的服務(wù)。
我們一般會(huì)把多臺(tái)機(jī)器組成一個(gè)集群對(duì)外提供服務(wù)。然而,我們的網(wǎng)站對(duì)外提供的訪問(wèn)入口都是一個(gè)的,比如www.taobao.com。那么當(dāng)用戶在瀏覽器輸入www.taobao.com的時(shí)候如何將用戶的請(qǐng)求分發(fā)到集群中不同的機(jī)器上呢,這就是負(fù)載均衡在做的事情。
網(wǎng)絡(luò)技術(shù)
(一)簡(jiǎn)單理解四層和七層負(fù)載均衡:
① 所謂四層就是基于IP+端口的負(fù)載均衡;七層就是基于URL等應(yīng)用層信息的負(fù)載均衡;同理,還有基于MAC地址的二層負(fù)載均衡和基于IP地址的三層負(fù)載均衡。 換句換說(shuō),二層負(fù)載均衡會(huì)通過(guò)一個(gè)虛擬MAC地址接收請(qǐng)求,然后再分配到真實(shí)的MAC地址;三層負(fù)載均衡會(huì)通過(guò)一個(gè)虛擬IP地址接收請(qǐng)求,然后再分配到真實(shí)的IP地址;四層通過(guò)虛擬IP+端口接收請(qǐng)求,然后再分配到真實(shí)的服務(wù)器;七層通過(guò)虛擬的URL或主機(jī)名接收請(qǐng)求,然后再分配到真實(shí)的服務(wù)器。
② 所謂的四到七層負(fù)載均衡,就是在對(duì)后臺(tái)的服務(wù)器進(jìn)行負(fù)載均衡時(shí),依據(jù)四層的信息或七層的信息來(lái)決定怎么樣轉(zhuǎn)發(fā)流量。 比如四層的負(fù)載均衡,就是通過(guò)發(fā)布三層的IP地址(VIP),然后加四層的端口號(hào),來(lái)決定哪些流量需要做負(fù)載均衡,對(duì)需要處理的流量進(jìn)行NAT處理,轉(zhuǎn)發(fā)至后臺(tái)服務(wù)器,并記錄下這個(gè)TCP或者UDP的流量是由哪臺(tái)服務(wù)器處理的,后續(xù)這個(gè)連接的所有流量都同樣轉(zhuǎn)發(fā)到同一臺(tái)服務(wù)器處理。七層的負(fù)載均衡,就是在四層的基礎(chǔ)上(沒(méi)有四層是絕對(duì)不可能有七層的),再考慮應(yīng)用層的特征,比如同一個(gè)Web服務(wù)器的負(fù)載均衡,除了根據(jù)VIP加80端口辨別是否需要處理的流量,還可根據(jù)七層的URL、瀏覽器類(lèi)別、語(yǔ)言來(lái)決定是否要進(jìn)行負(fù)載均衡。舉個(gè)例子,如果你的Web服務(wù)器分成兩組,一組是中文語(yǔ)言的,一組是英文語(yǔ)言的,那么七層負(fù)載均衡就可以當(dāng)用戶來(lái)訪問(wèn)你的域名時(shí),自動(dòng)辨別用戶語(yǔ)言,然后選擇對(duì)應(yīng)的語(yǔ)言服務(wù)器組進(jìn)行負(fù)載均衡處理。
③ 負(fù)載均衡器通常稱為四層交換機(jī)或七層交換機(jī)。四層交換機(jī)主要分析IP層及TCP/UDP層,實(shí)現(xiàn)四層流量負(fù)載均衡。七層交換機(jī)除了支持四層負(fù)載均衡以外,還有分析應(yīng)用層的信息,如HTTP協(xié)議URI或Cookie信息。
· 負(fù)載均衡分為L4 switch(四層交換),即在OSI第4層工作,就是TCP層啦。此種Load Balance不理解應(yīng)用協(xié)議(如HTTP/FTP/MySQL等等)。例子:LVS,F(xiàn)5。
· 另一種叫做L7 switch(七層交換),OSI的最高層,應(yīng)用層。此時(shí),該Load Balancer能理解應(yīng)用協(xié)議。例子: haproxy,MySQL Proxy。
注意:上面的很多Load Balancer既可以做四層交換,也可以做七層交換。
(二)負(fù)載均衡設(shè)備也常被稱為”四到七層交換機(jī)”,那么四層和七層兩者到底區(qū)別在哪里?
第一,技術(shù)原理上的區(qū)別。
所謂四層負(fù)載均衡,也就是主要通過(guò)報(bào)文中的目標(biāo)地址和端口,再加上負(fù)載均衡設(shè)備設(shè)置的服務(wù)器選擇方式,決定最終選擇的內(nèi)部服務(wù)器。
以常見(jiàn)的TCP為例,負(fù)載均衡設(shè)備在接收到第一個(gè)來(lái)自客戶端的SYN 請(qǐng)求時(shí),即通過(guò)上述方式選擇一個(gè)最佳的服務(wù)器,并對(duì)報(bào)文中目標(biāo)IP地址進(jìn)行修改(改為后端服務(wù)器IP),直接轉(zhuǎn)發(fā)給該服務(wù)器。TCP的連接建立,即三次握手是客戶端和服務(wù)器直接建立的,負(fù)載均衡設(shè)備只是起到一個(gè)類(lèi)似路由器的轉(zhuǎn)發(fā)動(dòng)作。在某些部署情況下,為保證服務(wù)器回包可以正確返回給負(fù)載均衡設(shè)備,在轉(zhuǎn)發(fā)報(bào)文的同時(shí)可能還會(huì)對(duì)報(bào)文原來(lái)的源地址進(jìn)行修改。
所謂七層負(fù)載均衡,也稱為“內(nèi)容交換”,也就是主要通過(guò)報(bào)文中的真正有意義的應(yīng)用層內(nèi)容,再加上負(fù)載均衡設(shè)備設(shè)置的服務(wù)器選擇方式,決定最終選擇的內(nèi)部服務(wù)器。
以常見(jiàn)的TCP為例,負(fù)載均衡設(shè)備如果要根據(jù)真正的應(yīng)用層內(nèi)容再選擇服務(wù)器,只能先代理最終的服務(wù)器和客戶端建立連接(三次握手)后,才可能接受到客戶端發(fā)送的真正應(yīng)用層內(nèi)容的報(bào)文,然后再根據(jù)該報(bào)文中的特定字段,再加上負(fù)載均衡設(shè)備設(shè)置的服務(wù)器選擇方式,決定最終選擇的內(nèi)部服務(wù)器。負(fù)載均衡設(shè)備在這種情況下,更類(lèi)似于一個(gè)代理服務(wù)器。負(fù)載均衡和前端的客戶端以及后端的服務(wù)器會(huì)分別建立TCP連接。所以從這個(gè)技術(shù)原理上來(lái)看,七層負(fù)載均衡明顯的對(duì)負(fù)載均衡設(shè)備的要求更高,處理七層的能力也必然會(huì)低于四層模式的部署方式。
第二,應(yīng)用場(chǎng)景的需求。
七層應(yīng)用負(fù)載的好處,是使得整個(gè)網(wǎng)絡(luò)更”智能化“。例如訪問(wèn)一個(gè)網(wǎng)站的用戶流量,可以通過(guò)七層的方式,將對(duì)圖片類(lèi)的請(qǐng)求轉(zhuǎn)發(fā)到特定的圖片服務(wù)器并可以使用緩存技術(shù);將對(duì)文字類(lèi)的請(qǐng)求可以轉(zhuǎn)發(fā)到特定的文字服務(wù)器并可以使用壓縮技術(shù)。當(dāng)然這只是七層應(yīng)用的一個(gè)小案例,從技術(shù)原理上,這種方式可以對(duì)客戶端的請(qǐng)求和服務(wù)器的響應(yīng)進(jìn)行任意意義上的修改,極大的提升了應(yīng)用系統(tǒng)在網(wǎng)絡(luò)層的靈活性。很多在后臺(tái),例如Nginx或者Apache上部署的功能可以前移到負(fù)載均衡設(shè)備上,例如客戶請(qǐng)求中的Header重寫(xiě),服務(wù)器響應(yīng)中的關(guān)鍵字過(guò)濾或者內(nèi)容插入等功能。
另外一個(gè)常常被提到功能就是安全性。網(wǎng)絡(luò)中最常見(jiàn)的SYN Flood攻擊,即黑客控制眾多源客戶端,使用虛假I(mǎi)P地址對(duì)同一目標(biāo)發(fā)送SYN攻擊,通常這種攻擊會(huì)大量發(fā)送SYN報(bào)文,耗盡服務(wù)器上的相關(guān)資源,以達(dá)到Denial of Service(DoS)的目的。從技術(shù)原理上也可以看出,四層模式下這些SYN攻擊都會(huì)被轉(zhuǎn)發(fā)到后端的服務(wù)器上;而七層模式下這些SYN攻擊自然在負(fù)載均衡設(shè)備上就截止,不會(huì)影響后臺(tái)服務(wù)器的正常運(yùn)營(yíng)。另外負(fù)載均衡設(shè)備可以在七層層面設(shè)定多種策略,過(guò)濾特定報(bào)文,例如SQL Injection等應(yīng)用層面的特定攻擊手段,從應(yīng)用層面進(jìn)一步提高系統(tǒng)整體安全。
現(xiàn)在的7層負(fù)載均衡,主要還是著重于應(yīng)用HTTP協(xié)議,所以其應(yīng)用范圍主要是眾多的網(wǎng)站或者內(nèi)部信息平臺(tái)等基于B/S開(kāi)發(fā)的系統(tǒng)。 4層負(fù)載均衡則對(duì)應(yīng)其他TCP應(yīng)用,例如基于C/S開(kāi)發(fā)的ERP等系統(tǒng)。
第三,七層應(yīng)用需要考慮的問(wèn)題。
1:是否真的必要,七層應(yīng)用的確可以提高流量智能化,同時(shí)必不可免的帶來(lái)設(shè)備配置復(fù)雜,負(fù)載均衡壓力增高以及故障排查上的復(fù)雜性等問(wèn)題。在設(shè)計(jì)系統(tǒng)時(shí)需要考慮四層七層同時(shí)應(yīng)用的混雜情況。
2:是否真的可以提高安全性。例如SYN Flood攻擊,七層模式的確將這些流量從服務(wù)器屏蔽,但負(fù)載均衡設(shè)備本身要有強(qiáng)大的抗DDoS能力,否則即使服務(wù)器正常而作為中樞調(diào)度的負(fù)載均衡設(shè)備故障也會(huì)導(dǎo)致整個(gè)應(yīng)用的崩潰。
3:是否有足夠的靈活度。七層應(yīng)用的優(yōu)勢(shì)是可以讓整個(gè)應(yīng)用的流量智能化,但是負(fù)載均衡設(shè)備需要提供完善的七層功能,滿足客戶根據(jù)不同情況的基于應(yīng)用的調(diào)度。最簡(jiǎn)單的一個(gè)考核就是能否取代后臺(tái)Nginx或者Apache等服務(wù)器上的調(diào)度功能。能夠提供一個(gè)七層應(yīng)用開(kāi)發(fā)接口的負(fù)載均衡設(shè)備,可以讓客戶根據(jù)需求任意設(shè)定功能,才真正有可能提供強(qiáng)大的靈活性和智能性。
(三)負(fù)載均衡四七層介紹:
負(fù)載均衡(Load Balance)建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上,它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。
負(fù)載均衡有兩方面的含義:首先,大量的并發(fā)訪問(wèn)或數(shù)據(jù)流量分擔(dān)到多臺(tái)節(jié)點(diǎn)設(shè)備上分別處理,減少用戶等待響應(yīng)的時(shí)間;其次,單個(gè)重負(fù)載的運(yùn)算分擔(dān)到多臺(tái)節(jié)點(diǎn)設(shè)備上做并行處理,每個(gè)節(jié)點(diǎn)設(shè)備處理結(jié)束后,將結(jié)果匯總,返回給用戶,系統(tǒng)處理能力得到大幅度提高。
本文所要介紹的負(fù)載均衡技術(shù)主要是指在均衡服務(wù)器群中所有服務(wù)器和應(yīng)用程序之間流量負(fù)載的應(yīng)用,目前負(fù)載均衡技術(shù)大多數(shù)是用于提高諸如在Web服務(wù)器、FTP服務(wù)器和其它關(guān)鍵任務(wù)服務(wù)器上的Internet服務(wù)器程序的可用性和可伸縮性。
負(fù)載均衡技術(shù)分類(lèi)
目前有許多不同的負(fù)載均衡技術(shù)用以滿足不同的應(yīng)用需求,下面從負(fù)載均衡所采用的設(shè)備對(duì)象、應(yīng)用的網(wǎng)絡(luò)層次(指OSI參考模型)及應(yīng)用的地理結(jié)構(gòu)等來(lái)分類(lèi)。
軟/硬件負(fù)載均衡
軟件負(fù)載均衡解決方案是指在一臺(tái)或多臺(tái)服務(wù)器相應(yīng)的操作系統(tǒng)上安裝一個(gè)或多個(gè)附加軟件來(lái)實(shí)現(xiàn)負(fù)載均衡,如DNS Load Balance,CheckPoint Firewall-1 ConnectControl等,它的優(yōu)點(diǎn)是基于特定環(huán)境,配置簡(jiǎn)單,使用靈活,成本低廉,可以滿足一般的負(fù)載均衡需求。
軟件解決方案缺點(diǎn)也較多,因?yàn)槊颗_(tái)服務(wù)器上安裝額外的軟件運(yùn)行會(huì)消耗系統(tǒng)不定量的資源,越是功能強(qiáng)大的模塊,消耗得越多,所以當(dāng)連接請(qǐng)求特別大的時(shí)候,軟件本身會(huì)成為服務(wù)器工作成敗的一個(gè)關(guān)鍵;軟件可擴(kuò)展性并不是很好,受到操作系統(tǒng)的限制;由于操作系統(tǒng)本身的Bug,往往會(huì)引起安全問(wèn)題。
硬件負(fù)載均衡解決方案是直接在服務(wù)器和外部網(wǎng)絡(luò)間安裝負(fù)載均衡設(shè)備,這種設(shè)備我們通常稱之為負(fù)載均衡器,由于專門(mén)的設(shè)備完成專門(mén)的任務(wù),獨(dú)立于操作系統(tǒng),整體性能得到大量提高,加上多樣化的負(fù)載均衡策略,智能化的流量管理,可達(dá)到最佳的負(fù)載均衡需求。
負(fù)載均衡器有多種多樣的形式,除了作為獨(dú)立意義上的負(fù)載均衡器外,有些負(fù)載均衡器集成在交換設(shè)備中,置于服務(wù)器與Internet鏈接之間,有些則以兩塊網(wǎng)絡(luò)適配器將這一功能集成到PC中,一塊連接到Internet上,一塊連接到后端服務(wù)器群的內(nèi)部網(wǎng)絡(luò)上。
一般而言,硬件負(fù)載均衡在功能、性能上優(yōu)于軟件方式,不過(guò)成本昂貴。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案,業(yè)務(wù)涵蓋咨詢、評(píng)估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。