淺析負載均衡技術的分類及應用

文｜徐楓

前言

隨著計算機及網絡技術的快速發(fā)展和企業(yè)信息化程度的不斷提高，當前，無論在因特網還是企業(yè)內部網上，數據量的發(fā)展都快速超出網絡建設時的預期。而負載均衡正是在網絡現有結構之上，提供了一種有效、透明、具有高可靠性的方法，擴展了服務器、網絡設備、鏈路的帶寬，加強了網絡數據處理能力，提高了網絡的靈活性和可用性。

各類負載均衡技術

目前有多種不同的負載均衡技術可以滿足不同的應用需求。從負載均衡所采用的設備對象上可分為軟、硬件負載均衡；從應用的物理結構上可分為本地、全局負載均衡；從應用的網絡層次上有第二層負載均衡（鏈路負載均衡）、第四-七層負載均衡?，F代負載均衡設備多同時提供了多種實現負載均衡的方式，以適應不同的應用環(huán)境，例如本地負載均衡可以做服務器負載均衡或鏈路負載均衡，全局負載均衡可以做DNS（域名服務）負載均衡、第四-七層負載均衡等，服務器負載均衡也同時涉及第四-七層負載均衡等。

服務器負載均衡

服務器負載均衡，就是對一組服務器提供負載均衡業(yè)務。這一組服務器可以處于同一個局域網絡內，也可以處于不同局域網絡內。這一組服務器同時對外提供一組（或多組）相同（或相似）的服務。服務器負載均衡是數據中心最常見的組網模型。

服務器負載均衡包括以下幾個基本元素：

※ LB（負載均衡）Device：負責分發(fā)各種服務請求到多個Server的設備。

※ Server：負責響應和處理各種服務請求的服務器。

※ VSIP（虛服務IP地址）：對外提供的虛擬IP，供用戶請求服務時使用。

※ Server IP：服務器的IP地址，供LB Device分發(fā)服務請求時使用。

依據轉發(fā)方式，服務器負載均衡分為NAT（網絡地址轉換）方式和DR（直接路由）方式。兩種方式的處理思路相同：LB設備提供VSIP，用戶訪問VSIP請求服務后，LB設備根據調度算法分發(fā)請求到各個實服務。而在具體的處理方式上有所區(qū)別：

NAT方式：LB設備分發(fā)服務請求時，進行目的IP地址轉換（目的IP地址為實服務的IP），通過路由將報文轉發(fā)給各個實服務。

DR方式：LB設備分發(fā)服務請求時，不改變目的IP地址，而將報文的目的MAC替換為實服務的MAC后直接把報文轉發(fā)給實服務。

NAT方式典型組網如圖1所示。

圖1 NAT方式的服務器負載均衡

客戶端將到VSIP的請求發(fā)送給服務器群前端的負載均衡設備，負載均衡設備上的虛服務接收客戶端請求，依次根據持續(xù)性功能、調度算法，選擇真實服務器，再通過網絡地址轉換，用真實服務器地址重寫請求報文的目標地址后，將請求發(fā)送給選定的真實服務器；真實服務器的響應報文通過負載均衡設備時，報文的源地址被還原為虛服務的VSIP，再返回給客戶，完成整個負載調度過程。

DR方式典型組網如圖2所示。

圖2 DR方式的服務器負載均衡

DR方式的服務器負載均衡時，除了LB設備上配置了VSIP，真實服務器也都配置了VSIP，配置的VSIP要求不能響應ARP請求，例如在環(huán)回接口上配置VSIP。實服務除了VSIP，還需要配置一個真實IP，用于和LB通信，LB設備和真實服務器在同一個鏈路域內。發(fā)送給VSIP的報文，由LB分發(fā)給相應的真實服務器，從真實服務器返回給客戶端的報文直接通過交換機返回。

網關負載均衡

防火墻網關、VPN網關等各類網關設備，因為業(yè)務處理的復雜性，往往成為網絡瓶頸。以防火墻網關為例：防火墻作為網絡部署的“警衛(wèi)”，在網絡中不可或缺，但其往往不得不面臨這樣的尷尬：網絡防衛(wèi)越嚴格，需要越仔細盤查過往的報文，從而導致轉發(fā)性能越低，成為網絡瓶頸。

在這種情況，如果廢棄現有設備去做大量的硬件升級，必將造成資源浪費，隨著業(yè)務量的不斷提升，設備也將頻繁升級。頻繁升級的高成本是相當可怕的。因此將網關設備等同于服務器，組建網關集群的方案應運而生：將多個網關設備并聯(lián)到網絡中，從而形成集群，提高網絡處理能力。

※ 網關負載均衡包括以下幾個基本元素：

※ LB Device：負責分發(fā)請求發(fā)起方的網絡流量到多個網關設備。LB Device又分為一級和二級。如圖7所示，如果請求發(fā)起方的網絡流量方向為Host A > Host B，則LB Device A為一級，LB Device B為二級；如果請求發(fā)起方的網絡流量方向為Host B > Host A，則LB Device B為一級，LB Device A為二級。

※ 網關設備：正常處理數據的網關設備，如：SSL VPN網關，IPsec網關，防火墻網關等。

以防火墻網關負載均衡為例，組網應用如圖3所示。

圖3 雙側防火墻網關負載均衡

2.3 服務器負載均衡和網關負載均衡融合

網關負載均衡也可以和服務器負載均衡融合使用，以防火墻網關和服務器負載均衡綜合組網為例，具體組網如圖4所示。

圖4 防火墻網關、服務器負載均衡綜合組網圖

圖4中Cluster A為防火墻負載均衡的集群，Cluster B為NAT方式服務器負載均衡的集群。綜合組網的工作流程就是防火墻、服務器負載均衡流程的疊加。這樣的組網方式既避免了防火墻成為網絡中的瓶頸，也提高了各種網絡服務（如HTTP、FTP）的性能和可用性。

鏈路負載均衡

鏈路負載均衡技術主要用于多運營商出口的網絡結構，它通過動態(tài)算法，能夠在多條鏈路中進行負載均衡，算法配置簡單，且具有自適應能力。鏈路負載均衡根據業(yè)務流量方向可以分為Outbound鏈路負載均衡和Inbound鏈路負載均衡兩種情況。

1、Outbound鏈路負載均衡

內網和外網之間存在多條鏈路時，通過Outbound鏈路負載均衡可以實現在多條鏈路上分擔內網用戶訪問外網服務器的流量。Outbound鏈路負載均衡的典型組網如圖5所示。

圖5 Outbound鏈路負載均衡組網圖

Outbound鏈路負載均衡包括以下幾個基本元素：

※ LB device：負責將內網到外網流量分發(fā)到多條物理鏈路的設備。

※ 物理鏈路：運營商提供的實際鏈路。

※ VSIP：對外提供的虛服務IP，即用戶發(fā)送報文的目的網段。

Outbound鏈路負載均衡中VSIP為內網用戶發(fā)送報文的目的網段。用戶將訪問VSIP的報文發(fā)送到負載均衡設備后，負載均衡設備依次根據持續(xù)性功能、ACL策略、就近性算法、調度算法選擇最佳的物理鏈路，并將內網訪問外網的業(yè)務流量分發(fā)到該鏈路。

2、Inbound鏈路負載均衡

內網和外網之間存在多條鏈路時，通過Inbound鏈路負載均衡可以實現在多條鏈路上分擔外網用戶訪問內網服務器的流量。Inbound鏈路負載均衡的典型組網如圖6所示。

圖6 Inbound鏈路負載均衡組網圖

Inbound鏈路負載均衡包括以下幾個基本元素：

※ LB device：負責引導外網流量通過不同物理鏈路轉發(fā)到內網，從而實現流量在多條物理鏈路上分擔的設備。同時，LB device還需要作為待解析域名的權威名稱服務器。

※ 物理鏈路：運營商提供的實際鏈路。

※ 本地DNS服務器：負責解析外網用戶發(fā)送的DNS請求、并將該請求轉發(fā)給權威名稱服務器——LB device的本地DNS服務器。

Inbound鏈路負載均衡中，負載均衡設備作為權威名稱服務器記錄域名與內網服務器IP地址的映射關系。一個域名可以映射為多個IP地址，其中每個IP地址對應一條物理鏈路。

外網用戶通過域名方式訪問內網服務器時，本地DNS服務器將域名解析請求轉發(fā)給權威名稱服務器——負載均衡設備，負載均衡設備依次根據持續(xù)性功能、ACL策略、就近性算法選擇最佳的物理鏈路，并將通過該鏈路與外網連接的接口IP地址作為DNS域名解析結果反饋給外網用戶，外網用戶通過該鏈路訪問內網服務器。

全局負載均衡

全局負載均衡是指對放置在不同的地理位置、有不同網絡結構的服務器群間作負載均衡。全局負載均衡有以下的特點：

※ 實現地理位置無關性，能夠遠距離為用戶提供完全的透明服務。

※ 除了能避免服務器、數據中心等的單點失效，也能避免由于ISP專線故障引起的單點失效。

※ 解決網絡擁塞問題，提高服務器響應速度，服務就近提供，達到更好的訪問質量。

全局負載均衡技術可以歸納為以下幾類：

※ 基于DNS的全局負載均衡

大多數使用負載均衡技術的應用都通過域名來訪問目的主機，在用戶發(fā)出應用連接請求時，首先必須通過DNS請求獲得服務器的IP地址，基于DNS的全局負載均衡正是在返回DNS解析結果的過程中進行智能決策，從而給用戶返回一個最佳的服務IP。

※ 基于應用重定向的全局負載均衡

基于應用重定向的全局負載均衡是在負載均衡設備收到用戶應用請求并選擇最佳服務IP后，通過應用層協(xié)議將用戶請求重定向到所選擇的最佳服務IP。這種方式只適用于支持應用重定向的協(xié)議(如HTTP、MMS)，且性能較差。

※ 基于IP地址偽裝(三角傳輸)的全局負載均衡

有個別負載均衡設備廠商采用這種技術來實現全局負載均衡。當用戶應用請求到達一臺負載均衡設備時，這臺負載均衡設備計算出對于該用戶最佳的服務IP（定義在另一臺同一廠商負載均衡設備上）并將用戶請求轉發(fā)給該IP。第二臺負載均衡設備直接將響應返回用戶，但必須將源地址修改為第一臺負載均衡設備的服務IP。這種方式要求所有站點必須為同一廠家的負載均衡設備，另外地址偽裝的數據包會可能被互聯(lián)網中的路由設備過濾掉。因為所有用戶請求都要經過廣域網三角方式傳輸而不是發(fā)到最佳的負載均衡設備，用戶訪問效果和性能都比較差。

※ 基于主機路由注入的全局負載均衡

在多個站點定義相同的服務IP，并由負載均衡設備或路由器將該IP的主機路由發(fā)送出去，這樣網絡中會存在多條到達該主機地址的路由。由于路由設備總是選擇最近(Metric最小)的路由轉發(fā)數據，用戶的訪問請求總是被轉發(fā)到最近的負載均衡設備。這種方式要在不同站點廣播相同的主機路由，由于運營商的限制問題很難實現。另外這種方式策略非常簡單，只能根據最短路由選擇，客戶無法定義靈活的選擇策略。

根據上面的分析，后面的三種方式都有很多局限性或性能較差，而基于DNS的GSLB，其豐富的策略、可擴展的性能、適用任何IP應用協(xié)議、不受互聯(lián)網訪問策略影響等優(yōu)勢使其成為最主流的全局負載均衡技術。

負載均衡的部署方式

負載均衡設備通常以直聯(lián)和旁掛兩種方式部署在網絡中。

1、直聯(lián)方式

直聯(lián)方式，即LB設備直接部署在網絡的主干中，服務器和客戶端之間的負載均衡報文直接由LB設備進行路由。

圖7 直聯(lián)方式示意圖

2、旁掛模式

旁掛模式指LB設備不作為服務器和客戶端之間的路由設備，而是旁掛在路由設備上。在DR方式中，LB設備只能使用旁掛模式。

圖8 旁掛模式示意圖

旁掛模式中，用于中轉的路由交換設備上的配置至關重要。

從客戶端至服務器的流量如果要達到LB設備，必須在路由交換設備上設置到VSIP的路由。

從服務器到客戶端的流量如果不必經過LB設備，則可以通過中轉設備直接返回客戶端，如果需要返回LB，則有幾種方式：

※ 服務器和LB在同一個二層網絡，服務器設置其網關為LB設備。

※ 中轉設備上配置策略路由，將從服務器返回的流量定向到LB設備。

※ LB設備在轉發(fā)客戶端流量時進行源NAT。

負載均衡技術的應用方式

企業(yè)園區(qū)網應用

在企業(yè)園區(qū)網絡中，為了實現對企業(yè)資源服務器的快速訪問，也需要采用負載均衡設備分擔企業(yè)數據訪問流量。在這種應用環(huán)境下，可以將負載均衡設備串接在網絡中，服務器通過網絡設備連接到負載均衡設備，服務器網關指向LB。

圖9 企業(yè)園區(qū)網應用組網圖

負載均衡設備直聯(lián)服務器部署模式的優(yōu)點是：

※ 部署簡單，是負載均衡設備的經典應用模式。

※ 通過交換機連接負載均衡設備和服務器群，解決LB設備端口數量限制帶來的擴展性問題。

數據中心和大型門戶網站應用

數據中心和大型門戶網站是負載均衡設備主要的應用場景。LB設備與匯聚層交換機之間有兩條鏈路或鏈路聚合組，這兩條鏈路（組）分別為L3鏈路和L2鏈路，服務器網關指向LB設備，對于需要負載均衡的流量，匯聚層將VSIP的下一跳指向LB，而LB的缺省路由指向匯聚層交換機。

圖10 數據中心和大型門戶網站應用組網圖

旁掛部署模式的優(yōu)點如下：

※ 數據路徑清晰，易于運行維護、故障定位；

※ 可以使用手工鏈路聚合，鏈路帶寬易于拓展，并提供鏈路高可靠性及其鏈路負載均衡能力；

※ LB設備旁掛，易于LB升級和擴展。根據用戶服務器擴展情況，升級更高性能的LB設備或者增加LB設備；

※ 業(yè)務部署靈活，對不需要負載均衡的流量可以旁路LB，避免對LB增加不必要負荷；

※ 降低了對匯聚層交換機的要求，有助于網絡穩(wěn)定運行。

容災系統(tǒng)中應用

容災備份系統(tǒng)是指在相隔較遠的兩地，建立兩套或多套功能相同的IT系統(tǒng)，互相之間可以進行健康狀態(tài)監(jiān)視和功能切換，當一處系統(tǒng)因意外(如火災、地震等)停止工作時，應用系統(tǒng)可以切換到另一處，使得該系統(tǒng)功能可以繼續(xù)正常工作。負載均衡技術可以為災備系統(tǒng)的實現提供很好的靈活性、可靠性（如圖11）。

圖11

部署方式：

每個數據中心部署一臺全局負載均衡。該全局負載均衡則可以代表這個數據中心來進行地理位置判定、運營商判定、以及對其他全局負載均衡的信息進行分析和對比。

一般情況下，全局負載均衡因為只需要進行一個域名的解析工作，不需要與其他網絡之間通訊，所以只需要旁掛部署即可。

在單個全局負載均衡上除需要配置好自身的IP地址、默認網關之類的基礎信息外，還需要配置一個域名所對應的所有IP地址（多個數據中心和運營商）。并且設備與設備之間通過公網進行私有協(xié)議通訊。彼此之間對服務器的健康檢查結果共享。

冗余切換：

在出現某一個數據中心出現問題了的時候，設備間通過健康檢查以及信息共享。彼此會迅速得出判斷，哪些IP地址不能再被解析出去，從而在用戶方面的訪問一直是透明無影響的。

鏈路負載均衡的應用

路負載均衡設備通常用在多鏈路接入的情況，接入兩家ISP運營商的鏈路為普通的靜態(tài)路由鏈路，可通過一臺或兩臺專用的鏈路負載均衡設備來實現多條鏈路的智能選擇（如圖12）。

圖12

部署方式：

※ 將入侵檢測與防御設備（IPS）放置在整個互聯(lián)網出口的最前端，抵擋來自互聯(lián)網的各種DOS/DDOS等入侵和拒絕服務攻擊。

※ 將兩條互聯(lián)網線路通過兩臺接入交換機分別分出的兩條鏈路串接到兩臺多鏈路負載均衡器上，并將廣域網負載均衡器（GTM）旁掛到兩臺接入交換機上（廣域網負載均衡器在這種模式下需要有兩條線路及兩家ISP的公網IP地址）。

考慮到防火墻為單臺，并一般不具備多出口與多線路選擇功能，因此在兩臺多鏈路負載均衡器后端，可使用一臺2層交換機來作為匯聚使用，出口主備多鏈路負載均衡器連接內網的線路先接入到這臺2層交換機上。而此時，整個系統(tǒng)的NAT（網絡地址轉換）工作則由位于出口的多鏈路負載均衡器來承擔，防火墻采取路由模式，只做訪問策略控制。

方案特點：

※ 部署維護簡單

由于多鏈路負載均衡技術已經較為成熟，并且使用普遍，相對BGP路由器的方式來說部署和維護都較為簡單。

※ 建設成本較低

相對于BGP網絡出口建設來說，建設成本較低

結束語

當前，隨著技術的發(fā)展，信息系統(tǒng)越來越龐大和復雜。負載均衡技術為大型異構網絡環(huán)境（包括：廣域網、園區(qū)網、各種網絡應用系統(tǒng)等）提供了一種簡單有效的手段，以低成本消除網絡瓶頸，獲取更高的性能、可靠性、冗余度。