1、服務(wù)器系統(tǒng)負(fù)載均衡項(xiàng)目建議書梭子魚負(fù)載均衡機(jī)通用方案文檔修訂記錄標(biāo)題服務(wù)器系統(tǒng)負(fù)載均衡項(xiàng)目建議書-梭子魚負(fù)載均衡機(jī)通用方案文檔類型產(chǎn)品文檔 設(shè)計(jì)方案 實(shí)施文檔 配置文檔測試文檔其他當(dāng)前版本V1.0文檔作者梭子魚（中國）文檔審閱創(chuàng)建日期2012/5/11文檔名稱服務(wù)器系統(tǒng)負(fù)載均衡項(xiàng)目建議書-梭子魚負(fù)載均衡機(jī)通用方案更新者更新內(nèi)容及版本更新時(shí)間潘淵文檔建立2012/5/14文檔說明此文檔是由梭子魚公司（中國）于2012/5/11制定的內(nèi)部文檔。本文檔僅就Barracuda Networks內(nèi)部與相關(guān)合作伙伴和Barracuda Networks最終用戶使用.版權(quán)說明本文檔中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n

2、格式、插圖、照片、方法、代碼等內(nèi)容，除由特別注明，版權(quán)均屬于Barracuda Networks所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)Barracuda Networks書面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片斷。目錄第一章 前言4第二章 梭子魚負(fù)載均衡機(jī)的技術(shù)優(yōu)勢52.1功能全面的服務(wù)器負(fù)載均衡解決方案52.2 梭子魚負(fù)載均衡機(jī)的基本原理62.3 梭子魚負(fù)載均衡機(jī)的特色62.4梭子魚負(fù)載均衡機(jī)的功能82.4.1 負(fù)載算法82.4.2 服務(wù)器健康檢查102.4.3 會(huì)話保持102.4.4 內(nèi)建IPS防御攻擊112.4.5 梭子魚的高可用性14第三章 XXX有限公司負(fù)載均

3、衡機(jī)需求分析及項(xiàng)目方案153.1客戶網(wǎng)絡(luò)概況153.2梭子魚解決方案153.3梭子魚型號的選擇163.4梭子魚產(chǎn)品安裝部署16第四章 負(fù)載均衡機(jī)產(chǎn)品國內(nèi)外評測194.1微軟認(rèn)證合作伙伴194.2 獎(jiǎng)項(xiàng)資質(zhì)19第五章 梭子魚客戶情況20第一章 前言隨著寬帶網(wǎng)絡(luò)技術(shù)的不斷發(fā)展以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施的完善，Internet在國內(nèi)得到迅速的發(fā)展，短短幾年中，國內(nèi)上網(wǎng)人數(shù)突破了1.3億。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心2007年1月公布的數(shù)據(jù)，我國上網(wǎng)計(jì)算機(jī)數(shù)約5940萬臺(tái)，其中寬帶上網(wǎng)計(jì)算機(jī)為3530萬臺(tái)，撥號上網(wǎng)計(jì)算機(jī)為1820萬臺(tái)。 我國上網(wǎng)用戶人數(shù)約13700萬人，其中寬帶上網(wǎng)的用戶人數(shù)約為9070萬，撥號上

4、網(wǎng)的用戶人數(shù)約為3900萬，同時(shí)使用寬帶與撥號的用戶人數(shù)為565萬。除計(jì)算機(jī)外同時(shí)使用其它設(shè)備(移動(dòng)終端、信息家電等)上網(wǎng)的用戶人數(shù)為1700萬。不少地方如北京上海廣州等網(wǎng)民數(shù)站到總?cè)丝诘?/3。互聯(lián)網(wǎng)已經(jīng)徹底地成為了人們工作、生活的一部分。對于提供互聯(lián)網(wǎng)服務(wù)的服務(wù)器而言，出現(xiàn)了如下變化：A. 訪問量大量增加網(wǎng)絡(luò)用戶的所有請求都涌向源網(wǎng)站，很多網(wǎng)絡(luò)服務(wù)因?yàn)樵L問次數(shù)爆炸式地增長而不堪重負(fù)，不能及時(shí)處理用戶的請求，導(dǎo)致用戶進(jìn)行長時(shí)間的等待，大大降低了服務(wù)質(zhì)量。如何建立可伸縮的網(wǎng)絡(luò)服務(wù)來滿足不斷增長的負(fù)載需求已成為迫在眉睫的問題。B. 內(nèi)容與功能的增加例如：現(xiàn)在Web服務(wù)中越來越多地使用CGI、動(dòng)態(tài)

5、主頁等CPU密集型應(yīng)用，這對服務(wù)器的性能有較高要求。此外，企業(yè)網(wǎng)站的互動(dòng)和多媒體內(nèi)容增多，企業(yè)網(wǎng)站上大量Flash，圖片內(nèi)容影響網(wǎng)站響應(yīng)速度；企業(yè)宣傳活動(dòng)及新產(chǎn)品發(fā)布期間，易產(chǎn)生數(shù)據(jù)風(fēng)暴影響網(wǎng)站服務(wù)及新產(chǎn)品的推廣宣傳。再如：流媒體作為網(wǎng)絡(luò)內(nèi)容的新生代，已經(jīng)被越來越多的內(nèi)容提供商和企業(yè)所采用，用戶將更多的從網(wǎng)絡(luò)上獲取流媒體的內(nèi)容。會(huì)議、研討會(huì)、娛樂、體育活動(dòng)直播、網(wǎng)上教育、網(wǎng)上影院等更加豐富多樣的流媒體體現(xiàn)形式也將進(jìn)一步走進(jìn)網(wǎng)絡(luò)用戶的生活，隨著寬帶時(shí)代的到來，寬帶用戶渴望看到大量流媒體內(nèi)容。C. 安全性增加由于網(wǎng)站的所有內(nèi)容都是以數(shù)字的形式流轉(zhuǎn)于Internet之上，因此，在網(wǎng)絡(luò)運(yùn)營中不可避免地

6、存在著由Internet的自由、開放所帶來的信息安全隱患。Internet上橫行的黑客、肆虐的病毒使用戶感覺到目前的網(wǎng)絡(luò)環(huán)境缺乏安全。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）2007年1月公布的中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示，用戶認(rèn)為目前網(wǎng)上交易存在的最大問題是安全性得不到保障，排在了第一位，由此可見用戶對網(wǎng)絡(luò)安全性的憂慮程度。因此，對用硬件和軟件方法實(shí)現(xiàn)高可伸縮、高可用網(wǎng)絡(luò)服務(wù)的需求不斷增長，這種需求可以歸結(jié)以下幾點(diǎn)： 可擴(kuò)展性（Scalability），當(dāng)服務(wù)的負(fù)載增長時(shí)，系統(tǒng)能被擴(kuò)展來滿足需求，且不降低服務(wù)質(zhì)量。 高可用性（Availability），盡管部分硬件和軟件會(huì)發(fā)生故障，整個(gè)系

7、統(tǒng)的服務(wù)必須是每天24小時(shí)每星期7天可用的。 可管理性（Manageability），整個(gè)系統(tǒng)可能在物理上很大，但應(yīng)該易于管理。 價(jià)格有效性（Cost-effectiveness），整個(gè)系統(tǒng)實(shí)現(xiàn)是經(jīng)濟(jì)的、高性價(jià)比的。 第二章 梭子魚負(fù)載均衡機(jī)的技術(shù)優(yōu)勢2.1功能全面的服務(wù)器負(fù)載均衡解決方案 服務(wù)器系統(tǒng)負(fù)載均衡項(xiàng)目建議書 第20頁 Barracuda Networks China 主要功能 L4/L7 負(fù)載均衡 支持IPV6 提供硬件和虛擬兩種產(chǎn)品交付方式 全局負(fù)載均衡（GSLB） 通過微軟認(rèn)證：Exchange 2010,Lync Server 2010,Office Communicatio

8、n Server(OCS)2007 支持微軟遠(yuǎn)程桌面服務(wù) SSL 卸載 HTTP 緩存 & 壓縮 內(nèi)容路由 TCP 池復(fù)用 SIP 負(fù)載均衡2.2 梭子魚負(fù)載均衡機(jī)的基本原理針對Internet的飛速發(fā)展給企業(yè)網(wǎng)絡(luò)帶寬和服務(wù)器帶來的這種巨大挑戰(zhàn)，企業(yè)有兩種解決思路。一種方法是增加服務(wù)器的性能，例如采用對稱多處理系統(tǒng)（Symmetric Multi-Processor，簡稱SMP），該系統(tǒng)是由多個(gè)對稱的處理器、和通過總線共享的內(nèi)存和I/O部件所組成的計(jì)算機(jī)系統(tǒng)，具有強(qiáng)大的處理能力。但是隨著業(yè)務(wù)量的增大，這種服務(wù)器升級時(shí)具有明顯的不足。一是升級過程繁瑣，機(jī)器切換會(huì)使服務(wù)暫時(shí)中斷，并造成原有計(jì)算資源

9、的浪費(fèi)；二是越往高端的服務(wù)器，所花費(fèi)的代價(jià)越大；三是 SMP服務(wù)器是單一故障點(diǎn)（Single Point of Failure），一旦該服務(wù)器或應(yīng)用軟件失效，會(huì)導(dǎo)致整個(gè)服務(wù)的中斷。另一種思路是采用服務(wù)器集群實(shí)現(xiàn)高可伸縮的、高可用網(wǎng)絡(luò)服務(wù)的有效結(jié)構(gòu)。這種方案通過一組服務(wù)器分擔(dān)任務(wù)，可以獲得很高的整體性能。也易于擴(kuò)展，性價(jià)比也很高。但是簡單的服務(wù)器機(jī)群在實(shí)現(xiàn)可伸縮的網(wǎng)絡(luò)服務(wù)存在許多問題。例如透明性（Transparency）問題，用戶希望由多個(gè)獨(dú)立計(jì)算機(jī)組成的松藕合的集群系統(tǒng)構(gòu)成一個(gè)虛擬服務(wù)器；客戶端應(yīng)用程序與集群系統(tǒng)交互時(shí)，就像與一臺(tái)高性能、高可用的服務(wù)器交互一樣，客戶端無須作任何修改。部分服務(wù)

10、器的切入和切出不會(huì)中斷服務(wù)，對用戶也是透明的。再比如流量的均衡，管理的便捷性。這些要求是服務(wù)器集群無法實(shí)現(xiàn)的。梭子魚負(fù)載均衡機(jī)（Barracuda Load Balancer）提供了另外一個(gè)思路。利用梭子魚負(fù)載均衡機(jī)。將一組服務(wù)器構(gòu)成一個(gè)實(shí)現(xiàn)可伸縮的、高可用網(wǎng)絡(luò)服務(wù)的虛擬服務(wù)器。其體系結(jié)構(gòu)如下圖， 在一組服務(wù)器的前端安裝梭子魚負(fù)載均衡機(jī)，所有外部的請求將先連接在梭子魚負(fù)載均衡機(jī)VIP上（也稱為虛擬服務(wù)器上），梭子魚執(zhí)行NAT，無縫地將網(wǎng)絡(luò)請求調(diào)度到真實(shí)服務(wù)器上。從而使得服務(wù)器集群的結(jié)構(gòu)對客戶是透明的，客戶訪問集群系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)就像訪問一臺(tái)高性能、高可用的服務(wù)器一樣。客戶程序不受服務(wù)器集群的

11、影響不需作任何修改。系統(tǒng)的伸縮性通過在服務(wù)機(jī)群中透明地加入和刪除一個(gè)節(jié)點(diǎn)來達(dá)到，通過檢測節(jié)點(diǎn)或服務(wù)進(jìn)程故障和正確地重置系統(tǒng)達(dá)到高可用性。2.3 梭子魚負(fù)載均衡機(jī)的特色梭子魚負(fù)載均衡機(jī)提供強(qiáng)大、易于使用、成本效益高的企業(yè)級服務(wù)器負(fù)載均衡設(shè)備，是當(dāng)前負(fù)載均衡設(shè)備中最活躍、最易推廣、最易普及的服務(wù)器負(fù)載均衡機(jī)品牌。其設(shè)計(jì)遵循以下原則：可擴(kuò)展性：IT技術(shù)日新月異，一年以前最新的產(chǎn)品，現(xiàn)在或許已是網(wǎng)絡(luò)中性能最低的產(chǎn)品；負(fù)載均衡機(jī)應(yīng)能夠根據(jù)信息化的不斷深入發(fā)展的需要，方便的擴(kuò)展（或裁剪）服務(wù)器，以滿足企業(yè)業(yè)務(wù)擴(kuò)展的需要。需具備支持多種通信媒體，能均衡不同操作系統(tǒng)和硬件平臺(tái)之間的負(fù)載，能均衡HTTP、郵件、

12、新聞、代理、數(shù)據(jù)庫、防火墻和Cache等不同服務(wù)器的負(fù)載，并且能以對客戶端完全透明的方式動(dòng)態(tài)增加或刪除某些資源。梭子魚負(fù)載均衡機(jī)使用TCP/UDP協(xié)議和IP負(fù)載平衡調(diào)度，支持所有基于IP的應(yīng)用程序負(fù)載均衡。包括：l 高流量的網(wǎng)站，如HTTP，HTTPs，F(xiàn)TP，流媒體等。l 使用瘦客戶端的主機(jī)應(yīng)用程序，如：Citrix、Windows終端服務(wù)。l 其他IP服務(wù)，如：SMTP、DNS、TFTP、RADIUS、LDAP等。靈活性：均衡解決方案應(yīng)能靈活地提供不同的應(yīng)用需求，滿足應(yīng)用需求的不斷變化。在不同的服務(wù)器群有不同的應(yīng)用需求時(shí)，梭子魚可以提供多樣的均衡策略提供更廣泛的選擇。梭子魚負(fù)載均衡機(jī)部署靈

13、活，支持路由模式、橋接模式、服務(wù)直接返回模式。路由模式部署靈活，約60%的用戶采用這種方式部署；橋接模式不改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)；服務(wù)直接返回（DSR）比較適合吞吐量大特別是內(nèi)容分發(fā)的網(wǎng)絡(luò)應(yīng)用。約30%的用戶采用這種模式。可靠性：在對服務(wù)質(zhì)量要求較高的站點(diǎn)，負(fù)載均衡解決方案應(yīng)能為服務(wù)器群提供完全的容錯(cuò)性和高可用性。但在負(fù)載均衡設(shè)備自身出現(xiàn)故障時(shí)，應(yīng)該有良好的冗余解決方案，提高可靠性。使用冗余時(shí)，處于同一個(gè)冗余單元的多個(gè)負(fù)載均衡設(shè)備必須具有有效的方式以便互相進(jìn)行監(jiān)控，保護(hù)系統(tǒng)盡可能地避免遭受到重大故障的損失。梭子魚負(fù)載均衡機(jī)提供強(qiáng)大的企業(yè)級的解決方案，它可以用于為任何基于IP的應(yīng)用程序提供IP負(fù)載均

14、衡，它監(jiān)控服務(wù)器的健康狀態(tài)，并在服務(wù)器故障時(shí)自動(dòng)容錯(cuò)，而梭子魚本身還可以部署成主/次模式，如果主設(shè)備故障，次負(fù)載均衡設(shè)備能自動(dòng)切換成主設(shè)備，最大程度的減小了整個(gè)負(fù)載均衡服務(wù)器集群的風(fēng)險(xiǎn)。易管理性：不管是通過軟件還是硬件方式的均衡解決方案，我們都希望它有靈活、直觀和安全的管理方式，這樣便于安裝、配置、維護(hù)和監(jiān)控，提高工作效率，避免差錯(cuò)。梭子魚（Barracuda）提供給用戶是非常易于使用的產(chǎn)品。用戶打開包裝箱，把梭子魚安裝在19英寸標(biāo)準(zhǔn)機(jī)架上，進(jìn)行簡單的配置后梭子魚立刻開始提供高性能的負(fù)載均衡服務(wù)。這一過程僅僅只需要十分鐘。梭子魚（Barracuda）提供給用戶的是一種“即插即忘”式的產(chǎn)品，無需

15、用戶進(jìn)行復(fù)雜的系統(tǒng)操作，管理員通過WEB瀏覽器就可以對設(shè)備進(jìn)行遠(yuǎn)程的管理，一旦系統(tǒng)調(diào)整完畢，梭子魚將自動(dòng)監(jiān)控服務(wù)器的狀態(tài)，自動(dòng)分配流量、自動(dòng)冗余、自動(dòng)接收升級入侵檢測代碼，管理員無需經(jīng)常登錄系統(tǒng)進(jìn)行管理2.4梭子魚負(fù)載均衡機(jī)的功能2.4.1 負(fù)載算法梭子魚負(fù)載均衡機(jī)利用虛擬IP地址（VIP由IP地址和TCP/UDP應(yīng)用的端口組成，它是一個(gè)地址）來為用戶的一個(gè)或多個(gè)目標(biāo)服務(wù)器（稱為節(jié)點(diǎn)，即真實(shí)服務(wù)器Real Server的IP地址和TCP/UDP應(yīng)用的端口組成，它可以是私網(wǎng)地址）提供服務(wù)。因此，它能夠?yàn)榇罅康幕赥CP/IP的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。梭子魚負(fù)載均衡機(jī)連續(xù)地對目標(biāo)服務(wù)器進(jìn)行

16、L4到L7合理性檢查，當(dāng)用戶通過VIP請求目標(biāo)服務(wù)器服務(wù)時(shí)，梭子魚負(fù)載均衡機(jī)根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶的請求。能夠充分利用所有的服務(wù)器資源，將所有流量均衡的分配到各個(gè)服務(wù)器，我們就可以有效地避免“不平衡”現(xiàn)象的發(fā)生。梭子魚負(fù)載均衡機(jī)是一臺(tái)對流量和內(nèi)容進(jìn)行管理分配的設(shè)備。它提供7種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對用戶，只是一臺(tái)虛擬服務(wù)器。用戶此時(shí)只須記住一臺(tái)服務(wù)器，即虛擬服務(wù)器。但他們的數(shù)據(jù)流卻被梭子魚負(fù)載均衡機(jī)靈活地均衡到所有的服務(wù)器。這7種算法包括：輪詢（Round Robin）：輪詢算法就是順序循環(huán)將請求依次順序循環(huán)地連接每個(gè)

17、服務(wù)器。在此過程中，如果梭子魚檢測到某個(gè)服務(wù)器第二到第7層的故障，梭子魚將把該服務(wù)器從順序循環(huán)隊(duì)列中拿出（稱為切出服務(wù)），不參與下一次輪詢，直到其恢復(fù)正常。該算法相對簡單，其優(yōu)點(diǎn)是簡潔，它無需記錄當(dāng)前所有連接的狀態(tài)，所以它是一種無狀態(tài)調(diào)度。但是由于它假設(shè)所有服務(wù)器處其理性能均相同，不管服務(wù)器的當(dāng)前連接數(shù)和響應(yīng)速度。因此不適用于服務(wù)器組中處理性能不一的情況，而且當(dāng)請求服務(wù)時(shí)間變化比較大時(shí)輪詢，輪詢算法容易導(dǎo)致服務(wù)器間的負(fù)載不平衡。加權(quán)輪詢算法（Weighted Round-Robin）：加權(quán)輪詢算法可以解決服務(wù)器間性能不一的情況，它用相應(yīng)的權(quán)值表示服務(wù)器的處理性能，服務(wù)器的缺省權(quán)值為1。假設(shè)服務(wù)

18、器A的權(quán)值為1，B的權(quán)值為2，則表示服務(wù)器B的處理性能是A的兩倍。加權(quán)輪叫調(diào)度算法是按權(quán)值的高低和輪詢方式分配請求到各服務(wù)器。權(quán)值高的服務(wù)器先收到的連接，權(quán)值高的服務(wù)器比權(quán)值低的服務(wù)器處理更多的連接，相同權(quán)值的服務(wù)器處理相同數(shù)目的連接數(shù)。例如，有三個(gè)服務(wù)器A、B和C分別有權(quán)值4、3和2，則在一個(gè)調(diào)度周期調(diào)度序列為AABABCABC。加權(quán)輪詢調(diào)度算法還是比較簡單和高效。加權(quán)輪詢調(diào)度也無需記錄當(dāng)前所有連接的狀態(tài)，所以它也是一種無狀態(tài)調(diào)度。當(dāng)請求的服務(wù)時(shí)間變化很大，單獨(dú)的加權(quán)輪詢調(diào)度算法依然會(huì)導(dǎo)致服務(wù)器間的負(fù)載不平衡。在此過程中，如果梭子魚檢測到某個(gè)服務(wù)器第二到第7層的故障，梭子魚將把該服務(wù)器從順序

19、循環(huán)隊(duì)列中拿出（稱為切出服務(wù)），不參與下一次輪詢，直到其恢復(fù)正常。最小連接算法：最小連接算法（Least-Connection Scheduling）是把新的連接請求分配到當(dāng)前連接數(shù)最小的服務(wù)器。最小連接調(diào)度是一種動(dòng)態(tài)調(diào)度算法，它通過服務(wù)器當(dāng)前所活躍的連接數(shù)來估計(jì)服務(wù)器的負(fù)載情況。調(diào)度器需要記錄各個(gè)服務(wù)器已建立連接的數(shù)目，當(dāng)一個(gè)請求被調(diào)度到某臺(tái)服務(wù)器，其連接數(shù)加1；當(dāng)連接中止或超時(shí)，其連接數(shù)減一。在此過程中，如果梭子魚檢測到某個(gè)服務(wù)器第二到第7層的故障，梭子魚將把該服務(wù)器從順序循環(huán)隊(duì)列中拿出（稱為切出服務(wù)），不參與下一次輪詢，直到其恢復(fù)正常。當(dāng)各個(gè)服務(wù)器有相同的處理性能時(shí)，最小連接調(diào)度算法能把

20、負(fù)載變化大的請求分布平滑到各個(gè)服務(wù)器上，所有處理時(shí)間比較長的請求不可能被發(fā)送到同一臺(tái)服務(wù)器上。但是，當(dāng)各個(gè)服務(wù)器的處理能力不同時(shí)，該算法并不理想，因?yàn)門CP連接處理請求后會(huì)進(jìn)入TIME_WAIT狀態(tài)，TCP的TIME_WAIT一般為2分鐘，此時(shí)連接還占用服務(wù)器的資源，所以會(huì)出現(xiàn)這樣情形，性能高的服務(wù)器已處理所收到的連接，連接處于TIME_WAIT狀態(tài)，而性能低的服務(wù)器已經(jīng)忙于處理所收到的連接，還不斷地收到新的連接請求。加權(quán)最小連接算法：加權(quán)最小連接（Weighted Least-Connection Scheduling）算法是最小連接調(diào)度的超集，各個(gè)服務(wù)器用相應(yīng)的權(quán)值表示其處理性能。服務(wù)器的

21、缺省權(quán)值為1，系統(tǒng)管理員可以動(dòng)態(tài)地設(shè)置服務(wù)器的權(quán)值。加權(quán)最小連接調(diào)度在調(diào)度新連接時(shí)盡可能使服務(wù)器的已建立連接數(shù)和其權(quán)值成比例。在此過程中，如果梭子魚檢測到某個(gè)服務(wù)器第二到第7層的故障，梭子魚將把該服務(wù)器從順序循環(huán)隊(duì)列中拿出（稱為切出服務(wù)），不參與下一次輪詢，直到其恢復(fù)正常。觀察模式：這種方式基于動(dòng)態(tài)反饋負(fù)載均衡機(jī)制，來控制新連接的分配，從而控制各個(gè)服務(wù)器的負(fù)載。調(diào)度器根據(jù)單位時(shí)間內(nèi)服務(wù)器收到新連接數(shù)與平均連接數(shù)的比例，計(jì)算服務(wù)器的負(fù)載，并依此計(jì)算出新的權(quán)重進(jìn)行流量的分配。CPU動(dòng)態(tài)性能分配：調(diào)度器通過SNMP向各個(gè)服務(wù)器查詢服務(wù)器當(dāng)前CPU負(fù)載LOADi，并依此計(jì)算出新的權(quán)重進(jìn)行流量的分配。U

22、RL測試動(dòng)態(tài)性能分配：調(diào)度器向服務(wù)器發(fā)送測試頁面，根據(jù)服務(wù)器響應(yīng)時(shí)間，計(jì)算新的權(quán)重進(jìn)行流量分配。這種方式能比較好的反映服務(wù)器上請求等待隊(duì)列的長度和請求的處理時(shí)間。如果服務(wù)器設(shè)定的時(shí)間內(nèi)沒有響應(yīng)，梭子魚將認(rèn)為服務(wù)器不可達(dá)，該服務(wù)器的權(quán)值將設(shè)為零，即將服務(wù)器切出。直至恢復(fù)。網(wǎng)絡(luò)中的實(shí)際流量呈波浪型發(fā)生的，在一段較長時(shí)間的小流量后，會(huì)有一段大流量的訪問，然后是小流量，這樣跟波浪一樣周期性地發(fā)生。當(dāng)出現(xiàn)流量“峰值”時(shí)，如果能調(diào)配所有服務(wù)器的資源同時(shí)提供服務(wù)，所謂的“峰值堵塞”壓力就會(huì)由于系統(tǒng)性能的大大提高而明顯減弱。由于梭子魚優(yōu)秀的負(fù)載均衡能力，所有流量會(huì)被均衡的轉(zhuǎn)發(fā)到各個(gè)服務(wù)器，即組織所有服務(wù)器提供

23、服務(wù)。這時(shí)，系統(tǒng)性能等于所有服務(wù)器性能的總和，遠(yuǎn)大于流量“峰值”。這樣，即緩解了“峰值堵塞”的壓力，又降低了為調(diào)整系統(tǒng)性能而增加的投資。用戶可以根據(jù)任意制訂的規(guī)則將客戶端的訪問導(dǎo)向到不同的服務(wù)器群組。2.4.2 服務(wù)器健康檢查梭子魚負(fù)載均衡機(jī)支持真實(shí)服務(wù)器和服務(wù)的自動(dòng)發(fā)現(xiàn)，從而方便部署新的服務(wù)器。對常用的服務(wù)，用戶不需要手動(dòng)設(shè)置端口，梭子魚能自動(dòng)檢測在指定的服務(wù)器上有哪些服務(wù)正在運(yùn)行，節(jié)省部署和配置的時(shí)間。梭子魚還支持OSI模型二到七層的health checking。特別是EAV和ECV功能：l 基礎(chǔ)網(wǎng)絡(luò)檢查 Pingl 四層應(yīng)用檢查 TCP/UDP portl 擴(kuò)展內(nèi)容查證 ECVECV

24、是一種非常復(fù)雜的服務(wù)檢查，用于確認(rèn)應(yīng)用程序能否對請求返回對應(yīng)的數(shù)據(jù)。如果一個(gè)應(yīng)用對該服務(wù)檢查做出響應(yīng)并返回對應(yīng)的數(shù)據(jù)，梭子魚就將該服務(wù)器標(biāo)識(shí)為健康狀態(tài)。如果服務(wù)器不能返回相應(yīng)的數(shù)據(jù)，則將該服務(wù)器標(biāo)識(shí)為宕機(jī)，并將其切出服務(wù)。宕機(jī)一旦修復(fù)，梭子魚就會(huì)自動(dòng)發(fā)現(xiàn)該服務(wù)器已經(jīng)恢復(fù)健康，并將其列入輪詢序列。擴(kuò)展應(yīng)用驗(yàn)證 EAVEAV是另一種服務(wù)檢查，用于確認(rèn)運(yùn)行在某個(gè)服務(wù)器上的應(yīng)用能否對客戶請求作出響應(yīng)。梭子魚Web管理界面上設(shè)置了一組被稱作外部服務(wù)檢查者的客戶程序，該程序?yàn)橛脩籼峁┩耆蛻艋姆?wù)檢查功能。例如，DNS_TEST程序，用戶可以輸入需要查詢的主機(jī)名及匹配值，如果真實(shí)服務(wù)器返回的值與匹配值相

25、同，則表明該服務(wù)正常。梭子魚預(yù)定義的擴(kuò)展驗(yàn)證（EAV）檢查包括：DNS、SPAMFIREWALL、SNMP、POP、IMAP、SMTP、SIMPLE_HTTP、SIMPLE_HTTPS、HTTP_SLOW、HTTP_TEST。2.4.3 會(huì)話保持梭子魚負(fù)載均衡機(jī)經(jīng)過專門設(shè)計(jì)，可以為關(guān)鍵業(yè)務(wù)站點(diǎn)提供高可用性和智能負(fù)載平衡。除這些能力外，還可以識(shí)別用戶固定訪問特定服務(wù)器的要求，以支持用戶重新建立到特定服務(wù)器的連接。在這些條件下，梭子魚負(fù)載均衡機(jī)會(huì)放棄負(fù)載平衡算法以支持對話持續(xù)性。舉例來說，如果某位用戶連接到了一臺(tái)服務(wù)器上，那么我們肯定希望該用戶在將來再次連接時(shí)將仍可連接到該臺(tái)服務(wù)器上。當(dāng)該服務(wù)器存

26、有用戶相關(guān)數(shù)據(jù)，并且這些數(shù)據(jù)并不與其它服務(wù)器動(dòng)態(tài)共享時(shí)，持續(xù)性就顯得十分有必要了。例如，讓我們假設(shè)一位用戶在某網(wǎng)站采購了一“購物車”的商品，然后還未結(jié)帳就離開了該網(wǎng)站。如果在其重新登錄網(wǎng)站后，BIG-IP應(yīng)用交換機(jī)將客戶請求路由至不同的服務(wù)器，那么新的服務(wù)器對該用戶的數(shù)據(jù)和其所購買的商品將一無所知。當(dāng)然，如果所有服務(wù)器都在同一個(gè)后臺(tái)數(shù)據(jù)庫服務(wù)器中存儲(chǔ)用戶信息及其選購商品的話，那么一切就不成問題了。但是如果網(wǎng)站不是這樣設(shè)計(jì)的，那么具體的購物車數(shù)據(jù)就只能存儲(chǔ)在特定的服務(wù)器上。這樣，BIG-IP應(yīng)用交換機(jī)就必需選擇用戶曾連接上的那臺(tái)服務(wù)器，以無縫地處理用戶請求。此外，會(huì)話保持的功能將減少新建連接的數(shù)

27、量，這將有助于減小負(fù)載均衡機(jī)系統(tǒng)開銷。2.4.4 內(nèi)建IPS防御攻擊防御攻擊包括兩個(gè)層面，第一個(gè)層面如前述服務(wù)器健康檢查，負(fù)載均衡設(shè)備通過精確探測服務(wù)器的健康狀態(tài)，再服務(wù)器處理能力達(dá)到飽和前可以自動(dòng)的屏蔽新建鏈接，以免服務(wù)器可能由于在瞬間接受超過服務(wù)器吞吐能力的數(shù)據(jù)流而直接導(dǎo)致系統(tǒng)崩潰，甚至導(dǎo)致數(shù)據(jù)丟失或客戶資料遺失。從而達(dá)到以下目的： 確保所有IP應(yīng)用的高可用性和正常運(yùn)行時(shí)間 創(chuàng)建一個(gè)可控的執(zhí)行點(diǎn)以對所有流量進(jìn)行前瞻性安全控制 使服務(wù)器和應(yīng)用能夠及時(shí)準(zhǔn)確地做出響應(yīng) 無需額外硬件、軟件或其它IT資源 輕松適應(yīng)未來不斷變化的業(yè)務(wù)需求第二個(gè)層面是在負(fù)載均衡設(shè)備上建立相應(yīng)的安全機(jī)制。首先是端口的屏蔽

28、。采用負(fù)載均衡設(shè)備后，用戶無法直接于服務(wù)器聯(lián)系，必須與負(fù)載均衡設(shè)備上建立的虛擬服務(wù)器建立鏈接，所以黑客無法獲得服務(wù)器的真實(shí)地址，增加了黑客攻擊的難度。同時(shí)，由于虛擬服務(wù)器對外只提供應(yīng)用服務(wù)端口，其余端口負(fù)載均衡機(jī)均不響應(yīng)且直接Drop Packet，從而有效地屏蔽了黑客攻擊的第一步端口掃描。甚至可以將虛擬服務(wù)器的ARP響應(yīng)屏蔽，從而使黑客無法PING通虛擬服務(wù)器。由于對外只提供必須的應(yīng)用端口，因而可以有效地屏蔽常用黑客攻擊手段。其次是對于DoS/DDoS攻擊，梭子魚能從內(nèi)核級就予以屏蔽，具體實(shí)施如下：1 Synflood:該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的S

29、YN ACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。梭子魚的策略：梭子魚采用特有的SYN proxy功能，所有與虛擬服務(wù)器建立HTTP SYN的請求均由梭子魚代替服務(wù)器響應(yīng)，梭子魚并不將SYN請求發(fā)送到服務(wù)器。對方響應(yīng)了梭子魚的ACK，并真正發(fā)送HTTP GET請求時(shí)，梭子魚才與服務(wù)器建立鏈接并發(fā)送HTTP GET請求。所以普通的Synflood只會(huì)和梭子魚通訊，無法攻擊到服務(wù)器。2 Ping of Death 根據(jù)TCP/IP的規(guī)范，一個(gè)包的長度最大為65536字節(jié)。盡管一個(gè)包的長度

30、不能超過65536字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到了長度大于65536字節(jié)的包時(shí)，就是受到了Ping of Death攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。梭子魚的策略：如前所述，在梭子魚上可以將虛擬服務(wù)器的ARP屏蔽，ICMP包系統(tǒng)根本不響應(yīng)。其次，虛擬服務(wù)器的ICMP響應(yīng)是由梭子魚的管理進(jìn)程提供響應(yīng)，當(dāng)管理進(jìn)程繁忙時(shí)，系統(tǒng)會(huì)自動(dòng)降低虛擬服務(wù)器的ICMP響應(yīng)的優(yōu)先級甚至不響應(yīng)，而管理進(jìn)程與服務(wù)器負(fù)載均衡是兩個(gè)完全不同的進(jìn)程，在梭子魚上其內(nèi)存和CPU使用時(shí)間是嚴(yán)格分離的，所以Ping of Death絲毫不會(huì)影響服務(wù)器負(fù)載均衡，也就是不會(huì)影響真正對外的服務(wù)響應(yīng)端口。3 IP

31、欺騙DoS攻擊這種攻擊利用RST位來實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶()已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí)，如果合法用戶再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊時(shí)，偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對合法用戶服務(wù)。梭子魚的策略：如前所述，梭子魚的SYN proxy功能，將TCP的SYN/ACK/SYN ACK三段握手

32、作為判斷合法用戶的依據(jù)，同時(shí)所有的SYN/ACK/SYN ACK均不通服務(wù)器鏈接，只有當(dāng)用戶發(fā)送HTTP GET請求時(shí)再與選定的服務(wù)器建立鏈接，所以RST只是拆除與梭子魚建立鏈接，并不影響合法用戶訪問服務(wù)器。4 帶寬DoS攻擊 如果黑客的連接帶寬足夠大而服務(wù)器又不是很大，黑客可以通過發(fā)送大量請求，來消耗服務(wù)器的緩沖區(qū)消耗服務(wù)器的帶寬。這種攻擊就是人多力量大了，配合上SYN一起實(shí)施DoS，威力巨大。梭子魚的策略：這種攻擊發(fā)生時(shí)，從站點(diǎn)的路由器、交換機(jī)、防火墻到服務(wù)器的帶寬均有可能被占滿。所以如果發(fā)生該種攻擊，首要的任務(wù)是通過EAV/ECV保護(hù)服務(wù)器不要溢出或崩潰。其次，內(nèi)置的IPS能有效地抵御攻

33、擊。上述功能是負(fù)載均衡設(shè)備防攻擊的基本功能。除此之外，內(nèi)置IPS的梭子魚還具備以下功能：1 防止病毒：如NIMDA 、Code Red等。2防止針對協(xié)議的攻擊。梭子魚有特定協(xié)議攻擊防護(hù)，保護(hù)真實(shí)服務(wù)器免遭以SMTP, DNS和 LDAP為目的的攻擊。3針對應(yīng)用程序的攻擊：梭子魚保護(hù)那些對外部攻擊特別脆弱的應(yīng)用程序。這些程序包括：IIS, Websphere, Cold Fusion, Exchange和許多其它程序。 4針對操作系統(tǒng)的攻擊：梭子魚有針對檢測Microsoft和UNIX操作系統(tǒng)，標(biāo)記那些與系統(tǒng)相關(guān)的可疑的活動(dòng)。梭子魚動(dòng)態(tài)更新示意圖。梭子魚公司建立了一個(gè)強(qiáng)大的運(yùn)營中心Barracu

34、da Central，7x24小時(shí)日以繼夜地工作，監(jiān)控互聯(lián)網(wǎng)上最新的攻擊、漏洞及病毒發(fā)展趨勢，并制作出最新的升級文件。梭子魚負(fù)載均衡機(jī)將自動(dòng)接收這些文件，實(shí)現(xiàn)IPS的動(dòng)態(tài)更新。2.4.5 梭子魚的高可用性梭子魚負(fù)載均衡機(jī)允許連接一個(gè)次梭子魚設(shè)備作為主設(shè)備的后備。所有會(huì)話通過Active 的設(shè)備的同時(shí)，會(huì)把會(huì)話信息通過同步數(shù)據(jù)線同步到Backup的設(shè)備上，保證在Backup 設(shè)備內(nèi)也有所有的用戶訪問會(huì)話信息；另外每臺(tái)設(shè)備中的watchdog芯片通過心跳線監(jiān)控對方設(shè)備的電頻，當(dāng)Active設(shè)備發(fā)生故障時(shí)， watchdog會(huì)首先發(fā)現(xiàn)，并通知Backup 設(shè)備接管Shared IP，VIP等，完成A=B的切換過程，因?yàn)锽ackup設(shè)備中有事先同步好的會(huì)話信息，所以可以保持訪問的暢通和在線會(huì)話的數(shù)據(jù)。梭子魚使用8001和8002端口來同步相連系統(tǒng)的配置。每一個(gè)連接的梭子魚都會(huì)發(fā)送一個(gè)“心跳信號”給其它使用SNMP的梭子魚設(shè)備，讓彼此通知對方處于開啟和正常運(yùn)行狀態(tài)。在路由模式部署中，次梭子魚設(shè)