應用服務器負載均衡解決方案

隨著Internet的日益普及，用戶基于Internet的各種關鍵業務的訪問量越來越大。因此，對服務器系統提出了非常高的要求，而采用傳統的服務器部署架構根本不能解決用戶的關于訪問性能、可擴展性、安全性等方面的需求。

當用戶面臨單點故障，服務器性能瓶頸時，傳統情況下通常會采用兩個方法解決：

第一種途徑是通過用處理能力更強的服務器替換現有的服務器，提高性能；并采用雙機冗余的方式提高可用性。第二種是通過增加服務器來構建服務器群。

這兩種方法都具有局限性。第一種解決方案比較昂貴，并且不具有很好的擴展性，在進行維護與升級時需要中斷服務，替換服務器的費用不僅包括新服務器的費用，而且原有的服務器雖然處于功能完好的運行狀態也不能再發揮作用產生效益了。第二種解決方案與第一種相比，是一個相對廉價的解決方案，通過增加新的服務器來提高網站的處理能力，并且與原有的服務器共同工作，在升級時不會中斷服務，其不足之處在于每一個服務器都有一個唯一的IP地址，用戶需要記住多個IP地址以更好地訪問該站點，由此也造成流量不能有效地在多個服務器之間進行分配。

經過分析以上兩種傳統解決方案存在的弊端，考慮用戶需要一種全新的解決方案，能夠真正地實現對關鍵業務提供7*24的高可靠性保障，性能的提升以及安全防范，真正地實現方便的訪問。因此，采用基于硬件的專用負載均衡設備的解決方案成為解決數據中心服務器訪問的首選。

應用服務器負載解決方案拓撲圖如下

負載均衡建立在現有網絡結構之上，它提供了一種廉價有效的方法擴展服務器帶寬和增加吞吐量，加強網絡數據處理能力，提高網絡的靈活性和可用性。它主要完成以下任務：解決網絡擁塞問題，服務就近提供，實現地理位置無關性；為用戶提供更好的訪問質量；提高服務器響應速度；提高服務器及其他資源的利用效率；避免了網絡關鍵部位出現單點故障。

現代負載均衡技術通常操作于網絡的第四層或第七層。第四層負載均衡將一個Internet上合法注冊的IP地址映射為多個內部服務器的IP地址，對每次TCP連接請求動態使用其中一個內部IP地址，達到負載均衡的目的。在第四層交換機中，此種均衡技術得到廣泛的應用，一個目標地址是服務器群VIP（虛擬IP，Virtual IP address）連接請求的數據包流經交換機，交換機根據源或目的IP地址、TCP或UDP端口號和一定的負載均衡策略，在服務器IP和VIP間進行映射，選取服務器群中最好的服務器來處理連接請求。

第七層負載均衡控制應用層服務的內容，提供了一種對訪問流量的高層控制方式，適合對HTTP服務器群的應用。第七層負載均衡技術通過檢查流經的HTTP報頭，根據報頭內的信息來執行負載均衡任務。

負載均衡策略

選擇合適的負載均衡策略，使多個設備能很好的共同完成任務，消除或避免現有網絡負載分布不均、數據流量擁擠反應時間長的瓶頸。在各負載均衡方式中，針對不同的應用需求，在OSI參考模型的第二、三、四、七層的負載均衡都有相應的負載均衡策略。

負載均衡策略的優劣及其實現的難易程度有兩個關鍵因素：一是負載均衡算法，二是對網絡系統狀況的檢測方式和能力。

· 輪循均衡（Round Robin）：每一次來自網絡的請求輪流分配給內部中的服務器，從1至N然后重新開始。此種均衡算法適合于服務器組中的所有服務器都有相同的軟硬件配置并且平均服務請求相對均衡的情況。

· 權重輪循均衡（Weighted Round Robin）：根據服務器的不同處理能力，給每個服務器分配不同的權值，使其能夠接受相應權值數的服務請求。例如：服務器A的權值被設計成1，B的權值是3，C的權值是6，則服務器A、B、C將分別接受到10%、30％、60％的服務請求。此種均衡算法能確保高性能的服務器得到更多的使用率，避免低性能的服務器負載過重。

· 隨機均衡（Random）：把來自網絡的請求隨機分配給內部中的多個服務器。

· 權重隨機均衡（Weighted Random）：此種均衡算法類似于權重輪循算法，不過在處理請求分擔時是個隨機選擇的過程。

· 響應速度均衡（Response Time）：負載均衡設備對內部各服務器發出一個探測請求（例如Ping），然后根據內部中各服務器對探測請求的最快響應時間來決定哪一臺服務器來響應客戶端的服務請求。此種均衡算法能較好的反映服務器的當前運行狀態，但這最快響應時間僅僅指的是負載均衡設備與服務器間的最快響應時間，而不是客戶端與服務器間的最快響應時間。

· 最少連接數均衡（Least Connection）：客戶端的每一次請求服務在服務器停留的時間可能會有較大的差異，隨著工作時間加長，如果采用簡單的輪循或隨機均衡算法，每一臺服務器上的連接進程可能會產生極大的不同，并沒有達到真正的負載均衡。最少連接數均衡算法對內部中需負載的每一臺服務器都有一個數據記錄，記錄當前該服務器正在處理的連接數量，當有新的服務連接請求時，將把當前請求分配給連接數最少的服務器，使均衡更加符合實際情況，負載更加均衡。此種均衡算法適合長時處理的請求服務，如FTP。

· 處理能力均衡：此種均衡算法將把服務請求分配給內部中處理負荷（根據服務器CPU型號、CPU數量、內存大小及當前連接數等換算而成）最輕的服務器，由于考慮到了內部服務器的處理能力及當前網絡運行狀況，所以此種均衡算法相對來說更加精確，尤其適合運用到第七層（應用層）負載均衡的情況下。

· DNS響應均衡（Flash DNS）：在Internet上，無論是HTTP、FTP或是其它的服務請求，客戶端一般都是通過域名解析來找到服務器確切的IP地址的。在此均衡算法下，分處在不同地理位置的負載均衡設備收到同一個客戶端的域名解析請求，并在同一時間內把此域名解析成各自相對應服務器的IP地址（即與此負載均衡設備在同一位地理位置的服務器的IP地址）并返回給客戶端，則客戶端將以最先收到的域名解析IP地址來繼續請求服務，而忽略其它的IP地址響應。在種均衡策略適合應用在全局負載均衡的情況下，對本地負載均衡是沒有意義的。

進一步的增強使得SLB 可基于更高層的HTTP 協議信息轉發流量。現在的服務器負載均衡設備也稱Web 交換機或第四層至七層交換機，可以接收來自遠程訪問服務器（RAS）的請求，基于URLs、cookies、標頭Hash 算法以及SSL 會話ID 等作出數據分發決策。

l  URL 交換技術基于URL 字符串文本中的信息，將HTTP 請求定向到某個服務器組；

l  Cookie 交換技術基于HTTP 標頭中的cookie 中嵌入的信息將HTTP 請求定向到某個服務器組；

l  HTTP 標頭Hash 算法利用數學數值比較HTTP 標頭信息，并將該信息映射到某個服務器，將所有請求均定位到該服務器上；

l  SSL 會話ID 交換技術將某個客戶機連接到其先前已經建立了SSL 或者安全套接字層連接的同一服務器。

服務器負載均衡設備主要在網絡中實現以下功能：

Ø  健康狀況檢查

服務器負載均衡設備可靠的健康狀況檢查可以保證用戶獲得最佳的服務。可以監視服務器在IP、TCP、UDP、應用和內容等所有協議層上的工作狀態。如果發現故障，用戶即被透明地重定向到正常工作的服務器上。這可以保證用戶始終能夠獲得他們所期望的信息。

為了確保服務正常運行，服務器負載均衡設備監控從 Web 服務器、中間件服務器到后端數據庫服務器的整個路徑上工作狀態，確保整個數據路徑上的服務器都處于正常狀態。如果存在一個故障服務器，服務器負載均衡設備則不會將用戶分配到這個發生故障路徑的服務器，從而保證為用戶提供透明的數據完整性保障。

Ø  交易完整性的可靠保證

為了保證用戶在訪問具有會話連續性業務時不會被服務器負載均衡器分配到不同的服務器上，服務器負載均衡設備在提供本地負載均衡的同時，還可以具備基于cookie,session ID,SIP,SSL ID,source IP等方式將用戶的請求定位在相同的服務器上。

Ø  完全的容錯與冗余

服務器負載均衡設備的配置可提供設備間的完全容錯，以確保網絡最大的可用性。兩臺服務器負載均衡設備工作在冗余模式下，通過網絡相互檢查各自的工作狀態，為其所管理的應用保障完全的網絡可用性。它們可工作于“主用-備用”模式或“主用-主用”模式，在“主用-主用”模式下，因為兩個設備都處于工作狀態，從而最大限度地保護了投資。并且所有的信息都可在設備間進行鏡像，從而提供透明的冗余和完全的容錯，確保在任何時候用戶都可以獲得從點擊到內容的最佳服務。

Ø  通過正常退出服務保證穩定運行

當需要進行服務器升級或系統維護時，服務器負載均衡設備可保證穩定的服務器退出服務以避免服務中斷。當選定某臺服務器要從服務器退出服務后，服務器負載均衡設備將不會將任何新的用戶分配到該服務器。但是，它可以要退出服務的服務器上完成對當前用戶的服務。從而保證了無中斷的優質服務，以及服務器組的簡易管理能力。

Ø  智能的服務器服務恢復

將重新啟動的服務器應用到服務中時，避免新服務器因突然出現的流量沖擊導致系統故障是非常重要的。所以，在將新服務器引入服務器組時，服務器負載均衡設備將逐漸地增加分配到該服務器的流量，直至達到其完全的處理能力。從而不僅保證用戶在服務器退出服務時，同時還保證服務器在啟動期間以及應用程序開始時，均能獲得不間斷服務。

Ø  通過負載均衡優化服務器資源

服務器負載均衡設備執行復雜的負載均衡算法，在多個本地和遠程服務器間動態分配負載。這些算法包括循環、最少用戶數、最小流量、Native Windows NT 以及定制代理支持。除了這些算法，服務器負載均衡設備還可以為每個服務器分配一個可以配置的性能加權，從而提高服務器組的性能。

Ø  URL交換

服務器負載均衡設備可支持 URL 交換，根據 URL 和 HTTP 信息分配流量。每個 URL 都可以重定向到某服務器，或在多個服務器之間進行負載均衡，從而提供優化的 Web 交換性能。根據 URL 文本中包含的信息，服務器負載均衡設備可以保持客戶持續性，從而保證內容的個性化。

Ø  內容交換

內容交換使管理員可以根據交易的內容來分配服務器資源。例如，CGI 腳本可以位于一個單獨的服務器組，當發生對該內容的請求時，會話就被重定向到其中某個服務器。服務器負載均衡設備的內容交換能力可以廣泛支持 SSL ID 和 Session ID，保持客戶持續性，保證最佳流量管理和應用內容個性化。

6.2集中式數據中心管理

6.2.1 安全的集中式數據中心管理

無論是新一代數據中心，還是下一代數據中心，或者稱為綠色數據中心，從構建層次講，一般分為兩部分，一是作為整個支撐應用的物理平臺，包括存儲、網絡交換設備等；另一個是為這些IT設備提供支撐的環境，如電源、制冷等。

所謂數據中心，一般分為企業數據中心和IDC。從客戶群來講，IDC主要是面向ISP用戶，它主要的目標是通過互聯網進行信息交換。而企業級的數據中心主要是面向高端的、大型的企業。例如金融、政府部門，主要是用于生產。IDC設備一般是PC服務器、局域網或者是一些其他服務器等，而企業級數據中心根據企業的業務情況，可能有大型主機、小型機服務器等。企業數據中心也有一種公共企業數據中心的形式，主要是面向公眾服務的，所以它面對的是高端客戶，在制冷、供電等方面有很高的要求。

6.2.2 數據中心管理現狀

一、業務擴展使得IT基礎設施迅速增加，出現復雜的管理問題。

1、采用傳統的終端等帶內管理方式，連接的可靠性需要依賴終端應用。操作系統和基礎網絡，當連接失效時運維人員需要趕往。

2、 機房降低了運維效率和響應時間。

3、管理成本逐年遞增，大大超過IT設施的成本。

二、每種類型的IT設施都要采取一種工具進行管理，不同的工具之間不能集成；非集中的管理方式，使統一認證、授權、審計和安全策略難以實施。當出現緊急情況時，IT基礎設施的聯調需要打開多個管理界面，界面切換耗時且容易出現誤操作。

近兩年來，像虛擬化、刀片服務器等新技術的應用和探討非常火熱，作為新技術，可以在一定程度上盤活現有的設備和空間，但它們作為數據中心的新來客，對現有技術實力講應用在高效的數據中心環境中有較高的要求。刀片服務器也好，虛擬化也好，本身的耗電是很高的，要有高可用的數據中心來支持。虛擬化是對于資源的整合，使得CPU和存儲發揮資源更大的效應。無論是虛擬化還是不虛擬化，設備密集化給統一集中管理都會帶來新一代的要求。

6.2.3 新一代智能安全的集中式數據中心管理

新一代的數據中心首先要堅持高可用性。高可用包括兩個方面，一個是所謂的使用效應，包括它能夠適應新技術的發展，比如虛擬化、刀片服務器的問題；第二是在高可用的前提下，節省能耗，減少污染排放，這兩項是互相有關聯的。新一代的綠色數據中心，那就是：一、指數據中心的基礎設施；二、指綠色芯片，或者刀片服務器等，都可歸屬到綠色IT的范疇，綜合起來，才可以稱為是綠色計算。

從新一代數據中心概念來講，來自于一個大背景，就是數據融合。數據融合帶來一個問題，數據中心穩定與否？這與企業生死存亡有直接關系。所以仍然離不開可靠性和可用性的問題。二是能源問題，對于機房來講，電力供應以及能耗都是非常驚人的。三是管理問題。如果這三個問題解決了，就能夠完成新一代數據中心的構建。總之，綠色是一個實現手段，并不是目的。我們的目的是為IT運營提供保障。在提供保障的同時，從各個方面達到綠色節能。

數據中心發展趨向綠色、高效、可靠。

6.2.4 綠色IT架構管理完整解決方案

統一管理平臺

統一管理平臺為數據中心提供管理所有IT資產的安全、集中式管理解決方案。不管設備的健康情況、操作系統的狀態以及這些設備的網絡連接如何，使管理員可以從全球任何地點訪問、診斷和修改任何受控設備。統一管理平臺可使數據中心和遠程辦公室的管理、訪問和擴展變得更加容易，并可提高它們的安全性。

可管理：

提供管理整個數據中心環境的單一的、安全的、基于瀏覽器的界面，包括：

l  刀片式服務器和機柜；嵌入式服務處理器；機架安裝式服務器

l  VMware 虛擬架構，包括虛擬中心、ESX 服務器和虛擬機

l  串口高級控制臺服務器

l  KVM over IP 交換設備

l  智能配電設備 (IPDU)

l  服務處理器管理設備

同時為每個用戶提供無限制的自定義查看功能、圖形報告創建功能和任務自動化工具，以及無可比擬的網絡資產整體查看功能。

可訪問：

統一管理的冗余“中心和分支”架構使管理員可以通過任何聯網的 PC 或移動設備訪問網絡中的所有資產。管理員通過統一管理的帶外 (OOB) 功能可以診斷和修復問題，即使網關、路由器或其他 IP 連接已被斷開。

可擴展：

數據中心不斷演進。無論是正在向刀片系統轉移、實驗 SAN（區域網絡存儲），還是僅僅嘗試使用新的路由器，統一管理平臺都可以通過集成新技術和提供一致的接口，幫助您進行控制，且無需考慮您的基礎設施如何。統一管理平臺必須預先深度集成了 HP Software、NetClarity、Uptime Devices、VMWare 等等以及其他解決方案。

安全：

無需使用額外的安全程序，可通過您現有的內部或外部標準服務進行身份驗證。所有通信均經過加密，并可提供詳細的活動日志，為問題處理和合規性提供重要的審計記錄。遠程管理功能最大程度地降低對數據中心的本地訪問需求，因此您可以更安心地以物理方式鎖定敏感機器。

從管理和技術層面上講，應該具備以下的需求和優勢。

需滿足：

1.   可一個界面對數據中心的物理和虛擬資源的安全、遠程的集中管理。

2.   可訪問各主要服務器制造商的服務器處理器；支持刀片服務器

3.   可保證法規和審計遵從性的數據記錄、存檔

4.   可支持調試解調器和ISDN；可支持遠程解決問題；可支持IPV6

5.   可裝置配置模板

具備的優勢：

1.   應具有實現冗余性和實時同步的集中星型架構

2.   應具有通過LDAP、Active Directory、NT Domain、TACACS+、RADIUS和RSA SecurID等內部、外部服務實現的用戶認證

3.   應具有當網絡連接中斷時，利用MODEM或高速ISDN連接實現對遠程站點的訪問

4.   應具有集中健康與安全信息以保持服務器安全可用

5.   應具有通過預配置的設備配置模板實現快捷的部署

企業KVM解決方案

模擬 KVM 交換解決方案可為用戶提供同時實時訪問所有主要服務器平臺和串行設備的功能。通過將兩臺模擬 KVM 矩陣交換機連接到您的桌面用戶工作站，在冗余和自動故障轉移兩種狀態之間進行切換，該產品可保持您的重要服務器和串行設備一直可用。也可以通過桌面用戶工作站訪問本地計算機和模擬 KVM 矩陣交換機，以便有效地實時訪問所連接的服務器和串行設備。模擬 KVM 交換系統具有全面的系統管理功能、高級的基于 Java 的管理工具、最佳的視頻分辨率以及屏幕式圖形界面。模擬 KVM交換機可以在現有的 UTP 纜線基礎設施上工作，其可選的變形補償功能可根據纜線類型和長度進行自動調節，確保最佳視頻質量。

KVM over IP 交換機可讓您對數據中心內所有連接的服務器和串行設備進行 BIOS 級的控制。從而能夠遠程管理和重啟所連接的設備，并在網絡出現故障時提供外置調制解調器支持。KVM交換機配備有與 Internet Explorer、Mozilla、Firefox 或 Netscape 兼容的板載 Web 接口，可用于訪問和控制基于 IP 的服務器。增加統一管理平臺，并獲得集中管理KVM 交換機和所連接服務器的優勢。通過統一管理平臺的一個常規接口，您可以訪問和管理控制臺和電源管理裝置。它還提供了安全訪問身份驗證、故障轉移中心和分支結構、事件通知，并具有對啟用了 IPMI 的服務器的訪問權限。您可以通過統一管理平臺的虛擬媒體功能，將本地存儲媒體映射至遠程服務器。

KVM over IP 可提供本地和遠程服務器管理、串行設備管理、集成式電源管理。實現了對已連接的服務器和串行設備執行電源通斷循環，通過外置調制解調器遠程對服務器訪問及控制。

串口控制臺管理

串口控制臺服務器將尖端科技、自適應服務和安全企業通信融為一體，使 IT 專業人員與網絡運營中心 (NOC) 工作人員能夠從全球任何地點對 IT 資產執行安全的遠程數據中心管理與帶外管理。串口控制臺服務器采用加強的 Linux® 操作系統，可提供最佳的性能、安全性和可靠性。還通過統一管理平臺和集成電源提供完整的帶外管理解決方案。

可擴展的高性能解決方案。串口控制臺服務器具有一個高速處理器平臺，帶有兩個千兆以太網冗余端口、一個可選的內置調制解調器以及16 位和 32 位網卡選項。此外，用于監控設備級別的內部溫度傳感器和可配置的串行端口引出線。

還提供強大的軟件功能，以滿足最苛刻的數據中心管理應用的需求。這些功能包括自動發現工具，可輕易識別連接至任何串行端口的服務器、路由器、交換機或 PBX，從而節省初始配置與安裝的時間。為了遵守現行的數據中心網絡訪問策略，為安全管理提供多種自定義的訪問級別。

串口控制臺服務器具有高級控制臺服務器功能，如增強的安全性、數據記錄和事件監控等，為安全遠程控制提供了完整的解決方案。此外，還支持下一代網絡標準，如網際協議第 6 版 (IPv6)。串口控制臺服務器提供單、雙交流和直流電源選項，還可能帶有調制解調器，

特點及優勢

易訪問性

帶內（以太網）和帶外（撥號調制解調器）支持； 內置調制解調器連接； PC 卡插槽支持允許使用其他訪問接口，如調制解調器（v.92 和 ISDN）、以太網、高速以太網（光纖）和無線以太網（GSM、GPRS、UMTS 和 CDMA）。

可用性

 通過將千兆以太網端口用作二級端口實現自動以太網故障轉移；雙電源；內置調制解調器支持；USB 端口選項允許存儲或連接基于 USB 的 PC 卡。

安全性

 預設的安全配置文件 — 安全、中等和開放；自定義安全配置文件；X.509 SSH 證書支持；SSHv1 和 SSHv2；本地、RADIUS、TACACS+、LDAP/AD、NIS 和 Kerberos 認證；雙重認證技術 (RSA SecurID)；一次性密碼 (OTP) 驗證；本地備份用戶身份驗證支持；PAP/CHAP 和可擴展身份驗證協議 (EAP) 驗證；群組身份驗證；TACACS+、RADIUS 和 LDAP、端口訪問、電源訪問、裝置權限；IP 包和安全過濾；每個端口的用戶訪問列表；系統事件系統日志；具有 NAT 遍歷支持的 IPSec；IP 轉發支持；安全出廠默認值；強大的密碼實。

端口訪問

 直接通過服務器名稱或設備名稱；CLI 命令；同步 Telnet 和 SSH 訪問；HTTP/HTTPS

系統管理

 適用于首次用戶的網絡配置向導；用于自動部署的自動發現功能；命令行接口 (CLI)；Web 管理界面 (HTTP/HTTPS)；SNMP；內置溫度傳感器。

升級

 從 FTP 站點上免費升級；網絡啟動 TFTP 支持。

其他可支持的協議

 用于動態 IP 地址分配的 DHCP；IPv6 支持可實現更出色的部署靈活性；用于撥號的 PPP；用于時間服務器同步的 NTP；用于遠程串行端口訪問的 RFC2217 支持。

服務處理器管理

服務處理器管理工具提供安全的 Serial over LAN (SoL) 控制臺訪問、電源控制、服務器硬件監控，以及全新 DirectCommand 功能，該功能可以實現透明和安全地訪問服務處理器固有界面以及進行 IPMI 自動配置和服務處理器自動發現。與統一管理平臺配合使用時，管理器提供基本的服務器覆蓋，補充了全面的管理基礎設施。

提供功能豐富的 Web 用戶界面，采用了服務器硬件系統管理架構命令行協議 (SMASH CLP) 的命令行界面，該界面是由分布式管理任務組 (DMTF) 定義的一個標準的用戶和腳本界面。這為管理來自多個制造商的服務器提供了一個單一的命令行界面，從而簡化了管理、提高了互操作性并最終提供了腳本和自動化功能。

通過插件提高服務處理器的功能性。例如，SoL 功能補充了持續數據記錄功能，從而實現了更高的安全性和審核水平。同時，多服務器同步電源控制提高了現有服務處理器的電源管理功能，包括 IPMI 依次關機。通過這些功能，用戶可充分利用這些服務處理器技術。

擁有使用方便的 IPMI 自動配置功能和在網絡內自動發現服務器管理設備的功能，因此是企業數據中心和高性能計算 (HPC) 及其他簇集環境的理想選擇。

特性：

電源管理

新一代電源管理設備包括兩個 RS-232 插座，能夠使用菊花鏈方式連接多達 128 個電源插座。將該菊花鏈連接到串口控制臺服務器上的一個插座上，實現如今市場上最先進的遠程電源管理解決方案。通過使用 HTTP、HTTPS、telnet、SSHv2 和 SNMP 遠程管理您的電源基礎設施，并將解決方案與現有的 LDAP、Kerberos 或 RADIUS 身份驗證方案集成。

特性

l  安全遠程電源管理；集成的控制臺和電源管理；獨立電源端口控制（開機/關機/重啟）

l  控制層菊花鏈支持（多達 128 個插座）；支持對單個電源插座的名稱分配

l  每個電源插座的 LED 電源開/關指示器；LED 數字電流顯示屏

l  過流報警（聲音和控制臺通知）；水平 (1U) 和垂直 (0U) 安裝選擇

l  本地身份驗證支持多達 8 個用戶；每個電源端口的用戶訪問列表

l  Telnet/SSH/SNMP 電源插座管理；事件通知（電子郵件/SMS/SNMP 陷阱）

l  本地、RADIUS、TACACS+、Kerberos 和 LDAP 身份驗證；基于令牌的強大身份驗證 (SecurID)