互聯網早期,業務流量比較小並且業務邏輯比較簡單,單臺服務器便可以滿足基本的需求;但隨着互聯網的發展,業務流量越來越大並且業務邏輯也越來越複雜,單臺機器的性能問題以及單點問題凸顯了出來,因此需要多臺機器來進行性能的水平擴展以及避免單點故障。但是要如何將不同的用戶的流量分發到不同的服務器上面呢?
早期的方法是使用DNS做負載,通過給客戶端解析不同的IP地址,讓客戶端的流量直接到達各個服務器。但是這種方法有一個很大的缺點就是延時性問題,在做出調度策略改變以後,由於DNS各級節點的緩存並不會及時的在客戶端生效,而且DNS負載的調度策略比較簡單,無法滿足業務需求,因此就出現了負載均衡。
客戶端的流量首先會到達負載均衡服務器,由負載均衡服務器通過一定的調度算法將流量分發到不同的應用服務器上面,同時負載均衡服務器也會對應用服務器做週期性的健康檢查,當發現故障節點時便動態的將節點從應用服務器集羣中剔除,以此來保證應用的高可用。
負載均衡又分爲四層負載均衡和七層負載均衡。四層負載均衡工作在OSI模型的傳輸層,主要工作是轉發,它在接收到客戶端的流量以後通過修改數據包的地址信息將流量轉發到應用服務器。
七層負載均衡工作在OSI模型的應用層,因爲它需要解析應用層流量,所以七層負載均衡在接到客戶端的流量以後,還需要一個完整的TCP/IP協議棧。七層負載均衡會與客戶端建立一條完整的連接並將應用層的請求流量解析出來,再按照調度算法選擇一個應用服務器,並與應用服務器建立另外一條連接將請求發送過去,因此七層負載均衡的主要工作就是代理。
二、四層和七層負載均衡的區別?
2.1-技術原理上的區別。
所謂四層負載均衡,也就是主要通過報文中的目標地址和端口,再加上負載均衡設備設置的服務器選擇方式,決定最終選擇的內部服務器。
以常見的TCP爲例,負載均衡設備在接收到第一個來自客戶端的SYN請求時,即通過上述方式選擇一個最佳的服務器,並對報文中目標IP地址進行修改(改爲後端服務器IP),直接轉發給該服務器。TCP的連接建立,即三次握手是客戶端和服務器直接建立的,負載均衡設備只是起到一個類似路由器的轉發動作。在某些部署情況下,爲保證服務器回包可以正確返回給負載均衡設備,在轉發報文的同時可能還會對報文原來的源地址進行修改。
所謂七層負載均衡,也稱爲“內容交換”,也就是主要通過報文中的真正有意義的應用層內容,再加上負載均衡設備設置的服務器選擇方式,決定最終選擇的內部服務器。
以常見的TCP爲例,負載均衡設備如果要根據真正的應用層內容再選擇服務器,只能先代理最終的服務器和客戶端建立連接(三次握手)後,纔可能接受到客戶端發送的真正應用層內容的報文,然後再根據該報文中的特定字段,再加上負載均衡設備設置的服務器選擇方式,決定最終選擇的內部服務器。
負載均衡設備在這種情況下,更類似於一個代理服務器。負載均衡和前端的客戶端以及後端的服務器會分別建立TCP連接。所以從這個技術原理上來看,七層負載均衡明顯的對負載均衡設備的要求更高,處理七層的能力也必然會低於四層模式的部署方式。那麼,爲什麼還需要七層負載均衡呢?
2.2-應用場景的需求。
七層應用負載的好處,是使得整個網絡更"智能化",參考我們之前的另外一篇專門針對HTTP應用的優化的介紹,就可以基本上了解這種方式的優勢所在。例如訪問一個網站的用戶流量,可以通過七層的方式,將對圖片類的請求轉發到特定的圖片服務器並可以使用緩存技術;將對文字類的請求可以轉發到特定的文字服務器並可以使用壓縮技術。
當然這只是七層應用的一個小案例,從技術原理上,這種方式可以對客戶端的請求和服務器的響應進行任意意義上的修改,極大的提升了應用系統在網絡層的靈活性。很多在後臺,(例如Nginx或者Apache)上部署的功能可以前移到負載均衡設備上,例如客戶請求中的Header重寫,服務器響應中的關鍵字過濾或者內容插入等功能。
另外一個常常被提到功能就是安全性。網絡中最常見的SYNFlood攻擊,即黑客控制衆多源客戶端,使用虛假IP地址對同一目標發送SYN攻擊,通常這種攻擊會大量發送SYN報文,耗盡服務器上的相關資源,以達到DenialofService(DoS)的目的。
從技術原理上也可以看出,四層模式下這些SYN攻擊都會被轉發到後端的服務器上;而七層模式下這些SYN攻擊自然在負載均衡設備上就截止,不會影響後臺服務器的正常運營。另外負載均衡設備可以在七層層面設定多種策略,過濾特定報文,例如SQLInjection等應用層面的特定攻擊手段,從應用層面進一步提高系統整體安全。
現在的7層負載均衡,主要還是着重於應用廣泛的HTTP協議,所以其應用範圍主要是衆多的網站或者內部信息平臺等基於B/S開發的系統。4層負載均衡則對應其他TCP應用,例如基於C/S開發的ERP等系統。
2.3-七層應用需要考慮的問題。
是否真的必要,七層應用的確可以提高流量智能化,同時必不可免的帶來設備配置複雜,負載均衡壓力增高以及故障排查上的複雜性等問題。在設計系統時需要考慮四層七層同時應用的混雜情況。
是否真的可以提高安全性。例如SYNFlood攻擊,七層模式的確將這些流量從服務器屏蔽,但負載均衡設備本身要有強大的抗DDoS能力,否則即使服務器正常而作爲中樞調度的負載均衡設備故障也會導致整個應用的崩潰。
是否有足夠的靈活度。七層應用的優勢是可以讓整個應用的流量智能化,但是負載均衡設備需要提供完善的七層功能,滿足客戶根據不同情況的基於應用的調度。最簡單的一個考覈就是能否取代後臺Nginx或者Apache等服務器上的調度功能。能夠提供一個七層應用開發接口的負載均衡設備,可以讓客戶根據需求任意設定功能,才真正有可能提供強大的靈活性和智能性。
三、負載均衡的算法?
1.隨機算法
Random隨機,按權重設置隨機概率。在一個截面上碰撞的概率高,但調用量越大分佈越均勻,而且按概率使用權重後也比較均勻,有利於動態調整提供者權重。
2.輪詢及加權輪詢
輪詢(RoundRobbin)當服務器羣中各服務器的處理能力相同時,且每筆業務處理量差異不大時,最適合使用這種算法。輪循,按公約後的權重設置輪循比率。存在慢的提供者累積請求問題,比如:第二臺機器很慢,但沒掛,當請求調到第二臺時就卡在那,久而久之,所有請求都卡在調到第二臺上。
加權輪詢(WeightedRoundRobbin)爲輪詢中的每臺服務器附加一定權重的算法。比如服務器1權重1,服務器2權重2,服務器3權重3,則順序爲1-2-2-3-3-3-1-2-2-3-3-3-......
3.最小連接及加權最小連接
最少連接(LeastConnections)在多個服務器中,與處理連接數(會話數)最少的服務器進行通信的算法。即使在每臺服務器處理能力各不相同,每筆業務處理量也不相同的情況下,也能夠在一定程度上降低服務器的負載。
加權最少連接(WeightedLeastConnection)爲最少連接算法中的每臺服務器附加權重的算法,該算法事先爲每臺服務器分配處理連接的數量,並將客戶端請求轉至連接數最少的服務器上。
4.哈希算法
普通哈希
一致性哈希一致性Hash,相同參數的請求總是發到同一提供者。當某一臺提供者掛時,原本發往該提供者的請求,基於虛擬節點,平攤到其它提供者,不會引起劇烈變動。
5.IP地址散列
通過管理髮送方IP和目的地IP地址的散列,將來自同一發送方的分組(或發送至同一目的地的分組)統一轉發到相同服務器的算法。當客戶端有一系列業務需要處理而必須和一個服務器反覆通信時,該算法能夠以流(會話)爲單位,保證來自相同客戶端的通信能夠一直在同一服務器中進行處理。
6.URL散列
通過管理客戶端請求URL信息的散列,將發送至相同URL的請求轉發至同一服務器的算法。
四、負載均衡的實現
(DNS>數據鏈路層>IP層>Http層)?
1-DNS域名解析負載均衡(延遲)
利用DNS處理域名解析請求的同時進行負載均衡是另一種常用的方案。在DNS服務器中配置多個A記錄,如:www.mysite.comINA114.100.80.1、www.mysite.comINA114.100.80.2、www.mysite.comINA114.100.80.3.
每次域名解析請求都會根據負載均衡算法計算一個不同的IP地址返回,這樣A記錄中配置的多個服務器就構成一個集羣,並可以實現負載均衡。
DNS域名解析負載均衡的優點是將負載均衡工作交給DNS,省略掉了網絡管理的麻煩,缺點就是DNS可能緩存A記錄,不受網站控制。事實上,大型網站總是部分使用DNS域名解析,作爲第一級負載均衡手段,然後再在內部做第二級負載均衡。
2-數據鏈路層負載均衡(LVS)
數據鏈路層負載均衡是指在通信協議的數據鏈路層修改mac地址進行負載均衡。
這種數據傳輸方式又稱作三角傳輸模式,負載均衡數據分發過程中不修改IP地址,只修改目的的mac地址,通過配置真實物理服務器集羣所有機器虛擬IP和負載均衡服務器IP地址一樣,從而達到負載均衡,這種負載均衡方式又稱爲直接路由方式(DR).
在上圖中,用戶請求到達負載均衡服務器後,負載均衡服務器將請求數據的目的mac地址修改爲真是WEB服務器的mac地址,並不修改數據包目標IP地址,因此數據可以正常到達目標WEB服務器,該服務器在處理完數據後可以經過網管服務器而不是負載均衡服務器直接到達用戶瀏覽器。
使用三角傳輸模式的鏈路層負載均衡是目前大型網站所使用的最廣的一種負載均衡手段。在linux平臺上最好的鏈路層負載均衡開源產品是LVS(linuxvirtualserver)。
3-IP負載均衡(SNAT)
IP負載均衡:即在網絡層通過修改請求目標地址進行負載均衡。
用戶請求數據包到達負載均衡服務器後,負載均衡服務器在操作系統內核進行獲取網絡數據包,根據負載均衡算法計算得到一臺真實的WEB服務器地址,然後將數據包的IP地址修改爲真實的WEB服務器地址,不需要通過用戶進程處理。真實的WEB服務器處理完畢後,相應數據包回到負載均衡服務器,負載均衡服務器再將數據包源地址修改爲自身的IP地址發送給用戶瀏覽器。
這裏的關鍵在於真實WEB服務器相應數據包如何返回給負載均衡服務器,一種是負載均衡服務器在修改目的IP地址的同時修改源地址,將數據包源地址改爲自身的IP,即源地址轉換(SNAT),另一種方案是將負載均衡服務器同時作爲真實物理服務器的網關服務器,這樣所有的數據都會到達負載均衡服務器。
IP負載均衡在內核進程完成數據分發,較反向代理均衡有更好的處理性能。但由於所有請求響應的數據包都需要經過負載均衡服務器,因此負載均衡的網卡帶寬成爲系統的瓶頸。
4-HTTP重定向負載均衡(少見)
HTTP重定向服務器是一臺普通的應用服務器,其唯一的功能就是根據用戶的HTTP請求計算一臺真實的服務器地址,並將真實的服務器地址寫入HTTP重定向響應中(響應狀態嗎302)返回給瀏覽器,然後瀏覽器再自動請求真實的服務器。
這種負載均衡方案的優點是比較簡單,缺點是瀏覽器需要每次請求兩次服務器才能拿完成一次訪問,性能較差;使用HTTP302響應碼重定向,可能是搜索引擎判斷爲SEO作弊,降低搜索排名。重定向服務器自身的處理能力有可能成爲瓶頸。因此這種方案在實際使用中並不見多。
5-反向代理負載均衡(nginx)
傳統代理服務器位於瀏覽器一端,代理瀏覽器將HTTP請求發送到互聯網上。而反向代理服務器則位於網站機房一側,代理網站web服務器接收http請求。
反向代理的作用是保護網站安全,所有互聯網的請求都必須經過代理服務器,相當於在web服務器和可能的網絡攻擊之間建立了一個屏障。
除此之外,代理服務器也可以配置緩存加速web請求。當用戶第一次訪問靜態內容的時候,靜態內存就被緩存在反向代理服務器上,這樣當其他用戶訪問該靜態內容時,就可以直接從反向代理服務器返回,加速web請求響應速度,減輕web服務器負載壓力。
另外,反向代理服務器也可以實現負載均衡的功能。
由於反向代理服務器轉發請求在HTTP協議層面,因此也叫應用層負載均衡。優點是部署簡單,缺點是可能成爲系統的瓶頸。