A10-GSLB多数据中心技术方案

A10 GSLB多数据中心部署方案A10的Thunder 系列产品可以在数据中心同时作为负载均衡（SLB ）设备和全局负载均衡（GSLB ）设备。无论是单数据中心还是多数据中心，Thunder 系列产

A10 GSLB多数据中心部署方案

A10的Thunder 系列产品可以在数据中心同时作为负载均衡（SLB ）设备和全局负载均衡（GSLB ）设备。无论是单数据中心还是多数据中心，Thunder 系列产品都可以根据需求，实现高可用或容灾方式部署。

单数据中心高可用部署

网络拓扑

Thunder 系列产品在单数据中心的高可用部署如下图所示：

Page 1 of 10

部署方式说明

Thunder 作为互联网出口网关

1） 在数据中心的出口处，部署高性能的Thunder 硬件产品，作为互联网出口链路的网

关设备，实现多链路之间的负载分档和冗余备份。

2）

3） 2台Thunder 设备采用HA 方式部署，以实现高可用性保障。 2台Thunder 设备之间建议部署专门的心跳线（可在设备上指定任意以太接口作为

心跳口），以实现心跳监测的高可用性。

4） Thunder 设备的上连接口或下连接口建议采用三层方式部署（即两台Thunder 的上/

下连接口需要在不同的三层子网中）。主备设备的切换可通过主动ARP 更新实现快速收敛。

5） 结合Thunder 产品的虚拟分区（ADP ）功能，可以实现不同VLAN 或不同链路群组之

间的分隔部署和管理。Thunder 系列产品最大支持1024个虚拟分区，因此，可以实现最大1024个租户与传统网络、链路的分隔部署。

Page 2 of 10

Thunder 作为应用负载均衡（SLB ）设备

1） 在每个数据中心中，部署Thunder 产品作为SLB 设备，实现对不同应用系统的负载

分担功能和高可用性的要求。

2） Thunder 可采用独立部署、HA 双机热备方式部署或aVCS 集群方式部署。采用HA

双机热备或集群方式部署时，两台或多台Thunder 设备之间需要进行心跳检测。可部署专门的以太口作为心跳接口，或利用已有的数据口作为心跳接口。Thunder 之间的心跳线如果采用交换机连接，需要交换机支持IGMP 组播包转发。

3） Thunder 设备建议采用旁路方式部署。如果采用aVCS 集群方式部署时，建议采用二

层方式部署，在二层方式下部署，主备设备的切换为毫秒级；采用主备HA 部署时建议在三层网络下部署，主备设备的切换取决于三层路由的收敛速度。

4） 对于每个不同部门或应用系统，可分配独立的虚拟分区（ADP ），以供不同的部门

或应用系统使用，实现部署、管理上的隔离和负载均衡设备资源共享。在Thunder 上为每个ADP 租户分配独立的分区，每个分区可设置独立的管理员帐号，可设定能够使用的设备系统资源，每个ADP 分区具有独立的L2-7层配置信息和数据信息。

5） 推荐型号：

a) 对于低性能/小流量需求的系统：可采用Thunder 930（5Gbps 吞吐量）；

b) 对于高性能/大流量的需求，可采用：

i. Thunder 1030S （10G ）

ii. Thunder 3030S （30G)

iii. Thunder 4430S （40G ）--提供40GE 接口

Page 3 of 10

多数据中心容灾部署

在多数据中心中，Thunder 产品除了可以在每个数据中心内提供链路负载均衡（LLB ）和服务器负载均衡（SLB ）以外，还可以提供卓越的多数据中心全局负载均衡（GSLB ）功能，实现入向流量分担和智能调度。

我们推荐两种部署方式。

部署方式说明（DNS 服务器代理模式）

网络部署拓扑

Page 4 of 10

在多数据中心中流量的转发过程

正常情况

首先简单介绍一下用户通过互联网络访问Web 应用服务器的整个过程。如下图所示，我们将通过客户端访问来说明客户端访问的整个过程。

Client

如图所示，客户端（Client ）在浏览器地址栏中输入www.hello.com ，发起对该网站的访问请求，客户端首先向LDNS （Local DNS）发出域名解析请求，要求LDNS 提供www.hello.com 所对应的IP 地址。

LDNS 通过递归查询，从上级DNS 服务器得到hello.com 的授权DNS （Authoritative DNS, ADNS ）服务器IP 地址，于是，LDNS 向ADNS 域名服务器发送域名解析请求，要求对www.hello.com 域名进行解析。

ADNS 将www.hello.com 的域名解析结果返回给LDNS 。 LDNS 将www.hello.com 的域名解析结果返回给客户端。

客户端获得www.hello.com 域名所对应的IP 地址，于是，客户端向这个IP 地址发送对www.hello.com 域名的访问请求。

Page 5 of 10

A10的全局负载均衡GSLB 技术可以实现多链路或多数据中心环境下入向访问流量的链路选择，加入全局负载均衡设备后，全局负载均衡设备可以通过控制DNS 的解析结果，从而实现智能引导，使不同地域或运营商的用户访问进入指定的某个数据中心或入口链路。A10 GSLB通过静态或动态选择算法，选择最佳的数据中心或链路，将用户端的域名解析到某个数据中心或链路的应用服务IP 地址，并返回给客户端。

以上图为例，我们仍然通过客户端访问www.hello.com 来说明 A10 GSLB是如何通过智能DNS 技术来进行选择的。A10负载均衡设备部署在北京和上海两个数据中心。原来

www.hello.com 在授权ADNS 上解析为分属两个数据中心的IP 地址（VIP-BJ ，VIP-SH ），采用随机轮询的方式应答域名解析请求，这样就会出现无法就近性访问的错位和延时，并且由于DNS 服务器自身是不会主动去探测域名A 记录的可达性和负载情况，因此无法做到客观、准确的流量分发。这些DNS 服务器自身技术的局限性，正好是全局负载均衡设备的价值和优势所在！有了全局负载均衡设备后，可以在授权ADNS 服务器上将分别（轮询）委派给北京和上海数据中心的A10全局负载均衡设备来解析（委派给dns.bj.hello.com 和

dns.sh.hello.com ），并在北京、上海两个数据中心的A10全局负载均衡设备上建立hello.com 的子域，配置针对智能解析的算法和策略，通过策略设置最终确定不同地域、运营商、不同流量的访问分配到北京VIP-BJ ，还是上海VIP-SH 。

客户端访问www.hello.com 的过程如下：

Page 6 of 10

客户端（Client ）在浏览器地址栏中输入www.hello.com ，发起对该网站的访问请求。如同前面的实例一样，客户端向LDNS 发出域名解析请求，如图示中第1步，要求LDNS 提供www.hello.com 所对应的IP 地址。

如图示中第2步，LDNS 通过递归查询，从上级DNS 服务器得到hello.com 的授权ADNS 服务器IP 地址，于是，LDNS 向ADNS 域名服务器发送域名解析请求，要求对www.hello.com 域名进行解析。

ADNS 收到LDNS 发来的域名解析请求后，将域名解析采用轮询方式委派给北京和上海的A10全局负载均衡设备进行处理。

A10全局负载均衡设备收到LDNS 服务器的解析请求后，根据当前所采用的GSLB 选择算法（如基于IP 就近性或者动态探测等）和当前链路、数据中心的使用情况，对返回的解析结果进智能处理，然后将域名解析结果返回给LDNS 。如图示中第3步，如果判断从北京数据中心访问快，则将VIP-BJ 作为域名解析结果返回给LDNS ；若判断从上海数据中心访问快，则将VIP-SH 作为域名解析结果返回给LDNS 。

如图示中第4步，LDNS 将www.hello.com 的域名解析结果返回给客户端。

如图示中第5步，客户端获得www.hello.com 域名所对应的IP 地址，于是，客户端向这个IP 地址发起访问。通常此IP 地址为数据中心本地A10应用负载均衡设备上的VIP 地址（VIP-BJ 或VIP-SH ），通过本地应用负载均衡的处理机制（SLB ），保障应用的高可用性和针对后台服务器的负载分担。

A10 GSLB技术通过对DNS 的解析结果进行智能选择处理，完成了多链路或多数据中心的入向路径智能选择和负载分流。一般情况下，选择算法分为静态和动态两大类。静态的选路算法一般基于源IP 地址进行选择，通过查询客户端LDNS IP地址所属的运营商ISP 或地域，来选择最佳链路或数据中心，这种方法最直接、最高效，但需要事先将IP 地址段按照所属的运营商ISP 或地域属性进行分类并绑定到不同的数据中心或链路上。动态的算法则是通过动态检测的方法，分析多个链路和数据中心的负载情况、响应时间、链路优先级等状况，通过比较这些指标，返回最佳的服务IP 。A10 GSLB的各种算法可以组合使用，由于国内运营商之间互联互通不是很好，通常建议对国内IP 尽可能采用静态绑定，对于国外或国内未知IP 采用动态探测，若动态探测无法得到结果，则可配置轮询方法返回地址或者指定返回某一地址。

Page 7 of 10

A10设备DNS 工作模式

A10设备的DNS 支持3种工作模式：

1) 授权DNS Server ：A10设备代替用户原来的ADNS ，将用户所有域名迁移到A10设备，由

A10设备完成普通或者智能DNS 解析。

优点：可以省掉客户的DNS Server，降低网元复杂度，并提高DNS 处理性能。

缺点：由于A10设备与原来的DNS Server配置习惯不一样，可能不适应。

2) 辅助性授权DNS Server ：保留用户的ADNS ，ADNS 将需要智能解析的域名委派给A10设备

处理。

优点：无需向用户原来的上级DNS 机构注册IP ，只处理部分域名，对ADNS 的影响最小。 缺点：需要用户的ADNS 做一定的配置修改，将用户的请求域名转发给A10设备来处理。

3) DNS Proxy : 将用户自己的ADNS 在A10设备上做映射，LDNS 请求首先到达A10设备，然后

A10设备转发给用户的ADNS 来解析。ADNS 的解析结果返回后，A10设备进行智能处理，返回最优的服务IP 给客户端。

优点：不用修改用户ADNS 的配置，可同时对ADNS 实现负载均衡。

缺点：需要把ADNS 的注册IP 配置到A10设备上面，ADNS 改成别的IP 。

以上工作模式应该选择哪种取决于不同用户的现实环境和整体考虑。

Thunder 系列产品提供的LB 功能

Thunder 系列产品为用户提供完善的应用交付解决方案。作为LB 产品，Thunder 能够提供的主要功能包括：

提高应用系统的可靠性

Page 8 of 10

⏹ 通过高性能的负载均衡功能，为用户构建可扩展的系统

⏹ 通过健康检查，提供完善的应用系统容错机制

⏹ 通过Thunder 自身的HA 高可用性部署，提高整体系统的可靠性，保证业务连续性 ⏹ 通过全局服务器负载均衡功能，提供数据中心级的流量优化、调度和容灾 ● Web 业务优化和加速

⏹ TCP 优化，通过TCP 优化、连接复用等技术，降低后端服务器负载，提升整体业务

系统的处理性能

⏹ SSL 加速，将SSL 功能卸载至负载均衡设备，通过SSL 芯片处理流量加解密，提升

安全性的同时，降低后端服务器的负载和证书管理难度。

⏹ RAM 缓存，将用户访问的热点内容缓存至Thunder 的内存中，加快用户访问速

度，降低后端服务器负载

⏹ HTTP 压缩，提升带宽使用效率，加快用户Web 页面的访问速度

● 完善的业务安全保护解决方案

⏹ Web 应用防火墙（WAF ），经过ICSA 认证的Web 应用防火墙，对跨站脚本攻击、

SQL 注入等常见的Web 攻击性能进行识别和阻断。

⏹ 应用访问管理（AAM ），简化应用访问管理系统的部署和维护，增强可扩展性 ⏹ DNS 应用防火墙（DAF ），保障DNS 系统的安全性，缓解DNS 在遭受攻击时的系

统压力，阻断针对DNS 系统发起的攻击行为。

⏹ DDoS 攻击缓解和防御，通过多维度L4-7的访问行为的分析和识别，发现、阻断和

缓解各种DDoS 攻击，有效的保护用户的业务系统。

● 全面、易用、开放的管理系统，简化运营复杂度、提升管理效率、降低成本

⏹ CLI/GUI：简单易用的管理界面

⏹ aFleX ：基于DPI （Deep Packet Inspection）的全面的流量管理

⏹ aXAPI 开放接口：开放的、可编程的管理接口，与第三方定制与集成

⏹ aGalaxy ：自动化的集中管理/运维软件，降低TCO 的利器

Page 9 of 10

⏹ 第三方集成：与主流SDN/Cloud集成（VMware 、OpenSt ack……） ⏹ 其他

⏹ 应用交付分区、应用交付3层虚拟化

⏹ 虚拟机箱系统aVCS （Virtual Chassis System）

● aXAPI 接口，便于实现定制化管理和第三方系统集成

● aFleX 自定义脚本功能

Page 10 of 10