問一個扎心的問題“你的網站奔潰過嗎?”最近網站因為高并發奔潰,去了解了一下“四層和七層負載均衡”,所謂“負載均衡”就是在現有網絡結構之上,通過一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。
四層和七層負載均衡:http://www.bxgb88.com/dedicated/hkcloud.html
比如說,我們把多臺機器組成一個集群對外提供服務。當用戶在瀏覽器輸入www.1234.com的時候如何將用戶的請求分發到集群中不同的機器上呢,這就是負載均衡在做的事情!
負載均衡也常被稱為"四到七層交換機",有兩方面的用途。第一,大量的并發訪問或數據流量分擔到多臺節點設備上分別處理,減少用戶等待響應的時間;第二,單個重負載的運算分擔到多臺節點設備上做并行處理,每個節點設備處理結束后,將結果匯總返回給用戶,系統處理能力得到大幅度提高。那什么是四層和七層負載均衡呢?
一、簡單理解四層和七層負載均衡
①所謂四層負載均衡,也就是主要通過報文中的目標地址和端口,再加上負載均衡設備設置的服務器選擇方式,決定最終選擇的內部服務器。
以常見的TCP為例,負載均衡設備在接收到第一個來自客戶端的SYN
請求時,即通過上述方式選擇一個最佳的服務器,并對報文中目標IP地址進行修改(改為后端服務器IP),直接轉發給該服務器。TCP的連接建立,即三次握手是客戶端和服務器直接建立的,負載均衡設備只是起到一個類似路由器的轉發動作。在某些部署情況下,為保證服務器回包可以正確返回給負載均衡設備,在轉發報文的同時可能還會對報文原來的源地址進行修改。
②
所謂七層負載均衡,也稱為“內容交換”,七層參考模型,是參考模型是國際標準化組織(ISO)制定的一個用于計算機或通信系統間互聯的標準體系。它從低到高分別是:物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。四層工作在OSI第四層,也就是傳輸層;七層工作在最高層,也就是應用層。
以常見的TCP為例,負載均衡設備如果要根據真正的應用層內容再選擇服務器,只能先代理最終的服務器和客戶端建立連接(三次握手)后,才可能接受到客戶端發送的真正應用層內容的報文,然后再根據該報文中的特定字段,再加上負載均衡設備設置的服務器選擇方式,決定最終選擇的內部服務器。負載均衡設備在這種情況下,更類似于一個代理服務器。負載均衡和前端的客戶端以及后端的服務器會分別建立TCP連接。所以從這個技術原理上來看,七層負載均衡明顯的對負載均衡設備的要求更高,處理七層的能力也必然會低于四層模式的部署方式。那么,為什么還需要七層負載均衡呢?
③
四層交換機主要分析IP層及TCP/UDP層,實現四層流量負載均衡。七層交換機除了支持四層負載均衡以外,還有分析應用層的信息,如HTTP協議URI或Cookie信息。
二、兩類負載均衡的區別在哪里
1、應用場景的需求。
七層應用負載的好處,是使得整個網絡更”智能化“。例如訪問一個網站的用戶流量,可以通過七層的方式,將對圖片類的請求轉發到特定的圖片服務器并可以使用緩存技術;將對文字類的請求可以轉發到特定的文字服務器并可以使用壓縮技術。當然這只是七層應用的一個小案例,從技術原理上,這種方式可以對客戶端的請求和服務器的響應進行任意意義上的修改,極大的提升了應用系統在網絡層的靈活性。很多在后臺,例如Nginx或者Apache上部署的功能可以前移到負載均衡設備上,例如客戶請求中的Header重寫,服務器響應中的關鍵字過濾或者內容插入等功能。
另外一個常常被提到功能就是安全性。網絡中最常見的SYN
Flood攻擊,即黑客控制眾多源客戶端,使用虛假IP地址對同一目標發送SYN攻擊,通常這種攻擊會大量發送SYN報文,耗盡服務器上的相關資源,以達到Denial
of
Service(DoS)的目的。從技術原理上也可以看出,四層模式下這些SYN攻擊都會被轉發到后端的服務器上;而七層模式下這些SYN攻擊自然在負載均衡設備上就截止,不會影響后臺服務器的正常運營。另外負載均衡設備可以在七層層面設定多種策略,過濾特定報文,例如SQL
Injection等應用層面的特定攻擊手段,從應用層面進一步提高系統整體安全。
現在的7層負載均衡,主要還是著重于應用HTTP協議,所以其應用范圍主要是眾多的網站或者內部信息平臺等基于B/S開發的系統。
4層負載均衡則對應其他TCP應用,例如基于C/S開發的ERP等系統。
2、七層應用需要考慮的問題。
1)是否真的必要,七層應用的確可以提高流量智能化,同時必不可免的帶來設備配置復雜,負載均衡壓力增高以及故障排查上的復雜性等問題。在設計系統時需要考慮四層七層同時應用的混雜情況。
2)是否真的可以提高安全性。例如SYN
Flood攻擊,七層模式的確將這些流量從服務器屏蔽,但負載均衡設備本身要有強大的抗ddos能力,否則即使服務器正常而作為中樞調度的負載均衡設備故障也會導致整個應用的崩潰。
3)是否有足夠的靈活度。七層應用的優勢是可以讓整個應用的流量智能化,但是負載均衡設備需要提供完善的七層功能,滿足客戶根據不同情況的基于應用的調度。最簡單的一個考核就是能否取代后臺Nginx或者Apache等服務器上的調度功能。能夠提供一個七層應用開發接口的負載均衡設備,可以讓客戶根據需求任意設定功能,才真正有可能提供強大的靈活性和智能性。
3、從安全需求考慮
四層負載均衡與服務器直接建立起TCP連接,很容易遭受SYN Flood攻擊。SYN
Flood是一種廣為人知的DDoS(分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡的攻擊方式。
上一篇:
香港云服務器如何安裝寶塔面板?
下一篇:
實現虛擬化存儲的3種方式
