随着Internet的日益普及,用户基于Internet的各种关键业务的访问量越来越大。因此,对服务器系统提出了非常高的要求,而采用传统的服务器部署架构根本不能解决用户的关于访问性能、可扩展性、安全性等方面的需求。当用户面临单点故障,服务器性能瓶颈时,传统情况下通常会采用两个方法解决:
第一种途径是通过用处理能力更强的服务器替换现有的服务器,提高性能;并采用双机冗余的方式提高可用性。第二种是通过增加服务器来构建服务器群。
这两种方法都具有局限性。第一种解决方案比较昂贵,并且不具有很好的扩展性,在进行维护与升级时需要中断服务,替换服务器的费用不仅包括新服务器的费用,而且原有的服务器虽然处于功能完好的运行状态也不能再发挥作用产生效益了。第二种解决方案与第一种相比,是一个相对廉价的解决方案,通过增加新的服务器来提高网站的处理能力,并且与原有的服务器共同工作,在升级时不会中断服务,其不足之处在于每一个服务器都有一个唯一的IP地址,用户需要记住多个IP地址以更好地访问该站点,由此也造成流量不能有效地在多个服务器之间进行分配。
经过分析以上两种传统解决方案存在的弊端,考虑用户需要一种全新的解决方案,能够真正地实现对关键业务提供7*24的高可靠性保障,性能的提升以及安全防范,真正地实现方便的访问。因此,采用基于硬件的专用负载均衡设备的解决方案成为解决数据中心服务器访问的首选。
应用服务器负载解决方案拓扑图如下
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点故障。
现代负载均衡技术通常操作于网络的第四层或第七层。第四层负载均衡将一个Internet上合法注册的IP地址映射为多个内部服务器的IP地址,对每次TCP连接请求动态使用其中一个内部IP地址,达到负载均衡的目的。在第四层交换机中,此种均衡技术得到广泛的应用,一个目标地址是服务器群VIP(虚拟IP,Virtual
IP address)连接请求的数据包流经交换机,交换机根据源或目的IP地址、TCP或UDP端口号和一定的负载均衡策略,在服务器IP和VIP间进行映射,选取服务器群中最好的服务器来处理连接请求。
第七层负载均衡控制应用层服务的内容,提供了一种对访问流量的高层控制方式,适合对HTTP服务器群的应用。第七层负载均衡技术通过检查流经的HTTP报头,根据报头内的信息来执行负载均衡任务。
负载均衡策略
选择合适的负载均衡策略,使多个设备能很好的共同完成任务,消除或避免现有网络负载分布不均、数据流量拥挤反应时间长的瓶颈。在各负载均衡方式中,针对不同的应用需求,在OSI参考模型的第二、三、四、七层的负载均衡都有相应的负载均衡策略。
负载均衡策略的优劣及其实现的难易程度有两个关键因素:一是负载均衡算法,二是对网络系统状况的检测方式和能力。
· 轮循均衡(Round
Robin):每一次来自网络的请求轮流分配给内部中的服务器,从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况。
· 权重轮循均衡(Weighted
Round Robin):根据服务器的不同处理能力,给每个服务器分配不同的权值,使其能够接受相应权值数的服务请求。例如:服务器A的权值被设计成1,B的权值是3,C的权值是6,则服务器A、B、C将分别接受到10%、30%、60%的服务请求。此种均衡算法能确保高性能的服务器得到更多的使用率,避免低性能的服务器负载过重。
· 随机均衡(Random):把来自网络的请求随机分配给内部中的多个服务器。
· 权重随机均衡(Weighted
Random):此种均衡算法类似于权重轮循算法,不过在处理请求分担时是个随机选择的过程。
· 响应速度均衡(Response
Time):负载均衡设备对内部各服务器发出一个探测请求(例如Ping),然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好的反映服务器的当前运行状态,但这最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间,而不是客户端与服务器间的最快响应时间。
· 最少连接数均衡(Least
Connection):客户端的每一次请求服务在服务器停留的时间可能会有较大的差异,随着工作时间加长,如果采用简单的轮循或随机均衡算法,每一台服务器上的连接进程可能会产生极大的不同,并没有达到真正的负载均衡。最少连接数均衡算法对内部中需负载的每一台服务器都有一个数据记录,记录当前该服务器正在处理的连接数量,当有新的服务连接请求时,将把当前请求分配给连接数最少的服务器,使均衡更加符合实际情况,负载更加均衡。此种均衡算法适合长时处理的请求服务,如FTP。
· 处理能力均衡:此种均衡算法将把服务请求分配给内部中处理负荷(根据服务器CPU型号、CPU数量、内存大小及当前连接数等换算而成)最轻的服务器,由于考虑到了内部服务器的处理能力及当前网络运行状况,所以此种均衡算法相对来说更加精确,尤其适合运用到第七层(应用层)负载均衡的情况下。
- DNS响应均衡(Flash
DNS):在Internet上,无论是HTTP、FTP或是其它的服务请求,客户端一般都是通过域名解析来找到服务器确切的IP地址的。在此均衡算法下,分处在不同地理位置的负载均衡设备收到同一个客户端的域名解析请求,并在同一时间内把此域名解析成各自相对应服务器的IP地址(即与此负载均衡设备在同一位地理位置的服务器的IP地址)并返回给客户端,则客户端将以最先收到的域名解析IP地址来继续请求服务,而忽略其它的IP地址响应。在种均衡策略适合应用在全局负载均衡的情况下,对本地负载均衡是没有意义的。
进一步的增强使得SLB 可基于更高层的HTTP 协议信息转发流量。现在的服务器负载均衡设备也称Web 交换机或第四层至七层交换机,可以接收来自远程访问服务器(RAS)的请求,基于URLs、cookies、标头Hash 算法以及SSL 会话ID 等作出数据分发决策。
l URL 交换技术基于URL 字符串文本中的信息,将HTTP 请求定向到某个服务器组;
l Cookie 交换技术基于HTTP 标头中的cookie 中嵌入的信息将HTTP 请求定向到某个服务器组;
l HTTP 标头Hash 算法利用数学数值比较HTTP 标头信息,并将该信息映射到某个服务器,将所有请求均定位到该服务器上;
l SSL 会话ID 交换技术将某个客户机连接到其先前已经建立了SSL 或者安全套接字层连接的同一服务器。
服务器负载均衡设备主要在网络中实现以下功能:
Ø 健康状况检查
服务器负载均衡设备可靠的健康状况检查可以保证用户获得最佳的服务。可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障,用户即被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。
为了确保服务正常运行,服务器负载均衡设备监控从 Web 服务器、中间件服务器到后端数据库服务器的整个路径上工作状态,确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器,服务器负载均衡设备则不会将用户分配到这个发生故障路径的服务器,从而保证为用户提供透明的数据完整性保障。
Ø 交易完整性的可靠保证
为了保证用户在访问具有会话连续性业务时不会被服务器负载均衡器分配到不同的服务器上,服务器负载均衡设备在提供本地负载均衡的同时,还可以具备基于cookie,session
ID,SIP,SSL ID,source IP等方式将用户的请求定位在相同的服务器上。
Ø 完全的容错与冗余
服务器负载均衡设备的配置可提供设备间的完全容错,以确保网络最大的可用性。两台服务器负载均衡设备工作在冗余模式下,通过网络相互检查各自的工作状态,为其所管理的应用保障完全的网络可用性。它们可工作于“主用–备用”模式或“主用–主用”模式,在“主用–主用”模式下,因为两个设备都处于工作状态,从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像,从而提供透明的冗余和完全的容错,确保在任何时候用户都可以获得从点击到内容的最佳服务。
Ø 通过正常退出服务保证稳定运行
当需要进行服务器升级或系统维护时,服务器负载均衡设备可保证稳定的服务器退出服务以避免服务中断。当选定某台服务器要从服务器退出服务后,服务器负载均衡设备将不会将任何新的用户分配到该服务器。但是,它可以要退出服务的服务器上完成对当前用户的服务。从而保证了无中断的优质服务,以及服务器组的简易管理能力。
Ø 智能的服务器服务恢复
将重新启动的服务器应用到服务中时,避免新服务器因突然出现的流量冲击导致系统故障是非常重要的。所以,在将新服务器引入服务器组时,服务器负载均衡设备将逐渐地增加分配到该服务器的流量,直至达到其完全的处理能力。从而不仅保证用户在服务器退出服务时,同时还保证服务器在启动期间以及应用程序开始时,均能获得不间断服务。
Ø 通过负载均衡优化服务器资源
服务器负载均衡设备执行复杂的负载均衡算法,在多个本地和远程服务器间动态分配负载。这些算法包括循环、最少用户数、最小流量、Native
Windows NT 以及定制代理支持。除了这些算法,服务器负载均衡设备还可以为每个服务器分配一个可以配置的性能加权,从而提高服务器组的性能。
Ø URL交换
服务器负载均衡设备可支持 URL 交换,根据 URL 和 HTTP 信息分配流量。每个 URL 都可以重定向到某服务器,或在多个服务器之间进行负载均衡,从而提供优化的 Web 交换性能。根据 URL 文本中包含的信息,服务器负载均衡设备可以保持客户持续性,从而保证内容的个性化。
Ø 内容交换
内容交换使管理员可以根据交易的内容来分配服务器资源。例如,CGI 脚本可以位于一个单独的服务器组,当发生对该内容的请求时,会话就被重定向到其中某个服务器。服务器负载均衡设备的内容交换能力可以广泛支持 SSL
ID 和 Session
ID,保持客户持续性,保证最佳流量管理和应用内容个性化。
6.2集中式数据中心管理
6.2.1 安全的集中式数据中心管理
无论是新一代数据中心,还是下一代数据中心,或者称为绿色数据中心,从构建层次讲,一般分为两部分,一是作为整个支撑应用的物理平台,包括存储、网络交换设备等;另一个是为这些IT设备提供支撑的环境,如电源、制冷等。
所谓数据中心,一般分为企业数据中心和IDC。从客户群来讲,IDC主要是面向ISP用户,它主要的目标是通过互联网进行信息交换。而企业级的数据中心主要是面向高端的、大型的企业。例如金融、政府部门,主要是用于生产。IDC设备一般是PC服务器、局域网或者是一些其他服务器等,而企业级数据中心根据企业的业务情况,可能有大型主机、小型机服务器等。企业数据中心也有一种公共企业数据中心的形式,主要是面向公众服务的,所以它面对的是高端客户,在制冷、供电等方面有很高的要求。
6.2.2 数据中心管理现状
一、业务扩展使得IT基础设施迅速增加,出现复杂的管理问题。
1、采用传统的终端等带内管理方式,连接的可靠性需要依赖终端应用。操作系统和基础网络,当连接失效时运维人员需要赶往。
2、 机房降低了运维效率和响应时间。
3、管理成本逐年递增,大大超过IT设施的成本。
二、每种类型的IT设施都要采取一种工具进行管理,不同的工具之间不能集成;非集中的管理方式,使统一认证、授权、审计和安全策略难以实施。当出现紧急情况时,IT基础设施的联调需要打开多个管理界面,界面切换耗时且容易出现误操作。
近两年来,像虚拟化、刀片服务器等新技术的应用和探讨非常火热,作为新技术,可以在一定程度上盘活现有的设备和空间,但它们作为数据中心的新来客,对现有技术实力讲应用在高效的数据中心环境中有较高的要求。刀片服务器也好,虚拟化也好,本身的耗电是很高的,要有高可用的数据中心来支持。虚拟化是对于资源的整合,使得CPU和存储发挥资源更大的效应。无论是虚拟化还是不虚拟化,设备密集化给统一集中管理都会带来新一代的要求。
6.2.3 新一代智能安全的集中式数据中心管理
新一代的数据中心首先要坚持高可用性。高可用包括两个方面,一个是所谓的使用效应,包括它能够适应新技术的发展,比如虚拟化、刀片服务器的问题;第二是在高可用的前提下,节省能耗,减少污染排放,这两项是互相有关联的。新一代的绿色数据中心,那就是:一、指数据中心的基础设施;二、指绿色芯片,或者刀片服务器等,都可归属到绿色IT的范畴,综合起来,才可以称为是绿色计算。
从新一代数据中心概念来讲,来自于一个大背景,就是数据融合。数据融合带来一个问题,数据中心稳定与否?这与企业生死存亡有直接关系。所以仍然离不开可靠性和可用性的问题。二是能源问题,对于机房来讲,电力供应以及能耗都是非常惊人的。三是管理问题。如果这三个问题解决了,就能够完成新一代数据中心的构建。总之,绿色是一个实现手段,并不是目的。我们的目的是为IT运营提供保障。在提供保障的同时,从各个方面达到绿色节能。
数据中心发展趋向绿色、高效、可靠。
6.2.4 绿色IT架构管理完整解决方案
统一管理平台
统一管理平台为数据中心提供管理所有IT资产的安全、集中式管理解决方案。不管设备的健康情况、操作系统的状态以及这些设备的网络连接如何,使管理员可以从全球任何地点访问、诊断和修改任何受控设备。统一管理平台可使数据中心和远程办公室的管理、访问和扩展变得更加容易,并可提高它们的安全性。
可管理:
提供管理整个数据中心环境的单一的、安全的、基于浏览器的界面,包括:
l 刀片式服务器和机柜;嵌入式服务处理器;机架安装式服务器
l VMware 虚拟架构,包括虚拟中心、ESX 服务器和虚拟机
l 串口高级控制台服务器
l KVM
over IP 交换设备
l 智能配电设备 (IPDU)
l 服务处理器管理设备
同时为每个用户提供无限制的自定义查看功能、图形报告创建功能和任务自动化工具,以及无可比拟的网络资产整体查看功能。
可访问:
统一管理的冗余“中心和分支”架构使管理员可以通过任何联网的 PC 或移动设备访问网络中的所有资产。管理员通过统一管理的带外 (OOB) 功能可以诊断和修复问题,即使网关、路由器或其他 IP 连接已被断开。
可扩展:
数据中心不断演进。无论是正在向刀片系统转移、实验 SAN(区域网络存储),还是仅仅尝试使用新的路由器,统一管理平台都可以通过集成新技术和提供一致的接口,帮助您进行控制,且无需考虑您的基础设施如何。统一管理平台必须预先深度集成了 HP
Software、NetClarity、Uptime
Devices、VMWare 等等以及其他解决方案。
安全:
无需使用额外的安全程序,可通过您现有的内部或外部标准服务进行身份验证。所有通信均经过加密,并可提供详细的活动日志,为问题处理和合规性提供重要的审计记录。远程管理功能最大程度地降低对数据中心的本地访问需求,因此您可以更安心地以物理方式锁定敏感机器。
从管理和技术层面上讲,应该具备以下的需求和优势。
需满足:
1. 可一个界面对数据中心的物理和虚拟资源的安全、远程的集中管理。
2. 可访问各主要服务器制造商的服务器处理器;支持刀片服务器
3. 可保证法规和审计遵从性的数据记录、存档
4. 可支持调试解调器和ISDN;可支持远程解决问题;可支持IPV6
5. 可装置配置模板
具备的优势:
1. 应具有实现冗余性和实时同步的集中星型架构
2. 应具有通过LDAP、Active
Directory、NT
Domain、TACACS+、RADIUS和RSA
SecurID等内部、外部服务实现的用户认证
3. 应具有当网络连接中断时,利用MODEM或高速ISDN连接实现对远程站点的访问
4. 应具有集中健康与安全信息以保持服务器安全可用
5. 应具有通过预配置的设备配置模板实现快捷的部署
企业KVM解决方案
模拟 KVM 交换解决方案可为用户提供同时实时访问所有主要服务器平台和串行设备的功能。通过将两台模拟 KVM 矩阵交换机连接到您的桌面用户工作站,在冗余和自动故障转移两种状态之间进行切换,该产品可保持您的重要服务器和串行设备一直可用。也可以通过桌面用户工作站访问本地计算机和模拟 KVM 矩阵交换机,以便有效地实时访问所连接的服务器和串行设备。模拟 KVM 交换系统具有全面的系统管理功能、高级的基于 Java 的管理工具、最佳的视频分辨率以及屏幕式图形界面。模拟 KVM交换机可以在现有的 UTP 缆线基础设施上工作,其可选的变形补偿功能可根据缆线类型和长度进行自动调节,确保最佳视频质量。
KVM over IP 交换机可让您对数据中心内所有连接的服务器和串行设备进行 BIOS 级的控制。从而能够远程管理和重启所连接的设备,并在网络出现故障时提供外置调制解调器支持。KVM交换机配备有与 Internet
Explorer、Mozilla、Firefox 或 Netscape 兼容的板载 Web 接口,可用于访问和控制基于 IP 的服务器。增加统一管理平台,并获得集中管理KVM 交换机和所连接服务器的优势。通过统一管理平台的一个常规接口,您可以访问和管理控制台和电源管理装置。它还提供了安全访问身份验证、故障转移中心和分支结构、事件通知,并具有对启用了 IPMI 的服务器的访问权限。您可以通过统一管理平台的虚拟媒体功能,将本地存储媒体映射至远程服务器。
KVM over IP 可提供本地和远程服务器管理、串行设备管理、集成式电源管理。实现了对已连接的服务器和串行设备执行电源通断循环,通过外置调制解调器远程对服务器访问及控制。
串口控制台管理
串口控制台服务器将尖端科技、自适应服务和安全企业通信融为一体,使 IT 专业人员与网络运营中心 (NOC) 工作人员能够从全球任何地点对 IT 资产执行安全的远程数据中心管理与带外管理。串口控制台服务器采用加强的 Linux® 操作系统,可提供最佳的性能、安全性和可靠性。还通过统一管理平台和集成电源提供完整的带外管理解决方案。
可扩展的高性能解决方案。串口控制台服务器具有一个高速处理器平台,带有两个千兆以太网冗余端口、一个可选的内置调制解调器以及16 位和 32 位网卡选项。此外,用于监控设备级别的内部温度传感器和可配置的串行端口引出线。
还提供强大的软件功能,以满足最苛刻的数据中心管理应用的需求。这些功能包括自动发现工具,可轻易识别连接至任何串行端口的服务器、路由器、交换机或 PBX,从而节省初始配置与安装的时间。为了遵守现行的数据中心网络访问策略,为安全管理提供多种自定义的访问级别。
串口控制台服务器具有高级控制台服务器功能,如增强的安全性、数据记录和事件监控等,为安全远程控制提供了完整的解决方案。此外,还支持下一代网络标准,如网际协议第 6 版 (IPv6)。串口控制台服务器提供单、双交流和直流电源选项,还可能带有调制解调器,
特点及优势
易访问性
带内(以太网)和带外(拨号调制解调器)支持; 内置调制解调器连接; PC 卡插槽支持允许使用其他访问接口,如调制解调器(v.92 和 ISDN)、以太网、高速以太网(光纤)和无线以太网(GSM、GPRS、UMTS 和 CDMA)。
可用性
通过将千兆以太网端口用作二级端口实现自动以太网故障转移;双电源;内置调制解调器支持;USB 端口选项允许存储或连接基于 USB 的 PC 卡。
安全性
预设的安全配置文件 — 安全、中等和开放;自定义安全配置文件;X.509
SSH 证书支持;SSHv1 和 SSHv2;本地、RADIUS、TACACS+、LDAP/AD、NIS 和 Kerberos 认证;双重认证技术 (RSA
SecurID);一次性密码 (OTP) 验证;本地备份用户身份验证支持;PAP/CHAP 和可扩展身份验证协议 (EAP) 验证;群组身份验证;TACACS+、RADIUS 和 LDAP、端口访问、电源访问、装置权限;IP 包和安全过滤;每个端口的用户访问列表;系统事件系统日志;具有 NAT 遍历支持的 IPSec;IP 转发支持;安全出厂默认值;强大的密码实。
端口访问
直接通过服务器名称或设备名称;CLI 命令;同步 Telnet 和 SSH 访问;HTTP/HTTPS
系统管理
适用于首次用户的网络配置向导;用于自动部署的自动发现功能;命令行接口 (CLI);Web 管理界面 (HTTP/HTTPS);SNMP;内置温度传感器。
升级
从 FTP 站点上免费升级;网络启动 TFTP 支持。
其他可支持的协议
用于动态 IP 地址分配的 DHCP;IPv6 支持可实现更出色的部署灵活性;用于拨号的 PPP;用于时间服务器同步的 NTP;用于远程串行端口访问的 RFC2217 支持。
服务处理器管理
服务处理器管理工具提供安全的 Serial
over LAN (SoL) 控制台访问、电源控制、服务器硬件监控,以及全新 DirectCommand 功能,该功能可以实现透明和安全地访问服务处理器固有界面以及进行 IPMI 自动配置和服务处理器自动发现。与统一管理平台配合使用时,管理器提供基本的服务器覆盖,补充了全面的管理基础设施。
提供功能丰富的 Web 用户界面,采用了服务器硬件系统管理架构命令行协议 (SMASH
CLP) 的命令行界面,该界面是由分布式管理任务组 (DMTF) 定义的一个标准的用户和脚本界面。这为管理来自多个制造商的服务器提供了一个单一的命令行界面,从而简化了管理、提高了互操作性并最终提供了脚本和自动化功能。
通过插件提高服务处理器的功能性。例如,SoL 功能补充了持续数据记录功能,从而实现了更高的安全性和审核水平。同时,多服务器同步电源控制提高了现有服务处理器的电源管理功能,包括 IPMI 依次关机。通过这些功能,用户可充分利用这些服务处理器技术。
拥有使用方便的 IPMI 自动配置功能和在网络内自动发现服务器管理设备的功能,因此是企业数据中心和高性能计算 (HPC) 及其他簇集环境的理想选择。
特性:
SoL、电源控制、硬件监控和报警 SoL 带数据记录功能 |
强大的安全功能(AAA、细粒度 ACL、数据记录)
以群组方式执行命令
减少脚本更改/错误以及针对新命令的培训
丰富的 SSH 命令选项用于脚本控制设备管理
IPMI 自动配置;自动发现服务处理器
自动发现和配置启用 DHCP 的服务处理器
DirectCommand -
直接访问服务处理器的固有用户界面;服务处理器自动登录和直接访问虚拟 KVM 和虚拟媒体功能
用于集成服务器 GUI 的 RDP 和 VNC 支持
完整、全面的远程服务器管理
更好的审核功能、更快的故障排除
轻松符合内部安全策略以及与现有安全系统集成
从整体上控制基础设施
更方便的自动化、脚本编写以及与现有管理程序集成;更快、更方便的 IPMI 部署
更好地利用现有(已购买)的服务器管理功能
新服务处理器的配置更简单
访问熟悉的服务处理器用户界面及利用其所有功能,而不影响安全性
服务处理器功能的使用和访问更简单
通过一个用户界面对服务器进行全面管理
电源管理
新一代电源管理设备包括两个 RS-232 插座,能够使用菊花链方式连接多达 128 个电源插座。将该菊花链连接到串口控制台服务器上的一个插座上,实现如今市场上最先进的远程电源管理解决方案。通过使用 HTTP、HTTPS、telnet、SSHv2 和 SNMP 远程管理您的电源基础设施,并将解决方案与现有的 LDAP、Kerberos 或 RADIUS 身份验证方案集成。
特性
l 安全远程电源管理;集成的控制台和电源管理;独立电源端口控制(开机/关机/重启)
l 控制层菊花链支持(多达 128 个插座);支持对单个电源插座的名称分配
l 每个电源插座的 LED 电源开/关指示器;LED 数字电流显示屏
l 过流报警(声音和控制台通知);水平 (1U) 和垂直 (0U) 安装选择
l 本地身份验证支持多达 8 个用户;每个电源端口的用户访问列表
l Telnet/SSH/SNMP 电源插座管理;事件通知(电子邮件/SMS/SNMP 陷阱)
l 本地、RADIUS、TACACS+、Kerberos 和 LDAP 身份验证;基于令牌的强大身份验证 (SecurID)
发表评论