A10 GSLB多數(shù)據(jù)中心部署方案A10的Thunder 系列產(chǎn)品可以在數(shù)據(jù)中心同時(shí)作為負(fù)載均衡（SLB ）設(shè)備和全局負(fù)載均衡（GSLB ）設(shè)備。無(wú)論是單數(shù)據(jù)中心還是多數(shù)據(jù)中心，Thunder 系列產(chǎn)

A10 GSLB多數(shù)據(jù)中心部署方案

A10的Thunder 系列產(chǎn)品可以在數(shù)據(jù)中心同時(shí)作為負(fù)載均衡（SLB ）設(shè)備和全局負(fù)載均衡（GSLB ）設(shè)備。無(wú)論是單數(shù)據(jù)中心還是多數(shù)據(jù)中心，Thunder 系列產(chǎn)品都可以根據(jù)需求，實(shí)現(xiàn)高可用或容災(zāi)方式部署。

單數(shù)據(jù)中心高可用部署

網(wǎng)絡(luò)拓?fù)?/p>

Thunder 系列產(chǎn)品在單數(shù)據(jù)中心的高可用部署如下圖所示：

Page 1 of 10

部署方式說(shuō)明

Thunder 作為互聯(lián)網(wǎng)出口網(wǎng)關(guān)

1） 在數(shù)據(jù)中心的出口處，部署高性能的Thunder 硬件產(chǎn)品，作為互聯(lián)網(wǎng)出口鏈路的網(wǎng)

關(guān)設(shè)備，實(shí)現(xiàn)多鏈路之間的負(fù)載分檔和冗余備份。

2）

3） 2臺(tái)Thunder 設(shè)備采用HA 方式部署，以實(shí)現(xiàn)高可用性保障。 2臺(tái)Thunder 設(shè)備之間建議部署專門的心跳線（可在設(shè)備上指定任意以太接口作為

心跳口），以實(shí)現(xiàn)心跳監(jiān)測(cè)的高可用性。

4） Thunder 設(shè)備的上連接口或下連接口建議采用三層方式部署（即兩臺(tái)Thunder 的上/

下連接口需要在不同的三層子網(wǎng)中）。主備設(shè)備的切換可通過主動(dòng)ARP 更新實(shí)現(xiàn)快速收斂。

5） 結(jié)合Thunder 產(chǎn)品的虛擬分區(qū)（ADP ）功能，可以實(shí)現(xiàn)不同VLAN 或不同鏈路群組之

間的分隔部署和管理。Thunder 系列產(chǎn)品最大支持1024個(gè)虛擬分區(qū)，因此，可以實(shí)現(xiàn)最大1024個(gè)租戶與傳統(tǒng)網(wǎng)絡(luò)、鏈路的分隔部署。

Page 2 of 10

Thunder 作為應(yīng)用負(fù)載均衡（SLB ）設(shè)備

1） 在每個(gè)數(shù)據(jù)中心中，部署Thunder 產(chǎn)品作為SLB 設(shè)備，實(shí)現(xiàn)對(duì)不同應(yīng)用系統(tǒng)的負(fù)載

分擔(dān)功能和高可用性的要求。

2） Thunder 可采用獨(dú)立部署、HA 雙機(jī)熱備方式部署或aVCS 集群方式部署。采用HA

雙機(jī)熱備或集群方式部署時(shí)，兩臺(tái)或多臺(tái)Thunder 設(shè)備之間需要進(jìn)行心跳檢測(cè)?？刹渴饘ｉT的以太口作為心跳接口，或利用已有的數(shù)據(jù)口作為心跳接口。Thunder 之間的心跳線如果采用交換機(jī)連接，需要交換機(jī)支持IGMP 組播包轉(zhuǎn)發(fā)。

3） Thunder 設(shè)備建議采用旁路方式部署。如果采用aVCS 集群方式部署時(shí)，建議采用二

層方式部署，在二層方式下部署，主備設(shè)備的切換為毫秒級(jí)；采用主備HA 部署時(shí)建議在三層網(wǎng)絡(luò)下部署，主備設(shè)備的切換取決于三層路由的收斂速度。

4） 對(duì)于每個(gè)不同部門或應(yīng)用系統(tǒng)，可分配獨(dú)立的虛擬分區(qū)（ADP ），以供不同的部門

或應(yīng)用系統(tǒng)使用，實(shí)現(xiàn)部署、管理上的隔離和負(fù)載均衡設(shè)備資源共享。在Thunder 上為每個(gè)ADP 租戶分配獨(dú)立的分區(qū)，每個(gè)分區(qū)可設(shè)置獨(dú)立的管理員帳號(hào)，可設(shè)定能夠使用的設(shè)備系統(tǒng)資源，每個(gè)ADP 分區(qū)具有獨(dú)立的L2-7層配置信息和數(shù)據(jù)信息。

5） 推薦型號(hào)：

a) 對(duì)于低性能/小流量需求的系統(tǒng)：可采用Thunder 930（5Gbps 吞吐量）；

b) 對(duì)于高性能/大流量的需求，可采用：

i. Thunder 1030S （10G ）

ii. Thunder 3030S （30G)

iii. Thunder 4430S （40G ）--提供40GE 接口

Page 3 of 10

多數(shù)據(jù)中心容災(zāi)部署

在多數(shù)據(jù)中心中，Thunder 產(chǎn)品除了可以在每個(gè)數(shù)據(jù)中心內(nèi)提供鏈路負(fù)載均衡（LLB ）和服務(wù)器負(fù)載均衡（SLB ）以外，還可以提供卓越的多數(shù)據(jù)中心全局負(fù)載均衡（GSLB ）功能，實(shí)現(xiàn)入向流量分擔(dān)和智能調(diào)度。

我們推薦兩種部署方式。

部署方式說(shuō)明（DNS 服務(wù)器代理模式）

網(wǎng)絡(luò)部署拓?fù)?/p>

Page 4 of 10

在多數(shù)據(jù)中心中流量的轉(zhuǎn)發(fā)過程

正常情況

首先簡(jiǎn)單介紹一下用戶通過互聯(lián)網(wǎng)絡(luò)訪問Web 應(yīng)用服務(wù)器的整個(gè)過程。如下圖所示，我們將通過客戶端訪問來(lái)說(shuō)明客戶端訪問的整個(gè)過程。

Client

如圖所示，客戶端（Client ）在瀏覽器地址欄中輸入www.hello.com ，發(fā)起對(duì)該網(wǎng)站的訪問請(qǐng)求，客戶端首先向LDNS （Local DNS）發(fā)出域名解析請(qǐng)求，要求LDNS 提供www.hello.com 所對(duì)應(yīng)的IP 地址。

LDNS 通過遞歸查詢，從上級(jí)DNS 服務(wù)器得到hello.com 的授權(quán)DNS （Authoritative DNS, ADNS ）服務(wù)器IP 地址，于是，LDNS 向ADNS 域名服務(wù)器發(fā)送域名解析請(qǐng)求，要求對(duì)www.hello.com 域名進(jìn)行解析。

ADNS 將www.hello.com 的域名解析結(jié)果返回給LDNS 。 LDNS 將www.hello.com 的域名解析結(jié)果返回給客戶端。

客戶端獲得www.hello.com 域名所對(duì)應(yīng)的IP 地址，于是，客戶端向這個(gè)IP 地址發(fā)送對(duì)www.hello.com 域名的訪問請(qǐng)求。

Page 5 of 10

A10的全局負(fù)載均衡GSLB 技術(shù)可以實(shí)現(xiàn)多鏈路或多數(shù)據(jù)中心環(huán)境下入向訪問流量的鏈路選擇，加入全局負(fù)載均衡設(shè)備后，全局負(fù)載均衡設(shè)備可以通過控制DNS 的解析結(jié)果，從而實(shí)現(xiàn)智能引導(dǎo)，使不同地域或運(yùn)營(yíng)商的用戶訪問進(jìn)入指定的某個(gè)數(shù)據(jù)中心或入口鏈路。A10 GSLB通過靜態(tài)或動(dòng)態(tài)選擇算法，選擇最佳的數(shù)據(jù)中心或鏈路，將用戶端的域名解析到某個(gè)數(shù)據(jù)中心或鏈路的應(yīng)用服務(wù)IP 地址，并返回給客戶端。

以上圖為例，我們?nèi)匀煌ㄟ^客戶端訪問www.hello.com 來(lái)說(shuō)明 A10 GSLB是如何通過智能DNS 技術(shù)來(lái)進(jìn)行選擇的。A10負(fù)載均衡設(shè)備部署在北京和上海兩個(gè)數(shù)據(jù)中心。原來(lái)

www.hello.com 在授權(quán)ADNS 上解析為分屬兩個(gè)數(shù)據(jù)中心的IP 地址（VIP-BJ ，VIP-SH ），采用隨機(jī)輪詢的方式應(yīng)答域名解析請(qǐng)求，這樣就會(huì)出現(xiàn)無(wú)法就近性訪問的錯(cuò)位和延時(shí)，并且由于DNS 服務(wù)器自身是不會(huì)主動(dòng)去探測(cè)域名A 記錄的可達(dá)性和負(fù)載情況，因此無(wú)法做到客觀、準(zhǔn)確的流量分發(fā)。這些DNS 服務(wù)器自身技術(shù)的局限性，正好是全局負(fù)載均衡設(shè)備的價(jià)值和優(yōu)勢(shì)所在！有了全局負(fù)載均衡設(shè)備后，可以在授權(quán)ADNS 服務(wù)器上將分別（輪詢）委派給北京和上海數(shù)據(jù)中心的A10全局負(fù)載均衡設(shè)備來(lái)解析（委派給dns.bj.hello.com 和

dns.sh.hello.com ），并在北京、上海兩個(gè)數(shù)據(jù)中心的A10全局負(fù)載均衡設(shè)備上建立hello.com 的子域，配置針對(duì)智能解析的算法和策略，通過策略設(shè)置最終確定不同地域、運(yùn)營(yíng)商、不同流量的訪問分配到北京VIP-BJ ，還是上海VIP-SH 。

客戶端訪問www.hello.com 的過程如下：

Page 6 of 10

客戶端（Client ）在瀏覽器地址欄中輸入www.hello.com ，發(fā)起對(duì)該網(wǎng)站的訪問請(qǐng)求。如同前面的實(shí)例一樣，客戶端向LDNS 發(fā)出域名解析請(qǐng)求，如圖示中第1步，要求LDNS 提供www.hello.com 所對(duì)應(yīng)的IP 地址。

如圖示中第2步，LDNS 通過遞歸查詢，從上級(jí)DNS 服務(wù)器得到hello.com 的授權(quán)ADNS 服務(wù)器IP 地址，于是，LDNS 向ADNS 域名服務(wù)器發(fā)送域名解析請(qǐng)求，要求對(duì)www.hello.com 域名進(jìn)行解析。

ADNS 收到LDNS 發(fā)來(lái)的域名解析請(qǐng)求后，將域名解析采用輪詢方式委派給北京和上海的A10全局負(fù)載均衡設(shè)備進(jìn)行處理。

A10全局負(fù)載均衡設(shè)備收到LDNS 服務(wù)器的解析請(qǐng)求后，根據(jù)當(dāng)前所采用的GSLB 選擇算法（如基于IP 就近性或者動(dòng)態(tài)探測(cè)等）和當(dāng)前鏈路、數(shù)據(jù)中心的使用情況，對(duì)返回的解析結(jié)果進(jìn)智能處理，然后將域名解析結(jié)果返回給LDNS 。如圖示中第3步，如果判斷從北京數(shù)據(jù)中心訪問快，則將VIP-BJ 作為域名解析結(jié)果返回給LDNS ；若判斷從上海數(shù)據(jù)中心訪問快，則將VIP-SH 作為域名解析結(jié)果返回給LDNS 。

如圖示中第4步，LDNS 將www.hello.com 的域名解析結(jié)果返回給客戶端。

如圖示中第5步，客戶端獲得www.hello.com 域名所對(duì)應(yīng)的IP 地址，于是，客戶端向這個(gè)IP 地址發(fā)起訪問。通常此IP 地址為數(shù)據(jù)中心本地A10應(yīng)用負(fù)載均衡設(shè)備上的VIP 地址（VIP-BJ 或VIP-SH ），通過本地應(yīng)用負(fù)載均衡的處理機(jī)制（SLB ），保障應(yīng)用的高可用性和針對(duì)后臺(tái)服務(wù)器的負(fù)載分擔(dān)。

A10 GSLB技術(shù)通過對(duì)DNS 的解析結(jié)果進(jìn)行智能選擇處理，完成了多鏈路或多數(shù)據(jù)中心的入向路徑智能選擇和負(fù)載分流。一般情況下，選擇算法分為靜態(tài)和動(dòng)態(tài)兩大類。靜態(tài)的選路算法一般基于源IP 地址進(jìn)行選擇，通過查詢客戶端LDNS IP地址所屬的運(yùn)營(yíng)商ISP 或地域，來(lái)選擇最佳鏈路或數(shù)據(jù)中心，這種方法最直接、最高效，但需要事先將IP 地址段按照所屬的運(yùn)營(yíng)商ISP 或地域?qū)傩赃M(jìn)行分類并綁定到不同的數(shù)據(jù)中心或鏈路上。動(dòng)態(tài)的算法則是通過動(dòng)態(tài)檢測(cè)的方法，分析多個(gè)鏈路和數(shù)據(jù)中心的負(fù)載情況、響應(yīng)時(shí)間、鏈路優(yōu)先級(jí)等狀況，通過比較這些指標(biāo)，返回最佳的服務(wù)IP 。A10 GSLB的各種算法可以組合使用，由于國(guó)內(nèi)運(yùn)營(yíng)商之間互聯(lián)互通不是很好，通常建議對(duì)國(guó)內(nèi)IP 盡可能采用靜態(tài)綁定，對(duì)于國(guó)外或國(guó)內(nèi)未知IP 采用動(dòng)態(tài)探測(cè)，若動(dòng)態(tài)探測(cè)無(wú)法得到結(jié)果，則可配置輪詢方法返回地址或者指定返回某一地址。

Page 7 of 10

A10設(shè)備DNS 工作模式

A10設(shè)備的DNS 支持3種工作模式：

1) 授權(quán)DNS Server ：A10設(shè)備代替用戶原來(lái)的ADNS ，將用戶所有域名遷移到A10設(shè)備，由

A10設(shè)備完成普通或者智能DNS 解析。

優(yōu)點(diǎn)：可以省掉客戶的DNS Server，降低網(wǎng)元復(fù)雜度，并提高DNS 處理性能。

缺點(diǎn)：由于A10設(shè)備與原來(lái)的DNS Server配置習(xí)慣不一樣，可能不適應(yīng)。

2) 輔助性授權(quán)DNS Server ：保留用戶的ADNS ，ADNS 將需要智能解析的域名委派給A10設(shè)備

處理。

優(yōu)點(diǎn)：無(wú)需向用戶原來(lái)的上級(jí)DNS 機(jī)構(gòu)注冊(cè)IP ，只處理部分域名，對(duì)ADNS 的影響最小。 缺點(diǎn)：需要用戶的ADNS 做一定的配置修改，將用戶的請(qǐng)求域名轉(zhuǎn)發(fā)給A10設(shè)備來(lái)處理。

3) DNS Proxy : 將用戶自己的ADNS 在A10設(shè)備上做映射，LDNS 請(qǐng)求首先到達(dá)A10設(shè)備，然后

A10設(shè)備轉(zhuǎn)發(fā)給用戶的ADNS 來(lái)解析。ADNS 的解析結(jié)果返回后，A10設(shè)備進(jìn)行智能處理，返回最優(yōu)的服務(wù)IP 給客戶端。

優(yōu)點(diǎn)：不用修改用戶ADNS 的配置，可同時(shí)對(duì)ADNS 實(shí)現(xiàn)負(fù)載均衡。

缺點(diǎn)：需要把ADNS 的注冊(cè)IP 配置到A10設(shè)備上面，ADNS 改成別的IP 。

以上工作模式應(yīng)該選擇哪種取決于不同用戶的現(xiàn)實(shí)環(huán)境和整體考慮。

Thunder 系列產(chǎn)品提供的LB 功能

Thunder 系列產(chǎn)品為用戶提供完善的應(yīng)用交付解決方案。作為L(zhǎng)B 產(chǎn)品，Thunder 能夠提供的主要功能包括：

提高應(yīng)用系統(tǒng)的可靠性

Page 8 of 10

? 通過高性能的負(fù)載均衡功能，為用戶構(gòu)建可擴(kuò)展的系統(tǒng)

? 通過健康檢查，提供完善的應(yīng)用系統(tǒng)容錯(cuò)機(jī)制

? 通過Thunder 自身的HA 高可用性部署，提高整體系統(tǒng)的可靠性，保證業(yè)務(wù)連續(xù)性 ? 通過全局服務(wù)器負(fù)載均衡功能，提供數(shù)據(jù)中心級(jí)的流量?jī)?yōu)化、調(diào)度和容災(zāi) ● Web 業(yè)務(wù)優(yōu)化和加速

? TCP 優(yōu)化，通過TCP 優(yōu)化、連接復(fù)用等技術(shù)，降低后端服務(wù)器負(fù)載，提升整體業(yè)務(wù)

系統(tǒng)的處理性能

? SSL 加速，將SSL 功能卸載至負(fù)載均衡設(shè)備，通過SSL 芯片處理流量加解密，提升

安全性的同時(shí)，降低后端服務(wù)器的負(fù)載和證書管理難度。

? RAM 緩存，將用戶訪問的熱點(diǎn)內(nèi)容緩存至Thunder 的內(nèi)存中，加快用戶訪問速

度，降低后端服務(wù)器負(fù)載

? HTTP 壓縮，提升帶寬使用效率，加快用戶Web 頁(yè)面的訪問速度

● 完善的業(yè)務(wù)安全保護(hù)解決方案

? Web 應(yīng)用防火墻（WAF ），經(jīng)過ICSA 認(rèn)證的Web 應(yīng)用防火墻，對(duì)跨站腳本攻擊、

SQL 注入等常見的Web 攻擊性能進(jìn)行識(shí)別和阻斷。

? 應(yīng)用訪問管理（AAM ），簡(jiǎn)化應(yīng)用訪問管理系統(tǒng)的部署和維護(hù)，增強(qiáng)可擴(kuò)展性 ? DNS 應(yīng)用防火墻（DAF ），保障DNS 系統(tǒng)的安全性，緩解DNS 在遭受攻擊時(shí)的系

統(tǒng)壓力，阻斷針對(duì)DNS 系統(tǒng)發(fā)起的攻擊行為。

? DDoS 攻擊緩解和防御，通過多維度L4-7的訪問行為的分析和識(shí)別，發(fā)現(xiàn)、阻斷和

緩解各種DDoS 攻擊，有效的保護(hù)用戶的業(yè)務(wù)系統(tǒng)。

● 全面、易用、開放的管理系統(tǒng)，簡(jiǎn)化運(yùn)營(yíng)復(fù)雜度、提升管理效率、降低成本

? CLI/GUI：簡(jiǎn)單易用的管理界面

? aFleX ：基于DPI （Deep Packet Inspection）的全面的流量管理

? aXAPI 開放接口：開放的、可編程的管理接口，與第三方定制與集成

? aGalaxy ：自動(dòng)化的集中管理/運(yùn)維軟件，降低TCO 的利器

Page 9 of 10

? 第三方集成：與主流SDN/Cloud集成（VMware 、OpenSt ack……） ? 其他

? 應(yīng)用交付分區(qū)、應(yīng)用交付3層虛擬化

? 虛擬機(jī)箱系統(tǒng)aVCS （Virtual Chassis System）

● aXAPI 接口，便于實(shí)現(xiàn)定制化管理和第三方系統(tǒng)集成

● aFleX 自定義腳本功能

Page 10 of 10