A10 GSLB多數(shù)據(jù)中心部署方案A10的Thunder 系列產(chǎn)品可以在數(shù)據(jù)中心同時作為負(fù)載均衡（SLB ）設(shè)備和全局負(fù)載均衡（GSLB ）設(shè)備。無論是單數(shù)據(jù)中心還是多數(shù)據(jù)中心，Thunder 系列產(chǎn)

A10 GSLB多數(shù)據(jù)中心部署方案

A10的Thunder 系列產(chǎn)品可以在數(shù)據(jù)中心同時作為負(fù)載均衡（SLB ）設(shè)備和全局負(fù)載均衡（GSLB ）設(shè)備。無論是單數(shù)據(jù)中心還是多數(shù)據(jù)中心，Thunder 系列產(chǎn)品都可以根據(jù)需求，實(shí)現(xiàn)高可用或容災(zāi)方式部署。

單數(shù)據(jù)中心高可用部署

網(wǎng)絡(luò)拓?fù)?/p>

Thunder 系列產(chǎn)品在單數(shù)據(jù)中心的高可用部署如下圖所示：

Page 1 of 10

部署方式說明

Thunder 作為互聯(lián)網(wǎng)出口網(wǎng)關(guān)

1） 在數(shù)據(jù)中心的出口處，部署高性能的Thunder 硬件產(chǎn)品，作為互聯(lián)網(wǎng)出口鏈路的網(wǎng)

關(guān)設(shè)備，實(shí)現(xiàn)多鏈路之間的負(fù)載分檔和冗余備份。

2）

3） 2臺Thunder 設(shè)備采用HA 方式部署，以實(shí)現(xiàn)高可用性保障。 2臺Thunder 設(shè)備之間建議部署專門的心跳線（可在設(shè)備上指定任意以太接口作為

心跳口），以實(shí)現(xiàn)心跳監(jiān)測的高可用性。

4） Thunder 設(shè)備的上連接口或下連接口建議采用三層方式部署（即兩臺Thunder 的上/

下連接口需要在不同的三層子網(wǎng)中）。主備設(shè)備的切換可通過主動ARP 更新實(shí)現(xiàn)快速收斂。

5） 結(jié)合Thunder 產(chǎn)品的虛擬分區(qū)（ADP ）功能，可以實(shí)現(xiàn)不同VLAN 或不同鏈路群組之

間的分隔部署和管理。Thunder 系列產(chǎn)品最大支持1024個虛擬分區(qū)，因此，可以實(shí)現(xiàn)最大1024個租戶與傳統(tǒng)網(wǎng)絡(luò)、鏈路的分隔部署。

Page 2 of 10

Thunder 作為應(yīng)用負(fù)載均衡（SLB ）設(shè)備

1） 在每個數(shù)據(jù)中心中，部署Thunder 產(chǎn)品作為SLB 設(shè)備，實(shí)現(xiàn)對不同應(yīng)用系統(tǒng)的負(fù)載

分擔(dān)功能和高可用性的要求。

2） Thunder 可采用獨(dú)立部署、HA 雙機(jī)熱備方式部署或aVCS 集群方式部署。采用HA

雙機(jī)熱備或集群方式部署時，兩臺或多臺Thunder 設(shè)備之間需要進(jìn)行心跳檢測?？刹渴饘ｉT的以太口作為心跳接口，或利用已有的數(shù)據(jù)口作為心跳接口。Thunder 之間的心跳線如果采用交換機(jī)連接，需要交換機(jī)支持IGMP 組播包轉(zhuǎn)發(fā)。

3） Thunder 設(shè)備建議采用旁路方式部署。如果采用aVCS 集群方式部署時，建議采用二

層方式部署，在二層方式下部署，主備設(shè)備的切換為毫秒級；采用主備HA 部署時建議在三層網(wǎng)絡(luò)下部署，主備設(shè)備的切換取決于三層路由的收斂速度。

4） 對于每個不同部門或應(yīng)用系統(tǒng)，可分配獨(dú)立的虛擬分區(qū)（ADP ），以供不同的部門

或應(yīng)用系統(tǒng)使用，實(shí)現(xiàn)部署、管理上的隔離和負(fù)載均衡設(shè)備資源共享。在Thunder 上為每個ADP 租戶分配獨(dú)立的分區(qū)，每個分區(qū)可設(shè)置獨(dú)立的管理員帳號，可設(shè)定能夠使用的設(shè)備系統(tǒng)資源，每個ADP 分區(qū)具有獨(dú)立的L2-7層配置信息和數(shù)據(jù)信息。

5） 推薦型號：

a) 對于低性能/小流量需求的系統(tǒng)：可采用Thunder 930（5Gbps 吞吐量）；

b) 對于高性能/大流量的需求，可采用：

i. Thunder 1030S （10G ）

ii. Thunder 3030S （30G)

iii. Thunder 4430S （40G ）--提供40GE 接口

Page 3 of 10

多數(shù)據(jù)中心容災(zāi)部署

在多數(shù)據(jù)中心中，Thunder 產(chǎn)品除了可以在每個數(shù)據(jù)中心內(nèi)提供鏈路負(fù)載均衡（LLB ）和服務(wù)器負(fù)載均衡（SLB ）以外，還可以提供卓越的多數(shù)據(jù)中心全局負(fù)載均衡（GSLB ）功能，實(shí)現(xiàn)入向流量分擔(dān)和智能調(diào)度。

我們推薦兩種部署方式。

部署方式說明（DNS 服務(wù)器代理模式）

網(wǎng)絡(luò)部署拓?fù)?/p>

Page 4 of 10

在多數(shù)據(jù)中心中流量的轉(zhuǎn)發(fā)過程

正常情況

首先簡單介紹一下用戶通過互聯(lián)網(wǎng)絡(luò)訪問Web 應(yīng)用服務(wù)器的整個過程。如下圖所示，我們將通過客戶端訪問來說明客戶端訪問的整個過程。

Client

如圖所示，客戶端（Client ）在瀏覽器地址欄中輸入www.hello.com ，發(fā)起對該網(wǎng)站的訪問請求，客戶端首先向LDNS （Local DNS）發(fā)出域名解析請求，要求LDNS 提供www.hello.com 所對應(yīng)的IP 地址。

LDNS 通過遞歸查詢，從上級DNS 服務(wù)器得到hello.com 的授權(quán)DNS （Authoritative DNS, ADNS ）服務(wù)器IP 地址，于是，LDNS 向ADNS 域名服務(wù)器發(fā)送域名解析請求，要求對www.hello.com 域名進(jìn)行解析。

ADNS 將www.hello.com 的域名解析結(jié)果返回給LDNS 。 LDNS 將www.hello.com 的域名解析結(jié)果返回給客戶端。

客戶端獲得www.hello.com 域名所對應(yīng)的IP 地址，于是，客戶端向這個IP 地址發(fā)送對www.hello.com 域名的訪問請求。

Page 5 of 10

A10的全局負(fù)載均衡GSLB 技術(shù)可以實(shí)現(xiàn)多鏈路或多數(shù)據(jù)中心環(huán)境下入向訪問流量的鏈路選擇，加入全局負(fù)載均衡設(shè)備后，全局負(fù)載均衡設(shè)備可以通過控制DNS 的解析結(jié)果，從而實(shí)現(xiàn)智能引導(dǎo)，使不同地域或運(yùn)營商的用戶訪問進(jìn)入指定的某個數(shù)據(jù)中心或入口鏈路。A10 GSLB通過靜態(tài)或動態(tài)選擇算法，選擇最佳的數(shù)據(jù)中心或鏈路，將用戶端的域名解析到某個數(shù)據(jù)中心或鏈路的應(yīng)用服務(wù)IP 地址，并返回給客戶端。

以上圖為例，我們?nèi)匀煌ㄟ^客戶端訪問www.hello.com 來說明 A10 GSLB是如何通過智能DNS 技術(shù)來進(jìn)行選擇的。A10負(fù)載均衡設(shè)備部署在北京和上海兩個數(shù)據(jù)中心。原來

www.hello.com 在授權(quán)ADNS 上解析為分屬兩個數(shù)據(jù)中心的IP 地址（VIP-BJ ，VIP-SH ），采用隨機(jī)輪詢的方式應(yīng)答域名解析請求，這樣就會出現(xiàn)無法就近性訪問的錯位和延時，并且由于DNS 服務(wù)器自身是不會主動去探測域名A 記錄的可達(dá)性和負(fù)載情況，因此無法做到客觀、準(zhǔn)確的流量分發(fā)。這些DNS 服務(wù)器自身技術(shù)的局限性，正好是全局負(fù)載均衡設(shè)備的價值和優(yōu)勢所在！有了全局負(fù)載均衡設(shè)備后，可以在授權(quán)ADNS 服務(wù)器上將分別（輪詢）委派給北京和上海數(shù)據(jù)中心的A10全局負(fù)載均衡設(shè)備來解析（委派給dns.bj.hello.com 和

dns.sh.hello.com ），并在北京、上海兩個數(shù)據(jù)中心的A10全局負(fù)載均衡設(shè)備上建立hello.com 的子域，配置針對智能解析的算法和策略，通過策略設(shè)置最終確定不同地域、運(yùn)營商、不同流量的訪問分配到北京VIP-BJ ，還是上海VIP-SH 。

客戶端訪問www.hello.com 的過程如下：

Page 6 of 10

客戶端（Client ）在瀏覽器地址欄中輸入www.hello.com ，發(fā)起對該網(wǎng)站的訪問請求。如同前面的實(shí)例一樣，客戶端向LDNS 發(fā)出域名解析請求，如圖示中第1步，要求LDNS 提供www.hello.com 所對應(yīng)的IP 地址。

如圖示中第2步，LDNS 通過遞歸查詢，從上級DNS 服務(wù)器得到hello.com 的授權(quán)ADNS 服務(wù)器IP 地址，于是，LDNS 向ADNS 域名服務(wù)器發(fā)送域名解析請求，要求對www.hello.com 域名進(jìn)行解析。

ADNS 收到LDNS 發(fā)來的域名解析請求后，將域名解析采用輪詢方式委派給北京和上海的A10全局負(fù)載均衡設(shè)備進(jìn)行處理。

A10全局負(fù)載均衡設(shè)備收到LDNS 服務(wù)器的解析請求后，根據(jù)當(dāng)前所采用的GSLB 選擇算法（如基于IP 就近性或者動態(tài)探測等）和當(dāng)前鏈路、數(shù)據(jù)中心的使用情況，對返回的解析結(jié)果進(jìn)智能處理，然后將域名解析結(jié)果返回給LDNS 。如圖示中第3步，如果判斷從北京數(shù)據(jù)中心訪問快，則將VIP-BJ 作為域名解析結(jié)果返回給LDNS ；若判斷從上海數(shù)據(jù)中心訪問快，則將VIP-SH 作為域名解析結(jié)果返回給LDNS 。

如圖示中第4步，LDNS 將www.hello.com 的域名解析結(jié)果返回給客戶端。

如圖示中第5步，客戶端獲得www.hello.com 域名所對應(yīng)的IP 地址，于是，客戶端向這個IP 地址發(fā)起訪問。通常此IP 地址為數(shù)據(jù)中心本地A10應(yīng)用負(fù)載均衡設(shè)備上的VIP 地址（VIP-BJ 或VIP-SH ），通過本地應(yīng)用負(fù)載均衡的處理機(jī)制（SLB ），保障應(yīng)用的高可用性和針對后臺服務(wù)器的負(fù)載分擔(dān)。

A10 GSLB技術(shù)通過對DNS 的解析結(jié)果進(jìn)行智能選擇處理，完成了多鏈路或多數(shù)據(jù)中心的入向路徑智能選擇和負(fù)載分流。一般情況下，選擇算法分為靜態(tài)和動態(tài)兩大類。靜態(tài)的選路算法一般基于源IP 地址進(jìn)行選擇，通過查詢客戶端LDNS IP地址所屬的運(yùn)營商ISP 或地域，來選擇最佳鏈路或數(shù)據(jù)中心，這種方法最直接、最高效，但需要事先將IP 地址段按照所屬的運(yùn)營商ISP 或地域?qū)傩赃M(jìn)行分類并綁定到不同的數(shù)據(jù)中心或鏈路上。動態(tài)的算法則是通過動態(tài)檢測的方法，分析多個鏈路和數(shù)據(jù)中心的負(fù)載情況、響應(yīng)時間、鏈路優(yōu)先級等狀況，通過比較這些指標(biāo)，返回最佳的服務(wù)IP 。A10 GSLB的各種算法可以組合使用，由于國內(nèi)運(yùn)營商之間互聯(lián)互通不是很好，通常建議對國內(nèi)IP 盡可能采用靜態(tài)綁定，對于國外或國內(nèi)未知IP 采用動態(tài)探測，若動態(tài)探測無法得到結(jié)果，則可配置輪詢方法返回地址或者指定返回某一地址。

Page 7 of 10

A10設(shè)備DNS 工作模式

A10設(shè)備的DNS 支持3種工作模式：

1) 授權(quán)DNS Server ：A10設(shè)備代替用戶原來的ADNS ，將用戶所有域名遷移到A10設(shè)備，由

A10設(shè)備完成普通或者智能DNS 解析。

優(yōu)點(diǎn)：可以省掉客戶的DNS Server，降低網(wǎng)元復(fù)雜度，并提高DNS 處理性能。

缺點(diǎn)：由于A10設(shè)備與原來的DNS Server配置習(xí)慣不一樣，可能不適應(yīng)。

2) 輔助性授權(quán)DNS Server ：保留用戶的ADNS ，ADNS 將需要智能解析的域名委派給A10設(shè)備

處理。

優(yōu)點(diǎn)：無需向用戶原來的上級DNS 機(jī)構(gòu)注冊IP ，只處理部分域名，對ADNS 的影響最小。 缺點(diǎn)：需要用戶的ADNS 做一定的配置修改，將用戶的請求域名轉(zhuǎn)發(fā)給A10設(shè)備來處理。

3) DNS Proxy : 將用戶自己的ADNS 在A10設(shè)備上做映射，LDNS 請求首先到達(dá)A10設(shè)備，然后

A10設(shè)備轉(zhuǎn)發(fā)給用戶的ADNS 來解析。ADNS 的解析結(jié)果返回后，A10設(shè)備進(jìn)行智能處理，返回最優(yōu)的服務(wù)IP 給客戶端。

優(yōu)點(diǎn)：不用修改用戶ADNS 的配置，可同時對ADNS 實(shí)現(xiàn)負(fù)載均衡。

缺點(diǎn)：需要把ADNS 的注冊IP 配置到A10設(shè)備上面，ADNS 改成別的IP 。

以上工作模式應(yīng)該選擇哪種取決于不同用戶的現(xiàn)實(shí)環(huán)境和整體考慮。

Thunder 系列產(chǎn)品提供的LB 功能

Thunder 系列產(chǎn)品為用戶提供完善的應(yīng)用交付解決方案。作為LB 產(chǎn)品，Thunder 能夠提供的主要功能包括：

提高應(yīng)用系統(tǒng)的可靠性

Page 8 of 10

? 通過高性能的負(fù)載均衡功能，為用戶構(gòu)建可擴(kuò)展的系統(tǒng)

? 通過健康檢查，提供完善的應(yīng)用系統(tǒng)容錯機(jī)制

? 通過Thunder 自身的HA 高可用性部署，提高整體系統(tǒng)的可靠性，保證業(yè)務(wù)連續(xù)性 ? 通過全局服務(wù)器負(fù)載均衡功能，提供數(shù)據(jù)中心級的流量優(yōu)化、調(diào)度和容災(zāi) ● Web 業(yè)務(wù)優(yōu)化和加速

? TCP 優(yōu)化，通過TCP 優(yōu)化、連接復(fù)用等技術(shù)，降低后端服務(wù)器負(fù)載，提升整體業(yè)務(wù)

系統(tǒng)的處理性能

? SSL 加速，將SSL 功能卸載至負(fù)載均衡設(shè)備，通過SSL 芯片處理流量加解密，提升

安全性的同時，降低后端服務(wù)器的負(fù)載和證書管理難度。

? RAM 緩存，將用戶訪問的熱點(diǎn)內(nèi)容緩存至Thunder 的內(nèi)存中，加快用戶訪問速

度，降低后端服務(wù)器負(fù)載

? HTTP 壓縮，提升帶寬使用效率，加快用戶Web 頁面的訪問速度

● 完善的業(yè)務(wù)安全保護(hù)解決方案

? Web 應(yīng)用防火墻（WAF ），經(jīng)過ICSA 認(rèn)證的Web 應(yīng)用防火墻，對跨站腳本攻擊、

SQL 注入等常見的Web 攻擊性能進(jìn)行識別和阻斷。

? 應(yīng)用訪問管理（AAM ），簡化應(yīng)用訪問管理系統(tǒng)的部署和維護(hù)，增強(qiáng)可擴(kuò)展性 ? DNS 應(yīng)用防火墻（DAF ），保障DNS 系統(tǒng)的安全性，緩解DNS 在遭受攻擊時的系

統(tǒng)壓力，阻斷針對DNS 系統(tǒng)發(fā)起的攻擊行為。

? DDoS 攻擊緩解和防御，通過多維度L4-7的訪問行為的分析和識別，發(fā)現(xiàn)、阻斷和

緩解各種DDoS 攻擊，有效的保護(hù)用戶的業(yè)務(wù)系統(tǒng)。

● 全面、易用、開放的管理系統(tǒng)，簡化運(yùn)營復(fù)雜度、提升管理效率、降低成本

? CLI/GUI：簡單易用的管理界面

? aFleX ：基于DPI （Deep Packet Inspection）的全面的流量管理

? aXAPI 開放接口：開放的、可編程的管理接口，與第三方定制與集成

? aGalaxy ：自動化的集中管理/運(yùn)維軟件，降低TCO 的利器

Page 9 of 10

? 第三方集成：與主流SDN/Cloud集成（VMware 、OpenSt ack……） ? 其他

? 應(yīng)用交付分區(qū)、應(yīng)用交付3層虛擬化

? 虛擬機(jī)箱系統(tǒng)aVCS （Virtual Chassis System）

● aXAPI 接口，便于實(shí)現(xiàn)定制化管理和第三方系統(tǒng)集成

● aFleX 自定義腳本功能

Page 10 of 10