1、梭子魚負(fù)載均衡機(jī)在瘦客戶端環(huán)境中的應(yīng)用方案一、客戶（項(xiàng)目）背景 XXX銀行XX分行是當(dāng)?shù)刈畲蟮慕鹑跈C(jī)構(gòu)之一。除了省行之外，其下屬管轄七個(gè)地市行和數(shù)百個(gè)營業(yè)網(wǎng)點(diǎn)。由于日常業(yè)務(wù)繁忙，且企業(yè)機(jī)構(gòu)的地理位置分散，各地市行IT人員缺乏?，F(xiàn)有模式下大量分散的客戶端對(duì)整個(gè)信息系統(tǒng)造成了極大的安全隱患以及管理難度。例如：一臺(tái)客戶端被病毒感染就可能在整個(gè)系統(tǒng)中傳播，從而感染其它客戶端和服務(wù)器。而省行的維護(hù)人員很難及時(shí)的了解地市行的系統(tǒng)狀況，對(duì)地市行的系統(tǒng)進(jìn)行支持。因此，福建建行在全省范圍內(nèi)采用了創(chuàng)新的Windows 2003 終端服務(wù)模式向全省建行用戶提供日常辦公服務(wù)，員工的客戶端全部采用WBT（Windows

2、 Based Terminal: 網(wǎng)絡(luò)視窗終端；又稱為：瘦終端）。這種模式的采用大大減輕了企業(yè)信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，提高了系統(tǒng)的安全性。終端服務(wù)模式下，因?yàn)閃BT的存儲(chǔ)為只讀模式，終端被病毒感染的機(jī)率大大減少，IT人員只需要集中精力對(duì)系統(tǒng)服務(wù)器進(jìn)行安全管理就可以了，在很大程度上減輕了管理成本。 終端模式下進(jìn)行日常辦公雖然是一種創(chuàng)新，有許多優(yōu)勢(shì)，但也存在一些風(fēng)險(xiǎn)。由于終端服務(wù)器支持大量的終端用戶，一臺(tái)終端服務(wù)器出了問題，就會(huì)影響到大面積用戶的正常辦公；終端用戶的數(shù)據(jù)文件都存放在服務(wù)器上，這臺(tái)服務(wù)器如果出現(xiàn)故障，所有存儲(chǔ)在這臺(tái)服務(wù)器上的數(shù)據(jù)就會(huì)全部丟失，造成的損失將是難以彌補(bǔ)的。隨著IT虛擬化

3、的迅速發(fā)展，Thin Client將越來越多地取代PC用于企業(yè)計(jì)算環(huán)境中。主要推廣群體：中型及較大的企業(yè)，重視信息安全的企業(yè)，IT管理力不從心的企業(yè)，有分支機(jī)構(gòu)的地理離散性企業(yè)尤為適合。(1) 零售行業(yè)(像WALMART Worldwide，BestBuy)(2) 金融證券(像JP Morgan Chase)(3) 制造業(yè)(臺(tái)灣、香港、日本等國在中國設(shè)的廠，使用TC的非常多)(4) 呼叫中心Call Center(5) 醫(yī)療機(jī)構(gòu)Health Care(6) Education(歐美，澳洲的大學(xué)，中學(xué)等，最著名的像Harvard University等)二、客戶需求 為了保證終端服務(wù)系統(tǒng)的應(yīng)用的

4、高可用性、高性能和安全性，XXX銀行XX分行提出了下列需求： 提高終端服務(wù)器的可靠性： 由于服務(wù)器硬件的穩(wěn)定性、流量壓力超載、網(wǎng)絡(luò)攻擊等情況經(jīng)常會(huì)出現(xiàn)意外宕機(jī)的情況，從而無法保證網(wǎng)絡(luò)應(yīng)用的7x24 小時(shí)的持續(xù)性服務(wù)。 需要自動(dòng)的終端服務(wù)可用性檢查，保證終端服務(wù)應(yīng)用的7x24 小時(shí)的持續(xù)性服務(wù)。 提高終端服務(wù)應(yīng)用的性能：在終端服務(wù)系統(tǒng)中，通常會(huì)采用多臺(tái)服務(wù)器同時(shí)提供服務(wù)的方式。但是由于網(wǎng)絡(luò)中的流量并不均衡，因此經(jīng)常會(huì)出現(xiàn)某臺(tái)服務(wù)器由于訪問量過大而宕機(jī)，造成網(wǎng)絡(luò)應(yīng)用性能的不穩(wěn)定，從而影響到整個(gè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的性能。需要智能負(fù)載均衡技術(shù)來提高終端服務(wù)應(yīng)用的性能。 對(duì)終端服務(wù)應(yīng)用的支持：通過多種手段正確

5、判斷服務(wù)器的健康狀況,識(shí)別不同的會(huì)話，支持會(huì)話保持功能。 三、梭子魚解決方案 本方案中，梭子魚向XXX銀行XX分提供梭子魚負(fù)載均衡機(jī)440型號(hào)以實(shí)現(xiàn)對(duì)微軟終端服務(wù)器的負(fù)載分擔(dān)。 梭子魚負(fù)載均衡機(jī)是提供本地的服務(wù)器群負(fù)載均衡和容錯(cuò)的產(chǎn)品，在充分利用現(xiàn)有資源以及對(duì)IT基礎(chǔ)設(shè)施進(jìn)行最小變動(dòng)的前提下有效地進(jìn)行流量的分配，從而提高服務(wù)器的處理性能。對(duì)客戶端而言，這一切都是透明的。 在本方案中，梭子魚推薦使用2臺(tái)440型號(hào)的負(fù)載均衡機(jī)進(jìn)行堆疊部署，同時(shí)考慮到瘦客戶端應(yīng)用的特殊性，建議采用路由接入模式來部署以實(shí)現(xiàn)最簡(jiǎn)單，并做到對(duì)現(xiàn)有系統(tǒng)的影響最小化。 同時(shí)，兩臺(tái)梭子魚負(fù)載均衡機(jī)互為備份，并采用“心跳”技術(shù)實(shí)

6、時(shí)監(jiān)控伙伴設(shè)備是否實(shí)時(shí)可用，并可以向用戶提供秒級(jí)的故障切換，從而最大程度地提高終端服務(wù)系統(tǒng)的有效性與持續(xù)性。本方案整體拓樸示意圖如下：方案總體設(shè)計(jì)1. 在核心分配交換機(jī)與接入交換機(jī)(2層交換模型)的中間接入2臺(tái)LB440提供對(duì)終端服務(wù)器的負(fù)載均衡。2. 將負(fù)載均衡機(jī)的WAN口與核心交換機(jī)相連，將LAN口與接入交換機(jī)相連。3. 在LB中建立虛擬IP，并將后臺(tái)服務(wù)器與之綁定，形成虛擬終端服務(wù)。四、梭子魚解決方案的優(yōu)勢(shì) 1. IP及Cookie的會(huì)話保持 梭子魚負(fù)載均衡機(jī)針對(duì)Windows終端服務(wù)提供了定制的負(fù)載均衡技術(shù)，可以選擇采用IP或Cookie保持的方式，充分保證終端客戶端的會(huì)話一致性，為電

7、子商務(wù)等提供可靠的會(huì)話持續(xù)性。 2. 完全冗余鏡像/“心跳”技術(shù)實(shí)時(shí)監(jiān)控 梭子魚負(fù)載均衡機(jī)的冗余配置非常簡(jiǎn)單的，它們之間不需要任何的特殊電纜相連，只要可以IP尋址到即可。物理拓樸為簡(jiǎn)單易行的路由模式。當(dāng)一臺(tái)梭子魚負(fù)載均衡機(jī)由于檢修或故障的原因停機(jī)后，這時(shí)另一臺(tái)梭子魚負(fù)載均衡機(jī)會(huì)以最快的速度接管其工作。 梭子魚負(fù)載機(jī)秒級(jí)故障切換技術(shù)，確保了終端服務(wù)系統(tǒng)的不間斷運(yùn)行。 3. 先進(jìn)的服務(wù)器管理技術(shù) 梭子魚負(fù)載均衡機(jī)可以對(duì)不同性能的服務(wù)器進(jìn)行加權(quán)計(jì)算，對(duì)性能好的服務(wù)器可以多分擔(dān)一些流量。對(duì)有用戶數(shù)限制的服務(wù)器，梭子魚負(fù)載均衡機(jī)通過連接數(shù)限制技術(shù)，從而保證服務(wù)器連接不會(huì)超過限制，同時(shí)也保證了性能一般的服

8、務(wù)器不會(huì)因?yàn)檫B接太多而宕機(jī)。梭子魚負(fù)載均衡主要有兩種調(diào)度類型，三種動(dòng)態(tài)權(quán)重調(diào)度方式。加權(quán)輪巡策略(WRR)輪巡是指將來自客戶端的請(qǐng)求依次分配給服務(wù)器進(jìn)行響應(yīng)。但是由于服務(wù)器的性能并不完全相同，有的性能高，處理能力強(qiáng)；有的性能低，處理能力弱。因此簡(jiǎn)單的輪循對(duì)服務(wù)器不能做到“因材施用”，這就需要引入權(quán)重的概念。權(quán)重高的服務(wù)器將優(yōu)先響應(yīng)連接。加權(quán)最小連接數(shù)策略(WLC)最小連接數(shù)策略是指負(fù)載均衡機(jī)總是選擇當(dāng)前連接數(shù)最小的服務(wù)器響應(yīng)客戶端的請(qǐng)求。同樣這種方式也沒有考慮到不同服務(wù)器間性能的差異，而且沒有考慮服務(wù)器當(dāng)前的工作狀態(tài)，因此無法做到“動(dòng)態(tài)均衡”。權(quán)重調(diào)度的方式(Adaptive Scheduli

9、ng)：1 自定義方式。管理員根據(jù)服務(wù)器的性能，指定相應(yīng)服務(wù)器的權(quán)重。2 通過SNMP_CPU自動(dòng)調(diào)整服務(wù)器權(quán)重。梭子魚通過探測(cè)服務(wù)器CPU的負(fù)載自動(dòng)調(diào)整權(quán)重，負(fù)載越低，權(quán)重約大。3 通過LOAD_URL自動(dòng)調(diào)整服務(wù)器權(quán)重，梭子魚通過測(cè)試服務(wù)器打開LOAD_URL頁面，根據(jù)該頁面返回值（0-100）來自動(dòng)調(diào)整權(quán)重。4. 多層實(shí)時(shí)的服務(wù)器健康檢查梭子魚負(fù)載均衡機(jī)會(huì)實(shí)時(shí)地對(duì)后臺(tái)服務(wù)器進(jìn)行健康檢查，并決定在真實(shí)服務(wù)器不可用情況下服務(wù)如何處理。梭子魚負(fù)載均衡機(jī)服務(wù)監(jiān)控機(jī)制可以通過3/4層上（PING, PORT 等），以及7層 （DNS, HTTP, SMTP 等）來實(shí)現(xiàn)。 5. 擴(kuò)充能力靈活 梭子魚

10、負(fù)載均衡機(jī)與任何品牌、使用界面、操作系統(tǒng)的網(wǎng)絡(luò)服務(wù)器均兼容，在安裝時(shí)完全不須改變企業(yè)原有的網(wǎng)路架構(gòu)。當(dāng)您為業(yè)務(wù)擴(kuò)充而更新網(wǎng)絡(luò)服務(wù)器，新設(shè)備只要與梭子魚負(fù)載均衡機(jī)連接，您不須費(fèi)時(shí)集成新舊設(shè)備、或統(tǒng)合協(xié)定機(jī)制。因此梭子魚負(fù)載均衡機(jī)使您對(duì)網(wǎng)絡(luò)服務(wù)器的投資更為靈活，隨時(shí)依企業(yè)需求而彈性更新網(wǎng)絡(luò)架構(gòu)；若您的企業(yè)將擴(kuò)張至全球，梭子魚負(fù)載均衡機(jī)靈活的擴(kuò)充能力，幫助您輕松添加全球服務(wù)的行列。 6. 集成IPS功能梭子魚負(fù)載均衡機(jī)裝備了一個(gè)實(shí)時(shí)更新的入侵檢測(cè)系統(tǒng)，通過梭子魚動(dòng)態(tài)更新機(jī)制即時(shí)獲攻擊規(guī)則庫，可以保護(hù)被負(fù)載均衡的服務(wù)器抵御任何最新的基于連接的攻擊，包括以下類型： 病毒擴(kuò)散： 如NIMDA與紅色代碼這樣