项目背景：

　　☆ 该网站为国内著名的大型电子商务网站。

　　☆ 网站在国内设置有北京、上海两大核心结点，以及十余个二级城市备份结点。

　　☆ 网站群的核心业务均需要做到服务器负载均衡。

　　☆ 对于关键的网上交易流量(HTTPS)，采用SSL卸载和加速解决方案。

　　客户需求：

　　☆ 服务器负载均衡：根据预设的负载策略，将不同的访问请求分发到相应的服务器。并能够通过规定方式检查服 务器是否正常提供相应的服务，若发现某个服务出现异常，则采用设定的方案将其隔离出应用服务器群，保证正常服务不受其影响。要求在正常情况 下两台或多台服务器的负载基本相同，在某台服务器停机的情况下透明的容错，保证关键应用的持续,提供特别的会话保持能力, 可以根据不同应用的 特点保证个别用户的访问会定位在特定的服务器,只有在这台服务器出现故障时再将访问导向到其他服务器。

　　☆ SSL卸载和加速：避免SSL加解密运算对服务器造成的额外压力，提高服务器的处理能力, 保证电子商务访问的 安全可靠。

　　☆ 高可靠性：通过HA方式保证系统的7x24小时服务，保证系统的高可靠性;同时提供会话镜像功能，保证设备切 换时，应用的连续性。

　　梭子鱼负载均衡解决方案：

　　☆ 通过两台梭子鱼LB640实现服务器负载均衡需求

　　☆ 通过LB640内置的SSL专用加速卡实现SSL卸载和加速需求

　　☆ 两台LB640配置成HA热备模式，提供主备冗余结构

　　选择梭子鱼负载均衡解决方案的原因：

　　☆ IP及Cookie的会话保持

　　梭子鱼负载均衡机针对终端服务提供了定制的负载均衡技术，可以选择采用IP或Cookie保持的方式，充分保证终 端客户端的会话一致性，确保终端客户端的会话持续性，并及时准确地检测、报告终端服务器的有效性，即使在组播地环境中也能最大程度地满足了 用户需求。

　　☆ 完全冗余镜像/“心跳”技术实时监控

　　梭子鱼负载均衡机的冗余配置非常简单的，它们之间不需要任何的特殊电缆相连，只要可以IP寻址到即可。物理 拓朴为简单易行的服务器直接返回模式。当一台梭子鱼负载均衡机由于检修或故障的原因停机后，这时另一台梭子鱼负载均衡机会以最快的速度接管 其工作。梭子鱼负载机秒级故障切换技术，确保了终端服务系统的不间断运行。

　　☆ 先进的服务器管理技术

　　梭子鱼负载均衡机可以对不同性能的服务器进行加权计算，对性能好的服务器可以多分担一些流量。对有用户数 限制的服务器，梭子鱼负载均衡机通过连接数限制技术，从而保证服务器连接不会超过限制，同时也保证了性能一般的服务器不会因为连接太多而宕 机。

　　梭子鱼负载均衡主要有两种调度类型，三种动态权重调度方式。

　　加权轮巡策略(WRR)

　　轮巡是指将来自客户端的请求依次分配给服务器进行响应。但是由于服务器的性能并不完全相同，有的性能高， 处理能力强;有的性能低，处理能力弱。因此简单的轮循对服务器不能做到“因材施用”，这就需要引入权重的概念。权重高的服务器将优 先响应连接。

　　加权最小连接数策略(WLC)

　　最小连接数策略是指负载均衡机总是选择当前连接数最小的服务器响应客户端的请求。同样这种方式也没有考虑 到不同服务器间性能的差异，而且没有考虑服务器当前的工作状态，因此无法做到“动态均衡”。

　　权重调度的方式(Adaptive Scheduling)：

　　1 自定义方式。管理员根据服务器的性能，指定相应服务器的权重。

　　2 通过SNMP_CPU自动调整服务器权重。梭子鱼通过探测服务器CPU的负载自动调整权重，负载越低，权重约大。

　　3 通过LOAD_URL自动调整服务器权重，梭子鱼通过测试服务器打开LOAD_URL页面，根据该页面返回值(0-100)来自 动调整权重。

　　☆ 多层实时的服务器健康检查

　　梭子鱼负载均衡机会实时地对后台服务器进行健康检查，并决定在真实服务器不可用情况下服务如何处理。梭子 鱼负载均衡机服务监控机制可以通过3/4层上(PING, PORT 等)，以及7层 (DNS, HTTP, SMTP 等)来实现。

　　☆ 扩充能力灵活

　　梭子鱼负载均衡机与任何品牌、使用界面、操作系统的网络服务器均兼容，在安装时完全不须改变企业原有的网 路架构。当您为业务扩充而更新网络服务器，新设备只要与梭子鱼负载均衡机连接，您不须费时集成新旧设备、或统合协定机制。因此梭子鱼负载均 衡机使您对网络服务器的投资更为灵活，随时依企业需求而弹性更新网络架构;若您的企业将扩张至全球，梭子鱼负载均衡机灵活的扩充能力，帮助您 轻松添加全球服务的行列。

　　☆ 集成IPS功能

　　梭子鱼负载均衡机装备了一个实时更新的入侵检测系统，通过梭子鱼动态更新机制即时获攻击规则库，可以保护 被负载均衡的服务器抵御任何最新的基于连接的攻击，包括以下类型：

　　• 病毒扩散：如NIMDA与红色代码这样的网络传播病毒

　　• 缓存区溢出：一种常见的获取控制权的恶意攻击方式

　　• 协议相关：针对一些特定协议如SMTP、DNS或者LDAP的攻击.

　　• 应用相关：针对一些特定应用的攻击如IIS、Websphere、Cold Fusion或者Exchange.

　　• 操作系统相关：针对已知的不同操作系统弱点的攻击，如微软Windows系统.

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/149/12246149.shtml

(责任编辑：)