一、客户(项目)背景
XXX银行XX分行是当地最大的金融机构之一。除了省行之外,其下属管辖七个地市行和数百个营业网点。由于日常业务繁忙,且企业机构的地理位置分散,各地市行IT人员缺乏。现有模式下大量分散的客户端对整个信息系统造成了极大的安全隐患以及管理难度。例如:一台客户端被病毒感染就可能在整个系统中传播,从而感染其它客户端和服务器。而省行的维护人员很难及时的了解地市行的系统状况,对地市行的系统进行支持。因此,福建建行在全省范围内采用了创新的Windows 2003 终端服务模式向全省建行用户提供日常办公服务,员工的客户端全部采用WBT(Windows Based Terminal: 网络视窗终端;又称为:瘦终端)。这种模式的采用大大减轻了企业信息系统所面临的安全风险,提高了系统的安全性。终端服务模式下,因为WBT的存储为只读模式,终端被病毒感染的机率大大减少,IT人员只需要集中精力对系统服务器进行安全管理就可以了,在很大程度上减轻了管理成本。
终端模式下进行日常办公虽然是一种创新,有许多优势,但也存在一些风险。由于终端服务器支持大量的终端用户,一台终端服务器出了问题,就会影响到大面积用户的正常办公;终端用户的数据文件都存放在服务器上,这台服务器如果出现故障,所有存储在这台服务器上的数据就会全部丢失,造成的损失将是难以弥补的。
随着IT虚拟化的迅速发展,Thin Client将越来越多地取代PC用于企业计算环境中。
主要推广群体:中型及较大的企业,重视信息安全的企业,IT管理力不从心的企业,有分支机构的地理离散性企业尤为适合。
(1) 零售行业(像WALMART Worldwide,BestBuy)
(2) 金融证券(像JP Morgan Chase)
(3) 制造业(台湾、香港、日本等国在中国设的厂,使用TC的非常多)
(4) 呼叫中心Call Center
(5) 医疗机构Health Care
(6) Education(欧美,澳洲的大学,中学等,最著名的像Harvard University等)
二、客户需求
为了保证终端服务系统的应用的高可用性、高性能和安全性,XXX银行XX分行提出了下列需求:
提高终端服务器的可靠性:
由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24 小时的持续性服务。
需要自动的终端服务可用性检查,保证终端服务应用的7x24 小时的持续性服务。
提高终端服务应用的性能:
在终端服务系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。需要智能负载均衡技术来提高终端服务应用的性能。
对终端服务应用的支持:
通过多种手段正确判断服务器的健康状况,识别不同的会话,支持会话保持功能。
三、梭子鱼解决方案
本方案中,梭子鱼向XXX银行XX分提供梭子鱼负载均衡机440型号以实现对微软终端服务器的负载分担。
梭子鱼负载均衡机是提供本地的服务器群负载均衡和容错的产品,在充分利用现有资源以及对IT基础设施进行最小变动的前提下有效地进行流量的分配,从而提高服务器的处理性能。对客户端而言,这一切都是透明的。
在本方案中,梭子鱼推荐使用2台440型号的负载均衡机进行堆叠部署,同时考虑到瘦客户端应用的特殊性,建议采用路由接入模式来部署以实现最简单,并做到对现有系统的影响最小化。
同时,两台梭子鱼负载均衡机互为备份,并采用“心跳”技术实时监控伙伴设备是否实时可用,并可以向用户提供秒级的故障切换,从而最大程度地提高终端服务系统的有效性与持续性。
本方案整体拓朴示意图如下:
▲
方案总体设计
1. 在核心分配交换机与接入交换机(2层交换模型)的中间接入2台LB440提供对终端服务器的负载均衡。
2. 将负载均衡机的WAN口与核心交换机相连,将LAN口与接入交换机相连。
3. 在LB中建立虚拟IP,并将后台服务器与之绑定,形成虚拟终端服务。
四、梭子鱼解决方案的优势
1. IP及Cookie的会话保持
梭子鱼负载均衡机针对Windows终端服务提供了定制的负载均衡技术,可以选择采用IP或Cookie保持的方式,充分保证终端客户端的会话一致性,为电子商务等提供可靠的会话持续性。
2. 完全冗余镜像/“心跳”技术实时监控
梭子鱼负载均衡机的冗余配置非常简单的,它们之间不需要任何的特殊电缆相连,只要可以IP寻址到即可。物理拓朴为简单易行的路由模式。当一台梭子鱼负载均衡机由于检修或故障的原因停机后,这时另一台梭子鱼负载均衡机会以最快的速度接管其工作。
梭子鱼负载机秒级故障切换技术,确保了终端服务系统的不间断运行。
3. 先进的服务器管理技术
梭子鱼负载均衡机可以对不同性能的服务器进行加权计算,对性能好的服务器可以多分担一些流量。对有用户数限制的服务器,梭子鱼负载均衡机通过连接数限制技术,从而保证服务器连接不会超过限制,同时也保证了性能一般的服务器不会因为连接太多而宕机。
梭子鱼负载均衡主要有两种调度类型,三种动态权重调度方式。
加权轮巡策略(WRR)
轮巡是指将来自客户端的请求依次分配给服务器进行响应。但是由于服务器的性能并不完全相同,有的性能高,处理能力强;有的性能低,处理能力弱。因此简单的轮循对服务器不能做到“因材施用”,这就需要引入权重的概念。权重高的服务器将优先响应连接。
加权最小连接数策略(WLC)
最小连接数策略是指负载均衡机总是选择当前连接数最小的服务器响应客户端的请求。同样这种方式也没有考虑到不同服务器间性能的差异,而且没有考虑服务器当前的工作状态,因此无法做到“动态均衡”。
权重调度的方式(Adaptive Scheduling):
1 自定义方式。管理员根据服务器的性能,指定相应服务器的权重。
2 通过SNMP_CPU自动调整服务器权重。梭子鱼通过探测服务器CPU的负载自动调整权重,负载越低,权重约大。
3 通过LOAD_URL自动调整服务器权重,梭子鱼通过测试服务器打开LOAD_URL页面,根据该页面返回值(0-100)来自动调整权重。
4. 多层实时的服务器健康检查
梭子鱼负载均衡机会实时地对后台服务器进行健康检查,并决定在真实服务器不可用情况下服务如何处理。梭子鱼负载均衡机服务监控机制可以通过3/4层上(PING, PORT 等),以及7层 (DNS, HTTP, SMTP 等)来实现。
5. 扩充能力灵活
梭子鱼负载均衡机与任何品牌、使用界面、操作系统的网络服务器均兼容,在安装时完全不须改变企业原有的网路架构。当您为业务扩充而更新网络服务器,新设备只要与梭子鱼负载均衡机连接,您不须费时集成新旧设备、或统合协定机制。因此梭子鱼负载均衡机使您对网络服务器的投资更为灵活,随时依企业需求而弹性更新网络架构;若您的企业将扩张至全球,梭子鱼负载均衡机灵活的扩充能力,帮助您轻松添加全球服务的行列。
6. 集成IPS功能
梭子鱼负载均衡机装备了一个实时更新的入侵检测系统,通过梭子鱼动态更新机制即时获攻击规则库,可以保护被负载均衡的服务器抵御任何最新的基于连接的攻击,包括以下类型:
病毒扩散: 如NIMDA与红色代码这样的网络传播病毒
缓存区溢出: 一种常见的获取控制权的恶意攻击方式
协议相关:针对一些特定协议如SMTP、DNS或者LDAP的攻击.
应用相关:针对一些特定应用的攻击如IIS、Websphere、Cold Fusion或者 Exchange.
操作系统相关:针对已知的不同操作系统弱点的攻击,如微软Windows系统