挑战三:性能负载均衡和异地灾备
堡垒机推广也是一个循序渐进的过程,在2012年的时候也是买了一台堡垒机进行尝试,后面随着应用的成熟,才逐步扩展到10台。因为目前主机已经超过30000,并发的SSH会话数常规都会在3000左右,最高峰超过6000条,所以必须组建集群来扩展性能。而且随着堡垒机全面普及,堡垒机自身的稳定性也越来越重要,所以又衍生了异地灾备的需求。
经过多方论证,最后采用的方案是:
▲
(图7)
该方案的几个核心点是:
1) 三地机房所有堡垒机配置进行自动同步,使其具备同样的能力,登录任意堡垒机都可以进行配置和运维;
2) 每个机房的HAproxy将自己辖区多台堡垒机做成集群,并执行负载均衡任务;
3) 三地机房的HAproxy的IP地址都注册到一个域名下;
4) DNS实现智能解析,根据源IP地址选择离自己最近的HAproxy集群IP;
