CN111064809B - 应用于网络隔离区的负载均衡方法和系统 - Google Patents
应用于网络隔离区的负载均衡方法和系统 Download PDFInfo
- Publication number
- CN111064809B CN111064809B CN201911425821.9A CN201911425821A CN111064809B CN 111064809 B CN111064809 B CN 111064809B CN 201911425821 A CN201911425821 A CN 201911425821A CN 111064809 B CN111064809 B CN 111064809B
- Authority
- CN
- China
- Prior art keywords
- load balancing
- functional layer
- layer
- data stream
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
Abstract
本公开提供了一种应用于网络隔离区的负载均衡系统。所述系统包括接入层、安全层以及功能层。所述接入层用于接收到达所述网络隔离区的访问数据流,并将所述访问数据流分发给所述安全层,以对所述安全层中的设备进行负载均衡;所述安全层用于对所述访问数据流进行安全检查,并将通过安全检查的数据流转发给所述功能层;以及所述功能层用于将接收到的所述通过安全检查的数据流分发给后台服务器,以对所述后台服务器进行负载均衡。本公开还提供了一种应用于网络隔离区的负载均衡方法。
Description
技术领域
本公开涉及互联网技术领域,更具体地,涉及一种应用于网络隔离区的负载均衡方法和系统。
背景技术
网络隔离区(DMZ,demilitarized zone)是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。来自外网的访问流量需要经过该网络隔离区之后才能达到后台真实服务器,从而可以更加有效地保护内部网络,对来自外网的攻击者来说又多了一道关卡。
相关技术中,网络隔离区通常采用单层主备模式来实现负载均衡架构,尤其是当在网络隔离区中部署诸如web应用防护系统(WAF,web application Firewall)等安全层设备后,网络隔离区带来的流量翻倍或业务增长引起的流量增加会全部叠加到单层负载均衡设备上。例如,首先来自外网的访问流量先经过单层负载均衡设备接入网络隔离区,然后该单层负载均衡设备将该访问流量分发给安全层设备进行安检检查,接着安全层设备将通过安全检查的访问流量又转发回该单层负载均衡设备,最后再由该单层负载均衡设备分发给后台真实的服务器。这个过程中,该单层负载均衡设备收发的流量包括来自外网的访问流量、分发给安全层设备的访问流量、安全层设备反馈的通过安全检查的访问流量、以及分发给后台真实服务器的访问流量四部分。该四部分流量会导致网络隔离区的流量翻倍。而且,网络隔离区采用单层主备模式来实现负载均衡架构时,性能上限就是单台负载均衡设备性能容量的上限,性能扩容时必须更换设备硬件。
发明内容
有鉴于此,本公开提供了一种对网络隔离区的负载均衡进行功能性分层的负载均衡系统和负载均衡方法。
本公开的一个方面,提供了一种应用于网络隔离区的负载均衡系统,其中,所述系统包括接入层、安全层以及功能层。所述接入层用于接收到达所述网络隔离区的访问数据流,并将所述访问数据流分发给所述安全层,以对所述安全层中的设备进行负载均衡。所述安全层用于对所述访问数据流进行安全检查,并将通过安全检查的数据流转发给所述功能层。所述功能层用于将接收到的所述通过安全检查的数据流分发给后台服务器,以对所述后台服务器进行负载均衡。
根据本公开的实施例,所述系统还包括交换机。所述交换机用于:将所述接入层和所述安全层进行二层网络互联;将所述安全层和所述功能层进行二层网络互联;以及将所述功能层和所述后台服务器通过三层网络和路由转发互联。
根据本公开的实施例,所述交换机还用于:将所述接入层和所述功能层进行二层网络互联,以在所述安全层故障时使得所述接入层将接收到的访问数据流转发给所述功能层。
根据本公开的实施例,所述功能层包括多个功能层负载均衡设备,所述多个功能层负载均衡设备被设置为以集群模式运行。
根据本公开的实施例,所述功能层被设置为对应于包括所述网络隔离区在内的多个网络隔离区,用于接收由与所述多个网络隔离区分别对应的多个安全层转发而来的数据流。
根据本公开的实施例,所述功能层还用于:当所述多个功能层负载均衡设备中的第一功能层负载均衡设备接收到的数据流超过所述第一功能层负载均衡设备的流量阈值时,将所述功能层接收到的数据流按照访问的web应用的不同进行拆分;以及将拆分后的数据流的至少一部分切换至所述多个功能层负载均衡设备中的至少一个其他功能层负载均衡设备。其中,所述第一功能层负载均衡设备为所述多个功能层负载均衡设备中的任意一个,所述其他功能层负载均衡设备为述多个功能层负载均衡设备中除所述第一功能层负载均衡设备之外的任意一个。
根据本公开的实施例,所述功能层还用于:当接收到用于访问单个web应用的数据流大于第二功能层负载均衡设备的流量阈值时,将所述用于访问单个web应用的数据流进行拆分为多个数据流;以及通过所述多个功能层负载均衡设备中两个以上功能层负载均衡设备处理所述多个数据流。其中,所述第二功能层负载均衡设备为所述多个功能层负载均衡设备中的任意一个。
根据本公开的实施例,所述接入层包括多个接入层负载均衡设备,所述多个接入层负载均衡设备被设置为以集群模式运行。
根据本公开的实施例,所述接入层被设置为对应于包括所述网络隔离区在内的多个网络隔离区,用于接收达到所述多个网络隔离区的访问数据流。
根据本公开的实施例,所述安全层包括web应用防护系统。
本公开的另一方面,提供了一种应用于网络隔离区的负载均衡方法。其中,所述方法包括:利用接入层接收到达所述网络隔离区的访问数据流,并将所述访问数据流分发给所述安全层,以对所述安全层中的设备进行负载均衡;利用安全层对所述访问数据流进行安全检查,并将通过安全检查的数据流转发给所述功能层;以及利用功能层将接收到的所述通过安全检查的数据流分发给后台服务器,以对所述后台服务器进行负载均衡。
根据本公开的实施例,可以至少部分地解决相关技术中应用于网络隔离区的负载均衡系统的性能容量难于扩展的问题,并因此可以实现各层的负载均衡设备间性能容量可以方便地弹性扩缩地技术效果。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的应用于网络隔离区的负载均衡系统的框图;
图2示意性示出了根据本公开实施例的应用于网络隔离区的负载均衡方法的流程图;
图3示意性示出了根据本公开一实施例的应用于网络隔离区的负载均衡系统的系统架构示意图;
图4示意性示出了根据本公开另一实施例的应用于网络隔离区的负载均衡系统的系统架构示意图;
图5示意性示出了根据本公开再一实施例的应用于网络隔离区的负载均衡系统的系统架构示意图;
图6和图7对比示意性示出了根据本公开实施例的应用于网络隔离区的负载均衡系统中按照访问的web应用的不同进行流量拆分的示意图;以及
图8和图9对比示意性示出了根据本公开实施例的应用于网络隔离区的负载均衡系统中对访问单个web应用的流量进行拆分的示意图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
相关技术中,网络隔离区采用单层主备模式来实现负载均衡架构的方式,负载均衡的性能上限就是单台负载均衡设备性能容量的上限,性能扩容时必须更换设备硬件,因此负载均衡架构设计存在容量扩展的上限。本公开的发明人经过互联网应用的负载均衡架构进行分析和研究后,提出提出对应用于网络隔离区的负载均衡集群进行分层设计的技术构思,打破相关技术中单层主备模式负载均衡架构设计的纵向扩展瓶颈,实现可灵活横向扩展的多层负载均衡技术架构。
本公开的实施例提供了一种应用于网络隔离区的负载均衡系统、以及相应的负载均衡方法。
根据本公开的实施例,该应用于网络隔离区的负载均衡系统包括接入层、安全层以及功能层。接入层用于接收到达网络隔离区的访问数据流,并将访问数据流分发给安全层,以对安全层中的设备进行负载均衡。安全层用于对访问数据流进行安全检查,并将通过安全检查的数据流转发给功能层。功能层用于将接收到的通过安全检查的数据流分发给后台服务器,以对后台服务器进行负载均衡。
根据本公开的实施例,该应用于网络隔离区的负载均衡方法包括,首先利用接入层接收到达网络隔离区的访问数据流,并将访问数据流分发给安全层,以对安全层中的设备进行负载均衡,然后利用安全层对访问数据流进行安全检查,并将通过安全检查的数据流转发给功能层,最后利用功能层将接收到的通过安全检查的数据流分发给后台服务器,以对后台服务器进行负载均衡。
根据本公开的实施例,对应用于网络隔离区的负载均衡按照功能性需求进行分层设计,初步形成包括接入层、安全层和功能层的互联网接入新架构框架。其中,接入层对诸如web应用防护系统的安全层的设备做负载均衡,经过安全检查验证后的流量进入功能层,再由功能层对后台真实服务器(web服务器或者App服务器等)做负载均衡,从而将原来全部由单层负载均衡设备收发的流量进行了分流,可以有效支撑互联网业务增长对负载均衡性能的扩展需求,有效支撑业务创新和发展。
以下结合图1~图9对根据本公开实施例的应用于网络隔离区的负载均衡系统和方法进行示例性说明。
图1示意性示出了根据本公开实施例的应用于网络隔离区的负载均衡系统100的框图。
如图1所示,该负载均衡系统100可以包括接入层110、安全层120以及功能层130。
接入层110用于接收到达网络隔离区的访问数据流,并将访问数据流分发给安全层120,以对安全层120中的设备进行负载均衡。根据本公开的一些实施例,还可以包括证书卸载层。证书卸载层可以用于卸载访问数据流中的证书等,例如实现SSL加密流量的证书卸载。在一些实施例中,该证书卸载层可以包括位于接入层110和安全层120之间。在另一些实施例中,该证书卸载层可以集成于接入层110。访问数据流到达网络隔离区后可以首先进入接入层110。接入层110在承接访问数据流后,可以由证书卸载层卸载访问数据流中的证书,然后将访问数据流分发给安全层120,从而对安全层120中的设备实现负载均衡功能。
安全层120用于对访问数据流进行安全检查,并将通过安全检查的数据流转发给功能层130。根据本公开的实施例,安全层120可以包括web应用防护系统。web应用防护系统可以实现对访问数据流的监控和清洗。通过安全层120的安全检查后的数据流被转发到功能层130。
功能层130用于将接收到的通过安全检查的数据流分发给后台服务器,以对后台服务器进行负载均衡。功能层130还可以用于保持与后台服务器之间的cookie会话、以及进行源地址转换等。
图2示意性示出了根据本公开实施例的应用于网络隔离区的负载均衡方法的流程图。具体地,图2所示的负载均衡方法可以由负载均衡系统100来执行。
如图2所示,该应用于网络隔离区的负载均衡方法可以包括操作S201~操作S203。
在操作S201,利用接入层110接收到达网络隔离区的访问数据流,并将访问数据流分发给安全层120,以对安全层120中的设备进行负载均衡。
在操作S202,利用安全层120对访问数据流进行安全检查,并将通过安全检查的数据流转发给功能层130。
在操作S203,利用功能层130将接收到的通过安全检查的数据流分发给后台服务器,以对后台服务器进行负载均衡。
根据本公开的实施例的负载均衡系统和方法,将原有的单层负载均衡架构进行分层,形成包括接入层110、安全层120和功能层130等的多个层次的负载均衡架构。利用接入层110对安全层120做负载均衡,以及利用功能层130对后台真实服务器做负载均层,通过多层次的负载均衡将原来全部由单层负载均衡设备收发的流量进行了分流,可以有效支撑互联网业务增长对负载均衡性能的扩展需求,有效支撑业务创新和发展。
以网络隔离区接收用于访问手机银行web的访问数据流为例进行测试的案例中,本公开实施例的负载均衡系统100相比于原有的单层负载均衡架构而言,接入层110的设备CPU峰值可以由53%下降到34%,下降比率达36%;其中,手机银行应用消耗的CPU由25%下降到13%,下降比率达50%。可见,根据本公开实施例的负载均衡系统和方法,可以有效地解决单层负载均衡架构性能容量不足且无法扩展的问题,实现了网络隔离区负载均衡设备的弹性扩缩和互联网应用流量的快速灵活调度。
图3示意性示出了根据本公开一实施例的应用于网络隔离区的负载均衡系统300的系统架构示意图。
如图3所示,该系统300包括接入层310、安全层320和功能层330以及交换机350。
接入层310、安全层320和功能层330分别为前述接入层110、安全层120和功能层130的一个具体实施例,详细可以参考图1和图2的相关描述。
根据本公开的实施例,功能层330可以包括多个功能层负载均衡设备331、332、和333,多个功能层负载均衡设备331、332和333被设置为以集群模式运行。从而,可以方便地实现功能层130的容量弹性扩缩。
接入层310、安全层320和功能层330均连接在交换机350上,另外,后台服务器40通过三层网络与交互集350连接。
具体的,交换机350可以用于实现接入层310和安全层320之间的二层网络互联Vlan 301,实现安全层320和功能层330之间的二层网络互联Vlan 302,以及实现功能层330和后台服务器40通过三层网络互联Vlan 303和路由转发互联。
根据本公开的实施例,交换机350通过三层网络互联Vlan 303与功能层330互联,后台服务器40与交换机350路由可达,在功能层330上将源地址转换成Vlan 303的IP地址,并默认路由指向交换机350上的Vlan303的IP地址。
根据本公开的另一实施例,交换机350还可以用于实现接入层310和功能层330之间的二层网络互联Vlan 304,以在安全层320故障时使得接入层310将接收到的访问数据流通过二层网络互联Vlan 304直接转发给功能层330。例如,在安全层320故障时,可以甩开安全层320地址,可在接入层310中自动或手动剥离(或启用)高优先级的安全层虚拟地址,实现安全层的隔离(或恢复)。
到达网络隔离区的访问数据流首先由接入层310承接,然后由接入层310对安全层320的web应用防护系统进行负载均衡。其中,访问数据流通过接入层310和安全层320之间的二层网络互联Vlan 301进入安全层320。
接着安全层320对访问数据流进行检查后,通过与功能层330的二层网络互联Vlan302进入功能层330,然后由功能层330对后台服务器40进行负载均衡。其中,功能层330可以对数据流做源地址转换得到与交换机350网络互联Vlan 303的IP,并将默认路由指向交换机350,从而可保证后台服务器40返回数据包时交换机350可以通过网络互连Vlan 303将数据包扔回处理与该数据包对应的访问数据的功能层负载均衡设备331、332或333其中之一,以实现流量原路径返回。
例如,进入网络隔离区的访问数据流由接入层310承接后通过二层网络互连Vlan301分发给安全层320上配置的虚拟服务。安全层320对访问数据流进行监控、清洗以及目的地址转换后,通过二层网络互连Vlan 302分发给功能层330中的功能层负载均衡设备331、332和333组成的集群。功能层330对后台服务器40进行负载分发,其中功能层330将访问数据流的客户端地址进行源地址转换,变更为与交换机350对接的网络互连Vlan303的IP地址,同时将访问数据流的目的地址转换为后台服务器的IP地址,然后通过下一跳将数据流转发给交换机350。然后交换机350通过路由将数据包转发给服务器40中被功能层330选中进行负载的其中一台。
根据本公开的实施例,负载均衡系统300为实现访问数据流量的快速灵活调度,详细设计了各层之间的互联关系,通过交换机350将接入层310、安全层320、功能层330、以及后台服务器40进行互联。
图4示意性示出了根据本公开另一实施例的应用于网络隔离区的负载均衡系统400的系统架构示意图。
如图4所示,该系统400可以包括接入层410-1~410-N、安全层420-1~420-N、功能层430、和交换机450。
其中,接入层410-1~410-N中的每一个为接入层110的一个具体实施例,安全层420-1~420-N中的每一个为安全层120的一个具体实施例,功能层430为功能层130的一个具体实施例。交换机450为交换机330的一个具体实施例。
功能层430可以包括多个功能层负载均衡设备431、432、和433,多个功能层负载均衡设备431、432、和433被设置为以集群模式运行。
更进一步地,在图4的示意中,功能层430被设置为对应于多个网络隔离区DMZ1~DMZN,用于接收由与多个网络隔离区DMZ1~DMZN分别对应的多个安全层420-1~420-N转发而来的数据流。将多个网络隔离区DMZ1~DMZN对应的web应用的访问数据流经过各自的安全层安全检查后的流量均引入功能层430,可以充分发挥功能层430中的负载均衡设备集群模式运行易扩展、便于流量切换的优势。
图4中,多个网络隔离区DMZ1~DMZN中的每个网络隔离区,具有与之对应的接入层(410-1~410-N其中之一)和安全层(420-1~420-N的其中之一)。即,达到每个网络隔离区的互联网流量可以进入与该网络隔离区对应的接入层,并由该接入层对对应的安全层进行负载均衡。然后,多个安全层420-1~420-N分别将通过各自安全检查后的数据流均转发给功能层430。功能层430中的多个功能层负载均衡设备431、432、和433以集群模式运行,经由交换机450通过三层网络互连Vlan403对后台服务器40进行负载均衡。
随着网络安全防护的进一步推广,可以使用多应用的web应用安全防护系统,为充分发挥功能层430的集群模式易扩展、便于流量切换的能力,可以将多个网络隔离区各应用通过安全层后的流量引入功能层的负载均衡集群处理。
图5示意性示出了根据本公开再一实施例的应用于网络隔离区的负载均衡系统500的系统架构示意图。
如图5所示,该系统500可以包括接入层510、安全层520、功能层530和交换机550。其中,该接入层510、安全层520、功能层530分别为为接入层110、安全层120、以及功能层130的一个实施例。交换机550为交换机350的一个实施例。
接入层510包括多个接入层负载均衡设备511、512、和513,多个接入层负载均衡设备511、512和513被设置为以集群模式运行。
更进一步地,如图5所示,例如,接入层510可以被设置为对应原来多个DMZ网络隔离区(例如,DMZ1~DMZN)的负载均衡,用于承接全部应用的互联网访问数据流。
接入层510中的设备以集群模式运行,从而可以按照不同的网络隔离区对应的应用划分流量通路(Traffic Group),各流量通路可以活在接入层510的集群内不同的接入层负载均衡设备上。与相关技术中的单层负载均衡主备结构相比,本公开实施例的接入层510可以有效地提高设备的利用率。而且,各应用的流量通路可以灵活地在接入层510的集群内的不同接入层负载均衡设备511、512和513之间切换。
进一步地,如果想细分应用或使同一应用的不同IP地址绑定流量通路来实现切换,则需要应对如下两个方面的问题。
第一方面,互联网区域的所有互联网线路网段需要在安全层510的集群内的每台安设备上配置Self IP,然而目前IPV4互联网地址不足。对此,可在防火墙侧实施网络地址转换(NAT,network address translation),接入层负载均衡设备511、512或513与互联网各线路防火墙互联的Self IP均为内网地址,以此方式可以解决IPV4互联网地址不足的问题。
第二方面,安全层520的设备入接口的回包倚赖于指向的功能层负载均衡设备531、532或533的浮动IP(Floating IP)的网关配置。为使数据流的来回路径一致,接入层510中的接入层负载均衡设备511、512或513和每个接入层负载均衡设备上所挂载的集群成员指向的浮动IP必须在同一个流量通路中,这样可以对每个应用共用的web应用安全防护系统进行分组,或者可以在接入层负载均衡设备511、512或513上实施源地址转换,源地址转换后的地址和web应用安全防护系统内网口、虚拟服务地址在同一网段。
功能层530也可以包括多个功能层负载均衡设备531、532、和533。多个功能层负载均衡设备531、532、和533被设置为以集群模式运行。更进一步地,功能层530可以被设置为对应于多个网络隔离区DMZ1~DMZN,用于接收由与多个网络隔离区DMZ1~DMZN分别对应的多个安全层520-1~520-N转发而来的数据流。
接入层510和安全层520可以通过交换机550实现二层网络互联Vlan 501。安全层520和功能层530可以通过交换机550实现二层网络互联Vlan 502。功能层530可以与交换机550三层网络互联Vlan 503,同时后台服务器40与交换机550路由可达。更进一步地,接入层510和功能层530也可以通过交换机550实现二层网络互联Vlan 504,以在安全层520故障时使得接入层510将接收到的访问数据流通过二层网络互联Vlan 504直接转发给功能层530。
根据本公开的各个实施例,功能层130中的多个功能层负载均衡设备以集群模式运行时,可以在功能层130上设计两种流量迁移方式,支持实现对该功能层130性能容量的扩展以及在集群内各台设备间削峰填谷。该两种流量迁移方式可以包括:1、以应用为单位的流量迁移方式(参考图6和图7的对比示意);2、拆分单个应用流量为多份子流量进行流量迁移(参考图8和图9的对比示意)。
图6和图7对比示意性示出了根据本公开实施例的应用于网络隔离区的负载均衡系统中按照访问的web应用的不同进行流量拆分的示意图。其中,图6为流量拆分前的流量通路,图7示意了流量拆分后的流量通路。
如图6和图7所示,该负载均衡系统100中功能层130被设置为对应于多个网络隔离区DMZ1和DMZ2,其中,每个网络隔离区可以对应于一个web应用。
功能层130还用于当多个功能层负载均衡设备131、132、和133中的第一功能层负载均衡设备(例如,131)接收到的数据流超过第一功能层负载均衡设备131的流量阈值时,将功能层130接收到的数据流按照访问的web应用的不同进行拆分,并将拆分后的数据流的至少一部分切换至多个功能层负载均衡设备131、132、和133中的至少一个其他功能层负载均衡设备(例如,132)。
图6和图7对比示意了在本公开实施例的负载均衡系统中,以应用为单位进行流量通道(Traffic Group)切换。在这种场景下,一个或几个应用可以占用一个流量通道,可以设置几个流量通路可以同时主活在功能层130中的一台功能层负载均衡设备上。而当这台负载均衡设备性能容量告急时,可以将某个流量通道中的流量进行拆分后切换到另一台或多台功能层负载均衡设备上主活。
例如,如图6所示,在未进行流量通路拆分前,功能层130可以由功能层负载均衡设备131来处理来自于隔离区DMZ1和DMZ2的访问数据流量。功能层负载均衡设备132和133分别处理来自于其他隔离区的访问数据流。但是,如果在某一时间段内来自于隔离区DMZ1和DMZ2的访问数据流量大于功能层负载均衡设备131的流量阈值,而功能层负载均衡设备133正好在该段时间内没有很多的数据流量需要进行处理,此时可以如图7所示,将原本设置由功能层负载均衡设备131处理的数据流量按照访问的web应用的不同进行拆分,并将拆分后的一部分流量迁移到功能层负载均衡设备133上进行处理,以此方式可以实现功能层130中各个功能层负载均衡设备间的性能容量的削峰填谷。
图8和图9对比示意性示出了根据本公开实施例的应用于网络隔离区的负载均衡系统中对访问单个web应用的流量进行拆分的示意图。其中,图8为流量拆分前的流量通路,图9示意了流量拆分后的流量通路。
如图8和图9所示,功能层130还用于当接收到用于访问单个web应用的数据流大于第二功能层负载均衡设备(例如,131)的流量阈值时,将用于访问单个web应用的数据流T81进行拆分为多个数据流T91、T92和T93,并通过多个功能层负载均衡设备131、132和133中两个以上功能层负载均衡设备处理多个数据流T91、T92和T93。第二功能层负载均衡设备为多个功能层负载均衡设备中的任意一个。可以理解,此处的第二功能层负载均衡设备与前述第一功能层负载均衡设备仅用于在不同应用场景下的概念区分,不具有限定作用。
例如,如图8所示,在未进行数据流拆分前,功能层130可以由功能层负载均衡设备131来处理由安全层121转发而来的访问数据流量。其中,安全层121例如用于处理访问特定web应用(例如,手机银行)的访问数据流。相应地,功能层负载均衡设备132和133分别处理其他安全层(用于处理其他web应用的访问数据)转发而来的访问数据流。但是,如果在某一时间段内访问手机银行的访问数据流量激增,例如大于功能层负载均衡设备131的流量阈值,而其他功能层负载均衡设备132、133所处理的web应用正好在该段时间内没有很多的访问数据流,此时就可以如图9所示,访问手机银行的数据流T81进行拆分为多个数据流T91、T92和T93,然后将拆分后的数据流T91、T92和T93中的数据流T92和T93迁移到功能层负载均衡设备132和133上进行处理,以此方式页可以实现功能层130中各个功能层负载均衡设备间的性能容量的削峰填谷。
图8和图9对比可以看出,在本公开实施例的负载均衡系统中,分割某单个应用的地址为多个虚地址,放入不同的流量通道(Traffic Group)中,从而实现单应用的流量迁移。在这种场景下,当某个应用的单个地址流量已经导致单个主活的功能层负载均衡设备无法处理时,可以将该单个应用的地址分割为多个虚地址,放入不同的流量通道中,同时对安全层的设备的外网口进行分组,以实现访问数据流流在不同功能层负载均衡设备上的分摊。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (9)
1.一种应用于网络隔离区的负载均衡系统,其中,所述系统包括接入层、安全层以及功能层;
所述接入层用于接收到达所述网络隔离区的访问数据流,并将所述访问数据流分发给所述安全层,以对所述安全层中的设备进行负载均衡;
所述安全层用于对所述访问数据流进行安全检查,并将通过安全检查的数据流转发给所述功能层;其中,所述安全层包括web应用防护系统;以及
所述功能层用于将接收到的所述通过安全检查的数据流分发给后台服务器,以对所述后台服务器进行负载均衡,其中,所述功能层被设置为对应于包括所述网络隔离区在内的多个网络隔离区,其中,所述多个网络隔离区中的每个网络隔离区对应于一个web应用;所述功能层包括多个功能层负载均衡设备;
其中,
所述功能层还用于当所述多个功能层负载均衡设备中的第一功能层负载均衡设备接收到的数据流超过所述第一功能层负载均衡设备的流量阈值时,将所述功能层接收到的数据流按照访问的web应用的不同进行拆分;以及
将拆分后的数据流的至少一部分切换至所述多个功能层负载均衡设备中的至少一个其他功能层负载均衡设备;
其中,
所述第一功能层负载均衡设备为所述多个功能层负载均衡设备中的任意一个,所述其他功能层负载均衡设备为所述多个功能层负载均衡设备中除所述第一功能层负载均衡设备之外的任意一个。
2.根据权利要求1所述的系统,其中,所述系统还包括交换机,其中,所述交换机用于:
将所述接入层和所述安全层进行二层网络互联;
将所述安全层和所述功能层进行二层网络互联;以及
将所述功能层和所述后台服务器通过三层网络和路由转发互联。
3.根据权利要求2所述的系统,其中,所述交换机还用于:
将所述接入层和所述功能层进行二层网络互联,以在所述安全层故障时使得所述接入层将接收到的访问数据流转发给所述功能层。
4.根据权利要求1所述的系统,其中,所述多个功能层负载均衡设备被设置为以集群模式运行。
5.根据权利要求4所述的系统,其中,所述功能层用于接收由与所述多个网络隔离区分别对应的多个安全层转发而来的数据流。
6.根据权利要求4所述的系统,其中,所述功能层还用于:
当接收到用于访问单个web应用的数据流大于第二功能层负载均衡设备的流量阈值时,将所述用于访问单个web应用的数据流进行拆分为多个数据流;以及
通过所述多个功能层负载均衡设备中两个以上功能层负载均衡设备处理所述多个数据流;
其中,
所述第二功能层负载均衡设备为所述多个功能层负载均衡设备中的任意一个。
7.根据权利要求1所述的系统,其中,所述接入层包括多个接入层负载均衡设备,所述多个接入层负载均衡设备被设置为以集群模式运行。
8.根据权利要求7所述的系统,其中,所述接入层被设置为对应于包括所述网络隔离区在内的多个网络隔离区,用于接收达到所述多个网络隔离区的访问数据流。
9.一种应用于网络隔离区的负载均衡方法,其中,所述方法包括:
利用接入层接收到达所述网络隔离区的访问数据流,并将所述访问数据流分发给所述安全层,以对所述安全层中的设备进行负载均衡;
利用安全层对所述访问数据流进行安全检查,并将通过安全检查的数据流转发给所述功能层;其中,所述安全层包括web应用防护系统;以及
利用功能层将接收到的所述通过安全检查的数据流分发给后台服务器,以对所述后台服务器进行负载均衡,其中,所述功能层被设置为对应于包括所述网络隔离区在内的多个网络隔离区,其中,其中,所述多个网络隔离区中的每个网络隔离区对应于一个web应用;所述功能层包括多个功能层负载均衡设备;所述功能层包括多个功能层负载均衡设备;
其中,
当所述多个功能层负载均衡设备中的第一功能层负载均衡设备接收到的数据流超过所述第一功能层负载均衡设备的流量阈值时,将所述功能层接收到的数据流按照访问的web应用的不同进行拆分;以及
将拆分后的数据流的至少一部分切换至所述多个功能层负载均衡设备中的至少一个其他功能层负载均衡设备;
其中,
所述第一功能层负载均衡设备为所述多个功能层负载均衡设备中的任意一个,所述其他功能层负载均衡设备为所述多个功能层负载均衡设备中除所述第一功能层负载均衡设备之外的任意一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911425821.9A CN111064809B (zh) | 2019-12-31 | 2019-12-31 | 应用于网络隔离区的负载均衡方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911425821.9A CN111064809B (zh) | 2019-12-31 | 2019-12-31 | 应用于网络隔离区的负载均衡方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111064809A CN111064809A (zh) | 2020-04-24 |
| CN111064809B true CN111064809B (zh) | 2022-05-24 |
Family
ID=70306264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911425821.9A Active CN111064809B (zh) | 2019-12-31 | 2019-12-31 | 应用于网络隔离区的负载均衡方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111064809B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202475471U (zh) * | 2011-09-23 | 2012-10-03 | 百度在线网络技术(北京)有限公司 | 数据中心系统及装置 |
| CN103023797A (zh) * | 2011-09-23 | 2013-04-03 | 百度在线网络技术(北京)有限公司 | 数据中心系统及装置和提供服务的方法 |
| CN103685054A (zh) * | 2013-12-18 | 2014-03-26 | 武汉烽火网络有限责任公司 | 基于业务感知的多路径负载均衡方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050183139A1 (en) * | 2003-11-20 | 2005-08-18 | Goddard Stephen M. | Combined firewall load balancing and cluster-based server dispatcher |
| US7633864B2 (en) * | 2006-12-20 | 2009-12-15 | Sun Microsystems, Inc. | Method and system for creating a demilitarized zone using network stack instances |
-
2019
- 2019-12-31 CN CN201911425821.9A patent/CN111064809B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202475471U (zh) * | 2011-09-23 | 2012-10-03 | 百度在线网络技术(北京)有限公司 | 数据中心系统及装置 |
| CN103023797A (zh) * | 2011-09-23 | 2013-04-03 | 百度在线网络技术(北京)有限公司 | 数据中心系统及装置和提供服务的方法 |
| CN103685054A (zh) * | 2013-12-18 | 2014-03-26 | 武汉烽火网络有限责任公司 | 基于业务感知的多路径负载均衡方法 |
Non-Patent Citations (3)
| Title |
|---|
| DMZ区安全建设模型初探;陈卫平;《现代电视技术》;20131231;全文 * |
| 应用交付网络架构设计与研究;范君;《计算机与数字工程》;20101231(第12期);第1-4页 * |
| 范君.应用交付网络架构设计与研究.《计算机与数字工程》.2010,(第12期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111064809A (zh) | 2020-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11425055B2 (en) | Method and apparatus for implementing and managing virtual switches | |
| US20220124077A1 (en) | Secure forwarding of tenant workloads in virtual networks | |
| US10742447B2 (en) | Connecting to multiple cloud instances in a telecommunications network | |
| ES2951911T3 (es) | Sistema y método para interfaces virtual y enrutamiento inteligente avanzado en una red virtual global | |
| US9614768B2 (en) | Method for traffic load balancing | |
| CN108062482B (zh) | 向虚拟云基础结构提供虚拟安全装置架构的方法和装置 | |
| US9509615B2 (en) | Managing link aggregation traffic in a virtual environment | |
| EP3611882A1 (en) | System and method for transferring packets between kernel modules in different network stacks | |
| US9350666B2 (en) | Managing link aggregation traffic in a virtual environment | |
| US8955099B1 (en) | Distributing and sharing licenses across network devices in a virtual private network (VPN) | |
| US9479402B2 (en) | External service plane | |
| US20160173517A1 (en) | Ddos protection infrastructures using ip sharing across wide area networks | |
| CN111064809B (zh) | 应用于网络隔离区的负载均衡方法和系统 | |
| EP3311537B1 (en) | Methods, apparatuses and computer-readable medium for scaling multiclouds in a hybrid cloud architecture | |
| US11411998B2 (en) | Reputation-based policy in enterprise fabric architectures | |
| US10091116B2 (en) | Service chain construction method and server apparatus | |
| AU2017202823B2 (en) | Method and apparatus for implementing and managing virtual switches | |
| Chang et al. | Scalable and elastic telecommunication services in the cloud | |
| JP7483074B2 (ja) | 仮想スイッチを実現し且つ管理する方法及び装置 | |
| Izard et al. | An agent-based framework for production software defined networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |