摘要：當負載均衡器接受到來自客戶端的請求后，會通過一系列負載均衡算法，將訪問請求路由分發(fā)到后端虛擬機服務(wù)器池進行請求處理，同時由將處理結(jié)果返回給客戶端。支持內(nèi)網(wǎng)和外網(wǎng)兩種類型負載均衡器，滿足內(nèi)網(wǎng)數(shù)據(jù)中心及互聯(lián)網(wǎng)服務(wù)負載均衡應(yīng)用場景。

4.7.1 負載均衡概述

負載均衡（ Load Balance ）是由多臺服務(wù)器以對稱的方式組成一個服務(wù)器集合，每臺服務(wù)器都具有等價的地位，均可多帶帶對外提供服務(wù)而無須其它服務(wù)器的輔助。平臺負載均衡服務(wù)（簡稱 ULB—UCloudStack Load Balance）是基于 TCP/UDP/HTTP/HTTPS 協(xié)議將網(wǎng)絡(luò)訪問流量在多臺虛擬機間自動分配的控制服務(wù)，類似于傳統(tǒng)物理網(wǎng)絡(luò)的硬件負載均衡器。

通過平臺負載均衡服務(wù)提供的虛擬服務(wù)地址，將相同數(shù)據(jù)中心、相同 VPC 網(wǎng)絡(luò)的虛擬機添加至負載均衡轉(zhuǎn)發(fā)后端，并將加入的虛擬機構(gòu)建為一個高性能、高可用、高可靠的應(yīng)用服務(wù)器池，根據(jù)負載均衡的轉(zhuǎn)發(fā)規(guī)則，將來自客戶端的請求均衡分發(fā)給服務(wù)器池中最優(yōu)的虛擬機進行處理。

支持內(nèi)外網(wǎng)兩種訪問入口類型，分別提供 VPC 內(nèi)網(wǎng)和 EIP 外網(wǎng)的負載訪問分發(fā)，適應(yīng)多種網(wǎng)絡(luò)架構(gòu)及高并發(fā)的負載應(yīng)用場景。提供四層和七層協(xié)議的轉(zhuǎn)發(fā)能力及多種負載均衡算法，支持會話保及健康檢查等特性，可自動隔離異常狀態(tài)虛擬機，同時提供 SSL Offloading 及 SSL 證書管理能力，有效提高整體業(yè)務(wù)的可用性及服務(wù)能力。

ULB 支持收集并展示負載流量各種網(wǎng)絡(luò)指標的監(jiān)控數(shù)據(jù)，并可根據(jù)告警模板進行監(jiān)控報警及通知，保證業(yè)務(wù)的正常運行。當前 ULB 為接入的虛擬機服務(wù)池提供基于 NAT 代理的請求分發(fā)方式，在 NAT 代理模式下，所有業(yè)務(wù)的請求和返回數(shù)據(jù)都必須經(jīng)過 ULB ，類似 LVS 的 NAT 工作模式。

4.7.2 應(yīng)用場景

平臺提供外網(wǎng)和內(nèi)網(wǎng)兩種類型的負載均衡服務(wù)，分別對應(yīng)外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)兩種場景。用戶可根據(jù)業(yè)務(wù)需求，選擇創(chuàng)建對外公開或?qū)?nèi)私有的負載均衡實例，平臺會根據(jù)負載均衡類型分別分配外網(wǎng) IP 地址或 VPC 私有網(wǎng)絡(luò)的 IP 地址，即負載均衡的服務(wù)訪問地址。

• 外網(wǎng)類型的負載均衡使用場景：部署在平臺的業(yè)務(wù)服務(wù)需要構(gòu)建高可用虛擬機集群，且需對互聯(lián)網(wǎng)提供統(tǒng)一訪問入口。部署在平臺的業(yè)務(wù)服務(wù)需要構(gòu)建高可用虛擬機集群，且需對 IDC 數(shù)據(jù)中心提供統(tǒng)一訪問入口。
• 內(nèi)網(wǎng)負載均衡使用場景：部署在平臺的業(yè)務(wù)服務(wù)需要構(gòu)建高可用虛擬機集群，且僅需對 VPC 內(nèi)網(wǎng)提供統(tǒng)一訪問入口。部署在 VPC 私有網(wǎng)絡(luò)的虛擬機集群需要對其它用戶或服務(wù)屏蔽真實 IP 地址，對客戶端提供透明化服務(wù)。

用戶也可將負載均衡服務(wù)分配的 IP 地址與自有域名綁定在一起，通過域名訪問后端應(yīng)用服務(wù)。

4.7.3 架構(gòu)原理

一個提供服務(wù)的負載均衡，主要由 LB 實例（ LoadBalancer ）、虛擬服務(wù)器（ VServer ）、后端服務(wù)器（ Backend Real Server ）三部分組成。如架構(gòu)圖所示：

• LoadBalancer（ LB ）：負載均衡實例為主備高可用集群架構(gòu)，可實現(xiàn)負載均衡器故障自動切換，提高接入負載均衡服務(wù)的可用性。同時結(jié)合內(nèi)外網(wǎng) IP 地址，根據(jù) VServer 配置的監(jiān)聽器，將虛擬機加入到 Backend 成為 Real Server ，以實現(xiàn)業(yè)務(wù)的流量均衡與服務(wù)容錯。
• Virtual Server（ VServer ）：監(jiān)聽器，每個監(jiān)聽器是一組負載均衡的監(jiān)聽端口配置，包含協(xié)議、端口、負載算法、會話保持、連接空閑超時及健康檢查等配置項，用于分發(fā)和處理訪問 LB 的請求。
• Backend Server Pool ：后端一組虛擬機服務(wù)器池，實際處理請求的真實服務(wù)器（RealServer），即真實部署業(yè)務(wù)的虛擬機實例。
• 外網(wǎng) IP（ EIP ）：外網(wǎng)彈性 IP 地址，綁定至外網(wǎng)類型的 LB 實例上，對互聯(lián)網(wǎng)或 IDC 數(shù)據(jù)中心提供業(yè)務(wù)負載均衡訪問入口。
• 內(nèi)網(wǎng) IP （Private IP）：內(nèi)網(wǎng) IP 地址，內(nèi)網(wǎng)類型 LB 實例提供服務(wù)的訪問地址，通常是由創(chuàng)建內(nèi)網(wǎng)負載均衡器時指定的 VPC 自動分配。

負載均衡器用于承載 VServer 及訪問入口，VServer 負責訪問入口地址的端口監(jiān)聽及請求分發(fā)。當負載均衡器接受到來自客戶端的請求后，會通過一系列負載均衡算法，將訪問請求路由分發(fā)到后端虛擬機服務(wù)器池進行請求處理，同時由 VServer 將處理結(jié)果返回給客戶端。

• 通過加權(quán)輪詢、最小連接數(shù)及基于源地址的負載均衡調(diào)度策略，進行業(yè)務(wù)請求流量轉(zhuǎn)發(fā)，滿足多場景業(yè)務(wù)負載需求，如加權(quán)輪詢是按照后端服務(wù)器的權(quán)重進行請求轉(zhuǎn)發(fā)，權(quán)重越大轉(zhuǎn)發(fā)的請求越多。
• 通過會話保持機制，在請求會話的生命周期內(nèi)，會將來自同一個客戶端的會話轉(zhuǎn)發(fā)至同一個虛擬機進行處理，適用于 TCP 長連接等應(yīng)用場景。
• 通過健康檢查機制，監(jiān)控 RealServer 的運行狀況及業(yè)務(wù)可用性，確保只將流量分發(fā)至業(yè)務(wù)健康的虛擬機。當 后端虛擬機業(yè)務(wù)不可訪問時，調(diào)度器會停止向虛擬機分發(fā)負載流量；待虛擬機業(yè)務(wù)恢復(fù)正常后，會將虛擬機重新加入至 VServer 后端并分發(fā)流量至虛擬機。

負載均衡器的工作模式為 NAT 請求代理，請求和返回均由負載均衡器進行轉(zhuǎn)發(fā)和處理，即后端 RealServer 虛擬機處理請求后，會將請求返回給負載均衡 ，由負載均衡將結(jié)果返回給客戶端。

4.7.4 功能特性

平臺負載均衡服務(wù)提供四層和七層轉(zhuǎn)發(fā)能力，支持內(nèi)網(wǎng)和外網(wǎng)兩種網(wǎng)絡(luò)入口，在多種負載調(diào)度算法基礎(chǔ)之上支持健康檢查、會話保持、連接空閑超時、內(nèi)容轉(zhuǎn)發(fā)及 SSL Offloading 和 SSL 證書管理等功能，保證后端應(yīng)用服務(wù)的可用性和可靠性。

• 支持內(nèi)網(wǎng)和外網(wǎng)兩種類型負載均衡器，滿足 VPC 內(nèi)網(wǎng)、IDC 數(shù)據(jù)中心及互聯(lián)網(wǎng)服務(wù)負載均衡應(yīng)用場景。
• 提供四層和七層業(yè)務(wù)負載分發(fā)能力，支持基于 TCP、UDP、HTTP 及 HTTPS 協(xié)議的監(jiān)聽及請求轉(zhuǎn)發(fā)。
• 支持加權(quán)輪詢、最小連接數(shù)和基于源地址的的負載調(diào)度算法，滿足不同場景的流量負載業(yè)務(wù)。加權(quán)輪詢：基于權(quán)重的輪詢調(diào)度，負載均衡器接收到新的訪問請求后，根據(jù)用戶指定的權(quán)重，按照權(quán)重概率分發(fā)流量至各后端虛擬機，進行業(yè)務(wù)處理；最小連接數(shù)：基于后端服務(wù)器最小連接數(shù)進行調(diào)度，負載均衡器接收到新的訪問請求后，會實時統(tǒng)計后端服務(wù)器池的連接數(shù)，選擇連接數(shù)最低的虛擬機建立新的連接并進行業(yè)務(wù)處理；源地址：基于客戶端源 IP 地址的調(diào)度策略，采用哈希算法將來源于相同 IP 地址的訪問請求均轉(zhuǎn)發(fā)至一臺后端虛擬機進行處理。
• 提供會話保持功能，在會話生命周期內(nèi)，保證同一個客戶端的請求轉(zhuǎn)發(fā)至同一臺后端服務(wù)節(jié)點上。四層和七層分別采用不同的方式進行會話保持 。針對 UDP 協(xié)議，基于 IP 地址保證會話保持，將來自同一 IP 地址的訪問請求轉(zhuǎn)發(fā)到同一臺后端虛擬機進行處理，支持關(guān)閉會話 UDP 協(xié)議的會話保持；針對 HTTP 和 HTTPS 協(xié)議，提供 Cookie 植入的方式進行會話保持，支持自動生成KEY 和自定義 KEY。自動生成 key 是由平臺自動生成 Key 進行植入，自定義 Key 是由用戶自定義 Key 進行植入。
• 支持 TCP、HTTP 及 HTTPS 協(xié)議的連接空閑超時配置，自動中斷在超時時間內(nèi)一直無訪問請求的連接。客戶端向 LB 地址發(fā)送的請求，在平臺會維護兩個連接，一個由客戶端到 LB，一個由 LB 到后端虛擬機；連接空閑超時是指由客戶端到 LB 的連接空閑超時時間，若在超時周期內(nèi)沒有發(fā)送或接收任何數(shù)據(jù)，將自動中斷從客戶端到 LB 的連接；默認連接空閑超時周期為 60 秒，即在建立連接后的 60 秒內(nèi)一直沒有新的數(shù)據(jù)請求，將自動中斷連接。
• 健康檢查：支持端口檢查和 HTTP 檢查，根據(jù)規(guī)則對后端業(yè)務(wù)服務(wù)器進行業(yè)務(wù)健康檢查，可自動檢測并隔離服務(wù)不可用的虛擬機，待虛擬機業(yè)務(wù)恢復(fù)正常后，會將虛擬機重新加入至 VServer 后端并分發(fā)流量至虛擬機。端口檢查：針對四層和七層負載均衡，支持按 IP 地址 + 端口的的方式探測后端服務(wù)節(jié)點的健康狀況，及時剔除不健康的節(jié)點；HTTP 檢查：針對七層負載均衡，支持按 URL 路徑和請求 HOST 頭中攜帶的域名進行健康檢查，篩選健康節(jié)點。
• 內(nèi)容轉(zhuǎn)發(fā)：針對七層 HTTP 和 HTTPS 協(xié)議的負載均衡，支持基于域名和 URL 路徑的流量分發(fā)及健康檢查能力，可將請求按照域名及路徑轉(zhuǎn)發(fā)至不同的后端服務(wù)節(jié)點，提供更加精準的業(yè)務(wù)負載均衡功能。
• SSL 證書：針對 HTTPS 協(xié)議，提供統(tǒng)一的證書管理服務(wù)和 SSL Offloading  能力，并支持 HTTPS 證書的單向和雙向認證。SSL 證書部署至負載均衡，僅在負載均衡上進行解密認證處理，無需上傳證書到后端業(yè)務(wù)服務(wù)器，降低后端服務(wù)器的性能開銷。
• HTTP 獲取客戶端真實 IP：HTTP 監(jiān)聽器支持附加 HTTP header 字段，通過 X-Forwarded-For 和 X-Real-IP 獲取客戶端真實 IP 地址。
• TCP 獲取客戶端真實 IP：TCP 監(jiān)聽器采用 Nginx 官方的 Proxy-Protocol 方案。使 LB TCP 監(jiān)聽收到客戶端的請求后，在轉(zhuǎn)發(fā)請求至后端服務(wù)節(jié)點時，將客戶端的源 IP 地址封裝在 TCP 請求數(shù)據(jù)包中，發(fā)送給后端服務(wù)節(jié)點，使服務(wù)端通過解析 TCP 數(shù)據(jù)包后即可獲取客戶端 IP 地址。Proxy Protocol是一種 Internet 協(xié)議，用于將連接信息從請求連接的源傳送到請求連接的目的地，通過為 TCP 報文添加 Proxy Protocol 報頭來獲取客戶端源 IP，因此需要后端服務(wù)節(jié)點做相應(yīng)的適配工作，解析 Proxy Protocol 報頭以獲取客戶端源 IP 地址。Proxy-Protocol 官方文檔詳見：https://docs.nginx.com/nginx/admin-guide/load-balancer/using-proxy-protocol/ 。
• 獲取監(jiān)聽器協(xié)議：HTTP 監(jiān)聽器支持附加 HTTP header 字段，通過 X-Forwarded-Proto 獲取監(jiān)聽器的協(xié)議。
• 附加 HTTP HOST：HTTP 監(jiān)聽器支持附加 HTTP header 字段，通過 Host 附加 HOST 域名至 HTTP 請求中，用于適配需要檢測 HTTP 頭 HOST 字段的業(yè)務(wù)。
• 監(jiān)控數(shù)據(jù)：負載均衡級別提供每秒連接數(shù)、每秒出/入流量、每秒出/入包數(shù)量的監(jiān)控及告警；VServer 級別提供連接數(shù)、HTTP 2XX、HTTP 3XX、HTTP 4XX、HTTP 5XX 等監(jiān)控數(shù)據(jù)及告警。
• 安全控制：通過安全組對外網(wǎng)負載均衡的訪問進行安全管控，僅允許安全組規(guī)則內(nèi)的流量透傳負載均衡到達后端真實服務(wù)器，保證業(yè)務(wù)負載的安全性。

負載均衡為用戶提供業(yè)務(wù)級別的高可用方案，可以將業(yè)務(wù)應(yīng)用同時部署至多個虛擬機中，通過負載均衡和 DNS 域名的方案設(shè)置流量均衡轉(zhuǎn)發(fā)，實現(xiàn)多業(yè)務(wù)級別的流量負載均衡。當大并發(fā)流量通過負載均衡訪問虛擬機業(yè)務(wù)時，可通過最小連接數(shù)、加權(quán)輪詢等算法，將請求轉(zhuǎn)發(fā)給后端最健壯的虛擬機進行處理，請通過負載均衡將請求結(jié)果返回給客戶端，保證業(yè)務(wù)可用性和可靠性。

用戶可通過智能 DNS 服務(wù)，將兩個數(shù)據(jù)中心的負載均衡實例同時綁定至一個域名，使用 DNS 實現(xiàn)跨數(shù)據(jù)中心的業(yè)務(wù)容災(zāi)方案。

4.7.5 負載均衡隔離性

• 資源隔離負載均衡具有數(shù)據(jù)中心屬性，不同數(shù)據(jù)中心間負載均衡資源物理隔離；負載均衡資源在租戶間相互隔離，租戶可查看并管理賬號及子賬號下所有負載均衡資源；一個租戶內(nèi)的負載均衡資源，僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的 VPC 子網(wǎng)資源；一個租戶內(nèi)的負載均衡資源，僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的外網(wǎng) IP 資源；一個租戶內(nèi)的負載均衡資源，僅支持綁定租戶內(nèi)同數(shù)據(jù)中心的安全組資源。
• 網(wǎng)絡(luò)隔離不同數(shù)據(jù)中心間負載均衡資源網(wǎng)絡(luò)相互物理隔離；同數(shù)據(jù)中心負載均衡網(wǎng)絡(luò)采用 VPC 進行隔離，不同 VPC 的負載均衡資源無法相互通信；負載均衡綁定的外網(wǎng) IP 網(wǎng)絡(luò)隔離取決于用戶物理網(wǎng)絡(luò)的配置，如不同的 Vlan 等。