概述
簡介
應用交付網路旨在實現應用的發布、容災和防護,而Server Load Balancer(Server Load Balancer)是構建應用交付網路的核心組件。SLB包含面向4層的網路型負載平衡NLB、面向7層的應用型負載平衡ALB和傳統型負載平衡CLB。作為阿里雲官方的雲原生網關,SLB在應用交付網路中發揮著至關重要的作用。本文檔將詳細介紹如何選擇、部署和使用負載平衡產品,以構建高效的應用交付網路。
基本概念
VPC:Virtual Private Cloud(Virtual Private Cloud)是使用者基於阿里雲建立的自訂私人網路, 不同的專用網路之間二層邏輯隔離,使用者可以在自己建立的專用網路內建立和管理雲產品執行個體,比如ECS、SLB、RDS等。
VIP:虛擬IP地址VIP(Virtual IP Address)是一種未分配給特定電腦或網路介面的IP地址。它可以在不同的物理伺服器或裝置之間動態分配,以實現負載平衡、高可用性和冗餘。
DNS摘除:DNS摘除(DNS Cutover)是指在網路遷移或切換過程中,更新DNS記錄以將流量從一個伺服器或服務轉移到另一個伺服器或服務的過程。通常用於確保在遷移過程中服務的連續性。
CNAME:CNAME記錄是一種DNS記錄類型,它將一個網域名稱別名指向另一個網域名稱。解析CNAME記錄時,DNS伺服器會將請求重新導向到別名指向的目標網域名稱,並返回目標網域名稱的A記錄(IP地址)。
ALB:應用型負載平衡ALB(Application Load Balancer)是阿里雲推出的專門面向HTTP、HTTPS和QUIC等應用程式層負載情境的負載平衡服務,具備超強彈性及大規模應用程式層流量處理能力。ALB具備處理複雜業務路由的能力,與雲原生相關服務深度整合,是阿里雲官方提供的雲原生Ingress網關。
NLB:網路型負載平衡NLB(Network Load Balancer )是阿里雲面向萬物互聯時代推出的新一代四層負載平衡,支援超高效能和自動彈效能力,單一實例可以達到1億並發串連,幫您輕鬆應對高並發業務。
CLB:傳統型負載平衡CLB(Classic Load Balancer)是將訪問流量根據轉寄策略分發到後端多台雲端服務器的流量分發控制服務。CLB擴充了應用的服務能力,增強了應用的可用性。
NIS:網路智慧型服務 NIS(Network Intelligence Service)是一系列雲上網路AIOps工具集,提供了雲上網路從網路規划到網路營運全生命週期。包括流量分析、網路巡檢、網路效能監控、網路診斷、路徑分析、網路拓撲等功能,協助使用者最佳化網路架構、提升網路營運效率、降低網路營運成本。
CloudMonitor:CloudMonitor(CloudMonitor)是一項針對阿里雲資源和互連網應用進行監控的服務。
共用頻寬:共用頻寬提供地區級頻寬共用和複用功能。建立共用頻寬執行個體後,您可以將同地區下的Elastic IP Address(EIP)添加到共用頻寬執行個體中,複用共用頻寬中的頻寬,節省公網頻寬使用成本。
設計原則
為協助應用系統實現快速、可靠、安全的發布體驗,應用交付網路設計需考量如下關鍵點。
效能:應具備與業務高峰相匹配的效能上限(吞吐頻寬、建立、並發以及每秒請求數)。
彈性:應具備隨業務量增減而自動Auto Scaling的承載力,以及與之匹配的計價方案。
穩定:應具備健壯的架構及健全的容災機制,從而保障應用的穩定發布。
安全:應具備一定程度的應用程式層、傳輸層、網路層的防護能力。
可觀測:應具備完善的監控指標和日誌資訊,以便即時監控分析及排查問題。
您可以根據應用系統對負載平衡的效能和功能要求,並結合具體的組網情境,權衡上述5個關鍵點,設計合適的產品選型及部署方案。
設計關鍵點
負載平衡選型階段
負載平衡的選型階段,需重點考慮效能(承載力維度和功能支援維度)、穩定、彈性、安全等四個關鍵點。
前提
明確應用系統所需負載平衡的類型(4層或7層),是負載平衡選型的前提。
對比項 | ALB | NLB | CLB |
產品定位 |
|
|
|
如應用系統需要4層負載平衡,需選擇NLB或CLB。
如應用系統需要7層負載平衡,需選擇ALB或CLB。
效能關鍵點
明確應用系統對於負載平衡的效能需求,從而針對性進行負載平衡選型。
對比項 | ALB | NLB | CLB |
產品架構與效能 |
|
|
|
轉寄能力 |
|
|
|
後端業務類型 |
|
|
|
營運能力 |
|
|
|
雲原生整合 |
| 支援ACK/ASK整合(1.24版本以後) | 支援較弱,需要與阿里雲ACK或ASK等Container Service結合使用 |
典型應用情境 |
|
|
|
承載力維度
對於4層負載平衡,如應用系統對建立串連數、並發串連數的效能上限及彈效能力具有較高要求,建議選擇NLB。
對於7層負載平衡,如應用系統對每秒請求數QPS的效能上限及彈效能力具有較高要求,建議選擇ALB。
如對負載平衡的4層或7層的效能上限無較高要求,可考慮選擇CLB。
功能支援維度
對於4層負載平衡,如應用系統對4層TCPSSL卸載、洪峰限速、雲原生整合等功能具有較高要求,建議選擇NLB。
對於7層負載平衡,如應用系統對7層路由、雲原生Ingress網關等功能具有較高要求,建議選擇ALB。
如對負載平衡的4層或7層的功能特性無較高要求,可考慮選擇CLB。
穩定關鍵點
ALB、NLB、CLB的容災架構和機制有所不同,您需要先明確應用系統對於負載平衡的容災需求,從而針對性地進行負載平衡選型。
多可用性區域多活模式
ALB和NLB均支援多可用性區域部署。在應用系統所在的地區支援2個及以上可用性區域的情況下,為了保障業務的高可用性,建議至少選擇兩個可用性區域進行部署。其工作原理主要通過網域名稱對外提供服務,網域名稱會進行CNAME解析,指向NLB和ALB的網域名稱,然後將業務流量調度至所選可用性區域內的ALB和NLB執行個體的VIP(虛擬IP)。當某個可用性區域出現故障或不可用時,該可用性區域可被置於DNS摘除狀態,從而實現容災逃逸。這種機制確保了在單個可用性區域發生故障時,流量可以自動切換到其他可用性區域,保證業務的連續性和高可用性。
雙可用性區域主備模式
CLB已在大部分地區支援多可用性區域類型的執行個體,此類型執行個體會部署在兩個可用性區域,預設啟用主可用性區域。當主可用性區域出現故障或不可用時,CLB有能力在短時間內(約30秒)切換到備可用性區域並恢複服務。當主可用性區域恢複時,CLB會自動切換回主可用性區域。
說明CLB的主備可用性區域是可用性區域層級的容災。只有當主可用性區域整體不可用時,如機房整體斷電或者機房出口光纜中斷等,CLB才會切換到備可用性區域。而並非某個執行個體出現故障,就切換到備可用性區域。
通過上述描述可以看出,相較於CLB的容災架構和機制,NLB和ALB採用的多可用性區域多活模式提供了更大的容災範圍。具體來說,單個Server Load Balancer執行個體可以部署在2個及以上的可用性區域內,顯著提升了系統的高可用性和故障恢複能力。此外,這種模式還具備更強的故障逃逸能力,您可以自主操作,將異常可用性區域的DNS記錄摘除,從而快速響應和處理故障。因此,您可以根據應用系統對穩定性和可用性的要求,選擇合適的負載平衡產品。對於高可用性要求較高的系統,NLB和ALB的多可用性區域多活模式無疑是更優的選擇。
彈性關鍵點
對於使用者而言,彈性的直接價值,是在業務波峰時能夠及時擷取相應的承載力,並僅需按實際使用量付費,避免資源預置所造成的成本浪費。因此,根據前序章節的介紹:
如應用系統計劃選用ALB或NLB,那麼此兩款負載平衡產品在具備高效能上限的情況下,採用按使用量計費模式,滿足按需使用&隨用隨付的彈性要求。
如應用系統計劃選用CLB,CLB支援“按規格計費”和“按使用量計費”兩種計費模式,採用按使用量計費模式,便可滿足按需使用&隨用隨付的彈性要求。
安全關鍵點
ALB、NLB、CLB的安全能力有所不同,明確應用系統對於負載平衡的安全需求,從而針對性地進行負載平衡選型。
關於七層負載平衡:Web攻擊防護能力
如應用系統具有Web攻擊防護需求,優先推薦採用ALB。ALB WAF增強版支援阿里雲WAF3.0服務化接入。
WAF3.0的服務化接入,是指通過SDK模組化的方式整合在ALB中,並通過SDK提取流量並進行檢測和防護。該整合方式對應用系統有如下兩方面協助:
轉寄方面:WAF不參與流量轉寄,可避免因額外引入一層轉寄而帶來各種相容性和穩定性問題,並降低訪問延遲。
部署方面:無需修改DNS、配置認證、連接埠、回源演算法等複雜的WAF接入轉寄配置,簡化部署流程。
關於四層負載平衡:傳輸層加密
如果應用系統需使用四層負載平衡,且具有TCPSSL加密要求,推薦選擇NLB。
NLB支援配置TCP SSL監聽,實現TCP SSL卸載,將加密流量解析為明文流量後分發至後端伺服器,從而使後端伺服器的配置得以簡化、工作負載得以降低,繼而提高業務處理效率。
負載平衡部署階段
完成負載平衡的選型後,在部署階段,需重點考慮效能、穩定、安全等三個關鍵點。
效能關鍵點
執行個體處理效能
對於ALB或NLB,執行個體具有較高的效能上限以及較強的彈效能力。但如果應用系統需承載可預知的突發流量(如大促活動等),建議提前與阿里雲商務經理聯絡,以便評估檢查相關執行個體對突發流量的承載能力和彈效能力。
對於CLB,無論使用按規格計費模式或按使用量計費模式,單一實例可提供的最大處理能力同S3.large規格(最大串連數1,000,000、建立串連數100,000、每秒查詢數50,000)。建議根據應用系統的流量模型和規模,選擇適合的計費模式、執行個體規格以及執行個體數量。
公網頻寬效能
對於公網類型的ALB或NLB,通過Elastic IP Address(EIP)提供公網能力。
如果應用系統的流量模型較平穩,共用頻寬可考慮選擇“按頻寬計費模式”,設定業務所需的頻寬峰值。
如果應用系統的流量模型峰穀效應明顯,共用頻寬可考慮選擇“按主流量計費模式”(即在一個計費周期內,取共用頻寬執行個體的入方向和出方向中流量較大的為主流量,對主流量進行計費),並設定業務所需的頻寬峰值。
說明按流量計費的EIP,頻寬峰值上限為200Mbps。因此,為保障應用系統獲得足夠的頻寬保障,建議搭配使用共用頻寬產品。
對於CLB,既可通過“私網類型CLB+EIP”的方式提供公網能力,也可直接使用“公網類型CLB”。但出於多個Server Load Balancer執行個體的頻寬複用性以及IP地址的獨立保有性這兩方面考慮,更為推薦“私網類型CLB+EIP”的方式,並搭配使用共用頻寬產品。
穩定關鍵點
執行個體的可用性區域規劃
如果使用ALB,至少選擇2個可用性區域,ALB的可用性區域盡量與後端伺服器的可用性區域保持一致。但ALB不支援“關閉跨AZ轉寄”,即ALB的各VIP接收到用戶端的訪問流量時,會將流量轉寄至所有可用性區域的後端伺服器(即不局限於該VIP所屬可用性區域)。
如果使用NLB,至少選擇2個可用性區域,NLB的可用性區域盡量與後端伺服器的可用性區域保持一致。且可考慮“關閉跨AZ轉寄”,使NLB各VIP接收到用戶端的訪問流量時,僅將流量轉寄至同可用性區域的後端伺服器,從而規避跨AZ轉寄。
如果使用CLB,CLB的主可用性區域盡量與後端伺服器的可用性區域保持一致,從而規避跨AZ轉寄。
後端伺服器的健全狀態檢查
建議開啟負載平衡的健全狀態檢查功能,從而判斷後端伺服器的業務可用性。當某台後端伺服器健全狀態檢查出現異常時,負載平衡會自動將新的請求分發到其他健全狀態檢查正常的後端伺服器上;而當該後端伺服器恢複正常運行時,負載平衡會將其自動回復到負載平衡服務中進行流量轉寄。健全狀態檢查機制提高了業務整體可用性,避免了局部後端伺服器異常對總體服務的影響,是保證業務高可用的關鍵要素。ALB、NLB、CLB的健全狀態檢查協議類型均支援TCP和HTTP。
監聽的限速設定
為防止非預期的洪峰流量超過後端伺服器的承載力並導致“雪崩效應”,可以考慮使用負載平衡的監聽級限速功能。在洪峰流量出現時,此功能可以確保後端伺服器在其承載能力範圍內處理請求。
ALB的每秒請求數(QPS)限速
對於ALB的目標監聽,可設定“總QPS限速”或“用戶端顆粒度QPS限速”(基於用戶端源IP),這兩種限速方式可以單獨或同時配置。
NLB的建立串連數(CPS)限速
對於NLB的目標監聽,可以設定在每個可用性區域(VIP)每秒可接受的建立串連數上限。
安全關鍵點
黑白名單的存取控制
ALB和NLB均支援加入安全性群組,可通過ALB加入安全性群組或NLB加入安全性群組實現基於白名單或黑名單的存取控制。
CLB提供監聽層級的存取控制。您可以針對不同的監聽設定訪問白名單或黑名單:
開啟白名單:僅轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求,白名單適用於應用只允許特定IP訪問的情境。
開啟黑名單:來自所選存取控制策略組中設定的IP地址或位址區段的所有請求都不會轉寄,黑名單適用於應用只限制某些特定IP訪問的情境。
TLS策略的自訂
對於七層負載平衡,針對HTTPS情境,ALB預置了部分常用的TLS安全性原則以滿足加密需求,您可根據安全需求選擇合適的TLS安全性原則,或者配置自訂TLS安全性原則,從而保證應用系統的安全性。
對於四層負載平衡,針對TCPSSL情境,NLB預置了部分常用的TLS安全性原則以滿足加密需求,您可根據安全需求選擇合適的TLS安全性原則,或者配置自訂TLS安全性原則,從而保證應用系統的安全性。
說明CLB不支援自訂TLS安全性原則。
雙向認證
在HTTPS情境下,ALB(標準版和WAF增強版)、NLB以及CLB均支援雙向認證,能夠滿足應用系統的安全認證要求。而在TCPSSL情境中,NLB具備雙向認證能力,確保了高安全性的通訊需求。具體操作可參考:使用ALB部署HTTPS業務(雙向認證)、通過NLB實現TCPSSL卸載(雙向認證)、使用CLB部署HTTPS業務(雙向認證)。
負載平衡使用階段
負載平衡的使用階段,需重點考慮可觀測關鍵點。
可觀測關鍵點
監控
當應用系統遇到請求逾時、流量限速等網路連接問題,或需瞭解負載平衡的工作負載等資料,可查看負載平衡所提供的監控項指標。具體操作可參考:NLB監控項、ALB監控項、CLB監控項。
日誌
負載平衡可提供動作記錄和訪問日誌功能。具體操作可參考:ALB日誌、NLB日誌、CLB訪問日誌、CLB動作記錄。
動作記錄:可以監控並記錄帳號對負載平衡產品的使用行為。
訪問日誌:收集了所有發送到7層負載平衡的請求的詳細資料(包括請求時間、用戶端IP地址、延遲、請求路徑和伺服器響應等),可通過訪問日誌分析用戶端行為、瞭解用戶端地區分布以及進行問題排查。
網路智慧型服務
除使用NLB、ALB、CLB自身所提供的監控日誌能力外,建議考慮開啟網路智慧型服務,進一步提升應用交付網路的可觀測性。
設計最佳實務
如前文所述,對於效能、穩定、彈性、安全、可觀測等5項設計關鍵點,使用ALB或NLB將具有更高的匹配度。因此相較CLB,我們更為推薦使用者使用ALB或NLB構建應用交付網路。下方總結的四個情境下的最佳實務,將重點介紹基於ALB或NLB所構建的設計方案。
同地區的應用交付網路
本文所描述的同地區的應用交付網路,是指負載平衡與其掛載的後端伺服器,均位於阿里雲同一個Region。
4層負載平衡
設計關鍵點回顧與提煉:
穩定關鍵點
至少選擇2個或2個以上的可用性區域建立NLB,且盡量與後端伺服器所在可用性區域保持一致。
NLB可考慮“關閉跨AZ轉寄”。
按需評估是否開啟建立串連限速,從而預防非預期的洪峰流量造成“雪崩效應”。
針對後端伺服器組,啟用健全狀態檢查。
效能關鍵點
公網類型NLB,建議搭配使用共用頻寬產品,且根據流量模型,選擇使用“主流量計費”或“按頻寬計費”。
安全關鍵點
根據應用系統的安全管控要求,評估是否將NLB加入安全性群組。如使用TCPSSL監聽,評估是否自訂TLS策略以及是否啟用雙向認證。
7層負載平衡
設計關鍵點回顧與提煉:
穩定關鍵點
至少選擇2個或2個以上的可用性區域建立ALB,且盡量與後端伺服器所在可用性區域保持一致。
按需評估是否開啟QPS限速,從而預防非預期的洪峰流量造成“雪崩效應”。
針對後端伺服器組,啟用健全狀態檢查。
效能關鍵點
公網類型ALB,建議搭配使用共用頻寬產品,且根據流量模型,選擇使用“主流量計費”或“按頻寬計費”。
安全關鍵點
根據應用系統的安全管控要求,評估是否需將ALB加入安全性群組、評估是否自訂TLS策略以及評估是否啟用雙向認證。
跨地區的應用交付網路
本文所描述的跨地區應用交付網路,是指負載平衡與其掛載的後端伺服器,位於阿里雲不同Region。
如下圖所示,可基於NLB或ALB,構建跨地區的應用交付網路,從而實現訪問入口的就近部署和跨地區容災。跨地區應用交付網路部署可參考使用ALB掛載跨地區VPC內的伺服器、使用NLB掛載跨地區VPC內的伺服器。
IPv6應用交付網路
負載平衡選型
應用系統如需藉助負載平衡,構建支援IPv6的應用交付網路,建議綜合考慮“IPv6端到端通訊”和“IPv6至IPv4轉換”兩種情境,以確定負載平衡選型。
情境1:IPv6端到端通訊
NLB和ALB,均支援掛載IPv6類型的後端伺服器,從而將來自用戶端的IPv6訪問請求,以IPv6協議轉寄至後端伺服器,協助應用系統實現全鏈路的IPv6通訊。而CLB不支援。
情境2:IPv6至IPv4轉換
NLB、ALB、CLB,均具備IPv6至IPv4轉換能力,從而將來自用戶端的IPv6訪問請求,以IPv4協議轉寄至後端伺服器,協助應用系統簡單快速地具備IPv6訪問能力。
綜上,由於NLB和ALB可同時兼顧“IPv6端到端通訊”和“IPv6至IPv4轉換”,建議優先選擇NLB或ALB構建IPv6應用交付網路。
與此同時,NLB和ALB支援雙棧類型執行個體,即單個執行個體可同時具備IPv6地址和IPv4地址,從而構建統一的IPv6與IPv4應用交付網路。而CLB不支援雙棧類型執行個體,需單獨建立IPv6類型執行個體和IPv4類型執行個體,使得IPv4和IPv6應用交付網路相互獨立。因此選擇NLB或ALB,還可協助簡化應用交付網路架構。
負載平衡部署
IPv6應用交付網路的負載平衡部署階段,同樣需重點關注“穩定、安全、彈性、可觀測、自服務”這5項設計關鍵點。
IPv6端到端通訊
步驟1: 為NLB或ALB所在VPC開啟IPv6。
步驟2: 建立“協議版本”為雙棧的NLB或ALB執行個體。
步驟3: 如NLB或ALB的IPv6地址需要公網可達,則需在NLB或ALB所在VPC的IPv6網關,為IPv6地址開通公網頻寬。
步驟4: 建立NLB或ALB的後端伺服器組,並開啟IPv6掛載。
IPv6至IPv4轉換
NLB或ALB部署
步驟1: 為NLB或ALB所在VPC開啟IPv6。
步驟2: 建立“協議版本”為雙棧的NLB或ALB執行個體。
步驟3: 如NLB或ALB的IPv6地址需要公網可達,則需在NLB或ALB所在VPC的IPv6網關,為IPv6地址開通公網頻寬。
步驟4: 建立NLB或ALB的後端伺服器組,無需開啟IPv6掛載。
CLB部署
建立“IP版本”為IPv6的CLB執行個體,且僅公網CLB執行個體支援IPv6。隨後完成負載平衡的常規配置即可。
可視化架構CADT參考
同地區的應用交付網路
4層負載平衡
情境 | 內容專案 | 說明 |
同地區的應用交付網路(4層負載平衡) | 模板ID | SX4CLB1IH4FYNAGH |
可視化部署模板 | ||
CADT API調用樣本 |
可視化部署架構圖:
使用流程
可視化方式
大量建立相關雲端服務,包括1個Virtual Private Cloud、2個虛擬交換器、1個共用頻寬、1個網路型負載平衡NLB、2台ECS。
基於模板建立應用,預設地區為北京,雲產品均為建立。
完成應用儲存,分別進行校正、計價。本樣本相關雲產品均為隨用隨付。
核對完成,確認協議開始批量部署。
驗證同地區的NLB掛載ECS效果。
整合API調用方式
通過一組openAPI介面,通過整合API快速完成使用。
參考文檔按照命令列工具初始化。
參考模型YAML檔案,直接部署和輸出。
如果更換地區,替換area_id的欄位,如杭州“cn-hangzhou”,替換為上海“cn-shanghai”。
如果需要替換模板中的已保有執行個體,比如使用存量的VPC、交換器等。可以替換對應的instances的ID欄位。
跨地區的應用交付網路
4層負載平衡
情境 | 內容專案 | 說明 |
跨地區的應用交付網路(4層負載平衡) | 模板ID | FOOKUK1EPTFB97PA |
可視化部署模板 | ||
CADT API調用樣本 |
可視化部署架構圖:
使用流程
可視化方式
大量建立相關雲端服務。根據業務情境,雲上規劃三個地區(成都、上海和青島),產品包括:3個Virtual Private Cloud、6個虛擬交換器、1個網路型負載平衡NLB、3台ECS、1個雲企業網CEN,每個地區1個轉寄路由器TR,設定跨地區頻寬(預設頻寬值1Mbps)。
基於模板建立應用,預設地區包括成都、上海和青島,雲產品均為建立。
完成應用儲存,分別進行校正、計價。本樣本相關雲產品均為隨用隨付。
核對完成,確認協議開始批量部署。
驗證跨地區的NLB掛載ECS效果。
整合API調用方式
通過一組openAPI介面,通過整合API快速完成使用。
參考文檔按照命令列工具初始化。
參考模型YAML檔案,直接部署和輸出。
如果更換地區,替換area_id的欄位,如杭州“cn-hangzhou”,替換為上海“cn-shanghai”。
如果需要替換模板中的已保有執行個體,比如使用存量的VPC、交換器等。可以替換對應的instances的ID欄位。