A10负载均衡zabbix模板美国a10负载均衡作用

转载

mob6454cc76bc4a 2024-05-14 23:03:59

文章标签 A10负载均衡zabbix模板运维后端前端 ViewUI 文章分类 运维

DNS-互联网访问的第一步

现在，每天有数以亿计的互联网用户访问各种各样的互联网应用，而所有这些访问的第一步就是DNS解析获得所要访问域名的IP地址。因此，DNS对于所有用户尤其是运营商来说是最基本最重要的应用。近几年来比较重大的几起DNS事故可以让人们体会到DNS的重要性，包括2006年国内大规模断网（新网DNS事件）、2009年大规模断网（暴风影音事件）、2010年百度DNS事件。这也是现在运营商不断优化和改造DNS的原因所在。而服务器负载均衡设备对整体DNS设施的安全、性能和可用性起着攸关重要的作用，是不可或缺的重要设备。美国A10网络的AX负载均衡设备针对DNS有着完整的解决方案，可以在保证安全、高效、和高可用性的前提下缩减服务器投入，降低用户整体拥有成本。

DNS***

随着互联网的不断发展，面向DNS基础设施的***也随之增长。DNS服务中断会损害声誉和消费者信心，乃至不可容忍。***者采取多种形式，从拒绝服务（DoS）到DNS缓存中毒（DNS Cache Poisoning）。针对DNS缓存中毒***的防护需要DNS服务器弥补相关漏洞乃至逐步过渡到新一代安全DNS协议DNSSEC，在此不多做陈述。最近的DDoS （分布式拒绝服务）***显示***者利用特定协议特点和不断发展的技术进行***。例如，一个大型运营商曾经历了不寻常的持续变异的DNS放大***如下：

使用DNS UDP协议发送针对“.”的NS记录查询
伪造IP地址

由于这次***是针对DNS，通过发送看似有效的请求，躲开了典型的DDoS SYN Flood***保护。这种***有两个潜在的目标：被冒用IP地址的真正拥有者，以及供应商的DNS基础设施。

首先，被冒用IP地址的真正拥有者可能被冲跨，因为被“劫持”的机器作为DNS查询流量的生成器通知DNS服务器被冒用IP地址的机器是请求者。其次，也有可能更重要的是，DNS服务器本身可能会由于脆弱而中断服务。随着大量的数据请求，DNS服务器的CPU和位于其前端的服务器负载均衡器可能超负荷，网络本身也一样。

这就是所谓的DNS放大***，因为一个小请求发送到服务器会造成较大的一组数据发出。举例来说，如果一个***发出了一个5k的请求，并能产生20k应答，他已将初始数据包放大了4倍。通过许多被劫持机器作为“僵尸” （也称为僵尸网络），这种***可以造成服务中断的重大后果。

A10提供了一系列缓解技术处理DNS放大***以及其他类似的***，确保合法用户的服务可用性。这使得所有类别的***得以缓解，而不仅仅是当前的***。

缓解方法

基础设施的变化，如要求所有用户更改DNS服务器，是不可选的。因此，处理服务请求的能力以及速率和连接限制对于缓解***影响都是至关重要的。

高性能：在上述的DNS放大***中，竞争对手的负载均衡器负载从12 ％飙升至100 ％。置换为A10的AX系列后，AX的 CPU平均负荷是4-5 ％，受***时仅升高到20 ％。这是由于A10的高级核心操作系统（ ACOS ）架构，利用灵活流量处理ASIC能够智能地管理和分配流量到多个工作在真正解耦架构下的处理器，而且ACOS采用了目前业界唯一的高性能的共享内存架构。
DNS缓存：AX的DNS缓存功能可以大大降低后端服务器的访问量，降低服务器的投入。而AX高达上百万请求/秒的DNS处理能力配合缓存功能可以在不增加服务器数量的情况下应付各种大规模的DNS DDoS***。
DNS 请求异形检查：AX可以对DNS请求依据相关标准进行解析并检查，如发现请求不符合标准，可以选择丢弃或转发到特定服务器进行分析。这样可以保证转发到后端服务器的请求为正确的DNS请求，而非不合法的异形***请求消耗服务器资源。
基于源IP的连接速率限制：保护系统免受来自单一客户的过度连接请求。对于超过的请求，可以采取丢弃、日志、锁定等多种处理方式。重要的是，AX架构采用共享内存完成这一任务。每个CPU内核可以即时访问任何所需IP的连接速率数据。避免了象一些竞争对手的产品那样需要与另一个处理器通讯获得数据，这大大提高了处理效率。

基于策略的服务器负载均衡（ PBSLB ）：利用包含多达800万个主机地址和多达1万个子网的黑/白名单， PBSLB具有高度的可扩展性用于阻止已知的恶意或特定IP地址或子网。可以设置客户IP地址的连接数量门限，丢弃超过的连接请求或将其分配到一组指定的服务器。
连接限制：规定了允许连接到服务器的最大连接数。如果超过连接限制，AX停止发送新的连接到服务器。当连接数到达或低于设定的连接恢复门限值时，AX恢复发送新连接到该服务器。
连接速率限制：限制了AX允许到指定服务器的新建连接速率。当连接速率达到其限度，AX停止将客户端请求分配到该服务器。此限制是可配置的，例如，阈值可以设置为超过100万连接，取样速率可设置为100毫秒或1秒。

A10网络为国内大型运营商提供DNS解决方案

随着电信宽带以及3G的快速发展，上网用户激增，随之而来的是原有的DNS系统的压力越来越大，用户对DNS服务的投诉也越来越多，促使该电信公司决定新建DNS系统以提高整体服务质量。

该电信新建的DNS的需求是对多台DNS 服务器实现负载均衡，并要限制任何非DNS请求的访问，同时还需要负载均衡设备具有抵抗***的能力，为了防止因为机房链路故障导致DNS系统瘫痪，所以分别从两个机房接入Internet。

A10 AX解决方案：

将两个DNS节点出口部署在两个不同的机房，避免一个机房出现问题，导致服务停顿的风险。

AX通过对DNS服务器做负载均衡，提高了DNS系统的可用性，在某个DNS节点出现问题的时候，不会引起用户访问的中断。
AX提供基于DNS内容查询的健康检查功能，可以准确判断当前的服务器的健康情况。
AX通过端口过滤功能对外只开放53端口，再加上其优异的抵抗DDoS***的能力，可以有效保护DNS服务器的安全。
AX对DNS请求进行检查，过滤不合标准的***请求。
AX进行速率限制和连接限制保护服务器
AX进行基于源地址的速率限制防止单一IP过渡请求式的***
AX双机作HA，可以避免AX本身出现单点故障引起的访问问题。同时AX支持基于Gateway的切换触发，正在工作的AX在发现与网关的连接不通时，可以切换到另外一台AX，保证通信正常。

AX带来的益处