分布式集群部署及原理
  

李佳伟_长沙办_技术支持 10928

{{ttag.title}}
系统工作原理
负载均衡是对原有集群版本功能的统称,负载均衡部署在局域网内,通过服务器群集软件技术,提供高可用、高并发的业务处理能力。

分布式部署顾名思义,基于Internet的分布式部署,支持单节点对单节点、单节点对负载均衡集群和负载均衡集群对负载均衡集群的设备之间的分布式SSL VPN系统群集。分布式部署集群通过点对点的数据同步技术,保持节点间配置数据的一致性与完整性,提供如下功能:
1) 跨区域设备的统一管理;2) 支持统一域名最快接入;3) 异地备份容灾功能。

跨区域设备的统一管理通过数据同步技术来实现,实现配置管理的自动同步,减轻管理员的负担。统一域名最快接入指通过WebAgent的统一域名登陆让用户访问速度最快的SVPN节点,支持用户无缝漫游。异地备份容灾功能指某区域节点出现不可恢复故障的时候,可以通过其他区域的分布式部署节点来恢复配置。

2、物理结构
负载均衡

分布式部署


3、基本设计概念和处理流程说明本系统的基本设计概念和处理流程,尽量使用图表的形式。


3、外部设计
分布式部署实现
部署实现方式分布式部署通过WebAgent来登记和获取各个节点的配置信息,配置信息包括IP地址、IP地址所属网口、节点角色、节点描述信息、在线用户数、总授权数、节点状态、节点LAN口MAC地址。每个节点汇报的IP地址需要包括LAN口IP地址。对于多线路的节点,存在多个节点IP地址,这时通过节点LAN口MAC地址来判断该多个IP地址是否对应同一节点。对于一个从节点有多个外部访问IP地址的时候,需要启动选路规则,选择一个速度最快的IP地址作为该从节点的连接IP地址,同时支持线路容灾:如果当前选择的IP地址无法连接的时候,再次启动选路规则,选择其他线路IP作为节点的 分布式部署IP地址。

为了不和原有设备的WebAgent功能冲突,WebAgent服务器增加dnssl.php和dnssl.asp两个页面,用于支持分布式部署功能。

分布式部署节点支持固定IP或者ADSL拨号网络,都是通过WebAgent实现节点的登记注册,只是固定IP每次通过WebAgent都是同一IP地址。

部署开放端口启动分布式部署后,需要对外开放如下端口:
1000:BOA分布式部署,WEBUI数据实时同步端口
22:整体数据同步,用作scp端口
8848:SVPN修改个人信息,实时同步端口
上述端口的开放根据分布式部署是否开启来实时修改防火墙配置,连接根据接入IP地址来授权。
PS : 为了安全性考虑,M5.9做了改进,同步端口改为443 (和ssl接入端口一致)

WebAgent改进WebAgent启动的时候需要判断是否启动了分布式部署,如果没有启动分布式部署,则继续原有的业务流程,如果启动了分布式部署,则按照分部署部署的业务流程来处理。
WebAgent支持分布式部署汇报,参数更改为必须带有IP地址、IP地址所属网口、节点角色、节点描述信息、在线用户数、总授权数、节点状态、节点LAN口MAC地址、节点密文摘要。定时上报间隔默认为30秒钟,并且支持向多个WebAgent服务器汇报。

WebAgent支持用户访问分布式部署选路,用户请求WebAgent服务器返回分布式部署的所有节点IP信息,供客户端进行最快线路选路。

WebAgent支持节点分布式部署节点信息查询,用户请求WebAgent服务器返回分布式部署的所有节点信息,供控制台用户查询使用。

WebAgent支持多个WebAgent服务器修改密码,鉴权的时候采用“设备ID +密码”的验证方式,设备ID默认为LAN口MAC地址的12位字符串,这样解决目前定制版本在支持多个WebAgent无法修改默认密码的问题。

WebAgent服务端性能要求
分布式部署采用WebAgent域名作为SVPN用户登录的入口,因此,WebAgent服务端的性能要求要达到承载要求,要根据在网用户数选择WebAgent的服务端硬件配置。

多线路选路
WebAgent选路WebAgent客户端选路规则:客户端发送请求后,WebAgent服务器下发所有节点所有线路IP,客户端检查有没有安装CSCM控件,如果没有安装,则随机挑选分布式部署集群中的至多10条线路且每个节点至多随机挑选2条线路进行选择;如果安装有CSCM插件,则由CSCM插件进行所有线路选路,默认最多支持32条线路并发选路,多于32条线路的分布式部署选路的时候是根据每节点最多随机挑选2条线路的原则;可以通过后台修改WebAgent配置支持多于32的选路并发。
PDA只能通过浏览器选路,不支持通过插件选路。

服务端选路
分布式部署支持两种选路方式:支持通过WebAgent域名选路;支持通过任意节点IP或者域名(非WebAgent域名)选路。后一种服务端选路方式只针对用户首次登陆发起HTTP请求生效,如果用户首先发起HTTPS请求访问某节点,则选路规则不生效,这样可以支持用户显式指定访问节点。服务端定时向WebAgent服务器请求所有节点IP,默认间隔为30秒钟。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

玉米 发表于 2021-9-3 14:20
  
学习一下,谢谢分享。         
玉米 发表于 2021-9-3 14:19
  
学习一下,谢谢分享。         
新手486484 发表于 2021-9-3 14:13
  
学习一下,谢谢分享。         
新手486484 发表于 2021-6-14 21:34
  
吃瓜群众来围观一下                  
ie5000 发表于 2019-3-29 09:49
  
学习一下
秋水伊人 发表于 2019-3-26 14:17
  
一起点赞
蓝海 发表于 2019-3-25 16:51
  
非常好的资料,感谢分享!
会飞的癞蛤蟆 发表于 2019-3-25 08:11
  
谢谢分享666
ie5000 发表于 2019-3-24 09:15
  
感谢分享
发表新帖
热门标签
全部标签>
技术盲盒
每日一问
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
标准化排查
产品连连看
2023技术争霸赛专题
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人