XX银行国产化负载均衡改造项目

在业务全面上云及新业务云原生的大背景下,业务的流量分发、灵活的策略设置及全面的应用性能监控都面临着相当大的挑战,需要具备灵活扩展性、高可靠性及全面定制化能力的产品来解决问题。

随着XX银行的业务发展,XX银行数据中心整体网络流量日益增大,同时业务部署涉及到多种云环境。随着互联网金融等新兴业态的涌现,XX银行的IT架构还必须满足当下高频、小额、全时段的峰值交易冲击,与此同时也需要满足现在国产化的需求,这也推动着XX银行将自身业务架构体系进行升级再造,实现业务应用的“多活”、多云异构部署、集中统一管理及全面国产化,从而充分利用自身底层计算资源,并保证业务的永续发展。在新的架构中,XX银行部署了矩尺服务器负载均衡设备,提升了应用业务区的服务可用性。

一、实施背景

在业务全面上云及新业务云原生的大背景下,业务的流量分发、灵活的策略设置及全面的应用性能监控都面临着相当大的挑战,需要具备灵活扩展性、高可靠性及全面定制化能力的产品来解决问题。

为适应互联网业务的快速增长,同时满足银行国产化改造的要求,保障银行各业务安全稳定不间断运行,提高市场竞争力,同时符合监管机构的相关要求,逐步完成应用系统及基础设施的国产化迁移,正在成为金融行业的共同选择。

XX银行数据中心内包含多种云环境,管理起来日益复杂,需要一种可以统一管理多云环境下流量调度的负载均衡管理产品。

二、实施目标

结合XX银行已经部署的矩尺N6-A2000 X02信创系列硬负载设备,在统一的管理面下为多云环境部署多个矩尺转发引擎集群,解决用户的以下问题:

●多云环境下简化运维体系:数据中心内存在多种异构云环境,目前都是单独分开运维,管理成本很高。同时还存在多部门各自维护着多家厂商的负载均衡设备,故障无法统一处理。

●逐步完成国产化改造:需要将负载均衡完成全链路国产化改造。

●实现流量的灵活、有效分发:业务部门的流量分发需求日趋复杂,除了基于健康检查保障业务连续性外,还需要矩尺负载均衡系统能够处理诸如温暖上线等新型流量分发特性。

●提升数据中心的安全性:互联网整体安全性要求日益提高,负载均衡系统能够在链路前端提前应对WEB安全挑战。

●性能提升:用户能感知到应用服务访问速度提升。

●提升服务可用性:负载均衡集群在管理面和数据面上都实现99.99%的高可用性。

三、建设内容

在满足国产化的需求背景下,需要实现业务应用及基础设施的国产化改造,需要自主可控的负载均衡设备来完成业务的流量调度,当服务器故障后,能根据策略合理的将每个连接快速分配给最合适的服务器,提升服务器的利用率,保证用户访问的快速稳定性,同时具备很好的管理运维能力。

多云部署的实现方式是管理节点和转发引擎分离,保证整体流量架构调度的稳定性。具体建设内容包含以下6点:

●多云环境下的统一负载管理平台

●利用矩尺负载自带的管理平台,集中管理不同数据中心内的转发引擎实例;

●支持在X86复杂指令集或者ARM64精简指令集的主机上实时部署转发引擎实例;

●对于第三方厂商的负载均衡,将在统一的接口(符合SNMP等标准协议)下实现统一的资产、告警管理;

●应用业务的飞速发展,给业务应用服务器构成了很大的压力;传统服务器健康检查方式比较单一,容易误判,影响正常业务及办公。矩尺负载均衡串接部署在业务服务器集群前端,通过多转发引擎集群及用户授权管理体系,可以为不同的业务部门、异构的多云环境提供统一的管理平台(下图为脱敏示意图)。

●通过操作事件、系统事件、异常、告警,结合指标分析图与拓扑图,构建应用智能分析系统,提升问题定位效率:

●操作事件,记录管理员的操作行为

●系统事件,记录系统本身产生的事件

●异常,将大于固定标准差的指标及其时间序列记录下来

●告警,指定动作后将事件、异常转换为告警,并发送管理员或者通过API或者脚本第三方管理系统

●指标分析图:将多种指标与上述事件、告警联动在图表中,快速向管理员展示故障原因。

●虚拟服务拓扑图:一张动态交互图显示业务运行全貌。

●部署拓扑图:显示包含硬负载、软负载以及第三方纳管节点的部署架构运行状况。

●通过syslog、HTTP、gRPC、SNMP等协议对接第三方管理系统,让运维人员可以更轻松地管理资产、日志、告警,降低运维难度。

●实现负载均衡体系的信创国产化

●使用国产化CPU芯片及操作系统

●实现自主可控,在各个模块良好兼容性的基础上做到性能最大化

●满足高可用性、高可靠性以及可扩性的应用需求

●定制化开发服务,帮助用户优化应用场景

●使用国密SM系列安全套件,提升数据安全性

●实现流量的灵活、有效分发

●在不同的负载转发引擎上,根据需要实现单臂和双臂的流量分发策略;

●混和使用ICMP、UDP、TCP(半连接及全连接)、HTTP、DNS、MYSQL等多种健康检查策略,在必要时使用矩尺图灵完备的自定义脚本(支持单引擎检查十万级服务器节点),完成更复杂的策略。

●使用分发策略与分发规则配置虚拟服务

●基于源地址段、URL、SNI、HOST、HEADER、COOKIE、Method等多种方式配置分发策略;

●基于既定的分发策略,通过带优先级的分发规则在虚拟服务内定义多种流量处理方式,在多条分发规则同时满足时基于优先级进行二次流量匹配。

●使用加权轮询、最小连接、最快响应、一致性哈希等多种负载均衡算法,有效应对不同的业务场景

●在服务器池中开启优先级分组,将服务器节点规划成多组,基于优先级和最小可用节点数按组分发流量,实现比传统负载均衡算法更复杂的容错效果。

●使用会话保持策略完成多种业务场景,如OSI网络层的源地址段、OSI表示层的SSL SessionID、OSI应用层的URL、HEADER、COOKIE等实现会话保持功能。其中,对COOKIE类型将根据业务需要配置被动式、插入式、哈希等多种算法。对几种关联的虚拟服务,可以配置共享相同的会话保持表。

●实现温暖上线功能

●在服务器内设恢复时间和温暖时间,即新节点上线后,在恢复时间之后开始转发流量,在温暖时间内流量恢复到它应得的100%。

●提升web安全,通过客户端、服务器SSL策略部署双向SSL卸载、校验,全局管理SSL证书,安全分发,并在证书过期前由通知、告警等多种方式提醒管理员更换证书。同时在必要时开启COOKIE加固、防盗链、请求权限验证、限速、黑白名单等WAF功能,满足业务的安全性需求。

●通过连接共享、HTTP缓存(可选择内存或者磁盘类型的缓存)、HTTP内容压缩等特性,提升服务的吞吐量,降低响应时延和网络带宽消耗。

●实现矩尺负载系统的高可用部署

●通过n6-A2000系列设备的聚合网口管理,实现物理网口的高可用

●部署管理节点集群,实现管理面的高可用

●基于流量组,实现数据面上虚拟服务的高可用

●配置虚拟服务的可用实例数量范围,实现转发引擎的自动伸缩部署。

四、实施效果

通过上述实施步骤,矩尺负载系统实现了7*24小时的无故障稳定运行,大幅提升了服务扩展性及可用性,其中矩尺调度系统有效避开各类故障主机,并将故障通过对接脚本传递给第三方系统,由运维人员及时处理。而SSL及WAF策略也有效提升了数据中心的安全性。

XX银行实现了负载均衡软、硬设备的统一管理,通过精简软件包或者云镜像快速部署管理节点,再由组建好的管理集群实时向任意网络可达的异构节点部署转发引擎。这些异构节点支持各类虚拟化环境,支持国产化主机,实现了从硬件、软件到算法的全链路信创环境迁移。

通过多级运维体系下的用户授权、转发引擎子集群管理,在满足业务方的各类流量调度需求的情况下,通过统一的日志、告警管理缩短了问题定位时间,实现了多云管理。XX银行运维人员反馈,矩尺系统的操作界面简单易用,充分考虑了网络层、应用层操作的差别,用集群自动化操作替代了传统的人工运维,有效降低了大集群环境的操作错误概率,提升了整体运维效率。

THEEND

最新评论

更多
暂无评论