網關型負載均衡 GWLB(Gateway Load Balancer)適用于需要部署、擴展和管理第三方網絡虛擬設備(如防火墻、入侵檢測、流量鏡像、深度報文檢測等)的場景。由于網關型負載均衡 GWLB在OSI參考模型第三層以透明模式運行,所以在該負載均衡后部署網絡虛擬設備時,需要做一些適配工作。本文為您介紹GWLB的工作原理,以及網絡虛擬設備的集成方法。
什么是網關型負載均衡
網關型負載均衡 GWLB是一種工作在OSI參考模型第三層(即網絡層)的負載均衡,可幫助企業應用輕松部署、擴展和管理各類第三方網絡虛擬設備,例如:防火墻、入侵檢測、流量鏡像、深度報文檢測等。GWLB提供以下能力:
支持多臺第三方網絡虛擬設備的部署。
可提高第三方網絡虛擬設備部署的可靠性。
可實現第三方網絡虛擬設備的跨可用區服務能力。
結合私網連接(PrivateLink),可實現第三方網絡虛擬設備的跨VPC、跨賬號服務能力。
為第三方網絡虛擬設備廠商的SaaS服務提供基礎。
網關型負載均衡的工作原理
工作流程
如下圖所示,GWLB通常與另一個VPC的網關負載均衡器終端節點 GWLBe(Gateway Load Balancer Endpoint)共同工作,其中,GWLBe是一種特殊類型的VPC終端節點。一個GWLB支持連接多個GWLBe。
GWLB工作流程如下:
序號 | 工作流程說明 |
① | 客戶端訪問服務端的流量被路由至GWLBe。 |
② | GWLBe通過PrivateLink將流量轉發至關聯的GWLB。 |
③ | GWLB將原始報文通過Geneve隧道封裝,然后根據流量調度算法將流量轉發至健康的后端網絡虛擬設備。網絡虛擬設備會根據Geneve隧道攜帶的64位GWLBe ID等信息來識別流量的不同來源。 |
④ | 網絡虛擬設備做完相應處理之后,再次使用Geneve隧道將報文轉發到GWLB。 |
⑤ | GWLB會通過PrivateLink將流量轉發至相應的GWLBe。 |
⑥ | GWLBe會根據目的地址查找路由,將流量轉發至服務端相應的目的服務器。 |
流量調度方式
GWLB支持基于五元組(源IP、目的IP、傳輸協議、源端口、目的端口)、三元組(源IP、目的IP、傳輸協議)和二元組(源IP、目的IP)的一致性哈希算法來調度流量,GWLB會將同一特征的流量路由到相同后端服務器。
通常情況下:
對于TCP/UDP流量,可以選擇基于五元組哈希算法。
對于非TCP/UDP流量,可以選擇基于三元組的哈希算法。
健康檢查機制
GWLB根據您所定義的時間間隔定期運行健康檢查。GWLB通過向后端網絡虛擬設備發送TCP、HTTP或HTTPS數據包,并根據后端網絡虛擬設備是否響應來判定后端網絡虛擬設備是否健康:
TCP:GWLB與后端網絡虛擬設備正常建立TCP連接,則認為后端網絡虛擬設備是健康的。
HTTP或HTTPS:GWLB向后端網絡虛擬設備發起HTTP或HTTPS請求,后端網絡虛擬設備響應HTTP狀態碼為2xx或3xx,則認為后端網絡虛擬設備是健康的;否則,認為后端網絡虛擬設備是不健康的。GWLB不會對傳入的證書進行主機名驗證,因此,任何未過期的證書(包括自簽名證書)都可以生效。
健康檢查時所發送的數據包不通過Geneve封裝。
網絡虛擬設備必須在GWLB的健康檢查響應超時時間內響應才有效,否則判定為健康檢查失敗。
網絡虛擬設備可以通過控制平面響應健康檢查,也可以通過數據平面將健康檢查數據包轉發至目的服務器來響應。
網絡虛擬設備集成
集成方式
GWLB和后端網絡虛擬設備使用Geneve協議進行通信。GWLB通過對每個數據包封裝Geneve TLV(Type-Length-Value)向網絡虛擬設備發送額外的信息(如GWLBe ID、Flow Cookie)。網絡虛擬設備收到的Geneve報文可能包含一個或者多個Geneve TLV(Type-Length-Value)。
其中:
GWLBe ID:分配給GWLBe的64位ID。網絡虛擬設備可以使用此ID將數據包與其配置關聯;此外,此ID可用于確定流量的來源。
Flow Cookie:GWLB在流表中創建流條目時,為流生成的32位隨機數。每個流都有唯一的cookie。網絡虛擬設備必須原樣將此cookie傳回,即僅當GWLB從網絡虛擬設備所接收數據包中的cookie與分配給該流的cookie匹配時,才會進一步轉發數據包。如果cookie不匹配或沒有cookie,則丟棄數據包。
網絡虛擬設備通常的響應流程如下:
將原始數據包封裝在Geneve報頭中。
交換外層IPv4報頭中的源IP地址(網絡虛擬設備IP地址)和目標IP地址(GWLB IP地址)。
保留原始端口,不交換外層IPv4報頭中的源端口和目標端口。
更新外層IPv4報頭中的IP校驗和。
Geneve報頭中所有字段原樣返回,不進行修改。
Geneve Option中的所有TLV字段(GWLBe ID、Flow Cookie),原樣返回,不進行修改。
Geneve報文格式
Geneve數據包格式如下,有關Geneve的說明,請參見Geneve協議(RFC 8926)。
Outer IPv4 Header:
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identification |Flags| Fragment Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live |Protocol=17 UDP| Header Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Outer Source IPv4 Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Outer Destination IPv4 Address |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Source Port = xxxx | Dest Port = 6081 Geneve |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| UDP length | UDP Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Outer Geneve Header:
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|V=0|Opt Len = 8|O|C| Rsvd. | EtherType = 0x0800 or 0x86DD |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Virtual Network Identifier (VNI) = 0 | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Outer Geneve Options: Alibaba Cloud Gateway Load Balancer TLVs
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Option Class = 0x0139 (Ali)| Type = 1 |R|R|R| Len = 2 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| 64-bit GWLBe ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Option Class = 0x0139 (Ali)| Type = 3 |R|R|R| Len = 1 |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 32-bit Flow Cookie |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Customer payload follows…
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| Customer payload identified by EtherType in Geneve header |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+