深信服AD高可用部署介绍

1、深信服 AD高可用部署介绍培训内容培训目标其他常用功能1.掌握双机热备部署方法与配置步骤。2.掌握高可用集群部署方法与配置步骤。3.掌握高性能集群部署方法与配置步骤。深信服 AD双机热备高可用集群高性能集群双机热备双机维护双机维护功能介绍AD设备支持双机热备实现冗余部署。当主设备出现问题，自动切换到备机。各种部署均支持双机热备。（下图中蓝色线为双机线）交换机AD-A主机AD-B主机内网用户三层交换机内网用户路由模式双机热备典型拓扑旁路模式双机热备典型拓扑AD-A主机AD-A主机双机维护双机维护功能典型应用案例内网用户 AD旁路双机WAN:9GW:防火墙LAN：/30三层交换机VLAN100:/

2、24VLAN101:/24VLAN102:/24网络环境：客户拓扑如右图所示。已经购买AD设备希望实现双机热备，沟通好方案部署如图。客户需求：1.AD旁路部署实现服务器负载2.AD实现双机热备，一台主机工作，当该主机出现故障或者网线接口不通时，另外一台主机接替工作。NET3NET1双机维护配置上架思路双机配置上架规范：第一步：配置主机A（需要配置基础网络配置、虚拟服务、双机维护），确保放入网络中后业务都正常运行。第二步：配置主机B（仅配置双机维护）并将该主机关机，接主机B的双机口到主机A对应接口。第三步：主机B开机。第四步：主机B开机后，主机B成为备机，主机A会将配置同步至主机B。主机B的AL

3、ARM灯一直闪烁，说明工作正常。第五步：将主机A关机，查看AD是否正常工作。双机维护配置步骤与截图1.主机A-基础网络配置（略）2.主机A-虚拟服务配置（略）3.主机A-双机维护配置可以选择串口作为双机口，也可选择空闲网口任意设置一个与其他接口不冲突的IP地址，对端设置与此IP同网段的IP地址。选择MAC地址进行同步的网口当双机线不通后，通过该网口检测是否两台主机在线，如存在冲突，协商成一主一备。本案例选择NET1。此处的网口DOWN掉，即切换双机。本案例只接了NET1口。双机维护配置步骤与截图4.主机B-双机维护配置5.按照规范操作步骤接线上架设置与主机A的IP同网段即可除了IP地址与名称要

4、区别开，其他与主机A设置成一样双机维护注意事项1.两台主机同时开机，如何区分哪台是主机，哪台是备机？备机的ALARM灯会一直不停闪烁，主机的不会。如果想通过控制台区分登录的设备，则可以在双机页面设置名称，该名称不会被双机同步。2.双机口故障检测可以选择哪些接口？可以选择已经被使用的网口，例如案例中NET1为旁路模式接口，则可以选择NET1。也可以选择空闲的网口。需要注意的是两个设备的双机故障检测口一定要接在同一个二层广播域方可正常检测到。3.主机隔多久同步一次配置到备机？主机一 旦修改配置，则实时向备机同步。可以在双机维护的状态信息处看到同步状态以及百分比。4.通信介质选中的网口有什么具体作用

5、？同步配置，维持心跳。问题思考？1.双机隔多久同步一次配置？高可用集群高可用集群需求场景客户非常重视业务系统的稳定性和可靠性，购买了2台AD设备做双机部署。1.相当于主备，只有一台设备在工作，利用率太低，造成浪费。高可用集群：双主，可同时承载多个虚拟服务是否存在什么不足之处？2.双机可扩展性不够好，遇瓶颈只能同时更换两台设备高可用集群：加入一台完全相同的设备，平滑扩充为三台高可用集群 原理介绍HA口 HA口 心跳线业务口业务口管理口管理口WEBFTP集群控制中心：集群中设备统一管理的平台，通过集群管理IP访问。属于逻辑概念。集群管理IP：跟各设备的管理口同网段，通过此IP访问控制台，更改配置。

6、HA口：用于各设备间同步配置，定时进行心跳检测。要求各设备上作为HA口的网口顺序一致（如都用NET2）。如设备直连则使用交叉线。浮动IP：虚拟服务访问的IP，相当于单台设备时的IP组，可根据情况漂浮在不同设备间，一个浮动IP同时只在一台设备上生效静态IP：对服务器/链路做健康检查时用到的IP，每台设备在业务口都必须配置最少一个静态IP虚拟MAC：对应链路上使用虚拟MAC供该链路所有IP与其他设备通讯集群控制中心虚拟服务关联组：所有引用了相同节点池，或引用了相同浮动IP(IP组)的虚拟服务应用组：即集群的最小切换单元，包括浮动IP、虚拟服务关联组、NAT单元（DNAT、SNAT），这些配置使该应

7、用组具有发布服务的能力高可用集群 原理介绍两台AD旁路部署在内网，做集群对WEB服务器和FTP服务器进行负载。WEB服务接入地址(浮动IP)，FTP服务接入地址（浮动IP）WEBFTP访问WEB访问FTP发现故障访问WEB切换应用组:浮动IP、虚拟服务组、NAT单元高可用集群 准备工作3.IP规划（以两台为例）：a.管理IP，每台设备的管理口要配置一个IP，整个集群还额外需要一个集群管理IP，要求这3个IP在同一网段，可互相通信。以上IP用于管理设备。b.HA口IP，两台设备的HA口都要配置一个IP，要求同网段能通信，可随意配置一个网段。c.浮动IP和静态IP，相当于单台设备时业务口配置的IP

8、，要求能跟服务器通讯，能跟外网通讯。二者的区别在于浮动IP可能会在不同的设备上生效，而静态IP永远只在一台设备上生效；浮动IP用于虚拟服务接入，静态IP用于健康检查。1.设备选型要求：软件版本一致，硬件平台一致，序列号授权一致（升级序列号除外），两台设备的网口位置和顺序一致。2.环境要求：三台及以上设备做集群，需单独准备交换机连接HA口（或单独划分VLAN）；两台设备做集群，需准备交叉线直连。高可用集群配置案例WEB设备A： 管理口 4/24 HA网口：net2 4静态IP：4设备B： 管理口 5/24 HA网口：net2 5静态IP：5WEB浮动IP:4FTP浮动IP

9、:5集群控制中心IP: 6FTPFWSW454546545WEB服务在设备A生效，FTP服务在设备B生效高可用集群配置案例-思路WEB1.设备的业务口和管理口分别接入交换机，HA口用交叉线互连2. 分别在设备74创建集群，设备75加入集群3.登录集群控制中心，添加设备，查看集群中设备状态，保证设备通信正常4.配置业务口网口信息，包括浮动IP和静态IP，配置SNAT、DNAT等5.配置虚拟服务6.配置应用组，将需要一起切换的模块关联起来，保证切换正常。FTPFWSW454546545WEB服务在设备A生效，FTP服务在设备B生效高可用集群配置案例集群中所有设备的HA网口必

10、须选择成一样的创建/加入集群前，请务必备份好配置，退出集群会恢复默认配置请注意集群登录账户密码默认cluster/cluster高可用集群配置案例高可用集群配置案例如果加入集群失败，可查看失败原因。首次加入集群的设备会接受一次批量同步，并重启所有服务。已加入的设备，采用触发增量更新的方式，判断设备是否接受更新高可用集群配置案例主控和备控没有权限修改配置，只能登陆集群控制中心进行配置，IP为集群管理IP，会在各个设备上“浮动”，账户默认为cluster/cluster集群中其他设备可以登录查看配置，登陆设备管理IP或者是在集群控制中心成员管理中点击“跳转”高可用集群配置案例用来监视服务器每台设备

11、都要配置静态IP静态IP只在一台设备生效用来关联虚拟服务跟随应用组在设备间切换多个虚拟服务可共用一个浮动IP（最好一对一）推荐启用线路检测，线路离线也可触发虚拟服务切换高可用集群配置案例所有引用了相同节点池，或引用了相同浮动IP(IP组)的虚拟服务会自动加入到同一个虚拟服务关联组中，所以无需配置。高可用集群配置案例SNAT指定了转换为相同的源地址(或包含)，会被放到同一个源地址转换关联组(自动生成)DNAT需要手动关联应用组，保证端口映射也可随着设备切换。高可用集群配置案例应用组管理需要手动配置，关联DNAT、SNAT、虚拟服务关联组、浮动IP高可用集群配置案例1.应用组关联的链路发生故障（引

12、用网口健康检查的结果）2.应用组关联的虚拟服务中，节点监视器全部离线3.设备自身发生故障，包括某一进程故障满足至少1个条件即为故障高可用集群注意事项1.高可用集群只支持服务器负载，不支持出（入）站链路负载。2.请勿使用被动监视器，因为被动监视器需要打入流量才能监视，没有流量的设备会认为一直在线，出现故障后，会导致不停切换。3.集群主控在退出集群的时候，会被恢复默认配置。其他设备加入集群时，配置会被备份且清空，准备接受主控的配置。集群模式下不允许恢复配置（升级客户端和web界面均做了禁止）只接受主控配置，如需恢复需要拆开。4.加入集群后设备的全局智能DNS功能将失效。高可用集群问题思考1、客户内

13、网有一个WEB应用，用AD做了虚拟服务，之前一直使用双机来保证可靠性，现在客户听说有了集群功能，希望使用集群。是否建议使用？答：此场景可以做集群但没有意义。目前的集群只能承载多个虚拟服务，无法在不同设备上承载同一虚拟服务。2、静态IP的作用是？答：健康检查3、最小故障切换单元为何要包括DNAT和SNAT组？答：当虚拟服务切换后，浮动IP会跟着飘去其他设备，如果不切换DNAT和SNAT，可能会造成其他功能使用不正常高性能集群高性能集群高可用集群一个服务只运行于一台设备之上，提供服务的这台设备即为这个服务的主设备。多个服务可以分别运行在不同的设备之上，并互相作为备份。高性能集群一个服务同时运行在集

14、群中的每台设备上。设备因故障退出或重新加入集群时，都可保证流量在设备间均衡分配，业务不会中断。功能对比高性能集群 实现原理高性能集群所有业务数据接口需要进行聚合软件版本一致(appversion)硬件平台(deversion)、网口数量和顺序一致序列号一致环境准备高性能集群 配置过程高性能集群模式切换创建/加入集群故障检测设置根据链路状态/节点池状态进行判断故障设备不作为集群控制器故障设备不参与服务调度配置过程高性能集群模式切换创建/加入集群故障检测设置成员管理管理IP必须和主控管理IP同网段健康状态：初始化、警告、离线、故障、沉默、在线配置过程高性能集群模式切换创建/加入集群故障检测设置成员

15、管理端口聚合设置先配置聚合，再配置WAN/LAN不同AD引用相同接口所有AD同一接口进行聚合配置过程高性能集群静态IP在指定的设备上生效先选择生效设备，再配置IP掩码通用IP在集群所有设备上生效配置过程高性能集群LAN/WAN链路离线节点池离线服务状态切换HA掉线（沉默）成员故障（硬盘故障等）切换条件高性能集群节点监视器需要用静态IP业务口必须先聚合再起WAN/LAN业务口聚合只支持802.3AD(LACP)其他聚合算法会导致故障切换过程中丢包HA口也支持聚合，聚合协议不限制HA口同步通信流量可能非常大通常业务口（WAN）数量要跟HA聚合口数量相当注意事项高性能集群不支持链路负载不支持IPv6

16、应用负载不支持SSL会话复用不支持动态路由不支持集群互导配置注意事项高可用集群链路负载双主链路负载双主AD6.2版本通过对高可用集群的改进，实现了链路负载场景双主的支持，在保证可靠性的同时，充分利用硬件资源，提高投资效益。高可用集群链路负载双主历史版本AD5.2高可用集群：不支持链路负载问题原因：应用组app1和app2分别关联不同的IP组和SNAT规则，在不同的设备上生效当app1发生了切换，app1与app2在同一台设备上生效时，由于AD连接跟踪信息未同步，app1的流量就会从上到下重新匹配SNAT规则，有可能不是匹配到原来的SNAT，那么SNAT规则之后的IP就发生了变化，导致连接中断。

17、高可用集群链路负载双主SNAT1SNAT2SNAT1和SNAT2分别关联两个应用组，运行在两个设备上当设备2故障，SNAT2随应用组切换到设备1上此时SNAT1和SNAT2同时在设备上生效，有先后顺序，例如SNAT1在SNAT2之前没有同步连接跟踪，那么应用组2的连接匹配到SNAT1，转换的地址变化，导致连接断开没同步智能路由会话，重新选路，走不同线路时，导致连接断开高可用集群链路负载双主AD6.2版本对高可用集群进行改进，实现了对链路负载双主场景的支持配置步骤组建集群关联应用组（接口IP、虚拟服务、SNAT、DNAT）虚拟MAC（必须）高可用集群链路负载双主简单场景AD高可用集群，内网二层环

18、境，外网双线路内网PC和Server分别指定不同的网关，实现流量分担到各台AD高可用集群链路负载双主高可用集群链路负载双主配置步骤组建集群IP分配：浮动IP、静态IP，平均分布到各台设备高可用集群链路负载双主配置步骤组建集群IP分配：浮动IP、静态IP，平均分布到各台设备SNAT：每条线路配置2条SNAT，转换为指定IP高可用集群链路负载双主配置步骤组建集群IP分配：浮动IP、静态IP，平均分布到各台设备SNAT：每条线路配置2条SNAT，转换为指定IP应用组关联：IP、SNAT需要关联到相同的设备IP和SNAT关联不一致，会导致转换后网络不通高可用集群链路负载双主配置步骤组建集群IP分配：浮动IP、静态IP，平均分布到各台设备SNAT：每条线路配置2条SNAT，转换为指定IP应用组关联：IP、SNAT需要关联到相同的设备应用组配置虚拟MAC（每个接口）高可用集群链路负载双主推荐场景AD高可用集群，内网三