Королевская рать

Спецвыпуск: Хакер, номер #068, стр. 068-014-3

Технология Round Robin может с одинаковым успехом использоваться как для распределения обращений внутренних пользователей к межсетевому экрану, так и для балансировки нагрузки внешних запросов или подключений через VPN.

[балансировка сетевой нагрузки.]

Служба, реализующая технологию Network Load Balancing (NLB), входит в стандартную поставку Windows Server и используется для повышения доступности и производительности группы серверов. По идее технология чем-то напоминает объединение жестких дисков в массивы RAID, но вместо винчестеров здесь используются несколько серверов, выполняющих одинаковые функции или содержащие одну и ту же информацию. Часто NLB используется при построении web-порталов, но может применятся и при внедрении ISA. В этом случае NLB может повысить уровень обработки запросов внутренних и внешних клиентов и уровень доступности VPN.

В отличие от «настоящего» кластера, где для хранения данных приложения используется выделенная дисковая стойка, в NLB каждый из серверов содержит свою копию данных и настроек, и задача их синхронизации ложится на плечи администратора. При использовании ISA Server Enterprise Edition эта проблема уже решена, поскольку все настройки серверов загружаются с Configuration Storage Server.

В принципе, можно реализовывать балансировку нагрузки и на ISA Server Standard Edition, но при этом надо будет самому позаботиться о синхронизации настроек (например, через функции импорта и экспорта конфигурации). Кроме того, в этом случае кластер NLB не будет отслеживать корректность работы служб ISA Server, а только сетевую доступность узла.

С точки зрения клиента, NLB представляет собой сетевой узел с одним IP-адресом (хотя у кластера может быть и несколько разных адресов в разных сетях или используемых для разных служб). Все пакеты, отправленные клиентами, доставляются до каждого из узлов кластера NLB, которые самостоятельно принимают решение, кто из них будет обрабатывать то или иное соединение.

Все серверы в кластере раз в секунду обмениваются контрольными heartbeat-сообщениями, передаваемыми как Ethernet – фреймы с типом LLC 0x886F. Этот обмен позволяет обнаруживать отключение серверов или добавление нового узла в кластер. Кроме того, обмен сообщениями позволяет синхронизировать значения приоритета каждого из узлов, указываемых администратором. Механизм NLB не поддерживает контроль соединения, и в случае выхода из строя одного из серверов кластера, все установленные с ним соединения будут потеряны. Время «схождения» системы при добавлении нового члена или удалении сервера из кластера – несколько секунд.

К сожалению, механизм балансировки нагрузки не учитывает текущую загрузку процесса узлов кластера. Соответственно, если в кластер входят узлы с различной аппаратной конфигурацией, более мощные должны иметь более высокий приоритет. Рекомендуется выделять для обмена управляющими соединениями отдельный сетевой адаптер, подключенный к специально выделенному для этих задач коммутатору, но придерживаться этой рекомендации не обязательно.