Azure 提供的负载均衡服务叫 Load Balancer,它工作在 ISO 七层模型的第四层,通过分析 IP 层及传输层(TCP/UDP)的流量实现基于 "IP + 端口" 的负载均衡。
Azure Load Balancer 的主要功能
负载均衡
基于 ISO 四层的负载均衡,请参考下图(此图来自互联网):
端口转发
通过创建入站 NAT 规则,可以实现端口转发,将来自前端 IP 地址的特定端口的流量转发到虚拟网络中特定后端实例的特定端口。比如我可以映射前端 IP 的 10022 端口到后端 VM1 的 22 端口;映射前端 IP 的 20022 端口到后端 VM2 的 22 端口。
对应用程序透明
协议握手始终在客户端与后端池中的虚机实例之间直接发生。 对入站请求做出的响应始终是来自虚拟机的响应。 当请求抵达虚拟机时,也会保留原始的源 IP 地址。
自动探测后端主机状态
为确定后端池中实例的运行状况,负载均衡器会使用预定义的规则检测后端实例的运行状况。当探测到故障时负载均衡器会停止向该实例发送新连接。 现有连接不受影响,会一直保留到应用程序终止了请求、超时或虚机关闭为止。
注意:基础版的 Load Balancer 只支持 TCP 和 HTTP 协议的探测规则,而标准版还支持 HTTPS 协议的探测规则。
出站连接(SNAT)
从虚拟网络中的私有 IP 地址发往 Internet 上的公共 IP 地址的所有出站流量都被转换为负载均衡器的前端 IP 地址。通过负载均衡规则将前端公共 IP 地址端绑定到后端 VM 后,Azure 会将出站连接设定为自动转换成前端的公共 IP 地址。
内部负载均衡和公共负载均衡
我们可以通过下图来理解内部负载均衡(Internal Load Balancer)和公共负载均衡(Public Load Balancer)的区别(此图来自互联网):
简单的说就是公共负载均衡的前端 IP 是公网 IP,是面向 Internet 的;而内部负载均衡的前端 IP 则是面向私有网络的私有 IP,并不直接与公网交互。
通过 Azure 门户创建 Load Balancer 示例
在 Azure 门户网站中添加 Load Balancer 类型的资源,设置基本信息,比如下图所示:
这里我们创建一个面向 Internet 的具有公共 IP 的的 Load Balancer,因此随 Load Balancer 一起创建的还有一个公共的 IPv4 地址:
在 Load Balancer 创建完成后,我们就可以开始设置其详细的属性了。比较常用的配置有前端 IP、后端池、运行状况探测、负载均衡规则和入站 NAT 规则:
配置前端 IP
前端 IP 是访问负载均衡后端资源的接口,相关的基本配置在我们创建 Load Balancer 已经随之完成了(就是面向公网的一个 IPv4 地址):
配置后端池
所谓的后端池就是藏在 Load Balancer 背后真正干活的主儿,这里我们先去创建两台虚机,然后再把这两台虚机添加到 Load Balancer 的后端池中。
下面是创建虚机时的一些注意事项。
把新建的虚机放入同一个可用性集中(AvailabilitySet)
因为我们创建的是基础版的 Load Balancer,它的后端池只支持在同一个可用性集中的虚机,所以我们要创建一个可用性集,并把所有的虚机加入到这个可用性集中(只有在创建虚机时才能加入可用性集):
不需要入站规则
因为我们的主机是隐藏在 Load Balancer 后面的,所以不需要设置入站端口规则:
也不需要公用 IP 和网络安全组(因为虚机在私有的子网中)
对虚机的访问可用通过配置 Load Balancer 的入站 NAT 规则实现。
新建虚机后就可以把它们加入 Load Balancer 的后端池了,下面是创建虚机的过程中创建出的资源:
添加后端池
新建一个后端池,并把我们创建的可用性集 nicklbavailabilityset 中的虚机加入其中:
添加完成后可以看到后端池中的虚机及其状态:
运行状况探测
Load Balancer 需要通过运行状况探测机制来监控后端池中资源的状态,可以使用运行状况探测来检测后端实例上应用程序的故障。这里我们通过检测后端虚机的 80 号端口来判断其服务的状态:
默认的规则是每隔 5 秒检测一次,如果连续失败两次就认为虚机提供的服务离线。
负载均衡规则
负载均衡规则定义了 Load Balancer 以何种方式把用户的请求分配给后端池中的虚机:
上面的规则把 Load Balancer 前端 IPv4 80 端口收到的请求分配到后端池中虚机的 80 端口。注意这里的 "会话属性","无" 表示请求可以由后端的任何一台虚机处理。除了 "无" 你还可以选择 "客户端 IP" 和 "客户端 IP 和协议"。"客户端 IP" 表示只要是来自同一个客户端 IP 地址的连续请求都由后端的同一台虚机处理;而 "客户端 IP 和协议" 则表示来自同一客户端 IP 和端口号的组合连续请求将由后端的同一台虚机处理。
入站 NAT 规则
入站 NAT 规则主要用来控制对后端主机的访问方式。因为后端的主机都在私有的局域网中,所以需要通过入站 NAT 规则来建立公共 IP 地址上端口和虚拟主机上端口的映射,以便通过公共 IP 地址上的端口号访问后端虚机。比如我们计划通过 Load Balancer 公共 IP 地址上的 10022 端口访问后端虚机 nicklbvm1 的 22 端口,其配置如下:
这样就可以通过 ssh -p 10022 [email protected]前端IP地址 的方式远程登录后端虚机 nicklbvm1 了。通过类似的配置,我们可以通过 20022 端口连接到后端主机 nicklbvm2:
至此,一个基本的 Load Balancer 已经配置完成了,如果你在后端的虚机中部署上网站,它就可以正常的响应用户的请求了。
总结
通过 Azure 提供的 Load Balancer 服务,我们可以简单、快速的搭建起负载均衡的基础架构。对于一些简单的应用这样的配置基本也就够用了,但是针对一些特殊的用例,比如支持 IPv6 和 HTTPS 等情况,还需要有更多针对性的配置。在后续的文章中,笔者将介绍如何创建支持 IPv6 的 Load Balancer,以及如何扩展 Load Balancer 后端的虚机池。
参考:
Azuer Load Balancer 官方文档
创建基本负载均衡器
2 VMs in a Load Balancer and load balancing rules(windows)
原文地址:https://www.cnblogs.com/sparkdev/p/10308362.html