共计 4465 个字符,预计需要花费 12 分钟才能阅读完成。
DNS 领域的多点部署大多采用 IP Anycast+BGP 方式,采用这种方式不需要额外采购设备,部署灵活多样。但像其他所有技术一样,IP Anycast+BGP 技术只有在适当的领域和范围内才能发挥它的最大优势。
Internet 不断发展,上网人群数量增加,多数网站或 DNS 等服务在使用单节点提供服务的情况下,无论服务器性能还是接入带宽都不足以承载大量的用户服务请求; 而在国内运营商网络之间访问缓慢的问题一直存在; 此外,服务的高可用性也逐渐被重视。考虑到这些因素,企业在部署服务的时候首先会想到在多个物理位置、多个运营商网络中部署相同的服务,以解决上述问题。用户在下载的时候,大都看到过下载项中有“电信下载”、“网通下载”等多个下载链接,就是这种多点部署的一种应用。可不可以不用用户选择,而自动将请求连接到最快的服务呢?答案是某些应用服务可以实现。
某些设备厂商针对这一需求生产了一些硬件产品,如 F5 公司的 GTM。而在 DNS 领域,多点部署更多的是使用了 IP Anycast+BGP 方式。IP Anycast+BGP 是一种网络技术,采用这种方式不需要额外采购设备,且部署灵活多样。但在考虑部署 IP Anycast+BGP 的时候,要认真考虑 IP Anycast+BGP 的特性,像其他所有技术一样,IP Anycast+BGP 技术只有在适当的领域和范围内才能发挥它的最大优势。
————————————– 分割线 ————————————–
CentOS 下源码安装 Bind 9.6.1 搭建 DNS 服务器 http://www.linuxidc.com/Linux/2014-06/103660.htm
使用 BIND 配置 DNS 服务器 — 初级篇 http://www.linuxidc.com/Linux/2013-05/84920.htm
BIND+DLZ+MySQL 智能 DNS 的正向解析和反向解析实现方法 http://www.linuxidc.com/Linux/2013-04/82527.htm
域名服务 BIND 构建与应用配置 http://www.linuxidc.com/Linux/2013-04/82111.htm
Ubuntu BIND9 泛域名解析配置 http://www.linuxidc.com/Linux/2013-03/81928.htm
CentOS 5.2 下安装 BIND9.6 http://www.linuxidc.com/Linux/2013-02/79889.htm
DNS 服务器配置图文详解 http://www.linuxidc.com/Linux/2012-10/72728.htm
————————————– 分割线 ————————————–
Anycast 技术优势
Anycasting 最初是在 RFC1546 中提出并定义的,根据 RFC1546 的说明,IPv4 的任播地址不同于 IPv4 的单播地址,它建议从 IPv4 的地址空间分配出一块独立的地址空间作为任播地址空间。RFC1546 定义的这种任播没有在 IPv4 网络中得到广泛使用,但是它的最初语义在 IPv4 得到广泛使用: 在 IP 网络上,通过一个 Anycast 地址标识一组提供特定服务的主机,同时服务访问方并不关心提供服务的具体是哪一台主机 (比如 DNS 或者镜像服务),访问该地址的报文可以被 IP 网络路由到这一组目标中的任何一台主机上,它提供的是一种无状态的、尽力而为的服务。
在实际应用中,Anycast 采用将一个单播地址分配到处于 Internet 中多个不同物理位置的主机上,发送到这个主机的报文被网络路由到路由协议度量的“最近”的目标主机上。
Anycast 技术具有以下优势:
一、不同客户端将访问不同目的主机,此过程对客户端透明,从而实现了目的主机的负载均衡;
二、当任意目的主机接入的网络出现故障,导致该目的主机不可达时,客户端请求可以在无人为干预的情况下自动被路由到目前可达的最近目的主机,在一定程度上为目标主机提供了冗余性;
三、当目的主机受到 DoS 攻击而无法到达时,由于网络不可到达,客户端请求也将路由到其他目的主机上,而在 DDoS 攻击时,由于 Anycast 的负载均衡效应,避免了单台目的主机承受所有攻击流量,因此在一定程度上为目的主机提高了安全性;
四、因为 Anycast 利用路由度量到“最近”的目的主机,提高了客户端响应速度。
但是,Anycast 技术也存在一定的局限性:
使用 Anycast 中的共享单播地址不能作为客户端发起请求,因为请求的响应不一定能返回到发起的 Anycast 单播地址。因此,目前 Anycast 仅适合一些特定的上层协议,从目前的实际应用来看,Anycast 最广泛的应用是 DNS 的部署。
Anycast 应用方式
Anycast 实质上是一种网络技术,它借助于网络中动态路由协议实现服务的负载均衡和冗余,从实现类型上分,可以分为 subnet Anycast 和 Global Anycas: Subnet Anycast 是指所有目的主机都位于同一网段,此方式仅提供负载均衡和冗余,对安全度提升没有实质效果; Global Anycast 是指目的主机处于不同网段,可能处于不同城市,甚至分布在全球各地,在实际应用中 Global Anycast 中目标主机的部署除地理位置的考虑外,多接入不同自治域的网络中。
当使用 Anycast 的目标主机接入到不同自治域时,因为难以使用某一自治域的 IP 地址,所以通常使用 Anycast 的共享单播地址拥有独立的自治域号,并通过 BGP 协议与不同自治域网络交换路由,即 IP Anycast+BGP。
IP Anycast+BGP 部署
IP Anycast+BGP 的部署必须使用能够运行 BGP 的设备与其他自治域进行路由交换,通常使用的设备是路由器或三层交换机。然后将目标主机直接接入路由器或通过负载均衡设备将多台主机接入路由器,当然此时也可以采用 subnet Anycast 接入目标主机。而路由器向上联自治域广播目标主机共享的单播地址; 路由器可以从上联自治域接收全路由表,也可以将默认路由的下一跳指向上联自治域的路由器接口。
这种路由器加目标主机的组合形成了单一节点,将单一节点进行复制,分别上联到不同地理位置的不同自治域中,且路由器广播地址相同,就形成了 Anycast。当然,每个单一节点内部结构可以不同,只要 BGP 广播地址相同,目标主机提供相同服务即可。各单一节点可以使用相同的自治域号,也可以使用不同自治域号。
IP Anycast+BGP 的部署可以解决分布服务的负载均衡、冗余度问题,也在一定程度上提高了分布服务的安全性,但是也存在一些问题:
首先,目标主机接入路由时,如目标主机 down 机,或网卡故障等原因导致路由器在 IGP 中无法查找到目标主机路由,BGP 将自动停止对上联自治域的地址广播,客户端请求将被重新路由到其他目标主机。但是如果目标主机网络可达而服务不可用,BGP 无法探测,并将持续向上联自治域广播共享单播地址。被路由到该目标主机的客户端请求无法获得服务,且不能被自动路由到其他目标主机,鉴于上述原因,网络管理员必须时时监控各目标主机的服务,一旦出现异常,可以手工停止路由器的 BGP 广播,使客户端请求被路由到其他目标主机。
其次,因为用于 Anycast 的单播地址不能作为客户端发起请求,所以网络管理员所使用的监控网络不能使用 Anycast 的共享单播地址,此外 Anycast 要求各节点提供的服务保持一致,对客户端透明,因此,服务同步的源 IP 也与监控网络一样,不能使用 Anycast 的共享单播地址。由于二者性质相似,以下统称为监控网络。
第三,网络管理员对 Anycast 中各节点进行监控时,无法确认监控的是哪一个节点,也无法控制监控所到达的节点。为了实现网络管理员对网络及服务的实时监控,各 Anycast 节点除了使用共享单播地址外,必须配置非共享单播地址用于网络管理及监控。非单播地址的获得主要有两种方式: 第一种方式是上联自治域分配,上联自治域将这段地址通过静态路由指向 Anycast 节点的路由器; 第二种方式是作为独立网段在各个 Anycast 节点路由器上进行广播,因为通常自治域只接收掩码长度小于 24 的网段广播,如果采用第二种方式将造成 IP 地址的极大浪费,所以,在条件允许的情况下,尽可能采用第一种方式获得节点非共享单播地址。非共享单播地址同时也用于目标主机的服务同步。地址的分配必须在节点建设的规划期慎重考虑。
第四,在采用第二种方式获取非共享单播地址用于管理时,如果网络管理员监控主机和 Anycast 节点使用相同自治域号,监控主机将无法管理监控该 Anycast 节点,因为 BGP 协议中为避免路由循环,不接收来自相同自治域号的路由广播。因此,在条件允许的情况下,监控网段和 Anycast 节点尽可能使用不同的自治域号,或者使用第二种方式获得非共享单播地址的 Anycast 节点应与其他节点和监控网段使用不同的自治域号。但是,也应该避免监控网段和每个 Anycast 节点都使用独立自治域号,一是避免自治域号的浪费,二是 APNIC 等自治域号分配机构要求拥有独立自治域号的自治系统需要与两个以上其他自治系统联接,而通常一个 Anycast 节点只会联接一个自治系统。
如果无法申请到一个以上的自治域号,则会造成监控网络和采用第二种方式获得非共享单播地址的节点使用相同的自治域号,但也有变通方式: 在监控网络边界路由器上,将该节点非共享单播地址的路由通过静态路由指向上联自治域的边界路由器接口,同时该节点路由器也需要将监控网络地址的路由通过静态路由指向上联自治域的边界路由器接口。
第五,Anycast 节点上联其他自治系统时,除联接单一自治系统,也可能接入到一些互联网交换中心。通常互联网交换中心使用路由服务器进行路由交换,但路由服务器不承担数据包转发工作,因此,路由服务器不提供默认路由,而 Anycast 节点也不能将默认路由指向哪个具体地址,就需要 Anycast 节点路由器接收全路由表。如果是这种情况,还要考虑节点路由器的选型,保证能够接收所需路由条目,这可能导致节点投资增加。在 Anycast 单一节点上联时,类似问题不胜枚举,此类问题多属于接入问题,与非 Anycast 接入相同。在单一节点建设时对此应认真对待,实施前详细了解情况,做好充足准备。
小贴士
IP Anycast+BGP 在 DNS 系统部署中得到了广泛应用,但由于 Anycast 节点上联自治系统不同,接入方式多种多样,很难形成统一、规范的节点部署方案。因��,在 IP Anycast+BGP 整体部署之前应多方面考虑各种因素,着重考虑自治域号申请、IP 地址规划等问题。在某一节点实施时,需要引起足够重视,应主要针对网络接入详细了解情况,做好充足准备,切忌认为已形成统一模式而轻视单一节点建设。
