3.7.3 负载均衡的优势
(1)超强性能与弹性。由于使用专门优化的DPDK LVS、Intel QuickAssist 硬件加解密卡大幅提升处理性能,负载均衡具备超强性能与超强弹性,单实例支持1000 万并发连接、100 万QPS。
(2)多级容灾保证业务安全可用。负载均衡采用4 级容灾架构,包括应用级高可用、集群级高可用、可用区高可用、地域级高可用,同时提供DDoS 和WAF扩展防护,全链路HTTPS 满足Zero-Trust 安全模型的要求,提供高达99.99% 的可用性保障承诺(SLA)。
(3)深度集成云原生。与ACK(容器服务 Kubernetes 版)、SAE(Serverless 应用引擎)深度集成;面向应用层交付,支持先进的GRPC 协议,实现微服务间高效的API 通信,基于Header/Cookie 的路由能力,支持流量拆分以实现云原生场景中的金丝雀发布;流量镜像可以复制在线业务流量用于仿真业务测试, 用基于内容的QPS 限速可模拟业务熔断等场景。
(4)开箱即用、简单便利。负载均衡可秒级开通,7×24 小时免运维,有着完善的监控日志,支持事件告警。
3.7.4 负载均衡的主要应用场景
大流量的处理和调度
视频、电商、社交、游戏、在线教育等行业的网站和系统访问量很大,对大流量的处理和调度能力要求很高。SLB 的超强性能和丰富的调度算法可以轻松面对大流量的处理和调度。如图3-30 所示。
图3-30 负载均衡进行大流量的处理和调度
基于应用层的流量调度
应用负载均衡支持HTTP 和HTTPS,提供高级的7 层功能,如基于内容的路由、支持QUIC 协议等,能满足越来越多元化的应用层负载需求,大大提升交付效率, 同时具备超强性能(100 万QPS/ 实例)、安全可靠、简单易用等优势。而用户在云上自建Nginx 做应用层流量调度,不仅稳定性难以保证,还存在额外的虚机建设与维护成本。使用应用负载均衡产品可以完美替代自建Nginx。
云原生、微服务场景
作为阿里云官方推进的云原生Ingress 网关,应用型负载均衡ALB 支持高性能API、GRPC 协议、金丝雀发布、在线流量镜像、基于Header/Cookie 的转发、重定向、内容重写等,且无缝支持云原生场景。
业务高可用
企业用户都很关注业务的连续性,特别是金融、政务等关键领域的行业用户。负载均衡是用户业务稳定性和可靠性的有力保障。首先,负载均衡支持健康检查, 可以及时发现和屏蔽异常后端服务器。其次,负载均衡支持多可用区,结合后端服务器的多可用区部署实现跨可用区容灾。再次,通过多地域部署,结合智能DNS, 负载均衡可以支持跨地域容灾。最后,负载均衡和DDoS 防护、WAF 防护等安全产品无缝集成,为业务提供安全防护能力,提升业务连续性。
3.7.5 面向云原生的负载均衡
容器网络Ingress 网关
不论是在阿里云ACK 容器服务中,还是在用户自建的K8s 集群中,容器网络的南北向入口都必须有一个Ingress 网关来做业务流量的分发。由于是整个容器网络的流量入口,Ingress 网关的性能有可能成为整个系统的瓶颈。阿里云负载均衡的高性能、高弹性可以很好地消除这个瓶颈。同时,容器网络入口的高可用至关重要, 一旦Ingress 网关出现故障,整个容器集群将无法对外提供服务,而负载均衡具备4 个层级的高可用,将保障容器网络的入口永远通畅。
微服务发现与高可用
在云原生的技术体系中,微服务是应用系统的最小组成单元,在大型复杂应用中,数个微服务互相调用、依赖,每一个微服务都存在多个运行副本,组成一个微服务集群对外提供服务,因此每一个微服务都需要配一个负载均衡。这些均衡负载不但用来解决高可靠问题,还承担着发现微服务的角色,因为容器本身会被快速生产、销毁、替换,其IP 地址会频繁变化。如果没有负载均衡对外提供一个稳定的IP 地址,服务的使用方将无法稳定地访问服务。
零信任安全模型
云原生技术起源于数据中心内的应用和服务,并在过去几年逐渐扩展到边缘甚至端上的计算。随着5G 和IoT 的快速发展,云边端一体化的云原生技术将深入更多的企业和更丰富的场景,无处不在,未来云原生的网络环境将变得更加复杂。这意味着可能存在更多的安全风险。因此在很多云原生的场景中,零信任(Zero-Trust) 安全模型至关重要。
零信任安全模型要求整个传输链路上的流量都是经过加密的,不对基础设施的网络做任何可信的假设。这意味着负载均衡需要对从客户端发出的加密流量进行解密,以处理7 层业务路由,并且在发给后端微服务时要再次加密,以满足零信住安全模型的规范要求。
阿里云应用型负载均衡支持全链路的HTTPS 加密,完全符合上述安全规范, 同时,由于采用了专用的加解密硬件卡,相比于开源方案自建的负载均衡,能够节省40%~50% 的SSL 加解密算力。
