h3c负载均衡产品配置

H%ignore_a_3%C负载均衡产品配置详解

H3C负载均衡产品通过流量分发、会话保持、健康检查等功能，提升业务系统的可用性与响应效率，本文以H3C SecPath系列（如LS-5500、LS-6500）及云负载均衡服务为例,从基础配置到高级功能进行详细说明。

配置前准备

1. 设备选型
   | 型号 | 适用场景 | 最大并发连接数 | 支持协议 |
   |————–|————————|—————-|————————|
   | LS-5500 | 中小型企业 | 20万/秒 | HTTP/HTTPS/TCP/UDP |
   | LS-6500 | 大型数据中心 | 50万/秒 | 支持SSL卸载、GSLB |
   | 云负载均衡 | 公有云/混合云环境 | 弹性扩展 | 结合云端安全组 |

2. 网络拓扑规划

   • 旁挂模式：负载均衡设备与后端服务器并行，需配置缺省路由或策略路由。
   • 串联模式：设备串接在网络路径中，需开启透明代理（如BYPASS功能）。
   • 高可用部署：采用主备或集群模式，通过VRRP或心跳线同步配置。

基础功能配置

1. 创建虚拟服务器（Real Server Pool）

   • 步骤：

     1. 登录H3C设备Web管理界面，进入负载均衡→虚拟服务器。
     2. 点击新建，填写名称（如VIP_Pool_1），选择负载均衡算法（轮询/加权轮询/最小连接数）。
     3. 添加后端服务器IP及端口，支持权重设置（如主服务器权重10，备机权重5）。

   • 示例配置：
     | 字段 | 值 |
     |——————–|————————|
     | 虚拟IP | 192.168.1.100:80 |
     | 调度算法 | 加权轮询（Weighted Round Robin） |
     | 后端服务器 | 192.168.1.10:80（权重10）、192.168.1.11:80（权重5） |

2. 会话保持（Session Persistence）

   • 配置方式：
     • 基于源IP：同一客户端请求始终分发至同一服务器。
     • 基于Cookie：插入特定Cookie（如HA_CK）标识会话。
     • 基于URL参数：提取URL中的特定参数（如user_id）作为分发依据。
   • 示例：

     # 启用源IP会话保持（默认超时时间30分钟）  
     [H3C] load-balance session persistence source-ip enable  
     # 修改超时时间为10分钟  
     [H3C] load-balance session persistence source-ip timeout 600 

3. 健康检查（Health Check）

   • 检测类型：
     | 类型 | 用途 | 默认参数 |
     |————|——————————|————————-|
     | PING | 基础网络连通性检测 | 间隔5s，失败3次剔除 |
     | TCP | 四层协议检测 | 间隔10s，超时5s |
     | HTTP/HTTPS | 应用层状态码检测（如返回200）| 检测路径/health.html |
   • 配置命令：

     [H3C] monitor http create name=Http_Check ip=192.168.1.10 port=80 path=/status method=get  
     [H3C] monitor-instance 1 bind monitor Http_Check  # 绑定到服务器实例1 

高级功能配置

1. SSL卸载与加密

   • 证书导入：通过系统→SSL证书上传PEM/PFX格式证书。
   • 绑定SSL模板：在虚拟服务器配置中启用HTTPS协议，选择对应证书模板。
   • OCSP优化：启用在线证书状态协议（OCSP）实时验证证书有效性。

2. 全局服务器负载均衡（GSLB）

   • 场景：多站点间流量调度（如北京、上海机房）。
   • 配置要点：
     • 启用地理DNS功能，根据客户端IP解析最近节点。
     • 配置返回码重定向（如返回DNS错误时触发备用链路）。

3. 动态脚本与ASM防护

   • 自定义脚本：通过Lua脚本实现复杂流量调度逻辑（如按请求头分流）。
   • 应用防火墙（ASM）：启用SQL注入、XSS攻击防护，配置规则如下：

     [H3C] asm profile name=Waf_Default action=alert log=enable  
     [H3C] asm signature enable id=10001  # 启用特定攻击签名 

高可用性配置

1. 主备冗余模式

   • VRRP配置：

     [H3C] interface Vlan1  
     [H3C-Vlan1] vrrp vrid 1 virtual-ip 192.168.1.253  
     [H3C-Vlan1] vrrp vrid 1 priority 120  # Master设备优先级高于Backup（默认100） 

   • 配置同步：通过lb-sync命令同步主备设备配置。

2. 集群部署

   • 多设备集群：通过CLOS架构扩展性能，支持N+1冗余。
   • 心跳检测：使用BFD（双向转发检测）替代传统VRRP，降低故障切换延迟。

监控与日志管理

1. 实时监控

   • 指标查看：通过监控→流量统计查看并发连接数、带宽利用率、健康状态。
   • 告警策略：设置阈值告警（如后端服务器宕机超过5分钟发送邮件）。

2. 日志分析

   • 日志类型：访问日志（记录请求来源）、错误日志（记录调度失败原因）。
   • 导出方式：支持Syslog、FTP或本地存储，配合ELK栈分析。

典型配置案例

场景：某电商网站需实现HTTPS访问、会话保持及高可用。

1. 步骤：
   • 创建虚拟服务器https://shop.example.com，绑定SSL证书。
   • 启用源IP会话保持，超时时间设为20分钟。
   • 配置健康检查（HTTP检测/api/health，间隔15秒）。
   • 部署主备设备，通过VRRP实现冗余。

FAQs

Q1：会话保持配置后仍出现请求分发不一致？

• 原因：可能未启用客户端IP地址转换（NAT），或健康检查导致服务器被标记为不可用。
• 解决：检查NAT映射表，确保源IP与后端服务器路由可达；确认健康检查配置正确。

Q2：健康检查显示服务器正常，但流量未分发？

• 原因：虚拟服务器未绑定健康检查实例，或调度算法权重设置错误。
• 解决：在监控实例中绑定健康检查模板