DSol 9 апр в 17:11

Первый российский аппаратный балансировщик нагрузки DS Proxima

Средний

6 мин

5.1K

Блог компании «Цифровые решения»Сетевые технологии*Сетевое оборудованиеИнформационная безопасность*IT-инфраструктура*

Обзор

Комментарии 12

ajijiadduh 9 апр в 21:11

Первый российский

что внутри?

oleg_km 9 апр в 23:53

Вы же наповал меня бьете этим вопросом!

NightBlade74 10 апр в 02:35

у ей внутре неонка

AntonAV2979 10 апр в 12:11

Коллеги, балансировщик нагрузки DS PROXIMA реализован на FPGA, что обеспечивает aппаратную обработку трафика на скорости до 1,44 Гбит/с и повышенную отказоустойчивость. Вся схемотехника, топология печатных плат и логика FPGA разработаны "Цифровыми решениями".

Sukhanov_AA 10 апр в 12:27

Сильная сторона импортных балансировщиков сетевого трафика, да и не только балансировщиков а целого скоупа сетевых решений, это заточенные под задачи ASICи, например тот же SSL offload у Citrix. Иными словами с железки 1U (размером с сетевой коммутатор DLink) 2015 года выпуска и слабенькими параметрами по процессору\памяти можно снимать достаточно хорошее количество одновременных TLS сессий (более 10 000), и без проблем их расшифровывать. А вот на рынке отечественных решений, начали реализовывать функционал балансировки и в частности SSL offload на x86 процессорах, как следствие для тех же 10 000 TLS сессий уже условно нужен какой то Intel Gold\Platinum, в силу отсутствия этих самых ASICов. А это уже если брать в расчет отказоустойчивость, полноценные сервера с хорошим энергопотреблением\тепловыделением и не гуманной стоимостью в первую очередь как раз из за процессоров. FPGA выглядит как более оптимальный, следующий шаг в этом развитии, но пока до совокупных бенефитов от импортных решений далековато. Опять же, все зависит от требований и специфики задач, где то вполне достаточно и NGINX или HAProxy.

ajijiadduh 10 апр в 14:05

круто, а можно фото внутрянки?

ant_perch 10 апр в 14:09

не покажут видимо )))

AntonAV2979 10 апр в 14:24

Коллеги, рады, что наш продукт привлёк ваше внимание. Если хотите обсудить внедрение, пишите на sales@dsol.ru — пригласим вас на встречу, расскажем о возможных сценариях и покажем не только внутрянку, но и производство.

Real_ever 10 апр в 17:19

Здравствуйте, подскажите, в стратегии развития предусматривается добавление функционала l7? Или будет выезжать только за счёт партнёров?тот же пт аф может плохо себя чувствовать от большого нагружения л7-функционалом.

DSol 10 апр в 19:03

Здравствуйте!
Наш балансировщик уже сегодня обеспечивает контроль состояния кластера на уровне L7, что позволяет гибко управлять распределением трафика на тот же WAF (сейчас активно тестируемся, результатами поделимся в наших следующих статьях).

Глубоко в L7-балансировку мы погружаться не планируем, дабы не разрабатывать ~~45й российский NGFW~~ фунционал, уже имеющийся у российских вендоров.
Необходимость дальнейшего развития балансировщика в L7 будем определять исходя из потребностей заказчиков. Поделитесь, какой именно функционал важен в вашем сценарии?

hogstaberg 10 апр в 17:28

Open-source решения, такие как NGINX и HAProxy, теоретически могут заменить западные балансировщики. Однако их использование сопряжено с существенными сложностями

Сильное заявление. Проверять его мы, конечно же, не будем.

Как у продукта с развесистыми health-checks? Можно ли на application-level потыкать в условный ldap чтобы решить жив ли конкретный сервер бэкэнда или нет? Синхронизация сессий между коробками? Таблицы для реализации sticky sessions на стороне самого балансировщика? Оно реально тянет терабит на L7? С терминацией SSL? Если нет, а только на L3/L4, то чем оно принципиально лучше обычного ECMP+consistent hashing на свитчах?

Очень непонятна ниша. Если оно терабит на L7 умеет гибко - ну так напишите хоть в чем гибкость то. А то втупую столько можно и без lbr раскидать.

AntonAV2979 11 апр в 17:02

Здравствуйте!

Хотелось бы начать с ответа на фундаментальный вопрос - чем DS Proxima принципиально лучше обычного ECMP+consistent hashing на свитчах
К преимуществам DS Proxima можно отнести следующие моменты:

Динамическая балансировка с учетом состояния серверов
ECMP+consistent hashing работает статически – трафик распределяется по хешу, без учета реальной загрузки серверов. DS Proxima поддерживает интеллектуальные алгоритмы балансировки - Least Connections, Weighted Least Connections, Least Response Time. Это позволяет избежать перегрузки отдельных узлов, что особенно важно для сервисов с неравномерной нагрузкой.
Поддержка плавного ввода/вывода устройств из кластера без прерывания сервиса
При использовании ECMP удаление или добавление сервера приводит к пересчету хешей и возможным разрывам соединений. DS Proxima поддерживает плавный вывод узла из кластера на основе механизма отслеживания сессий. Новые сессии не направляются на узел, который планируется вывести из кластера. Окончательный вывод из кластера происходит по завершении всех активных сессий на данном узле.
Гибкие Health Checks (L3-L7)
ECMP проверяет только доступность IP (L3) или порта (L4), но не состояние приложения. DS Proxima поддерживает настраиваемые health checks до уровня L7. Например, проверка работоспособности веб-серверов, может осуществляться путем отправки HTTP запросов к заданному URL (например, http://server/application.html).

Как у продукта с развесистыми health-checks? Можно ли на application-level потыкать в условный ldap чтобы решить жив ли конкретный сервер бэкэнда или нет?
Да, такой сценарий можно реализовать. Мы готовы поддержать реализацию различных health-checks на уровне L7 под требования заказчика.

Синхронизация сессий между коробками?
Да, поддерживается. DS Proxima работает в режиме кластера высокой доступности с синхронизацией состояния таблиц сессий между устройствами кластера.

Таблицы для реализации sticky sessions на стороне самого балансировщика?
Для реализации sticky sessions используется распределение по хешу (5-tuple, 3-tuple, Source IP/Destination IP). Устойчивость к изменениям при удалении или добавлении серверов в кластере реализована с функцией согласованного хэширования.

Оно реально тянет терабит на L7?
Данные по пропускной способности приведены для L4.

С терминацией SSL?
Функция SSL-оффлодинга реализуется на балансируемых L7-прокси устройствах (таких как WAF или TLS-шлюз). Современные серверные CPU с аппаратным ускорением криптографии и оптимизированными библиотеками (OpenSSL, DPDK) позволяют эффективно реализовать SSL-офлоадинг на L7-прокси.

Очень непонятна ниша.

Нашу нишу мы видим в сценариях с комбинированной схемой из аппаратного L4-балансировщика (DS Proxima) и кластера балансируемых L7 устройств (например, WAF, TLS-прокси и др.) К преимуществам этой схемы можно отнести:

Разделение функций между специализированными устройствами
DS Proxima принимает на вход высоконагруженные потоки трафика на скоростях до 100Гбит/c и отвечает за масштабируемость и доступность инфраструктуры. Обработка трафика происходит на FPGA, что обеспечивает высокую пропускную способность и надежность. Специализированные L7 устройства (на CPU) реализуют защиту веб-приложений, SSL-офлоадинг, глубокую инспекцию HTTP/HTTPS и др.
Гибкость в выборе устройств и технологий, соответствие российской регуляторике - возможность использовать сертифицированные российские L7-решения
Гибкость масштабирования – компоненты решения можно масштабировать отдельно

В наших следующих статьях мы опишем результаты тестирований с различными российскими вендорами.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий