本文探讨了四层和七层负载均衡的区别,前者基于传输层,后者涉及应用层。四层易受SYNFlood攻击,七层更安全但性能损耗大。Nginx、LVS和HAProxy等是常见的负载均衡设备,各有特点。
为何叫四层/七层?
OSI(Open System Interconnection)七层参考模型,是参考模型是国际标准化组织(ISO)制定的一个用于计算机或通信系统间互联的标准体系。它从低到高分别是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
四层负载均衡工作在OSI第四层,也就是传输层;
七层负载均衡工作在最高层,也就是应用层。
技术实现原理
-
所谓四层负载均衡就是使用IP加端口的方式进行路由转发;七层负载均衡一般是基于请求URL地址的方式进行代理转发。
同理,还有基于MAC地址信息(虚拟MAC地址到真实MAC地址)进行转发的二层负载均衡和基于IP地址(虚拟IP到真实IP)的三层负载均衡。 -
四层负载均衡具体实现方式为:通过报文中的IP地址和端口,再加上负载均衡设备所采用的负载均衡算法,最终确定选择后端哪台下游服务器。以TCP为例,客户端向负载均衡发送SYN请求建立第一次连接,通过配置的负载均衡算法选择一台后端服务器,并且将报文中的IP地址信息修改为后台服务器的IP地址信息,因此TCP三次握手连接是与后端服务器直接建立起来的。
七层服务均衡在应用层选择服务器,只能先与负载均衡设备进行TCP连接,然后负载均衡设备再与后端服务器建立另外一条TCP连接通道。因此,七层设备在网络性能损耗会更多一些。
安全
四层负载均衡与服务器直接建立起TCP连接,很容易遭受SYN Flood攻击。SYN Flood是一种广为人知的DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽的攻击方式。从技术实现原理上可以看出,四层负载均衡很容易将垃圾流量转发至后台服务器,而七层设备则可以过滤这些恶意并清洗这些流量,但要求设备本身具备很强的抗DDOS流量的能力。
总的来说,四层负载均衡主要关注传输层的信息,而七层负载均衡除了关注传输层的信息,还关注应用层的特征。因此,七层负载均衡对负载均衡设备的要求更高,处理七层的能力也相对较低。同时,七层负载均衡可以实现更智能化的流量分发,提高系统的灵活性和安全性。
常见的负载均衡设备
- Nginx:一款高性能的开源负载均衡器和反向代理服务器,它可以处理高并发的网络流量。Nginx支持四层负载均衡和七层负载均衡,具有轻量级和带缓存功能的特点,正则表达式较灵活。
- LVS(Linux Virtual Server):基于Linux内核的开源负载均衡解决方案,它可以将大量的后端服务器组成一个虚拟的服务地址,通过集群调度算法将请求转发到后端服务器上。LVS是一个重量级的四层负载软件。
- HAProxy:一款高性能的开源负载均衡软件,支持TCP和HTTP协议。HAProxy不仅可以实现四层负载均衡,还具备全面的七层代理功能,包括会话保持、标记、路径转移等。
- 还有一些其他的负载均衡器,如F5、A10、深信服等,这些通常是硬件负载均衡器,功能强大但成本较高。
参考
https://zhuanlan.zhihu.com/p/34904010
https://www.cnblogs.com/sunsky303/p/14308800.html
扫一扫
1065
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
