应用交付AD

深信服应用交付 AD 能够为用户提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。不仅实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则,将用户的访问请求分配给相应的数据中心、 链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分利用。
点击可切换产品版本
知道了
不再提醒
AD7.0.26R1
{{sendMatomoQuery("应用交付AD","虚拟IP")}}

虚拟IP

更新时间:2023-09-18

操作场景

虚拟IP主要分为三大功能:ARP/ND,响应ICMP和路由注入(旧版本IP_ANYCAST)ARP/ND实现虚拟服务IP与网口解耦。响应ICMP提升虚拟服务状态监测可运维性。路由注入支持通过动态路由协议对外发布虚拟服务路由。

ARP/ND虚拟IP没有配置在网口的前提下,可以响应ARP/ND。举例:虚拟服务配置1.1.1.1-1.1.1.100为虚拟服务IP。单机场景下,客户端可以直接访问虚拟服务。双机或集群场景,网口上配置一个和虚拟服务IP同网段的浮动IP并和虚拟服务关联到相同应用组。配置同网段的目的是为了双机集群切换时广播免费ARP,如果不配置同网段浮动IP,双机集群切换会导致短暂的网络中断。

响应ICMP虚拟IP支持配置响应ping条件。当多个虚拟服务配置相同虚拟IP时,配置ICMP响应条件,通过ping包是否响应可以监测虚拟服务状态。举例:两个虚拟服务都配置了1.1.1.1ICMP响应条件为任一虚拟服务在线可用,只要有一个虚拟服务在线,该虚拟IP就可以ping通。如果全部虚拟服务离线,该虚拟IP就无法ping通。注:虚拟IP使用了对称路由技术,如果关闭了对称路由,网口上需要存在和虚拟IP同网段的IP

路由注入:在开启动态路由(rip,ospf,ospfv3,bgp)并成功建立邻居的前提下,通过配置路由注入条件实现对外发布虚拟IP路由。举例:两个虚拟服务都配置了1.1.1.1,路由注入条件为任一虚拟服务在线可用,只要有一个虚拟服务在线,邻居就能学习到一条1.1.1.1 next hop {邻居IP}的路由。如果全部虚拟服务离线,邻居学习到的路由自动消失。

SSLOSSLO场景下,安全设备以二层部署模式接入时,会同步创建一个虚拟IP,该虚拟IP会打开ARP/ND和ICMP功能,以提供对该安全设备的检视能力。

操作步骤

[应用负载/虚拟服务/虚拟IP],在[应用负载]菜单下,点击<虚拟服务>,在右边虚拟服务窗口中,选择[虚拟IP],点击<新增>

界面如下图所示。

名称:虚拟IP名称。

IP地址:虚拟IP地址。

描述:对该虚拟IP的描述信息。

虚拟服务流量:虚拟服务的启用禁用情况。

[启用] - 虚拟服务流量启用。

[禁用] - 虚拟服务流量禁用。

自动删除:当删除该虚拟IP关联的所有虚拟服务时,是否自动删除该虚拟IP

[启用] - 当删除该虚拟IP关联的所有虚拟服务时,会自动删除该虚拟IP

[禁用] - 当删除该虚拟IP关联的所有虚拟服务时,不会自动删除该虚拟IP

在线条件:IP关联的虚拟服务是否在线,满足在线条件时为在线状态,否则为不在线。

[IP发布的所有虚拟服务可用] - IP发布的所有虚拟服务可用时,虚拟IP在线。

[IP发布的任何一个虚拟服务可用] - IP发布的任何一个虚拟服务可用时,虚拟IP在线。

[始终] - 虚拟IP始终在线。

ARP/ND是否响应ARP/ND请求,可选择响应、拒绝、其他。

[响应] - 响应ARP/ND请求。

[拒绝] - 拒绝ARP/ND请求。

[其他] - 其他行为。ARP/ND响应行为由网络部署-网络安全-ARP/ND代理决定。

示例:系统网络安全-ARP/ND代理配置响应1.1.1.1。当AD存在0.0.0.0/0虚拟IP且该虚拟IPARP/ND配置为其他时,设备不能响应除1.1.1.1以外其他IPARP/ND。如果0.0.0.0/0虚拟IPARP/ND配置为拒绝,系统网络安全-ARP/ND代理配置的1.1.1.1也不能响应ARP/ND

响应ICMP请求:响应ICMP请求的条件,可选择始终、该IP发布的所有虚拟服务可用、该IP发布的任何一个虚拟服务可用、禁用、其他。

[始终] - 始终响应ICMP请求。

[IP发布的所有虚拟服务可用] - 当该IP发布的所有虚拟服务可用时,响应ICMP请求。

[IP发布的任何一个虚拟服务可用] - 当该IP发布的任何一个虚拟服务可用时,响应ICMP请求。

[禁用] - 不响应ICMP请求。

[其他] - 其他行为。ICMP响应行为以网口是否存在该IP决定。

示例:网口上配置1.1.1.1。当AD存在0.0.0.0/0虚拟IP,且该虚拟IP响应ICMP请求条件配置为其他时,设备不能ping通除1.1.1.1以外的其他IP。如果0.0.0.0/0虚拟IP的响应ICMP请求条件配置为禁用,1.1.1.1也无法ping通。注:双机集群下如果存在0.0.0.0/0的虚拟IP,尽量设置该选项为其他,否则会影响双机集群间ping包的行为。

路由注入:在开启动态路由的前提下,此属性表示对外发布该虚拟IP路由的条件。

[禁用] - 不做路由注入。

[IP发布的所有虚拟服务可用] - 当该IP发布的所有虚拟服务可用时,做路由注入。

[IP发布的任何一个虚拟服务可用] - 当该IP发布的任何一个虚拟服务可用时,做路由注入。

[始终] - 始终做路由注入。

代价值:到此虚拟IP路由的代价。当多个AD同时发布相同虚拟IP路由时,对端路由器以较小代价值的路由作为最优路由。相同代价值路由会在对端路由器上生成等价路由(如果路由器支持等价路由)

连接数限制:针对此虚拟IP的并发连接数限制。