网络负载平衡:Windows 2000 和 Windows Server 2003 的配置最佳实践
本页内容
 | 一般性考虑事项 |
| 安全性和可管理性 |
| 高可用性 |
| 疑难解答 |
一般性考虑事项
| • | 由于某些路由器不支持单播 IP 地址到多播介质访问控制地址的解析,所以需要一个静态的 ARP 入口。例如,Cisco 路由器需要为每个虚拟 IP 地址准备一个 ARP (地址解析协议) 入口。虽然“网络负载平衡”在传输数据包时使用“Level 2 多播”,但是 Cisco 对 RFC 的理解是“多播就是 IP 多播”。所以,当没有发现多播 IP 地址时,路由器不会自动创建 ARP 入口,这时就必须手动将其添加到路由器上。 | ||||||||||
| • | “网络负载平衡”可以在两种模式下工作:单播和多播。默认情况下启用单播支持,单播模式可以确保所有路由器都正常工作。也可以选择启用多播模式,这样在群集中通信时就无需第二块网络适配器。如果“网络负载平衡”客户端通过路由器访问被配置为多播形式的群集,那么对于那些在“地址解析协议”(ARP) 结构的有效负荷中具有多播介质访问控制地址的群集 (单播) IP 地址,请确保路由器可以接受其 ARP 回复。ARP 是一种 TCP/IP 协议,它利用对本地网络的有限广播来解决 IP 地址的逻辑分配问题。请确保所有群集主机均以单播或多播模式运行,或者单播,或者多播,不能同时以两种模式运行。 | ||||||||||
| • | 如果群集以单播模式 (默认设置) 运行,则“网络负载平衡”将不能分辨每台主机上的单独适配器。因此,除非每台群集主机拥有至少两块网络适配器,否则任何群集主机之间都不可能实现通信。 | ||||||||||
| • | 您可以在多个网络适配器上配置“网络负载平衡”。但是,如果您将 NLB 绑定在第二个网络适配器上,要确保对其正确配置。 | ||||||||||
| • | 对于启用了 NLB 的适配器,只能使用 TCP/IP 网络协议。不要对此适配器添加任何其他协议 (例如,IPX)。 | ||||||||||
| • | 启用“网络负载平衡管理器”日志。您可以配置“网络负载平衡”管理器以记录每个“网络负载平衡管理器”事件。使用“网络负载平衡管理器”时,这种日志对于问题或错误的故障诊断十分有用。通过单击“网络负载平衡管理器选项”菜单中的“日志设置”,可以启用“网络负载平衡管理器”日志功能。选中“启用”日志框,并指定日志文件的名称和位置。 | ||||||||||
| • | 确保下列群集参数、端口规则和主机参数配置正确:
| ||||||||||
| • | 确保专用 IP 地址是唯一的,且群集 IP 地址已添加到每个群集主机中。 | ||||||||||
| • | 对于任何安装了负载平衡应用程序的群集主机,请确保给定的负载平衡应用程序已启动。“网络负载平衡”不会识别更高级别的应用程序,也不会启动或停止应用程序。 | ||||||||||
| • | 请确保下列专用 IP 地址和群集 IP 地址是正确的:
| ||||||||||
| • | “网络负载平衡”不使用任何特殊的群集内部互连。NLB 使用同一网络接口维护群集状态意识。 | ||||||||||
| • | 不要在作为服务器群集一部分的计算机上启用“网络负载平衡”。Microsoft 不支持这种配置。 |
安全性和可管理性
| • | 使用“网络负载平衡管理器”配置 NLB 群集。通过“网络负载平衡管理器”或“网络负载平衡属性”对话框 (通过“网络属性”访问) 可配置许多“网络负载平衡”选项。不过,最好使用“网络负载平衡管理器”方法。如果同时使用“网络负载平衡管理器”和“网络连接”来更改“网络负载平衡”属性,可能导致不可预料的结果。只有 Windows Server 2003 NLB 群集可以通过 NLB 管理器进行配置。不过,您还可以管理包含 Windows Server 2003 和 Windows 2000 或 NT 4.0 服务器的群集。 |
| • | 确保为负载平衡的应用程序提供适当的安全保护。NLB 安全域不会扩展到应用程序。如果应用程序级别的安全性受到威胁,这种 NLB 根本不会意识到存在的威胁。 |
| • | 如果想将管理功能从常规操作中分离出来,可以在每台群集主机中使用两个或多个网络适配器。不过,两个网络适配器并不是默认配置。 |
| • | 用于管理 NLB 的命令行工具为 "nlb.exe"。NLB.exe 公开了通过命令行设置 NLB 配置参数的机制。但有其他两个可用于监控 NLB 状态的配置点没有公开。分别是 queryport 和 params Nlb.exe queryport 使用与启用/禁用/排出 命令行选项相同的语法检索给定端口规则的状态...如果发现了端口规则,返回的信息包括端口规则的状态:启用、禁用或 排出,如果没有发现端口规则,将返回指示信息...如果发现了端口规则,还会返回该端口规则上接收和丢掉的数据包。Nlb.exe - params 与 "nlb display" 相似,检索 NLB 配置,但它不是从注册表中检索,而是直接从内核模式驱动程序中进行查询 - 这是 NLB 的当前状态 (注册表显示的是如果执行重新加载或其他导致读取注册表的操作时,NLB 的下一个状态 - 注册表可能是或可能不是 NLB 的当前状态) |
| • | 启用远程控制具有安全性隐患,如果启用了远程控制,用户必须确保 NLB 群集是安全的 (在防火墙之后)。远程控制机制使用 UDP 协议,为其分配的端口为 2504。远程控制数据报会向群集发送主 IP 地址。由于这些数据报由每台群集主机上的“网络负载平衡”驱动程序进行处理,因此,这些数据报必须发送到群集子网 (而不是发送到群集所在的后端子网)。当在群集内部发布远程控制命令时,它们会在本地子网传播。这样可以确保所有的群集主机都可接收到这些命令,即使群集以单播模式运行,也是如此。因此,这种承载 NLB 群集的子网必须安全。如果启用了远程控制,用户就可以使用 nlb.exe 来对其他群集进行远程管理。 |
高可用性
| • | 网络适配器和 NIC 群组:现在的大多数供应商都提供冗余或容错适配器,如适配器群组或适配器容错 (AFT)。NLB 支持这些功能,更多信息请参见知识库文章 278431。 | ||||||||||
| • | 容错/负载平衡交换机:通过将多个交换机间的 NLB 群集主机分段,并将所有包含单独 NLB 群集的交换机相互连接,便可轻松提供交换机层级的冗余。另外,为了防止交换机充斥,只有连接主 IP 地址 (在此处发送所有入站通信) 的端口才可以作为单独 VLAN 的主机。 | ||||||||||
| • | 容错路由器:通过使用虚拟路由器协议 (VRP) 或热备份路由器协议 (HSRP),可以轻松地克服冗余路由器。这就允许路由器将群集主 IP 地址和其他多宿主地址映射到相应的介质访问控制地址。如果您的路由器不能满足这种要求,则可以在路由器中创建一个静态 ARP 入口,或在其默认的单播模式中使用“网络负载平衡”。 | ||||||||||
| • | 群集节点中的多 NIC Windows 2000:
Windows Server 2003
|
疑难解答
| • | 下列工具可用于解答 NLB 群集中的问题:
|