《云网络》系列，共包含以下文章：

• 云网络是未来的网络基础设施
• 云网络产品体系概述
• 云数据中心网络（一）：VPC
• 云数据中心网络（二）：弹性公网 IP
• 云数据中心网络（三）：NAT 网关
• 云数据中心网络（四）：IPv6 网关
• 云数据中心网络（五）：对等连接
• 云数据中心网络（六）：私网连接
• 云数据中心网络（七）：负载均衡

😊 如果您觉得这篇文章有用 ✔️ 的话，请给博主一个一键三连 🚀🚀🚀 吧 （点赞 🧡、关注 💛、收藏 💚）！！！您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容！！！

随着移动互联网应用的蓬勃发展，对企业级应用系统的要求越来越高，应用系统常常会在以下几个方面遇到挑战，如下图所示。

• 高可用（Always Online）：移动互联网对业务高可用有更高的要求，用户应用型系统必须具备强大的高可用和容灾能力，能发现并排除不健康的服务，在可用区及地域间进行容灾，以实现业务运行永不停止。
• 超高弹性（Super Elastic）：5G 让接入网络变得更快，带宽变得更高，IoT 技术将使得互联网上的客户端数量呈爆炸式增长，因此在 5G / IoT 时代，应用系统必须能够承接更大的并发连接，以及更大的带宽。类似直播带货、在线电商秒杀等业务场景的成熟应用，会导致在线用户数在短时间内出现指数级的暴增，应用系统需要有非常好的弹性，以应对这些突如其来的流量洪峰，在流量高峰期能够自动扩容，在流量低谷期能够自动缩容。
• 面向应用（Application-Oriented）：随着各类业务越来越复杂，业务的快速交付成了用户越来越关注的点。由于微服务、云原生等技术的广泛应用，负载均衡将不仅面向网络层提供服务，还需要深入应用层；不仅做网络入口，还需要面向应用交付，实现业务转发。在云原生 Ingress 场景下，更需要大量基于内容的高级路由特性以实现金丝雀发布、故障注入、流量仿真等重要的云原生开发模式。
• 安全可靠（Security & Trust）：网络环境越来越复杂，网络中应用系统的复杂度也不断攀升，从而导致安全漏洞也在逐年增加，网络安全事关企业的生死存亡。网络安全防线被突破不仅意味着业务受损，更可能导致关键数据、信息的丢失，是企业无法承受之痛，安全始终是企业用户最关注的特性之一。

负载均衡可以帮助企业有效地解决上述痛点。

1.什么是负载均衡

负载均衡（Server Load Balancer，SLB）是一种对流量进行按需分发的服务，通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，可以消除系统中的单点故障，提升应用系统的可用性。

阿里云提供全托管式在线负载均衡服务，具有即开即用、超大容量、稳定可靠、弹性伸缩、按需付费等特点，适合超大规模互联网应用，如春节红包、双11秒杀抢购、大规模在线物联网应用等高并发场景。

阿里云负载均衡提供 4 层、7 层负载均衡服务，其中 4 层负载均衡工作在 传输层（OSI 参考模型中第 4 层），基于 TCP / UDP 协议工作，4 层负载均衡单实例可以支持高达千万级别的并发连接与百万级别的每秒新建连接。

区别于 4 层负载均衡，7 层负载均衡工作在 应用层（OSI 参考模型中第 7 层），支持 HTTP、HTTPS、HTTP2、WSS、QUIC、GRPC 等众多应用协议，单实例可支持高达 100 万 QPS，7 层负载均衡支持 SSL 卸载（或 HTTPS / TLS 卸载），负载均衡负责 HTTPS 流量的加密与解密，后端服务器仅需处理普通 HTTP 流量，可以极大地节省后端服务在数据加解密上的算力，有效控制后端服务器的规模与成本。

2.负载均衡的分类

2.1 传统型负载均衡 CLB

传统型负载均衡 CLB（Classic Load Balancer）支持 TCP、UDP、HTTP、HTTPS，具备海量业务的 4 层处理能力，以及基于内容的 7 层处理能力，如下图所示。

传统型负载均衡 CLB 采用 4 层加 7 层的部署方式，提供 HTTPS 和简单的 7 层路由处理功能，提供 IP 形态（固定不变）售卖，采用主备方式工作（可用区的主备关系由阿里云指定），同一时刻只有一个可用区中的实例处于工作状态，另外一个可用区中的实例待命，当工作中的实例发生故障时，触发主备切换。用户域名直接通过 A 解析（或 AAAA 解析）指向负载均衡提供的 VIP（虚拟 IP），如下图所示。

2.2 应用型负载均衡 ALB

应用型负载均衡 ALB 专门面向 7 层负载均衡，提供超强 7 层性能和 HTTPS 卸载功能，单实例可达 100 万 QPS，同时还提供基于内容的高级路由特性，诸如基于 HTTP 标头、Cookie、查询字符串进行转发、重定向、重写等。

应用型负载均衡 ALB 提供域名与 VIP，域名与 VIP 的多级分发，承载海量请求，并且在多可用区部署（至少两个，可以更多），如下图所示。

区别于传统型负载均衡的主备工作模式，ALB 在所有可用区同时工作（并支持用户自定义的可用区组合），极大提升了负载均衡的弹性能力，同时避免了单可用区资源瓶颈，ALB 通过 EIP+ 共享带宽提供公网，如下图所示，由于使用了 EIP，ALB 可以灵活公网计费，如按流量、按固定带宽、按 95 去峰带宽计费等。

3.负载均衡的优势

• 超强性能与弹性。由于使用专门优化的 DPDK LVS、Intel QuickAssist 硬件加解密卡大幅提升处理性能，负载均衡具备超强性能与超强弹性，单实例支持 1000 万并发连接、100 万 QPS。
• 多级容灾保证业务安全可用。负载均衡采用 4 级容灾架构，包括应用级高可用、集群级高可用、可用区高可用、地域级高可用，同时提供 DDoS 和 WAF 扩展防护，全链路 HTTPS 满足 Zero-Trust 安全模型的要求，提供高达 99.99% 的可用性保障承诺（SLA）。
• 深度集成云原生。与 ACK（容器服务 Kubernetes 版）、SAE（Serverless 应用引擎）深度集成；面向应用层交付，支持先进的 GRPC 协议，实现微服务间高效的 API 通信，基于 Header / Cookie 的路由能力，支持流量拆分以实现云原生场景中的金丝雀发布；流量镜像可以复制在线业务流量用于仿真业务测试 , 用基于内容的 QPS 限速可模拟业务熔断等场景。
• 开箱即用、简单便利。负载均衡可秒级开通，$7\times 24$ 小时免运维，有着完善的监控日志，支持事件告警。

4.负载均衡的主要应用场景

4.1 大流量的处理和调度

视频、电商、社交、游戏、在线教育等行业的网站和系统访问量很大，对大流量的处理和调度能力要求很高。SLB 的超强性能和丰富的调度算法可以轻松面对大流量的处理和调度。如下图所示。

4.2 基于应用层的流量调度

应用负载均衡支持 HTTP 和 HTTPS，提供高级的 7 层功能，如基于内容的路由、支持 QUIC 协议等，能满足越来越多元化的应用层负载需求，大大提升交付效率，同时具备超强性能（100 万 QPS/ 实例）、安全可靠、简单易用等优势。而用户在云上自建 Nginx 做应用层流量调度，不仅稳定性难以保证，还存在额外的虚机建设与维护成本。使用应用负载均衡产品可以完美替代自建 Nginx。

4.3 云原生、微服务场景

作为阿里云官方推进的云原生 Ingress 网关，应用型负载均衡 ALB 支持高性能 API、GRPC 协议、金丝雀发布、在线流量镜像、基于 Header / Cookie 的转发、重定向、内容重写等，且无缝支持云原生场景。

4.4 业务高可用

企业用户都很关注业务的连续性，特别是金融、政务等关键领域的行业用户。负载均衡是用户业务稳定性和可靠性的有力保障。首先，负载均衡支持健康检查，可以及时发现和屏蔽异常后端服务器。其次，负载均衡支持多可用区，结合后端服务器的多可用区部署实现跨可用区容灾。再次，通过多地域部署，结合智能 DNS，负载均衡可以支持跨地域容灾。最后，负载均衡和 DDoS 防护、WAF 防护等安全产品无缝集成，为业务提供安全防护能力，提升业务连续性。

5.面向云原生的负载均衡

5.1 容器网络 Ingress 网关

不论是在阿里云 ACK 容器服务中，还是在用户自建的 K8s 集群中，容器网络的南北向入口都必须有一个 Ingress 网关来做业务流量的分发。由于是整个容器网络的流量入口，Ingress 网关的性能有可能成为整个系统的瓶颈。阿里云负载均衡的高性能、高弹性可以很好地消除这个瓶颈。同时，容器网络入口的高可用至关重要，一旦 Ingress 网关出现故障，整个容器集群将无法对外提供服务，而负载均衡具备 4 个层级的高可用，将保障容器网络的入口永远通畅。

5.2 微服务发现与高可用

在云原生的技术体系中，微服务是应用系统的最小组成单元，在大型复杂应用中，数个微服务互相调用、依赖，每一个微服务都存在多个运行副本，组成一个微服务集群对外提供服务，因此每一个微服务都需要配一个负载均衡。这些均衡负载不但用来解决高可靠问题，还承担着发现微服务的角色，因为容器本身会被快速生产、销毁、替换，其 IP 地址会频繁变化。如果没有负载均衡对外提供一个稳定的 IP 地址，服务的使用方将无法稳定地访问服务。

5.3 零信任安全模型

云原生技术起源于数据中心内的应用和服务，并在过去几年逐渐扩展到边缘甚至端上的计算。随着 5G 和 IoT 的快速发展，云边端一体化的云原生技术将深入更多的企业和更丰富的场景，无处不在，未来云原生的网络环境将变得更加复杂。这意味着可能存在更多的安全风险。因此在很多云原生的场景中，零信任（Zero-Trust）安全模型至关重要。

零信任安全模型要求整个传输链路上的流量都是经过加密的，不对基础设施的网络做任何可信的假设。这意味着负载均衡需要对从客户端发出的加密流量进行解密，以处理 7 层业务路由，并且在发给后端微服务时要再次加密，以满足零信住安全模型的规范要求。

阿里云应用型负载均衡支持全链路的 HTTPS 加密，完全符合上述安全规范，同时，由于采用了专用的加解密硬件卡，相比于开源方案自建的负载均衡，能够节省 40%~50% 的 SSL 加解密算力。