Описание подсистемы масштабирования |
Важнейшей особенностью ФПСУ-TLS является механизм масштабирования, который позволяет объединить в один виртуальный комплекс (кластер) несколько ФПСУ-TLS (узлов). Этот механизм позволяет расширять и наращивать производительность системы за счёт увеличения количества узлов системы и повышает надежность системы. При выходе из строя одного из узлов система автоматически перераспределит нагрузку на работающие узлы. Масштабирование на ФПСУ-TLS реализовано на базе продуктов:
Кластеру ФПСУ-TLS назначается один общий виртуальный IP-адрес, по которому подключаются клиенты и идентификатор (число от 1 до 254). Идентификатор для каждого кластера должен быть уникальным в рамках локальной сети. Все узлы, входящие в кластер, могут иметь состояние основной или неосновной. Состояние основной имеет только один узел, назначенный при конфигурировании. Если основной узел выключается (или не был включен), через 1 секунду инициализируется процесс голосования, где выбирается новый основной узел. Основной узел выполняет следующие действия:
Например, кластер состоит из 3 узлов. Тогда все множество интернет адресов будет разбито на 3 подсети (A, B, C). Клиент 1 из подсети A (синяя линия), который устанавливает защищенное соединение с ФПСУ-TLS по виртуальному адресу 192.168.1.80, будет перенаправлен на ФПСУ-TLS №2 и тот установит соединение с интерфейса 192.168.2.82 с защищаемым http-сервером. Этот алгоритм позволяет добиться того, что все соединения от одного клиента будут поступать на один и тот же ФПСУ-TLS. При изменении количества узлов, происходит перестройка hash-таблицы, соответственно изменится распределение клиентов в пуле работающих узлов. Но при этом сохраняются ранее созданные распределения: если клиентом было установлено соединение с определенным узлом до перестройки hash-таблицы, все последующие соединения будут выполняться с этим узлом. |