Требования к балансировке нагрузки для Skype для бизнеса
Сводка: Перед реализацией Skype для бизнеса Server ознакомьтесь с рекомендациями по балансировке нагрузки.
Балансировка нагрузки распределяет трафик между серверами в пуле. Если у вас есть интерфейсные пулы, пулы серверов-посредников или пулы пограничных серверов, необходимо развернуть балансировку нагрузки для этих пулов.
Skype для бизнеса Server поддерживает два типа решений балансировки нагрузки для трафика между клиентом и сервером: балансировку нагрузки в системе доменных имен (DNS) и аппаратную балансировку нагрузки (часто сокращенную как HLB). Балансировка нагрузки DNS обеспечивает ряд преимуществ, включая упрощение администрирования, более эффективное устранение неполадок и возможность изолировать большую часть трафика Skype для бизнеса Server от любых потенциальных проблем с аппаратной подсистемой балансировки нагрузки.
Решите, какое решение балансировки нагрузки подходит для каждого пула в развертывании, но учитывайте следующие ограничения:
Внутренний и внешний пограничные интерфейсы должны использовать одинаковые типы решений балансировки нагрузки. Вы не можете использовать балансировку нагрузки на DNS на одном интерфейсе и аппаратную балансировку на другом.
Для некоторых типов трафика требуется аппаратный балансировщик нагрузки. Например для трафика HTTP вместо балансировки нагрузки на DNS требуется аппаратный балансировщик нагрузки. Балансировка нагрузки на DNS не работает с веб-трафиком "клиент-сервер".
Если в качестве решения для пула вы выбрали балансировку нагрузки на DNS, но вам по-прежнему требуются аппаратные балансировщики нагрузки для определенных видов трафика, например HTTP, то администрирование аппаратных балансировщиков нагрузки существенно упрощается. Например настройка аппаратного балансировщика нагрузки будет упрощена, поскольку потребуется управлять только трафиком HTTP и HTTPS, а для управления остальными протоколами будет использоваться балансировка нагрузки на DNS. Дополнительные сведения см. в разделе DNS Load Balancing.
Для трафика между серверами Skype для бизнеса Server использует балансировку нагрузки с учетом топологии. Серверы считывают опубликованную топологию в центральном хранилище управления для получения полных доменных имен серверов в топологии и автоматически распределяют трафик между серверами. Administrators do not need to set up or manage this type of load balancing.
Если используется балансировка DNS-нагрузки и требуется блокировать трафик на конкретный компьютер, недостаточно просто удалить записи IP-адреса из полного имени домена пула. Необходимо также удалить DNS-запись для этого компьютера.
Требования к подсистеме балансировки нагрузки оборудования
Масштабируемая консолидированная топология Edge Skype для бизнеса Server оптимизирована для балансировки нагрузки DNS для новых развертываний, федеративных главным образом с другими организациями, использующими Skype для бизнеса Server или Lync Server. Если для любого из следующих сценариев требуется высокий уровень доступности, в пулах пограничных серверов необходимо использовать аппаратную подсистему балансировки нагрузки для следующих действий:
Федерация с организациями, использующими Office Communications Server 2007 R2 или Office Communications Server 2007
Exchange UM для удаленных пользователей, использующих exchange UM до Exchange 2010 с пакетом обновления 1 (SP1)
Связь с пользователями общедоступных систем обмена сообщениями
Важно!
Использование в одном интерфейсе балансировки нагрузки через DNS, а в другом аппаратной балансировки нагрузки не поддерживается. Необходимо использовать либо ту, либо другую систему балансировки нагрузки для обоих интерфейсов.
Примечание.
При использовании аппаратной балансировки нагрузки балансировщик, развертываемый для соединений с внутренней сетью, необходимо настроить на балансировку нагрузки только трафика, идущего к серверам, на которых выполняются пограничная служба доступа и пограничная служба аудио- и видеоданных. Он не может балансировать нагрузку трафика, идущего ко внутренней пограничной службе веб-конференций или внутренней прокси-службе XMPP.
Примечание.
NAT прямого возврата сервера (DSR) не поддерживается с Skype для бизнеса Server.
Чтобы определить, поддерживает ли аппаратная подсистема балансировки нагрузки необходимые функции, необходимые для Skype для бизнеса Server, см. статью Инфраструктура для Skype для бизнеса.
Требования к аппаратному балансировщику нагрузки для пограничных серверов, использующих пограничную службу аудио- и видеоданных
Ниже приведены требования к аппаратной подсистеме балансировки нагрузки для пограничных серверов, на которых запущена служба A/V Edge.
Отключите Nagle-оптимизацию TCP для внутреннего и внешнего портов 443. Оптимизация по алгоритму Nagle — это процесс объединения мелких пакетов сервера в один пакет большего размера для более эффективной передачи.
Отключите нагребение TCP для диапазона внешних портов 50 000 – 59 999.
Не применяйте преобразование сетевых адресов на внутреннем или внешнем брандмауэре.
Граничный внутренний интерфейс должен находиться в сети, отличной от внешнего интерфейса пограничного сервера, и маршрутизация между ними должна быть отключена.
Внешний интерфейс пограничного сервера, на котором запущена служба A/V Edge, должен использовать общедоступные маршрутизируемые IP-адреса и не должен выполнять преобразование сетевых адресов или портов ни на один из внешних IP-адресов граничного сервера.
Балансировщик нагрузки не должен изменять адрес клиента.
Другие требования к Load Balancer оборудования
Требования к сопоставлению на основе файлов cookie значительно снижаются в Skype для бизнеса Server для веб-служб. Если вы развертываете Skype для бизнеса Server и не будете хранить серверы переднего плана Lync Server 2010 или пулы переднего плана, сохраняемость на основе файлов cookie не требуется. Однако если вы будете временно или постоянно хранить какие-либо серверы переднего плана Lync Server 2010 или пулы переднего плана, вы по-прежнему используете сохраняемость на основе файлов cookie при развертывании и настройке для Lync Server 2010.
Примечание.
Если вы все же решите использовать сходство на основе файлов cookie, хотя вашему развертыванию оно и не требуется, это не будет иметь никаких отрицательных последствий.
Для развертываний, в которых не будет использоваться сходство на основе файлов cookie:
- В правиле публикации обратного прокси-сервера через порт 4443, установите значение True для параметра Перенаправлять заголовок узла. Это обеспечит перенаправление исходного URL-адреса.
Для развертываний, в которых будет использоваться сходство на основе файлов cookie:
В правиле публикации обратного прокси-сервера через порт 4443, установите значение True для параметра Перенаправлять заголовок узла. Это обеспечит перенаправление исходного URL-адреса.
Файл cookie для аппаратного балансировщика нагрузки НЕ ДОЛЖЕН помечаться как httpOnly
Файл cookie для аппаратного балансировщика нагрузки НЕ ДОЛЖЕН быть ограничен сроком действия
Файл cookie для аппаратного балансировщика нагрузки ДОЛЖЕН иметь имя MS-WSMAN (веб-службы ожидают это значение, его нельзя менять)
Режим использования файлов cookie ДОЛЖЕН задаваться в каждом ответе HTTP, для которого входящий запрос HTTP не имел файла cookie, даже если файл cookie был уже получен предыдущим ответом HTTP в том же соединении TCP. Если балансировщик нагрузки при оптимизации допускает только одну вставку файла cookie для каждого соединения TCP, такая оптимизация НЕ ДОЛЖНА применяться.
Примечание.
Типичные конфигурации аппаратной подсистемы балансировки нагрузки используют сходство источника и адреса и 20 мин. Время существования сеанса TCP подходит для клиентов Lync Server и Lync 2013, так как состояние сеанса поддерживается за счет использования клиента и (или) взаимодействия с приложением.
При развертывании мобильных устройств ваш аппаратный балансировщик нагрузки должен поддерживать возможность балансировки нагрузки для индивидуальных запросов в рамках сеанса TCP (фактически необходима возможность балансировки нагрузки индивидуальных запросов на основе целевого IP-адреса).
Осторожностью
При развертывании мобильных устройств аппаратная подсистема балансировки нагрузки должна иметь возможность по отдельности распределять нагрузку для каждого запроса в TCP-подключении. Последним приложениям Apple iOS для мобильных устройств требуется протокол TLS версии 1.2.
Осторожностью
Дополнительные сведения о сторонних аппаратных подсистемах балансировки нагрузки см. в разделе Инфраструктура для Skype для бизнеса.
Ниже приводятся требования к аппаратному балансировщику нагрузки для веб-служб директора и интерфейсного пула.
Для внутренних виртуальных IP-адресов веб-служб задайте сохраняемость Source_addr (внутренний порт 80, 443) на аппаратном балансировщике нагрузки. Для Skype для бизнеса Server Source_addr сохраняемость означает, что несколько подключений, поступающих с одного IP-адреса, всегда отправляются на один сервер для поддержания состояния сеанса.
В качестве таймаута простоя TCP используйте значение 1800 секунд.
В брандмауэре между обратным прокси-сервером и аппаратной подсистемой балансировки нагрузки пула следующего прыжка создайте правило, разрешая трафик https: через порт 4443 от обратного прокси-сервера до аппаратной подсистемы балансировки нагрузки. В аппаратном балансировщике нагрузки необходимо настроить прослушивание портов 80, 443 и 4443.
Сводка требований к сходству для аппаратного балансировщика нагрузки
| Расположение клиента или пользователя | Требования к сходству внешних доменных имен веб-служб | Требования к сходству внутренних доменных имен веб-служб |
|---|---|---|
| Lync Web App (внутренние и внешние пользователи) Мобильное устройство (внутренние и внешние пользователи) |
Без сходства |
Сходство исходных адресов |
| Lync Web App (только внешние пользователи) Мобильное устройство (внутренние и внешние пользователи) |
Без сходства |
Сходство исходных адресов |
| Lync Web App (только для внутренних пользователей) Мобильное устройство (без развертывания) |
Без сходства |
Сходство исходных адресов |
Мониторинг порта для аппаратных балансировщиков нагрузки
You define port monitoring on the hardware load balancers to determine when specific services are no longer available due to hardware or communications failure. Например, если служба переднего плана (RTCSRV) останавливается из-за сбоя сервера переднего плана или пула переднего плана, мониторинг HLB также должен прекратить прием трафика в веб-службах. You implement port monitoring on the HLB to monitor the following:
Пул пользователей переднего плана — внутренний интерфейс HLB
| Виртуальный IP-адрес/порт | Порт узла | Компьютер/монитор узла | Профиль сохраняемости | Примечания |
|---|---|---|---|---|
| <веб-int_mco_443_vs пула> 443 |
443 |
Сервер переднего плана 5061 |
Источник |
HTTPS |
| <веб-int_mco_80_vs пула> 80 |
80 |
Сервер переднего плана 5061 |
Источник |
HTTP |
Пул пользователей переднего плана — внешний интерфейс HLB
| Виртуальный IP-адрес/порт | Порт узла | Компьютер/монитор узла | Профиль сохраняемости | Примечания |
|---|---|---|---|---|
| <web_mco_443_vs пула> 443 |
4443 |
Сервер переднего плана 5061 |
Отсутствуют |
HTTPS |
| <web_mco_80_vs пула> 80 |
8080 |
Сервер переднего плана 5061 |
Отсутствуют |
HTTP |
DNS Load Balancing
Skype для бизнеса Server обеспечивает балансировку нагрузки DNS— это программное решение, которое может значительно снизить затраты на администрирование при балансировке нагрузки в сети. Балансировка нагрузки DNS позволяет сбалансировать сетевой трафик, который является уникальным для Skype для бизнеса Server, например трафик SIP и трафик мультимедиа.
При развертывании балансировки нагрузки DNS затраты на администрирование для аппаратных подсистем балансировки нагрузки в вашей организации будут сведены к минимуму. Кроме того, будет устранено комплексное устранение проблем, связанных с неправильной настройкой подсистем балансировки нагрузки для трафика SIP. Вы также можете запретить подключения к серверу, чтобы перевести серверы в автономный режим. Балансировка нагрузки DNS также гарантирует, что проблемы аппаратной подсистемы балансировки нагрузки не влияют на элементы трафика SIP, такие как обычная маршрутизация вызовов.
На следующей схеме показан пример, включающий как внутреннюю, так и внешнюю балансировку нагрузки DNS:
Схема сети периметра с общедоступными IPv4-адресами
Если вы используете балансировку нагрузки DNS, вы также можете приобрести более экономичные аппаратные подсистемы балансировки нагрузки, чем если бы вы использовали аппаратные подсистемы балансировки нагрузки для всех типов трафика. Следует использовать подсистемы балансировки нагрузки, прошедшие квалификационное тестирование взаимодействия с Skype для бизнеса Server. Дополнительные сведения о тестировании взаимодействия подсистемы балансировки нагрузки см. в статье Lync Server 2010 Load Balancer Partners. Содержимое этого содержимого относится к Skype для бизнеса Server.
Балансировка нагрузки DNS поддерживается для пулов переднего плана, пулов пограничных серверов, пулов директоров и автономных пулов серверов-посредников.
Балансировка нагрузки DNS обычно реализуется на уровне приложения. Приложение (например, клиент, работающий с Skype для бизнеса), пытается подключиться к серверу в пуле, подключившись к одному из IP-адресов, возвращенных запросом записи DNS A и AAAA (если используется адресация IPv6) для полного доменного имени пула( FQDN).
Например, если в пуле с именем pool01.contoso.com есть три внешних сервера, произойдет следующее:
Клиенты, работающие Skype для бизнеса, запрашивают DNS для pool01.contoso.com. Запрос возвращает три IP-адреса и кэширует их следующим образом (не обязательно в этом порядке):
pool01.contoso.com 192.168.10.90
pool01.contoso.com 192.168.10.91
pool01.contoso.com 192.168.10.92
Клиент пытается установить tcp-подключение к одному из IP-адресов. В случае сбоя клиент пытается получить следующий IP-адрес в кэше.
Если подключение TCP успешно установлено, клиент согласует TLS для подключения к основному регистратору на pool01.contoso.com.
Если клиент пытается выполнить все кэшированные записи без успешного подключения, пользователь получает уведомление о том, что на данный момент не доступны серверы с Skype для бизнеса Server.
Примечание.
Балансировка нагрузки на основе DNS отличается от циклического перебора DNS (DNS RR), который обычно относится к балансировке нагрузки, полагаясь на DNS для предоставления другого порядка IP-адресов, соответствующих серверам в пуле. Обычно DNS RR включает только распределение нагрузки, но не включает отработку отказа. Например, если соединение с одним IP-адресом, возвращенным запросами DNS A и AAAA (если вы используете IPv6-адресацию), происходит сбой подключения. Таким образом, циклический перебор DNS сам по себе менее надежный, чем балансировка нагрузки на основе DNS. Вы можете использовать циклический перебор DNS в сочетании с балансировкой нагрузки DNS.
Балансировка нагрузки DNS используется для следующих действий:
Балансировка нагрузки между серверами SIP на пограничные серверы
Балансировка нагрузки приложений служб UCAS, таких как автосекретарь конференц-связи, группа ответа и парк вызовов
Предотвращение новых подключений к приложениям UCAS (также известное как "очистка")
Балансировка нагрузки всего трафика между клиентом и сервером между клиентами и пограничными серверами
Балансировку нагрузки DNS нельзя использовать для следующих действий:
- Трафик между клиентом и сервером на серверы управления или серверы переднего плана
Балансировка нагрузки DNS и федеративный трафик:
Если запрос SRV DNS возвращает несколько записей DNS, служба access Edge всегда выбирает запись DNS SRV с наименьшим числовым приоритетом и наибольшим числовым весом. В документе Internet Engineering Task Force "A DNS RR for specify the location of services (DNS SRV)" RFC 2782, DNS SRV RR указывает, что если определено несколько записей DNS SRV, сначала используется приоритет, а затем вес. Например, dns SRV-запись A имеет вес 20 и приоритет 40, а запись DNS SRV B имеет вес 10 и приоритет 50. Будет выбрана запись DNS SRV A с приоритетом 40. К выбору записей SRV DNS применяются следующие правила:
Приоритет считается первым. Клиент должен попытаться связаться с целевым узлом, определенным записью DNS SRV, с наименьшим нумерованным приоритетом, который он может достичь. Целевые объекты с одинаковым приоритетом должны быть опробованы в порядке, определенном полем веса.
Поле weight задает относительный вес для записей с одинаковым приоритетом. Больший вес должен иметь пропорционально большую вероятность выбора. Администраторы DNS должны использовать вес 0, если нет выбора сервера. При наличии записей, содержащих вес больше 0, записи с весом 0 должны иметь очень малые шансы быть выбраны.
Если возвращается несколько записей SRV DNS с одинаковым приоритетом и весом, служба access Edge выберет запись SRV, которая была получена сначала с DNS-сервера.
Балансировка нагрузки DNS для интерфейсных пулов и пулов директоров
Вы можете использовать балансировку нагрузки DNS для трафика SIP в пулах переднего плана и пулах директора. После развертывания балансировки нагрузки DNS необходимо также использовать аппаратные подсистемы балансировки нагрузки для этих пулов, но только для трафика HTTPS между клиентами и сервером. Аппаратная подсистема балансировки нагрузки используется для трафика HTTPS от клиентов через порты 443 и 80.
Хотя для этих пулов по-прежнему требуются аппаратные подсистемы балансировки нагрузки, их настройка и администрирование будут выполняться главным образом для трафика HTTPS, к которому привыкли администраторы аппаратных подсистем балансировки нагрузки.
Балансировка нагрузки DNS и поддержка старых клиентов и серверов
Балансировка нагрузки DNS поддерживает автоматическую отработку отказа только для серверов под управлением Skype для бизнеса Server или Lync Server 2010, а также для клиентов Lync 2013 и Skype для бизнеса. Более ранние версии клиентов и Office Communications Server по-прежнему могут подключаться к пулам с балансировкой нагрузки DNS, но если им не удается установить подключение к первому серверу, к которому относится балансировка нагрузки DNS, они не могут выполнить отработку отказа на другой сервер в пуле.
Кроме того, при использовании единой системы обмена сообщениями Exchange необходимо использовать как минимум Exchange 2010 с пакетом обновления 1 (SP1), чтобы получить поддержку Skype для бизнеса Server балансировки нагрузки DNS. Если вы используете более раннюю версию Exchange, пользователи не будут иметь возможности отработки отказа для следующих сценариев единой системы обмена сообщениями Exchange:
Воспроизведение корпоративной голосовой почты на телефоне
Передача вызовов от автосекретаря единой системы обмена сообщениями Exchange
Все остальные сценарии единой системы обмена сообщениями Exchange будут работать правильно.
Развертывание балансировки нагрузки DNS во внешних пулах и пулах директоров
Для развертывания балансировки нагрузки DNS во внешних пулах и пулах директоров необходимо выполнить несколько дополнительных действий с полными доменными именами и записями DNS.
Пул, использующий балансировку нагрузки DNS, должен иметь два полных доменных имени: обычное полное доменное имя пула, которое используется балансировкой нагрузки DNS (например, pool01.contoso.com), и разрешается в физические IP-адреса серверов в пуле, и другое полное доменное имя для веб-служб пула (например, web01.contoso.com), которое разрешается в виртуальный IP-адрес пула.
Если вы хотите развернуть балансировку нагрузки DNS для пула в построителе топологий, чтобы создать это дополнительное полное доменное имя для веб-служб пула, необходимо выбрать поле Переопределить внутреннее полное доменное имя пула веб-служб проверка и ввести полное доменное имя на странице Указание URL-адресов веб-служб для этого пула.
Для поддержки полного доменного имени, используемого при балансировке нагрузки DNS, необходимо подготовить DNS, чтобы разрешить полное доменное имя пула (например, pool01.contoso.com) IP-адресам всех серверов в пуле (например, 192.168.1.1, 192.168.1.2 и т. д.). Следует включить только IP-адреса серверов, которые развернуты в настоящее время.
Осторожностью
Если у вас есть несколько интерфейсных пулов или сервер переднего плана, полное доменное имя внешних веб-служб должно быть уникальным. Например, если определить полное доменное имя внешних веб-служб сервера переднего плана как pool01.contoso.com, вы не сможете использовать pool01.contoso.com для другого пула переднего плана или сервера переднего плана. Если вы также развертываете директоров, полное доменное имя внешних веб-служб, определенное для любого директора или пула директоров, должно быть уникальным из любого другого пула директоров или директора, а также любого внешнего пула или внешнего сервера. Если вы решите переопределить внутренние веб-службы с помощью самоопределяемого полного доменного имени, каждое полное доменное имя должно быть уникальным из любого другого интерфейсного пула, пула директоров или директора.
Балансировка нагрузки DNS в пулах пограничных серверов
Балансировку нагрузки DNS можно развернуть в пулах пограничных серверов. В этом случае необходимо учитывать некоторые рекомендации.
Использование балансировки нагрузки DNS на пограничных серверах приводит к потере возможности отработки отказа в следующих сценариях:
Федерация с организациями, которые работают с версиями Skype для бизнеса Server, выпущенными до Lync Server 2010.
Обмен мгновенными сообщениями с пользователями общедоступных служб обмена мгновенными сообщениями AOL и Yahoo!, а также с поставщиками и серверами на основе XMPP, такими как Google Talk, в настоящее время единственным поддерживаемым партнером XMPP.
Эти сценарии будут работать до тех пор, пока все пограничные серверы в пуле работают и работают, но если один пограничный сервер недоступен, все запросы для этих сценариев, отправленные на него, будут завершатся ошибкой вместо маршрутизации на другой пограничный сервер.
При использовании единой системы обмена сообщениями Exchange необходимо использовать как минимум Exchange 2013, чтобы получить поддержку Skype для бизнеса Server балансировки нагрузки DNS на Edge. Если вы используете более раннюю версию Exchange, удаленные пользователи не будут иметь возможности отработки отказа для следующих сценариев единой системы обмена сообщениями Exchange:
Воспроизведение корпоративной голосовой почты на телефоне
Передача вызовов от автосекретаря единой системы обмена сообщениями Exchange
Все остальные сценарии единой системы обмена сообщениями Exchange будут работать правильно.
Внутренний и внешний пограничные интерфейсы должны использовать одинаковые типы решений балансировки нагрузки. Невозможно осуществлять балансировку нагрузки на одном пограничном интерфейсе средствами DNS, а на другом — аппаратными средствами.
Развертывание балансировки нагрузки DNS в пулах пограничных серверов
Чтобы развернуть балансировку нагрузки DNS во внешнем интерфейсе пула пограничных серверов, вам потребуются следующие записи DNS:
Для службы Access Edge требуется одна запись для каждого сервера в пуле. Каждая запись должна разрешать полное доменное имя пограничной службы доступа (например, sip.contoso.com) в IP-адрес пограничной службы доступа на одном из пограничных серверов в пуле.
Для пограничной службы веб-конференций требуется одна запись для каждого сервера в пуле. Каждая запись должна разрешать полное доменное имя пограничной службы веб-конференций (например, webconf.contoso.com) в IP-адрес пограничной службы веб-конференций на одном из пограничных серверов в пуле.
Для пограничной службы аудио- и видео требуется одна запись для каждого сервера в пуле. Каждая запись должна разрешать полное доменное имя пограничной службы аудио-видео (например, av.contoso.com) в IP-адрес пограничной службы A/V на одном из пограничных серверов в пуле.
Чтобы развернуть балансировку нагрузки DNS во внутреннем интерфейсе пула пограничных серверов, необходимо добавить одну запись DNS A, которая разрешает внутреннее полное доменное имя пула пограничных серверов в IP-адрес каждого сервера в пуле.
Использование балансировки нагрузки DNS в пулах серверов-посредников
Балансировку нагрузки DNS можно использовать в автономных пулах серверов-посредников. Весь трафик SIP и мультимедиа распределяется с помощью балансировки нагрузки DNS.
Чтобы развернуть балансировку нагрузки DNS в пуле серверов-посредников, необходимо подготовить DNS, чтобы разрешить полное доменное имя пула (например, mediationpool1.contoso.com) IP-адресам всех серверов в пуле (например, 192.168.1.1, 192.168.1.2 и т. д.).
Блокировка трафика на сервер с помощью балансировки нагрузки DNS
Если используется балансировка DNS-нагрузки и требуется блокировать трафик на конкретный компьютер, недостаточно просто удалить записи IP-адреса из полного имени домена пула. Необходимо также удалить DNS-запись для этого компьютера.
Обратите внимание, что для трафика между серверами Skype для бизнеса Server использует балансировку нагрузки с учетом топологии. Серверы считывают опубликованную топологию в центральном хранилище управления для получения полных доменных имен серверов в топологии и автоматически распределяют трафик между серверами. Чтобы запретить серверу получать трафик между серверами, необходимо удалить сервер из топологии.