A10 Networks(睿科網路)宣布與聯達資訊 (Unicomp)簽署台灣代理權，以開拓台灣ADC市場。

淺談 GSLB (Global Server Load-Balance)廣域式負載平衡

前言

雲端科技成顯學，網站備援日趨重要 隨著科技不斷進步，網際網路不斷的日新月異，雲端運算已是當今潮流趨勢。 雲端運用越來越豐富，人們所放置於雲端的資訊越多，重要性也不斷的增加；雲端網站的可靠性也隨之越來越重要。現今無論是Gmail, MSM 甚或許多雲端應用系統，只要稍有中斷，無一不造成重大之影響。如何保障雲端網站入口可靠與穩定性，已是現今資訊科技的重要課題。 同時，若雲端網站能提供多個異地機房時，如何能提供使用者單一入口點而不需考慮進入不同位置之機房，也是雲端運算供應商的重要考量。
傳統備援中心(DR- Diszaster Recovery center) 所提供的方式，主要以提供待機狀態 (cold site 或 Hot Site)為主的備援方式。只有在主機房發生問題無法提供服務時， 才啟動接替原有之服務，無法提供同時多機房的服務。此種方式存在許多諸如轉換時間與備援設備資料無法及時更新的問題。 GSLB (Glabal Server Load-Balance) 廣域式主機負載平衡，正提供了有效的解決方案。 GSLB 類似於SLB 主機負載平衡設備，能將使用者的要求平均分散至多台提供服務的主機來負擔。而一般的SLB主機負載平衡只能侷限於單一或鄰近機房內內進行， 可是GSLB卻能夠跨越不同地區 例如 台北及高雄兩地，甚至台灣，美國，歐洲等多個地區的機房，同時且共同執行附載平衡對使用者提供服務。

GSLB 工作原理 GSLB建構於傳統的DNS domain 解析功能之上。 傳統DNS Server 可利用對同一Domain 設定兩個或多個以上的對應IP 位址，達成以多個主機IP回應使用者服務的需求。 然而DNS Server 僅具備簡單的Round robin 方式之負載平衡方式，並不能真正有效 平衡使用者的要求。同時DNS Server 並不具備服務主機狀態檢查機制，例如某一提供 服務之WEB主機故障了，DNS 並無法察覺，仍然會繼續使用該主機IP回應給使用者， 造成實際上服務中斷的現象。 GSLB則改善了以上的現象。GSLB 並不打破原來全球DNS的架構，只是建置(插入)於原 DNS Server 的前面，當DNS Server回應主機IP給使用者時，會經由GSLB 設備檢視， 然後由GSLB判斷是否有更佳選擇並取代原先DNS之回應回覆給使用者。

GSLB 的優點 GSLB設備可以提供多種負載平衡方式，除了基本的Round-Robin, Weighted 方式， 還可依據主機Session流量，主機回應時間快慢等等方式，作更適當的回應。同時 GSLB設備可以偵測提供服務的主機狀態，排除一些無法提供服務的主機，避免使用 者服務中斷。 最重要的是，GSLB之所以被稱為 Glabal廣域式負載平衡，就在於GSLB設備具備判斷 全球IP 位置的能力。GSLB設備可依據使用者發出需求之本地端DNS (Local DNS)所在 之IP位置，判斷出使用者所在之地理位置，從而回應給使用者最近或最適當之主機 所在之IP位址。例如使用者所在位置於亞洲，GSLB會判斷而給予台灣的主機IP而不會 給予美國的主機IP位置。 5. A10 GSLB 之優勢 A10 networks AX系列設備延續對SLB負載平衡設備的專業，對於GSLB功能有著更深的 了解與投注。綜合上述優點，A10 GSLB 功能更提供以下之優勢：

1) 相較於傳統備援中心，僅能提供緊急時的備援機制， A10 GSLB機制能提供多機房及時的負載平衡功能，無需考慮轉換時間且有效利用各個機房的資源，完全無資源閒置浪費之問題。

2) 彈性之DNS配置，可配合使用客戶現有DNS (Proxy mode)也具備內建ADNS 功能 除可取代企業原先之DNS功能，更增加多種負載平衡方式 並具備服務主機之狀態監測機制，隨時提供使用者有效服務。

3) A10 GSLB具備多種判斷及策略條件選項，以達到最佳之GSLB分配 並具備全球完各區域整資IP range table, 有效判斷提供使用者最佳主機位址

4) 具備GUI圖形介面設定，直觀式設定，同時GSLB/DNS configure 設定後 立即自動同步至多台GSLB設備，非常易於維護

5) 最重要的，A10 AX系列同一設備，不論效能大小，均同時具備完整之 SLB 與 GSLB 功能，GSLB功能無額外費用。客戶規劃時無需考量成本，可輕鬆進行規劃及建置。 

在現今雲端運算幾乎成為所有產業唯一口號的當下，GSLB廣域附載平衡功能更扮演重要 的角色。採用優異的GSLB設備將能幫助企業建置更有效率，更加穩固的雲端架構。

By JH

何謂雲端運算(Cloud computing)

"雲端"名稱的由來: 因為傳統上，在表達際網路(Internet)時都是畫一朵雲來表示久而久之，“雲端” 就泛指代表”Internet” 的雲朵，或與Internet有關的事務。

雲端運算(Cloud computing) 緣起

「雲端運算」=「網路(Internet)」=「網路運算」，代表的是利用網路使電腦能夠彼此合作或使服務更無遠弗屆的一種概念。 

 雲端運算本質大抵包含了:

 (1)「網路 」 主要即為 (Internet)的使用；

 (2) 「分散式運算」(Distributed Computing)以及

         “同一資料”經過”多台”電腦共同處理而得到”結果”的方式

 (3) 「網格運算」」(Grid Computing)。

        多台”同質”或”異質”性電腦，在不同地區，透過網路連結共同執行同一運算工作

一直以來，資訊系統一直有集中處理與分散處理的不同概念，所以雲端運算在意義上回復到集中處理的概念，屬於「主機運算」的類型。  

然而雲端運算，相比於傳統的大型主機運算，又多了許多不同的特性：

 (1) 兼具集中(從使用者觀點來看是一個單一的處理單位) 與分散(但從運算單元觀點，因具備分散式與網格運算之內涵)之兩種特性

 (2)  彈性(格局大小可變動，服務能力多少可隨使用者改變)

 (3)  機動性(不受地域限制，多種連接方式)

 (4) 多重服務層次 - 不同的服務模式

雲端運算服務模式

 SaaS (Software as a service) 軟體即服務
   - Public Service 大眾服務

   - Business Service 商業服務 (Private Cloud)
   - Application Service 應用服務
  

 PaaS (Platform as a Service) 平台即服務

   - IDC / Co-location …. (硬體平台分租服務)

 Iaas (Infrstructure as a Service)基礎架構即服務

   - Facilitator ， 公共事業 (電表度數，雨量分析，道路流量…)

一般人常困擾於，雲端運算究竟為何?

其實因為雲端運算包含了多種技術的整合，並非每種應用都實用到所有的雲端技術。所以只要有使用到上述雲端特性的應用，都算是雲端運算的一環。我們可以由技術的觀點來了解各種應用所使用到的雲端技術，或者由雲端服務(應用)來分析所用到的雲端技術:

「雲端技術」(cloud computing technologies)

   - 內部系統採用多台電腦進行大量運算、儲存、相互備援的技術， 例:基因圖譜定序、DNA解碼、氣象分析 …

   - 多台電腦點對點連線進行溝通 (Peer to Peer )
 例: Skype 、 Facebook  (分散處理與通信技術) …

「雲端服務」(cloud computing services)

   - 核爆分析 、 火箭軌道運算  (大量資料處理)

   - Amazon書局、Salesforce.com的CRM工具 、Google 資料查詢 …
    (資料共用、累加、分析)

   - Twitter推特、 QQ 、Gmail  (資料分享、 P2P 技術)

   - 資料備份、照片分享、GPS 定位 ( 資料分享、資料庫、網路通信)

如此，了解雲端的本質，就能較為清楚雲端運算的角色與定位了。

未來的世界網路即時廣播將成為常態，手機提供即時資訊無遠弗屆，充分掌握雲端運算的優點將帶給人們更精彩的未來。

  打造高性能與高可用性的雲端服務

雲端運算在近年來成了非常熱門的話題。不論是哪一種行業只要與雲端運算搭上邊，都能得到很多關愛的眼神。然而雲端運算本身並不代表任何一項專門的技術，它只是一種電腦運算的方法，它透過網路上龐大的運算資源，提供給個人或企業按照需要(on-demand)去使用的運算服務。最簡單的解釋，就是將「電腦的運算能力」「分配」給「需要的人」。

導入雲端服務的第一步驟—虛擬化

然而提到雲端運算就不得不提到虛擬化技術，簡單的說虛擬化技術就是，把一台設備利用特殊的技術，分割成多個虛擬機(Virtual Machine)，每個虛擬機都可以當作是一個獨立的設備來看；

將一台設備虛擬化可帶來的好處有：

l   節省實體機器需求，減少佔用的空間。

l   節省主機能源消耗、空調消耗。

l   實體機器數量減少，管理人力成本也可降低。

l   增加管理彈性，可以把虛擬機匯出成一個檔案(檔案內包含虛擬機的軟硬體)，實現完整備份；也可以很輕易地在實體機之間進行遷移，甚至做到不停機的遷移。

l   自動負載平衡，當實體機負擔大時，可自動將部份虛擬機遷移到另一台實體機，或者將不需要的虛擬機關機或進入休眠狀態以節省電力的消耗。

那對一般企業來說要怎樣開始享受雲端的好處呢？對企業來說，一個企業買了一台伺服器，按照以往的觀念，這台機器只能當作某一服務專屬的伺服器，當服務量變大當然再買新機，但是當這個服務的需求消失了或者根本需求不大時，這樣的一台設備對企業來說就有點浪費了，而虛擬化的技術就是用來解決這樣的問題。

將多台伺服器虛擬化，把現在需要的服務及可能需要的服務利用虛擬化的方式放在虛擬化伺服器集群中，再利用虛擬化管理軟體將需要的服務在需要的時間開啟，不需要的時候關閉，實現當用則開，不用則關，充分發揮每一台伺服器的最大效能。

導入雲端服務的第二步驟—提高應用服務的效能

但不可諱言的虛擬化技術也是有它的瓶頸與限制。每一台的機器都是有極限的，以一台伺服器來說，所購買CPU、記憶體、硬碟空間、網路卡速度等都是有限制的，虛擬化可以讓這些資源共享但絕對沒有將資源變多變大的能力，當多個服務同時間一起開啟時，不可避免的，服務的效能就成為最大的問題了，當效能不足後，整體的服務品質就會下降，對終端用戶來說，不好用與不能用通常都是相同的，這樣一來沒有了效能，當然也沒有可用性了。

那怎麼來解決這些問題，打造一個高性能與高可用性的雲端服務呢？解決這問題的最好方式就是使用應用系統交付設備(ADC)，首先我們可以利用其負載平衡的功能，將客戶請求的流量分配到不同的虛擬機上服務，讓虛擬機的負擔均衡，加強應用服務的可用性；再來利用其健康檢查的功能，對每一個服務進行定時的檢查，確保這些服務在虛擬機的服務正常；而搭配ADC的應用服務加速功能，包括TCP的加速功能，HTTP壓縮(Compression)、記憶體緩存(RAM Caching)、SSL卸載(SSL-Offload)等等的功能，更能加速應用服務的反應時間，提升客戶的滿意度；然後再整合ADC的全域負載平衡技術(GLSB)，正確且有效率的引導用戶進入最近、最好的服務入口。

導入雲端服務的第三步驟—需求自動化與快速靈活的佈署

應用服務有了好的效能，自然就可以提供給更多的用戶使用，但越來越多的用戶使用，當然也會造成服務效率的不彰，且有些應用系統更有一些突發的流量，例如特定的活動或者是突發事件產生的尖峰流量。這些問題的發生，讓我們更了解應用系統本身的瓶頸，有可能是CPU、記憶體的運算資源不足，也有可能是同時間需要被處理的連線數太大，亦有可能是網路頻寬的不足，這些可能性的原因當然要有個效能監測系統來監控，更好的做法就是在發生效能不足時，去觸發並自動的調整虛擬機，來滿足應用服務的需求。

 aFlex 101 變數的概說
aFlex 是一個AX 產品系列的進階功能 ,其最主要的精神是將應用交付的精髓發揮到極致 ,也意味著應用交付交換器是能依據應用的內容做為策略準則 , 或是做為應用環境的負載平衡的依據 ,以達到應用交付的最大成效 ,也將應用交付的限制從 TCP/IP 的 header 層擴展到以內容層為導向。

aFlex 的運作流程是以事件為導向 ,當事件被觸發後依據管理者的設計邏輯去執行相對應的命令。也就是說  aFlex 的撰寫包含了三個部分 "事件" ,  "邏輯" , 與 "命令" 所形成的 Tcl alike 的腳本 . 在一個腳本的環境中 "變數" 是最重要的元件, 變數可以想像成是一塊暫時性的資料儲存的空間，基本上我們可以把任意的資料都放在變數裡面 ,變數的操作不外乎就是「設定」、「取用」及「清除」等三個動作。其中設定是指把資料存入變數的動作，取用是指由變數中取出資料的動作，而清除是指釋放變數或是銷毀變數的動作。設定變數的方法是很簡單的，在 Tcl 的世界裡只要用set命令就可以設定變數。

以下為設定變數的語法 : set 變數名稱 變數的值 

例如  :  

 set  xyz "123"

 set xyz [HTTP::status] 

 set ::xyz 0 

雖然說正常的情況下你可以拚命的設定變數，但說真的還是省省用的好。對於已經用set設定過的變數，同樣可以用set來重新設定變數的值。

取用變數裡的資料，只需要在變數名字的前方多加上一個「＄」符號就可以了。 例如 :

log " the value of xyz = $xyz" ;

在這些範例中我們可將變數分為兩種型態 : 局域變數與全域變數（變數名稱以 :: 為開始）,此兩種變數最大的差異點為變數的生命週期。

局域變數的生命週期只存在於單一 TCP/ UDP 連接中 ,當連線結束此局域變數也將被系統所回收無須使用 unset 的命令來釋放變數佔用的記憶體空間 ，而不同的連接會有自己的局域變數 ( 局域變數是每一個TCP連線的私有財產）。

但是全域變數的特性是讓所有的 TCP/ UDP 連線所共有, 即所有的TCP/UDP連線都能對此變數做存取與讀寫的動作,也只能使用 unset 的命令來釋放變數佔用的記憶體空間。

在此衍生了一個值得探討的問題,就是現今的網路硬體設備大多俱備了多核心的 CPU ,採用多線程的軟體架構以增加設備的整體效能與吞吐量,但是多線程的系統在未經優化的狀況下, 並無法有效率的處理全域變數,常見到的結果往往是多線程的程式將只會在單一的CPU核心運行,其帶來的結果將是使系統整體效能與吞吐量大幅下降,或是系統花大量的資源處理資料同步的工作,導致延遲時間加長,發生客戶端應用程式的效能不彰。

而 AX 產品系列的特色專長就是在分享記憶體的系統架構設計,在處理資料同步的工作上無延遲的缺點,也不會有任何 CPU 的閒置情形發生,以保證設備的整體效能與吞吐量。

A10 Networks睿科網路 這次受台灣資策會之邀參與IDEAS Week的CAFÉ活動(Cloud Appliance for Enterprise/Framework Environment) 此活動旨於推廣國內雲端應用服務並結合相關軟硬體設備廠商技術合作。

 雲端概念已是未來的趨勢，更是政府力推的四大智慧型產業之一，為協助台灣IT產業能夠搭上雲端商機轉型熱潮，資策會在經濟部技術處的支持下研發雲端應用核心技術，開發超輕量、從2部到10部主機規模(相當於160台虛擬主機)就可組合的企業雲端伺服器，提供「主機雲」、「儲存雲」、「應用雲」等軟體服務。在7/27上午資策會與國內知名IT廠商舉行記者會，宣示合作開發次世代「企業雲端伺服器(CAFE,Cloud Appliance for Enterprise)」。並邀請A10 Networks(睿科網路)共襄盛舉這項活動，希望藉著A10 在雲端網路上的卓越技術，協助臺灣IT產業在雲端發展上能更上一層樓。

 雲端運算的重要課題主要為有效分配運算資源，活動當天現場A10 Networks的 AX 2500 應用交付平衡設備被配置在雲端基礎設施的前端，負責負載平衡龐大的網路流量。A10 的AX2500 配有業界獨特的64位元作業系統並採用了高效能的共享記憶體架構，可以使用遠超過32位元作業系統更多的記憶體，增加運算處理的緩衝儲存空間，同時擁有多核多線程的運算技術，可提升設備內的運算效能。A10 Networks不但在L4的負載平衡上具有高效能傳輸，還有業界最優秀的ADC功能，能辨識L4 ~ L7上的多元應用，並將流量導向對應的伺服器。AX 的所有64位元產品皆採用"環保"功能，以降低功耗，如高效氣流和固態硬盤（SSD），這也進一步提高了系統的可靠性和性能

 同時A10 Networks的AX系列具備了IPv6支援功能，支援IPv4和IPv6雙向轉址功能,讓企業在這過渡時期環境中擁有快速平穩的傳輸速度。AX系列延續著 A10的傳統，包含所有功能及最高性能，無需額外的軟體授權費，可降低建設成本費用。A10 Networks的新一代應用交付平衡設備，能幫助企業打造兼具高效能與超節能的雲端服務。

A10 AX aFlex 使用範例:

本範例希望藉由實際使用範例展現及說明A10 aFlex 程序語言的實用與彈性

在網頁設計上，有時後隨著資料位置複雜與程式的撰寫，實際的網頁位置會變得十分的冗長。

如下就是一個例子:

http://www.readapp.net/times/article.do?newsid=5636409&option=sport

一般網頁程式可利用點選方式，讓使用者直接進到該網頁。

但是若程式並沒有處理此段網頁位置，或無人維護此網頁時。使用者只能

依照實際網頁位置輸入冗長的字串，十分困擾。

此時利用A10 AX 應用交付系列設備彈性的程序語言aFlex, 就能夠輕易的達成簡化網頁輸入的要求。

如上的例子:

http://www.readapp.net/times/article.do?newsid=5636409&option=sport

其實只有 newsid= (文件編號) 及 option = (文件類別) 兩個變數

option 有house, sport, music ......

假設我們希望簡化網頁輸入位置成為 
http:// www.readapp.net /times/sport/5636409

亦即 times/ 後加上 "文件類別" / 再加上 "文件編號"

利用如下的 aFlex 即可輕鬆達成

使用者改輸入  ===> http://www.readapp.net/times/sport/123456

即可自動轉成  ===> http://www.readapp.net/times/article.do?newsid=123456&option=sport

本範例主要使用 [split "字串" "/"] 的字串處理指令, 將網頁URL輸入字串以"/" 為間隔分離出來。

然後利用 Set List [split "字串" "/"] 的字串處理指令, 將分離出來的字串儲存成為一個串列資料。。

when HTTP_REQUEST { 

  set string_1 [HTTP::uri]

  set List_1 [split $string_1 "/"]                      # <-- 將URI 字串以"/" 分離，存於Lsit_1 串列資料中

  log " $List_1 "                                                 # <- 確認 uri 的內容

  set var1 [lindex $List_1 1]                              # var1 變數1 儲存 "times" 字串

  set var2 [lindex $List_1 2]                  # var2 變數2 儲存 "sport" 字串  

  set var3 [lindex $List_1 3]                               # var3 變數3 儲存 "123456" 字串

  log " var1= $var1 ; var2= $var2 ; var3= $var3 "       #<----  確認 3 個變數是否正確儲存 

  if { not ( $string_1 contains "article" ) } {

     set uri_1 "/times/article.do?newsid="                                        

     append uri_1 $var3 "&option=" $var2                                      #<----- 將 URI "串接"改寫成實際字串

     HTTP::redirect http://[HTTP::host]$uri_1                                  #<----  redirect 將改寫完成後URI重送

  }

}

簡化後的 aFlex 為 :

when HTTP_REQUEST {

  set string_1 [HTTP::uri]

  set List_1 [split $string_1 "/"]

  set var1 [lindex $List_1 1]

  set var2 [lindex $List_1 2]

  set var3 [lindex $List_1 3]

  if { not ( $string_1 contains "article" ) } {

     set uri_1 "/times/article.do?newsid="

     append uri_1 $var3 "&option=" $var2

     HTTP::redirect http://[HTTP::host]$uri_1

  }

}

在A10 AX 設備啟用此aFlex 程序語言，使用者即可簡化網頁輸入

只要記得文件類別如: sport, music or food .... 再加上文件編號 如: 123456

輸入  ===> http://www.readapp.net/times/sport/123456

AX 即會自動轉成  ===> http://www.readapp.net/times/article.do?newsid=123456&option=sport 送到正確網頁了。

深入了解AX DNS防火牆應用服務

DNS全稱Domain Name System，通俗地說，DNS就是幫助用戶在Internet上尋找名稱與IP對應的解析服務。為了更方便使用網路資源，DNS服務提供一種將電腦或服務名稱對應到關聯該名稱IP 位址的方法。名稱一定比枯燥的IP地址更容易瞭解和記憶。大多數使用者喜歡使用易記的名稱 (例如 www.a10networks.com) 來尋找網路中像是郵件 Server或網頁 Server，而不是使用如199.237.202.124的IP位址。當使用者在應用程式中輸入易記的 DNS 名稱時，DNS 服務會將此名稱解析成它的數值位址。

DNS解析是Internet絕大多數應用的實際定址方式；它的出現完美的解決了企業服務與企業形象結合的問題，企業的DNS名稱是Internet上的身份標識，是不可重覆的唯一標識資源，Internet的全球化使得DNS名稱成為標識企業的最重要資源。

然而重要的資源就可能引起有心人士的關心，隨著Internet上DNS攻擊事件的發生，DNS的安全問題也成為大家關心的焦點，常見的方式為

1、針對DNS系統的惡意攻擊：發動DNS DDOS攻擊造成DNS名稱解析癱瘓。

2、DNS名稱劫持：修改註冊訊息、劫持解析的結果。

當DNS伺服器遭遇DNS Spoofing惡意攻擊時，不管是正常DNS查詢封包或非正常的封包都經由UDP Port 53進到內部的DNS Server，DNS Server除了要處理正常封包外，還要處理這些垃圾封包，當每秒的封包數大到一定的量時，DNS Server肯定無法處理了，此時正常的封包請求，也一定無法得到正常的回應，當查詢網站的IP無法被回應時，用戶當然連接不到網站看不見網頁，如果是查詢郵件 Server時，那郵件也無法被寄出，重要的資料也無法被順利的傳遞了，因此，維護DNS服務的正常運作就是一件非常重要的工作。

針對以上的問題AX有一個解決方式，就是DNS應用服務防火牆，AX在這問題有三個有力的方法，可以有效的緩解這些攻擊所造成的影響，

1、首先將非DNS協定的封包過濾(Malformed Query Filter)

2、再來將經由DNS Server查詢到的訊息做緩存(DNS Cache)

3、如果真的遇到大量的正常查詢、AX可以啟動每秒的連線控制(Connection Rate Limit)

Malformed Query Filter：

        這種非正常的封包通常都是用來將對外網路的頻寬給撐爆，當然也會造成DNS Server的忙碌，所以AX在第一線就將這類的封包過濾，正確的封包傳遞到後方的Server，不正常的封包自動過濾掉避免Server的負擔。

DNS Cache：

        當DNS查詢的回應回到AX時，AX可以預先設定好哪些Domain要Cache哪些不需要Cache，如果有Cache，當下一個同樣的查詢來到AX時，AX就能從Cache中直接回應，不需要再去DNS Server查詢，一方面減輕了DNS Server的負擔，另一方面也加快了回應的速度。

再者，當企業選用此功能時更能僅設定公司的Domain做Cache，而非關此Domain的查詢一律不Cache或者拒絕回應，這樣更能有效的保護企業的DNS Server。

而ISP之類需提供大量查詢的服務，更適合使用此功能，為DNS服務提供更好更快的回應。

Connection Rate Limit：

        當查詢的流量大到一定的程度時，例如同一個Domain每秒超過1000個請求，此時在AX上可以啟動每秒的連線控制，控制進入到後端DNS Server的查詢量，超過的部分直接丟棄，更嚴格的保護DSN Server的資源。

相信許多人期待在日新月異的網際網路中看到創新的網路技術，並能提供更好的網路應用服務。而確保DNS 服務的不間斷持續運作並讓 DNS 服務所提供的資訊是正確的，這也是一切網路應用服務的基礎。

本文提及DNS防火牆應用服務功能，除了希望提醒讀者DNS服務的重要外，亦希望讀者對DNS的安全性上有所認知，進而知道如何保護DNS Server，並在防止被惡意攻擊上提供一些有效的幫助。

傳統的網路設備，單機設備與機箱式設備有著明確的分野。單機設備輕巧方便，安裝容易，但是缺乏機箱型的效能、彈性與功能擴充性；反之、機箱型設備的體積龐大、高耗電量而且價格也相對高昂。

A10 AX 負載平衡系列設備提供aVCS (AX Virtual Chassis System-虛擬機箱系統) 功能，可將最多達8台AX單機設備匯集成為單一虛擬機器，視為單一設備來管理，並整合多台設備效能於單一虛擬機箱。有效整合單機設備與機箱式設備的特點如:

單一管理介面:
所有加入虛擬機箱的AX設備，將自動(或手動)遴選一台設備成為管理模組，所有虛擬機箱中的設備可視為一片片的模組透過單一的介面進行管理及設定。各模組中的設定值均可自動同步保持最新的狀態。

動態的HA架構:
虛擬機櫃改進了傳統HA設計的窠臼。在虛擬機箱中，每一片模組都可作為一個服務的主要模組，同時也可以與另一片模組搭配成為A­-A服務模式或者成為另一個或多個服務的備援模組。

如圖(1): 於傳統服務方式備援架構(多組1+1)，各組系統之間互相獨立。

圖(2): 採用aVCS(M+N)的方式可充分發揮每台設備效能及對每一服務的備援功能更能節省設備數量。
實務設計上，每台單機(可視為每一片虛擬模組)都可提供多組VIP服務，每個VIP都能連接所有Real Server(實際伺服器)進行負載平衡並與任意其他台單機配合提供備援服務。aVCS多機一體的功能，已超越傳統的AA模式設計考量。
優點：

1.  A10 可建立多組HA group，每組HA有一虛擬IP (VIP)依附任意AX設備。利用不同HA Group 的VIP 依附於不同AX設備。AX 可使用兩台或兩台以上設備的效能提供服務，而非只有兩台設備。

2.  避免DDoS 針對單一IP位址服務之攻擊
單一IP位址服務若遭受大量DDoS攻擊時，服務品質容易受到影響，也無法即時轉換服務之IP位址。
目前許多ISP對於線上服務均採用兩個甚或多個IP位址(並提供多條線路)以DNS提供循序服務,若遭受攻擊時，可利用DNS及時轉換IP位址(以及線路)至其它位址繼續提供服務。

如上圖：每一服務需要一對設備提供服務

   如上圖：AX的aVCS內可利用任意設備與其他設備達成HA備援架構

虛擬機箱與傳統機箱設備的功能比較

淺談AX與NAT64/DNS64解決方案~JC

我們可以了解現在全世界IPv4的IP位址已經全部發放完畢,Internet會開始進入一個IPv4與IPv6共存的環境,在這個過渡到「純IPv6」的過程中,各式各樣的技術不斷的推出,其目的不外乎有兩個方向:

l   將IPv4的生命繼續延續(LSN/CGN,NAT44,NAT444等)

l   開始使用IPv6並與IPv4共存(Dual-Stack,NAT64/DNS64等)

以下我們將就NAT64與DNS64來探討一下.

ISP為何要選擇NAT64/DNS64這樣的技術呢?主要的好處有

1.)ISP可以開始建置純IPv6的網路,並在終端用戶端開始發放IPv6位址,

2.)ISP不需要對IPv4的網路做任何的變更

3.)經由NAT64/DNS64技術,IPv6的終端用戶可以繼續存取IPv4的網路,而不需要做任何調整.

為了讓IPv6的終端用戶可以順利的存取IPv4的伺服器與應用程式,A10的AX系列提供了NAT64/DNS64功能,NAT64是一個基於這個IEFT (http://tools.ietf.org/html/draft-bagnulo-v6ops-6man-nat64-pb-statement-01)的功能,讓IPv6網路環境中的主機可以發起網路連線至IPv4網路環境中,在許多方面,這有點像NAT-PT的功能.

而NAT64要知道需要轉換的IP,就需要DNS64的配合了,DNS64則是基於另一個IETF(http://tools.ietf.org/html/draft-bagnulo-behave-dns64-02),也就是在AX上配置一個DNS VIP(Virtual Server IP) ,將IPv6用戶查詢的DNS伺服器指到這個DNS VIP,而AX針對 IPv6的DNS查詢,將產生兩個DNS查詢封包,分別查詢IPv6位址及IPv4位址位錄,如果查詢到IPv6位址位錄,則直接回覆IPv6位址紀錄給用戶端,否則就將查詢到的IPv4位址紀錄轉換成「假的」IPv6位址,並將之指定到AX後,回應給用戶端,所以當IPv6用戶要存取IPv4的服務時,實際上他們是連線到了AX上。

IPv6 的演進-DS-Lite簡介~JH

隨著IPv4位址的不斷耗盡，IPv6 時代的來臨已是眾所周知的共識。相較於IPv4的架構，IPv6具備大量充份的IP位址，完整的位元架構表頭設計，即插即用，QoS的機制及安全的網路設計等優勢。然而直到今日為何IPv6仍進展緩慢並未如預期的全面普及。究其原因是因為資訊結構環節，除了網路設備外，由終端用戶設備以至於應用系統的發展均息息相關。現有骨幹網路設備IPv6解決方案已經成熟，然而終端用戶(End-Customer)接入方式以及應用系統架構仍然存在著多種部署方式考量，無法順利升級到IPv6環境，因而產生多種過渡性解決方案。

DS-Lite (Dual-Stack Lite - 精簡型雙棧技術)就是一種代表性的解決方案。

DS-Lite 架構:

所謂 DS-Lite架構指終端用戶閘道器設備同時可處理IPv4與IPv6位址的能力但也僅止於IP位址的處理(並不像真正Dual-Stack設備具備應用層轉換器的能力)。如圖，DS-Lite 用於ISP網路為單一IPv6之環境(另一角度亦即ISP不再發放IPv4位址給使用者)。而終端用戶設備可為IPv4或IPv6。若為IPv4設備則經由用戶端閘道器(即DS-Lite設備)與ISP出口端閘道設備建立IPv6 Tunnel直接穿越ISP網路到達Internet.完全可銜接既有之IPv4的Internet網路環境，IPv4使用者完全不需考慮IPv6設定；若為終端用戶設備為IPv6，則可直接經由ISP網路(IPv6環境)連接IPv6內容。

由以上架構說明DS-Lite 的優勢:

1.  ISP可簡化網路架構成為單層NAT環境，並易於管理

2.  ISP供應商只需提供終端用戶IPv6 位址，無需分配IPv4位址，減緩IPv4位址不足問題

3.  End-Customer終端用戶端可同時銜接IPv6環境，而且保持現有IPv4應用系統正常工作

4.  配合ISP LGN/LSN (Large Scale NAT) 閘道設備，解決了目前IPv4 位址不足之問題，同時提供漸進的IPv6 Migration 升級路徑。

 自從1980年來，Internet與人的生活息息相關 ,資訊的取得相較以往的歷史來的簡單與內容也更加的豐富與迅速，從早期的低速數據機撥接上網,演進到ADSL,光纖到府服務,3.5G與WiMAX 的移動上網，都顯示網路的必要性與重要性。然而在眾多的硬體效能與技術演進下,與軟體的功能提升,唯一只有 IP 的本質未改變。

  網際網路協定版本4（Internet Protocol version 4，IPv4）是網際網路協定開發過程中的第四個修訂版本，也是此協定第一個被廣泛部署的版本。

  IPv4使用32 bits（4 Bytes）位址，因此位址空間中只有4,294,967,296個位址。不過，一些位址是為特殊用途所保留的，如專用網路和群播位址，這減少了可在網際網路上路由的位址數量。

  隨著位址不斷被分配給終端使用者，IPv4位址枯竭問題也在隨之產生。在智慧型手機的快速的佔領市場,也加速IP位址枯竭的速度。在2011年2月，在最後5個位址塊被分配給5個區域網際網路註冊管理機構之後，IANA的主要位址池也正式發放完畢了。

 走向IPv6 是必然的趨勢,但問題是

(1):IPV6與IPV4的規範是無法相容的。

(2):IPv4到IPv6的遷移是需要末端用戶端,電信業者端,伺服器端共同配合,缺一不可。這反映出IPv4網路無法在短期之內直接遷移到IPv6,勢必需要有一些配套的解決方案來輔助。

  目前在電信業者的配套方案中,第一要務是有效率的使用現用的IPv4公有位址,進而能共用現有的資源,完成最終的遷移。現階段要有效率的使用現用的IPv4公有位址,在變動最小的情況下,最可行的解決方案是使用 Large Scale NAT(LSN/CGN/NAT44)的主要方案。

  在此方案中A10 Networks的AX系列產品,已成功的在全球知名電信業者中被採用,而此方案所提供的優勢為 :

(1): 提供最大的透通性,以保證新應用程式的可用度。以往新的應用程式要通過NAT設備, 所帶來的問題有可能在現有的NAT設備上提供相對應的ALG,但是新的ALG需要經由原廠的支援,軟體功能的升級,並且新功能的製作, 品質驗證,往往無法達到時效上的保障。

(2): 公平的資源共享。

(3): 提供連線稽核資料。

(4): 提供最大的使用者容量於最小的機箱。

其中LSN/NAT44 的主要技術包含以下幾點

(1) : Full-Cone NAT

(2) : UserQuotas

(3) : HairPinning

(4) : NAT Sticky

(5) : High speed logging

(6) : STUN supported

完成了 LSN/NAT44 的部署後 , 也可以利用 DS-LITE 的技術將 IPV4 的資料封裝於IPV6 的網路內 ,達到一機多功能的效益。

更快、更好、更環保的雲端服務

有效分配運算資源是雲端運算的重要課題，A10 Networks推出新一代伺服器負載平衡設備，幫助企業打造兼具高效能與超節能的雲端服務

伺服器負載平衡設備(Server Load Balance, SLB)的先驅A10 Networks，以領先業界的網路技術，打造效能優異的設備，幫助許多企業建置更有效率的網路環境，獲得眾多業者一致口碑，不但連續16個季度營收成長，更獲得美國INC雜誌評選，成為前500大發展最快的未上市公司之一。

隨著不斷進步的網路技術，A10 Networks亦隨之不斷創新，將以往L4的SLB，提升為L7的應用交付控制設備(Application Delivery Control, ADC)，並推出2.6.1版高級核心作業系統(Advanced Core Operating System, ACOS)，可支援多種最新的軟、硬體設備，以及最多元的應用系統，幫助企業打造最有效能的網路分流架構。

支援IPv6，協助企業邁向新的網路里程碑

A10 Networks SLB支援IPv6，不需額外添購模組即可享有，並能向下相容IPv4，不但能協助企業順利轉換網路架構，其特有的IPv4與IPv6雙向轉址加速功能，能大幅提高兩種位址切換時的效能，讓過渡時期的網路環境，同時享受IPv6帶來的彈性、安全性，以及高效能的傳輸速度，順利邁向下個網路世代。

2011年初，IANA宣布第一代IP位址已經耗盡，代表著IPv6的時代正式來臨，睿科亞太區董事總經理韋嘉指出，IPv6已經躍升為主流且勢不可擋，企業必須著手將網路環境升級，以因應這波IPv6帶來的浪潮。

64位元硬體加速，將整體效能大幅提升

除了全面支援IPv6外，A10 Networks SLB亦支援64位元系統，可將64位元處理器的效能完全發揮，帶來突破性的網路效能。事實上，64位元的電腦如伺服器已經問世多年，但多數的網路設備卻依然採用32位元的架構，相較之下，64位元的處理器能使用更多的記憶體，增加運算處理的緩衝儲存空間，大幅提升設備內的運算效能，加上最新的多核多線程運算技術，將整體效能提升至新的基準點，這不但能讓日常運作更加順暢，面對尖峰時刻突如其來的流量，A10 Networks SLB也能輕鬆因應。

在64位元的環境下，處理64位元的應用程式會較為順暢，A10 Networks以硬體式處理64位元應用程式，有別於其他業者以軟體運算，A10 Networks才能在64位元的環境中，將網路訊號快速分流。

整合虛擬化，充分發揮雲端效能

隨著雲端運算時代來臨，要如何有效應用頻寬成為新的課題，因此SLB的功能也被重新定義，從傳統的網路分流負載平衡，成為網路資源交換的重點。A10 Networks不但在L4的負載平衡上具有高效能傳輸，並有業界最高效能的ADC功能，能辨識L4 ~ L7上的多元應用，並將流量導向對應的伺服器，充分發揮雲端運算的效能。

韋總經理指出，在雲端虛擬化的環境中，雲端資源池的實體結構，是數量龐大的實體伺服器，要將巨量的網路需求，快速並有效分散至眾多伺服器上，需要仰賴絕佳效能的SLB，才能有效發揮雲端運算的功能，讓金融交易或線上影音撥放等服務更加穩定與順暢，若資源交換效能不彰，會讓整體服務品質大打折扣，導致客源流失。

因應雲端世代，A10 Networks的AX 2.6.1版ACOS，支持Virtual Chassis System虛擬機箱系統(aVCS)，可用單一IP同時管理最多8台AX SLB，且不需像傳統設備需額外採購大型機箱，而是以虛擬叢集技術，將位於不同機櫃上的AX設備納入單一群組中，在管理上不但更加容易，且在初期建置與後續擴展上更具有彈性。

除了實體設備，A10 Networks推出SoftAX虛擬設備，能在VMware vSphere平台上快速建置ADC系統，以極佳的靈活性調整硬體設備，將虛擬主機建置為流量高達4 Gbps的新一代SLB。

高效率與低功耗，助企業與環境永續經營

資料中心發展的重點，還包含了省電的概念，根據統計，電腦機房營運成本中，有高達40%為電費支出，特別是雲端運算架構中，包含了巨量的伺服器與網路設備。為了降低機房維護成本， A10 Networks強化省電技術，在相同運算效能下，A10 Networks的SLB耗能，僅有其他機種40%，在電力消耗較少的情況下，產生的熱能也相對少了許多，機房冷卻所需要的空調電力也降低許多，讓企業建置高效能雲端系統時，同時為環保盡一份心力。

A10 Networks在技術研發上，皆以未來5年的IT需求為目標，透視網路世代的下一步，追求不斷創新，以更快(Faster)、更好(Better)、更環保(Greener)的技術，推出優秀的解決方案，引領企業建構最先進的網路環境。

A10 Networks在臺灣成立第一個海外雲端系統研發中心

網路伺服器負載平衡先驅A10 Networks，在臺灣成立研發中心，結合高素質技術團隊，為雲端產業打造更快、更好、更環保的高品質服務

伺服器負載平衡(Server Load Balance, SLB)與應用交付控制(Application Delivery Control, ADC)的翹楚A10 Networks，即將在臺灣成立研發中心，持續提升A10 Networks在網路應用上的運作效能，為全球網路帶來更強大的效能、更創新的特性，以及更省能的設備。

隨著雲端服務逐漸被廣泛應用，雲端網路架構出現了新的挑戰──要如何將來自雲外的大量需求，通過虛擬化和多分區系統, 有效分配至雲架構內的每個實體伺服器上，藉此將雲端運算的效益發揮到淋漓盡致。透過A10 Networks SLB，以64位元處理器的高效能架構，搭配獨步業界的ADC技術，可準確分析來自使用者端巨量且廣泛的需求，快速導引至後端伺服器上處理。不論是線上視訊、多媒體娛樂或是入口網站等雲端系統，皆能藉由A10 Networks SLB提供更穩定的服務品質。

在臺成立研發中心，奠定雲端技術新里程

A10 Networks在網路技術上的創新突破，不但受到國際上許多企業青睞，更受到積極發展雲端科技的臺灣重視與肯定，中華民國經濟部更進一步邀請A10 Networks至臺灣設立研發中心，將A10 Networks在雲端網路上的卓越技術，協助臺灣在雲端產業發展上能更上一層樓，同時以臺灣優秀的技術人員，幫助A10 Networks帶來嶄新的視野，持續改寫網路資料交換的新紀錄。

A10 Networks創辦人暨首席執行長陳澧指出，臺灣的高水平的科技與人文素養，這些特質對於企業營運幫助相當大，且臺灣在網路等資訊產業技術，在世界上也具有舉足輕重的地位，彼此間互相合作，有助於雙方帶來多元化的成長，而這也是A10 Networks首次在美國加州矽谷以外的區域設立研發中心。

培養高品質研發素質，實踐理想中網路設備

陳執行長表示，要創造高品質的高科技設備，首先重要的就是研發能力，因此A10 Networks非常重視研發人員的素質培養，因為高品質的人員，才能設計出高品質的產品。目前A10已經著手將臺灣研發中心的人員送至美國矽谷培訓，培養專業的種子研發人員後，再將矽谷研究中心的研究流程、技術，以及研發精神等成功經驗複製到臺灣來。

在需求快速異動的網路世界中，網路產品的功能與效能不斷進步，為了讓設計出來的設備更符合企業的需求，A10 Networks的研發團隊會與業務單位合作，透過各種管道了解客戶目前面對的問題，以及他們期待的網路功能，進而將這些需求加入發展計畫中，以最快的速度實踐客戶心中的理想產品，進而增進網路整體效能。

目前A10 Networks的規劃，臺灣研發中心的任務，主要是與矽谷的核心團隊，共同執行雲端的管理任務，同時作為亞太地區研究服務的第一站。陳執行長表示，在臺灣建立研發中心，不但能就近服務臺灣地區的客戶，也能就近為中國大陸、日本、韓國與新加坡等地區的企業服務，大幅縮短產品送回原廠服務的時程，並深入了解各個地區對產品的不同需求，如不同語系的紀錄(Log)與報表(Report)功能，提供多元且在地化的產品與服務。

讓企業網路更快、更好、更環保

隨著資訊科技朝向雲端化服務邁進，網路產品的未來趨勢也朝向更快(Faster)、更好(Better)、更環保(Greener)等目標邁進，這也正是A10 Networks努力的方向。在雲端網路的世界裡，每個網路設備都需要有強大的效能，將各種類型的資料快速傳遞，以提供最好傳輸品質；同時，隨著網路不斷變化，至於其中的設備也需具備更多功能且更大的彈性，以滿足各個產業的各種需求，並適應各種可能的架構轉變；而在雲端的時代下，人們依賴網路服務更勝以往，而每次上網行為帶來的就是高耗能的伺服器運算，特別是雲端平台上的龐大資源池，為數眾多的伺服器與網路設備，耗用非常龐大的電量，若能降低各個設備的用電量，就能省下為數可觀的電費，並為地球環保盡一份心力。

為了達到更快、更好、更環保等目標，A10 Networks在產品功能研發時，皆以未來5年為基期，將各種前瞻性的技術集結於一體，能提供給企業最佳的SLB，不僅符合現階段需求，亦能滿足未來的網路發展，藉由臺灣研發中心成立，讓A10 SLB邁向更高品質、更在地化服務的極致里程碑。

整合專線與學術網路，建構高品質學習環境

靜宜大學採用A10 Networks的AX3100伺服器負載平衡設備，整合學術網路與ISP業者專線，將對外連線有效分流，大幅提升網路教學品質

位於台中市的靜宜大學，是由天主教主顧修女會所創立的，在臺灣成立的時間已經將近55個年頭，秉持「專業領航、全人陶成」的教育目標，將四大核心素養：「具備良善美德、尊重多元文化、追求專業學識、探索生活知能」融入學校教育課程中，藉此激發每一位同學的潛能，培養專業知識，同時協助他們了解人生的真諦，成為一位德才兼備且負責任的知識份子。

隨著資訊時代來臨，靜宜大學推出資訊教育卓越計畫，校內不論何種科系，都有專屬的計算機概論課程，也就是俗稱的電腦課。臺灣許多大專院校也都有開設計算機概論等課程，然而這些大多都是提供理工與資訊學院同學，藉以奠定專業知識的基石。

普及化的全校資訊教育

靜宜大學計算機及通訊中心主任王孝熙教授表示，目前學校內每個科系都有專屬的計算機概論課程，培養同學在資訊科技方面基礎的認知。除了基本資訊知識外，非資訊科系也會針對各科系的專業領域，規劃專屬的資訊教育課程，像是會計科系，就會加入試算工具軟體的實務操作。

資訊科技一日千里，網路應用服務也日趨多元，為了跟上科技發展的腳步，同時針對各系所提供適合的資訊教育環境，靜宜大學也在資訊系統上持續建設，提供更完善的資訊教育環境。王主任也說，隨著學校提供的資訊服務日益增加，像是校區無線網路連線系統等服務，讓網路對外連線的頻寬需求也增加許多，除了原本的學術網路(TANet)之外，亦有向一般ISP業者租用對外網路專線，藉此增加連外頻寬。

透過A10 AX3100，整合連外專線與學術網路

現階段靜宜大學的對外頻寬總共約有1.5 Gbps，其中有1Gbps為學術網路，另外的500 Mbps則是向其他ISP業者租用的頻寬。「靜宜大學對外網路包含兩種網路服務系統，透過A10 AX3100伺服器負載平衡器(SLB，Server Load Balance)，在對外網路正常運作下，可以將傳輸資料有效分流，建立最佳傳輸效能；當其中一條線路有異常時，亦可將另外一條線路用作備援。」王主任說。

王主任進一步說明，靜宜大學內有許多老師的學術研究，需要連接至國外的伺服器，雖說學術網路的頻寬較大，不過連接至國外的頻寬卻不能滿足目前需求，當使用人數達到一定數量時，國外連線的速度就會變差，因此連接至國外伺服器的傳輸，多以ISP業者的專線為主。藉助A10 AX3100 SLB的路由辨識功能，可自動辨識目的端伺服器，若連接IP位址是國外主機，SLB就會自動將流量導引至ISP專線，藉此取得更好的連線品質。

定時設定保障頻寬，彈性調整網路流量

除了將辨識網路路由並予以分流外，靜宜大學在對外網路連線上，還有彈性保留頻寬的設定。王主任說，「校內有些電腦實務課程，在軟體操作時需要連接外部伺服器，而每堂課程都有將近70台電腦需要上網，需求量會突然增加許多。」為了讓老師與同學有更好的操作環境，計通中心藉助A10 AX3100 SLB中的彈性調整設定，當前述的課程開始時，為將其轉移至保留頻寬，當課程結束後再恢復原有設定，就能同時兼顧臨時需求與平常所需之網路連線。

導入A10 AX3100 SLB之前，靜宜大學也評估許多種同質產品，最後選擇以A10 AX3100 SLB來解決連外網路頻寬整合問題。王主任分享導入經驗過程中，建置各種資訊系統時，務必要花費足夠的時間實機測試，如此一來不但能驗證設備的實際效能，同時還可看出協力廠商的支援能力。為了確保日後系統運作的穩定性，靜宜大學評估、測試系統通常大約需要耗費約半年時間，所以許多資訊設備大多都是上學期評估，下學期導入，網路負載平衡設備當然也不例外，而A10 AX3100的效能不但能滿足他們的需求，加上操作設定簡單易懂，而且價格又相當實惠，因此成為靜宜大學對外網路主要負載平衡器的優先選擇對象。

同時肩負連外網路與內部伺服器平衡負載

除了整合對外網路外，A10 AX3100亦有負責校內部份教學伺服器的負載平衡。王主任讚許A10 AX3100，在處理學校連外的網路傳輸之餘，尚有足夠資源來處理伺服器負載平衡工作，因此能夠對如選課系統等服務，彈性調整設備資源，使用於系統平衡負載之用，緩和短時間內龐大的網路流量。

目前靜宜大學對外的網路連線品質相當穩定，王主任3年前剛擔任計通中心主任時，單位內常有接到反映電話，抱怨連外網路的品質；而他本人也曾在不同校級會議上，遇到其他老師反映類似情況。經過計通中心這些年的規劃與努力，加上A10 AX3100的強力支援後，已經有一陣子沒聽到其他同仁在這方面的抱怨。王主任表示，要在短時間內破除使用者對資訊系統的負面印象，是一件非常不容易的事情，先前連外網路的問題就是一例，但經過計通中心團隊努力與A10 Networks的鼎力協助，解決了效能不彰的問題，讓計通中心團隊甚感欣慰。

靜宜大學對於校內學習環境品質的要求非常高，計通中心也以不斷精進校內資訊環境為己任，只要能夠讓教學環境獲得提升，計通團隊的同仁都會用心評估，讓校內資訊系統能夠與時俱進，幫助學校培養同學成為一位有社會責任的知識份子。王孝熙如是肯定。