A10 Networks Thunder 實戰課程

Level 1 - 基礎架構與 SLB 原理

ADC 概念與 A10 硬體/虛擬化介紹

歡迎來到 A10 網路架構師課程。今天我們不談生硬的指令,先來搞懂為什麼現代資料中心需要 ADC (Application Delivery Controller),以及 A10 的 ACOS 系統究竟強在哪裡。

一、核心概念 (Concept)

一句話定義

ADC (Application Delivery Controller) 是傳統負載平衡器 (Load Balancer) 的進化版。它不僅僅負責分配流量,還整合了安全性 (WAF/DDoS)加速 (SSL Offload/Compression)可視性,確保應用程式「快速」、「安全」且「隨時可用」。

生活化比喻

傳統 Load Balancer 就像「交通警察」:
他只負責看哪條路沒車,就指揮車子往哪走 (Round Robin),但他不管車裡載的是好人還是壞人,也不管這輛車是不是超重。

ADC (A10 Thunder) 就像「國際機場航廈經理」:
他不只引導旅客 (分流),還設有安檢門 (WAF/Firewall) 檢查危險物品,有快速通關 (SSL 加速) 讓 VIP 先走,甚至還能幫你把行李壓縮打包 (Compression) 讓你走得更快。

二、運作原理:ACOS 的秘密武器

為什麼 A10 的效能通常優於傳統架構?

這歸功於 ACOS (Advanced Core Operating System) 的核心設計。大多數傳統設備使用 IPC (Inter-Process Communication) 架構,CPU 核心之間需要頻繁「溝通」與「複製記憶體」,這在高流量時會造成瓶頸。

關鍵技術:Shared Memory (共享記憶體)
  • Zero-Copy (零複製): 封包進入系統後,所有 CPU 核心都能直接存取同一塊記憶體區域,不需要將資料從 Core A 複製到 Core B。
  • 無鎖設計 (Lockless): 透過精密的演算法,多個 CPU 核心同時讀寫也不會互相卡住 (Deadlock),實現真正的線性擴展。
硬體與虛擬化型態
  • Thunder Series (Hardware): 搭載專屬 FTA (Flexible Traffic ASIC) 晶片,專門硬體解密 SSL 與防禦 DDoS。
  • vThunder (Virtual): 運行在 VMware/KVM/Hyper-V 上,功能與硬體版一致。
  • Bare Metal: 直接安裝在標準 x86 Server 上,無需 Hypervisor 層,效能更強。

三、架構視覺化 (Visuals)

圖一:傳統架構 vs. ACOS 架構 (記憶體存取)

graph TD subgraph "傳統架構 (IPC 瓶頸)" L_CPU1["CPU Core 1"] -- Copy --> L_MEM1[("Local Memory")] L_MEM1 -. IPC/Locking .-> L_MEM2[("Local Memory")] L_MEM2 -- Copy --> L_CPU2["CPU Core 2"] end subgraph "ACOS 架構 (Shared Memory)" Shared[("Global Shared Memory")] C1["CPU Core 1"] ==>|Zero Copy| Shared C2["CPU Core 2"] ==>|Zero Copy| Shared C3["CPU Core 3"] ==>|Zero Copy| Shared end style L_MEM1 fill:#f9f9f9,stroke:#333 style L_MEM2 fill:#f9f9f9,stroke:#333 style Shared fill:#00529B,stroke:#fff,color:#fff

ACOS 透過共享記憶體消除 IPC 延遲,實現多核心並行處理。

圖二:ADC 流量處理流程 (邏輯視圖)

%%{init: {'theme': 'neutral', 'themeVariables': { 'fontSize': '20px', 'actorFontSize': '24px', 'noteFontSize': '20px', 'messageFontSize': '22px' }}}%% sequenceDiagram participant User as 使用者 (Client) participant VIP as ADC (Virtual IP) participant SSL as SSL Offload Engine participant WAF as WAF/Security Module participant LB as Load Balancing Logic participant Server as 後端伺服器 (Real Server) User->>VIP: 1. 發送 HTTPS 請求 (Encrypted) VIP->>SSL: 2. 硬體解密 (SSL Termination) SSL-->>VIP: 解密後流量 (Plain Text) VIP->>WAF: 3. 檢查惡意攻擊 (SQLi/XSS) alt 攻擊檢測 WAF-->>User: Block / Reset else 安全流量 WAF->>LB: 4. 選擇最佳伺服器 (RR/Least Conn) LB->>Server: 5. 轉發請求 (Source NAT) Server-->>LB: 6. 回傳回應 LB->>SSL: 7. 加密回應 SSL-->>User: 8. 回傳 HTTPS 回應 end

四、實務應用場景

案例:電商平台「雙 11」大促銷

情境描述:

某大型電商在雙 11 期間流量暴增 10 倍,且面臨競爭對手的 DDoS 攻擊,同時所有交易必須透過 HTTPS 加密。

A10 ADC 解決方案
  • SSL Offload: 由 A10 硬體晶片處理加密,釋放 Web Server 30% 以上的 CPU 資源。
  • Connection Reuse: 減少後端 Server 建立 TCP 連線的次數 (Multiplexing)。
  • DDoS Protection: 在應用層直接過濾 SYN Flood 攻擊。
優缺點分析
優點

極大提升伺服器處理能力,單一入口管理憑證更安全。

缺點

架構較複雜,故障排除需具備網路與七層協定知識。

五、隨堂測驗 (Quiz)