A10

A10 Networks Thunder 實戰課程

第二階段:高可用性與進階派送 (Level 2 - Core Skills)

L3V (Application Delivery Partitions)

本章節將深入探討如何透過應用程式交付分割 (ADP) 技術,在單一台 A10 Thunder 設備上實現多租戶 (Multi-tenancy) 環境,達成資源隔離與高效管理的目標。

一、核心概念 (Concept)

一句話定義

L3V (Layer 3 Virtualization) 是 A10 ACOS 系統中的虛擬化技術,它能將一台實體的 Thunder 設備切割成多個邏輯上獨立運作的 ADC (Application Delivery Controller),彼此擁有獨立的配置檔與路由表。

生活化比喻:商務辦公大樓

想像一台 A10 Thunder 就像一棟 頂級商務辦公大樓

  • 1
    Shared Partition (共享分區) 就像「大樓物業管理處」:
    他們掌管整棟大樓的基礎設施(水電、電梯、大門進出),也就是設備的實體介面 (Interface)、VLAN 和系統維護。所有進出的訪客(封包)都必須先經過大廳。
  • 2
    Private Partition (私有分區) 就像「各個承租戶的辦公室」:
    A 公司 (行銷部) 和 B 公司 (財務部) 租在不同樓層。他們擁有自己的門禁卡、內部分機表 (IP Routing Table) 和辦公設備 (SLB VIPs)。A 公司的員工看不到 B 公司的機密文件,彼此完全隔離。

二、運作原理 (Mechanism)

技術細節

  • 1. 層級架構 (Hierarchy):
    所有配置分為 Global (全域) 與 Local (分區)。物理資源 (Interface, VLAN trunk) 屬於 Global/Shared;邏輯資源 (VIP, NAT Pool, aFleX) 屬於 Local Partition。
  • 2. 封包流向 (Packet Flow):
    當封包進入實體介面時,系統根據 VLAN IDMAC Address 判斷該封包屬於哪個 Partition,然後將其「轉發」到該虛擬環境中處理。
  • 3. 路由隔離 (Route Isolation):
    每個 Partition 擁有獨立的 VRF (Virtual Routing and Forwarding)。這意味著 Partition A 和 Partition B 可以使用完全相同的 Private IP (例如 192.168.1.100) 而不會發生衝突。

資源隔離與權限

管理權限:Admin 可被限制只能登入特定的 Partition,無法看到其他分區設定。
資源配額 (Quotas):可限制每個 Partition 能使用的 SSL Session 數、頻寬 (Bandwidth) 或連線數 (Concurrent Connections)。
關鍵參數:active-partition <name> (切換分區指令)、shared-partition (預設管理區)。

三、架構視覺化 (Visuals)

圖 1: A10 ADP 邏輯架構示意圖

graph TD %% 實體層定義 subgraph Hardware [實體層 Hardware Layer] P1[Port 1] P2[Port 2] SW[ASIC / Switch Fabric] end %% 共享層定義 subgraph Shared [Shared Partition 管理層] L1[L1/L2 Config] VLAN[VLAN / Trunk] System[System Resources] end %% 分區 A 定義 subgraph PartA [Partition A - Finance] R1[Routing Table A] SLB1[VIPs 10.1.1.x] User1[Admin: Bob] end %% 分區 B 定義 subgraph PartB [Partition B - Marketing] R2[Routing Table B] SLB2[VIPs 192.168.1.x] User2[Admin: Alice] end %% 連線關係 P1 --- SW P2 --- SW SW ==> L1 L1 --- VLAN VLAN --- System %% 資源分配連線 (虛線) System -.- |Resource Allocation| R1 System -.- |Resource Allocation| R2 %% 樣式設定 style Hardware fill:#002758,stroke:#333,stroke-width:2px,color:#fff style Shared fill:#F58220,stroke:#333,stroke-width:2px,color:#fff style PartA fill:#fff,stroke:#C60C30,stroke-width:2px style PartB fill:#fff,stroke:#C60C30,stroke-width:2px style SW fill:#333,color:#fff

圖 2: 封包處理流程 (Sequence Diagram)

sequenceDiagram participant Client participant Phy as 實體介面 participant Shared as Shared Partition participant Private as Private Partition participant Server as Real Server Client->>Phy: 1. 發送請求 (Tag: VLAN 100) Phy->>Shared: 2. L2 解析 (Match VLAN) Note over Shared: 查找 VLAN 100 屬於哪個 Partition Shared->>Private: 3. Context Switch (切換環境) Note over Private: 獨立的 L3 路由表 & SLB 策略 Private->>Server: 4. 轉送至後端 (Source NAT) Server-->>Private: 5. 回應封包 Private-->>Shared: 6. 封裝回傳 Shared-->>Client: 7. 回應 Client

四、實務應用場景 (Use Case)

案例:金控集團的網段隔離

某大型金控集團擁有一台高效能的 Thunder 5430,需要同時服務「網路銀行 (Internet)」與「內部人資系統 (Intranet)」。

Partition 1: Internet-Banking

面向公眾,需要極高的並發連線數 (Concurrent) 與 DDoS 防護。配置高優先級的 CPU 資源。

Partition 2: Internal-HR

僅限內網存取,流量較小。IP 網段可能與外部衝突 (Overlapping IP),但在 L3V 中完全不受影響。

優點 (Pros)
  • 成本節省 (CapEx):不需要買兩台硬體設備,省電費、機櫃空間。
  • 安全性高:HR 系統管理員無法誤觸或讀取網銀的配置。
  • 彈性擴充:若網銀流量暴增,可動態調配閒置資源給它。
缺點 (Cons)
  • 單點故障風險:若實體硬體故障 (Power/Fan),所有分區同時停擺 (需搭配 HA 規劃)。
  • 資源競爭:若未設定 Quota,某分區遭受攻擊可能耗盡系統 CPU。

五、隨堂測驗 (Quiz)