四层负载均衡和七层负载均衡区别在哪里？

年后至今这段时间工作重心都在调整公司现有API Gateway的系统架构以及对现有技术栈选型。经过对主流互联网网关所实现各种方案的调研，我们在API Gateway前置一层接入层，接入层主要用于实现限流、黑白名单、负载均衡等功能。其中选择负载均衡有两种方案:选用四层负载均衡还是七层负载均衡呢？四层与七层的主要区别在哪里呢？

OSI（Open System Interconnection）七层参考模型，是参考模型是国际标准化组织（ISO）制定的一个用于计算机或通信系统间互联的标准体系。它从低到高分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。四层工作在OSI第四层，也就是传输层；七层工作在高层，也就是应用层。

1、从技术实现原理上

所谓四层负载均衡就是使用IP加端口的方式进行路由转发；七层负载均衡一般是基于请求URL地址的方式进行代理转发。同理，还有基于MAC地址信息(虚拟MAC地址到真实MAC地址)进行转发的二层负载均衡和基于IP地址(虚拟IP到真实IP)的三层负载均衡。

四层负载均衡具体实现方式为：通过报文中的IP地址和端口，再加上负载均衡设备所采用的负载均衡算法，终确定选择后端哪台下游服务器。以TCP为例，客户端向负载均衡发送SYN请求建立次连接，通过配置的负载均衡算法选择一台后端服务器，并且将报文中的IP地址信息修改为后台服务器的IP地址信息，因此TCP三次握手连接是与后端服务器直接建立起来的。

七层服务均衡在应用层选择服务器，只能先与负载均衡设备进行TCP连接，然后负载均衡设备再与后端服务器建立另外一条TCP连接通道。因此，七层设备在网络性能损耗会更多一些。

2、从安全视角上

四层负载均衡与服务器直接建立起TCP连接，很容易遭受SYN Flood攻击。SYN Flood是一种广为人知的DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。从技术实现原理上可以看出，四层负载均衡很容易将垃圾流量转发至后台服务器，而七层设备则可以过滤这些恶意并清洗这些流量，但要求设备本身具备很强的抗DDOS流量的能力。

3、常见四层和七层负载均衡设备

四层: F5、LVS等

七层: nginx、apache等

作者个人主页： http://www.geek-make.com/