如果您的用户通过防火墙浏览，他们有时具有负载平衡等能力。说到 FortiGate 设备，它被称为虚拟服务器。

你给它一个IP地址，DNS服务器指向的那个，然后你给它一个或多个IP地址，那些托管服务的服务器。您可以选择不同的负载平衡方法，甚至对这些 IP 进行健康检查。

缺点是，（AFAIK）流量在任何情况下都会通过此防火墙：假设您有 SiteA 和 SiteB，您的主要服务和防火墙位于 Site1，您的负载均衡器将您的流量指向 SiteA 中的 IP 和SiteB 中的辅助 IP。现在，如果不仅服务失败，而且 SiteA 的整个上行链路或基础设施失败，并且 SiteA 的防火墙不可用，那么负载均衡器显然不会将流量引导到 SiteB。

由于 DNS 缓存，使用 DNS 名称并即时更改这些名称会留下相当长的时间间隔。

在（主题）网络/传输层上，您可以在负载均衡器（集群）上使用 NAT 并隐藏其背后的真实主机地址（由于 NAT 很容易但很尴尬，可能需要一些强大的硬件），或者使用虚拟IP地址（更优雅）：

• 每台服务器使用两个地址：一个用于管理和同步的专用地址，一个与故障转移伙伴共享并供客户使用的虚拟地址。
• 通常，您将所有虚拟地址路由到您的主数据中心
• 对于故障转移，您只需更改虚拟地址范围（或单个地址）的路由。这可以通过路由通告或在前端路由器（集群）上完成。

无论如何，请确保您有一个良好的恢复方案以恢复正常运行——在故障转移后，需要暂时反转同步/复制方向以更新主要生产服务器。这通常比跨位置镜像应用程序数据困难得多。