F5會話保持的理解.docx

1什么是會話保持？在大多數(shù)電子商務(wù)的應(yīng)用系統(tǒng)或者需要進行用戶身份認證的在線系統(tǒng)中，一個客戶與服務(wù)器經(jīng)常經(jīng)過好幾次的交互過程才能完成一筆交易或者是一個請求的完成。由于這幾次交互過程是密切相關(guān)的，服務(wù)器在進行這些交互過程的某一個交互步驟時，往往需要了解上一次交互過程的處理結(jié)果，或者上幾步的交互過程結(jié)果，服務(wù)器進行下一步操作時就要求所有這些相關(guān)的交互過程都由一臺服務(wù)器完成，而不能被負載均衡器分散到不同的服務(wù)器上。 而這一系列的相關(guān)的交互過程可能是由客戶到服務(wù)器的一個連接的多次會話完成，也可能是在客戶與服務(wù)器之間的多個不同連接里的多次會話完成。不同連接的多次會話，最典型的例子就是基于http的訪問，一個客戶完成一筆交易可能需多次點擊，而一個新的點擊產(chǎn)生的請求，可能會重用上一次點擊建立起來的連接，也可能是一個新建的連接。 會話保持就是指在負載均衡器上有這么一種機制，可以識別做客戶與服務(wù)器之間交互過程的關(guān)連性，在作負載均衡的同時，還保證一系列相關(guān)連的訪問請求會保持分配到一臺服務(wù)器上。2F5支持什么樣的會話保持方法？ F5 Big-IP支持多種的會話保持方法，其中包括：簡單會話保持（源地址會話保持）、HTTP Header的會話保持，基于SSL Session ID的會話保持，i-Rules會話保持以及基于HTTP Cookie的會話保持，此外還有基于SIP ID以及Cache設(shè)備的會話保持等，但常用的是簡單會話保持，HTTP Header的會話保持以及 HTTP Cookie會話保持以及基于i-Rules的會話保持。2.1 簡單會話保持 簡單會話保持也被稱為基于源地址的會話保持，是指負載均衡器在作負載均衡時是根據(jù)訪問請求的源地址作為判斷關(guān)連會話的依據(jù)。對來自同一IP地址的所有訪問 請求在作負載均時都會被保持到一臺服務(wù)器上去。在BIG-IP設(shè)備上可以為“同一IP地址”通過網(wǎng)絡(luò)掩碼進行區(qū)分，比如可以通過對IP地址 進行的網(wǎng)絡(luò)掩碼，這樣只要是來自于/24這個網(wǎng)段的流量BIGIP都可以認為他們是來自于同一個用戶，這樣就將把來自于/24網(wǎng)段的流量會話保持到特定的一臺服務(wù)器上。 簡單會話保持里另外一個很重要的參數(shù)就是連接超時值，BIGIP會為每一個進行會話保持的會話設(shè)定一個時間值，當(dāng)一個會話上一次完成到這個會話下次再來之前的間隔如果小于這個超時值，BIGIP將會將新的連接進行會話保持，但如果這個間隔大于該超時值，BIGIP將會將新來的連接認為是新的會話然后進行負載平衡。 基于原地址的會話保持實現(xiàn)起來簡單，只需要根據(jù)數(shù)據(jù)包三、四層的信息就可以實現(xiàn)，效率也比較高。存在的問題就在于當(dāng)多個客戶是通過代理或地址轉(zhuǎn)換的方式來訪問服務(wù)器時，由于都分配到同一臺服務(wù)器上，會導(dǎo)致服務(wù)器之間的負載嚴重失衡。另外一種情況上客戶機數(shù)量很少，但每個客戶機都會產(chǎn)生多個并發(fā)訪問，對這些并發(fā)訪問也要求通過負載均衡器分配到多個服器上，這時基于客戶端源地址的會話保持方法也會導(dǎo)致負載均衡失效。2.2 基于Cookie的會話保持 2.2.1 Cookie插入模式： 在Cookie插入模式下，Big-IP將負責(zé)插入cookie，后端服務(wù)器無需作出任何修改 當(dāng)客戶進行第一次請求時，客戶HTTP請求（不帶cookie）進入BIG-IP， BIG-IP根據(jù)負載平衡算法策略選擇后端一臺服務(wù)器，并將請求發(fā)送至該服務(wù)器，后端服務(wù)器進行HTTP回復(fù)（不帶cookie）被發(fā)回BIGIP，然后 BIG-IP插入cookie，將HTTP回復(fù)返回到客戶端。當(dāng)客戶請求再次發(fā)生時，客戶HTTP請求（帶有上次BIGIP插入的cookie）進入 BIGIP，然后BIGIP讀出cookie里的會話保持數(shù)值，將HTTP請求（帶有與上面同樣的cookie）發(fā)到指定的服務(wù)器，然后后端服務(wù)器進行請求回復(fù)，由于服務(wù)器并不寫入cookie，HTTP回復(fù)將不帶有cookie，恢復(fù)流量再次經(jīng)過進入BIG-IP時，BIG-IP再次寫入更新后的會話保持 cookie。2.2.2 Cookie 重寫模式 當(dāng)客戶進行第一次請求時，客戶HTTP請求（不帶cookie）進入BIGIP， BIGIP根據(jù)負載均衡算法策略選擇后端一臺服務(wù)器，并將請求發(fā)送至該服務(wù)器，后端服務(wù)器進行HTTP回復(fù)一個空白的cookie并發(fā)回BIGIP，然后BIGIP重新在cookie里寫入會話保持數(shù)值，將HTTP回復(fù)返回到客戶端。當(dāng)客戶請求再次發(fā)生時，客戶HTTP請求（帶有上次BIGIP重寫的 cookie）進入BIGIP，然后BIGIP讀出cookie里的會話保持數(shù)值，將HTTP請求（帶有與上面同樣的cookie）發(fā)到指定的服務(wù)器，然后后端服務(wù)器進行請求回復(fù)，HTTP回復(fù)里又將帶有空的cookie，恢復(fù)流量再次經(jīng)過進入BIGIP時，BIGIP再次寫入更新后會話保持數(shù)值到該 cookie。2.2.3 Passive Cookie 模式，服務(wù)器使用特定信息來設(shè)置cookie。 當(dāng)客戶進行第一次請求時，客戶HTTP請求（不帶cookie）進入BIGIP， BIGIP根據(jù)負載平衡算法策略選擇后端一臺服務(wù)器，并將請求發(fā)送至該服務(wù)器，后端服務(wù)器進行HTTP回復(fù)一個cookie并發(fā)回BIGIP，然后 BIGIP將帶有服務(wù)器寫的cookie值的HTTP回復(fù)返回到客戶端。當(dāng)客戶請求再次發(fā)生時，客戶HTTP請求（帶有上次服務(wù)器寫的cookie）進入 BIGIP，然后BIGIP根據(jù)cookie里的會話保持數(shù)值，將HTTP請求（帶有與上面同樣的cookie）發(fā)到指定的服務(wù)器，然后后端服務(wù)器進行請 求回復(fù)，HTTP回復(fù)里又將帶有更新的會話保持cookie，恢復(fù)流量再次經(jīng)過進入BIGIP時，BIGIP將帶有該cookie的請求回復(fù)給客戶端。2.2.4 Cookie Hash模式： 當(dāng)客戶進行第一次請求時，客戶HTTP請求（不帶cookie）進入BIGIP， BIGIP根據(jù)負載均衡算法策略選擇后端一臺服務(wù)器，并將請求發(fā)送至該服務(wù)器，后端服務(wù)器進行HTTP回復(fù)一個cookie并發(fā)回BIGIP，然后 BIGIP將帶有服務(wù)器寫的cookie值的HTTP回復(fù)返回到客戶端。當(dāng)客戶請求再次發(fā)生時，客戶HTTP請求（帶有上次服務(wù)器寫的cookie）進入 BIGIP，然后BIGIP根據(jù)cookie里的一定的某個字節(jié)的字節(jié)數(shù)來決定后臺服務(wù)器接受請求，將HTTP請求（帶有與上面同樣的cookie）發(fā)到指定的服務(wù)器，然后后端服務(wù)器進行請求回復(fù)，HTTP回復(fù)里又將帶有更新后的cookie，恢復(fù)流量再次經(jīng)過進入BIGIP時，BIGIP將帶有該 cookie的請求回復(fù)給客戶端。2.3 SSL Session ID會話保持 在用戶的SSL訪問系統(tǒng)的環(huán)境里，當(dāng)SSL對話首次建立時，用戶與服務(wù)器進行首次信息交換以：1交換安全證書，2）商議加密和壓縮方法，3）為每條對話 建立Session ID。由于該Session ID在系統(tǒng)中是一個唯一數(shù)值，由此，BIGIP可以應(yīng)用該數(shù)值來進行會話保持。當(dāng)用戶想與該服務(wù)器再次建立連接時，BIGIP可以通過會話中的 SSL Session ID識別該用戶并進行會話保持。 基于SSL Session ID的會話保持就需要客戶瀏覽器在進行會話的過程中始終保持其SSL Session ID不變，但實際上，微軟Internet Explorer被發(fā)現(xiàn)在經(jīng)過特定一段時間后將主動改變SSL Session ID，(IE標(biāo)準緩存SSL ID 5分鐘，BIGIPLTM默認緩存SSL ID 1小時)這就使基于SSL Session ID的會話保持實際應(yīng)用范圍大大縮小。2.4 基于HTTP Header的會話保持BIGIP可以根據(jù)用戶HTTP訪問里http包頭信息信息進行會話保持，HTTP包頭里包含以下信息，BIGIP可以將用戶訪問里這些信息通過表達式來獲得相應(yīng)的數(shù)值從而進行會話保持。 Accept：瀏覽器可接受的MIME類型。 Accept-Charset：瀏覽器可接受的字符集。 Accept-Encoding：瀏覽器能夠進行解碼的數(shù)據(jù)編碼方式，比如gzip。Servlet能夠向支持gzip的瀏覽器返回經(jīng)gzip編碼的HTML頁面。許多情形下這可以減少5到10倍的下載時間。 Accept-Language：瀏覽器所希望的語言種類，當(dāng)服務(wù)器能夠提供一種以上的語言版本時要用到。 Authorization：授權(quán)信息，通常出現(xiàn)在對服務(wù)器發(fā)送的WWW-Authenticate頭的應(yīng)答中。 Connection：表示是否需要持久連接。如果Servlet看到這里的值為“Keep-Alive”，或者看到請求使用的是HTTP 1.1（HTTP 1.1默認進行持久連接），它就可以利用持久連接的優(yōu)點，當(dāng)頁面包含多個元素時（例如Applet，圖片），顯著地減少下載所需要的時間。要實現(xiàn)這一點，Servlet需要在應(yīng)答中發(fā)送一個Content-Length頭，最簡單的實現(xiàn)方法是：先把內(nèi)容寫入ByteArrayOutputStream，然后在正式寫出內(nèi)容之前計算它的大小。 Content-Length：表示請求消息正文的長度。 Cookie：這是最重要的請求頭信息之一，參見后面Cookie處理一章中的討論。 From：請求發(fā)送者的email地址，由一些特殊的Web客戶程序使用，瀏覽器不會用到它。 Host：初始URL中的主機和端口。 If-Modified-Since：只有當(dāng)所請求的內(nèi)容在指定的日期之后又經(jīng)過修改才返回它，否則返回304“Not Modified”應(yīng)答。 Pragma：指定“no-cache”值表示服務(wù)器必須返回一個刷新后的文檔，即使它是代理服務(wù)器而且已經(jīng)有了頁面的本地拷貝。 Referer：包含一個URL，用戶從該URL代表的頁面出發(fā)訪問當(dāng)前請求的頁面。 User-Agent：瀏覽器類型，如果Servlet返回的內(nèi)容與瀏覽器類型有關(guān)則該值非常有用。2.5 基于I-Rules的會話保持BIGIP交換機內(nèi)置有強大的搜索引擎，可以高效的探測到網(wǎng)絡(luò)流量中的IP包內(nèi)容的部分，并可以讀出該IP包內(nèi)容部分的進行會話保持，這些內(nèi)容部分包括如下部分:下面是一個BIGIP根據(jù)IRULES進行會話保持的范例：if (http_uri ends_with “.gif”) use pool image_serverselse if (http_uri starts_with “/foo”) use pool foo_serverselse if (http_cookie(“XYZ-Type”) = “direct”) use pool cookie_serverselse if (findstr(http_uri, “?type=”, 6, “&”) = “cgi”) use pool cgi_serverselse use pool web_servers在此I-Rules里，可以看到，如果用戶的uri部分以.gif字段結(jié)尾，也就是說如果用戶訪問的是圖片服務(wù)器，則將用戶的訪問會話保持在圖片服務(wù)器上；而如果用戶的uri部分以/foo開始，則將會話保持到相應(yīng)的服務(wù)器上。同樣，根據(jù)用戶訪問中的cookie字段以及uri里面的某個特定便宜字段里是否與規(guī)定的類型相符，從而進行相應(yīng)的會話保持。服務(wù)器實際地址與端口提供服務(wù)的真實服務(wù)器IP地址與提供服務(wù)的端口。對外服務(wù)地址與端口F5設(shè)備向外提供服務(wù)的IP地址與端口，此選項可向網(wǎng)絡(luò)處申請。負載均衡算法F5設(shè)備向服務(wù)器下發(fā)請求的分發(fā)方式。F5設(shè)備默認的是輪詢,（例如：有兩個提供服務(wù)的真實服務(wù)器，F(xiàn)5會把兩個請求分別分配給服務(wù)器1和服務(wù)器2）會話保持類型會話保持可以將一個客戶的持續(xù)請求落在一臺服務(wù)器上。常用的會話保持類型有cookie與源地址方式。F5設(shè)備默認無會話保持。會話保持時間可以自定義需要保持的會話在多長時間內(nèi)有效，或者只基于瀏覽器創(chuàng)建的一個會話。長連接保持一個連接的有效性?？蛻粝蛱峁┓?wù)的真實服務(wù)器先建立起通訊的連接，連接建立后并不斷開（是否斷開由長連接的時間決定），然后再進行報文的傳輸。長連接時間 F5默認5分鐘允許一個連接空閑的時間有多長，F(xiàn)5設(shè)備默認的是5分鐘，也就是在5分鐘內(nèi)F5設(shè)備不會中斷此連接?；ピL關(guān)系提供服務(wù)的服務(wù)器與服務(wù)器之間是否存在互訪關(guān)系。透傳源地址業(yè)務(wù)層面是否需要對客戶的真實地址做了解，如果需要,F5設(shè)備將配置透傳客戶的源地址信息給后端提供服務(wù)的服務(wù)器。探測類型要求F5設(shè)備使用哪種類型做提供服務(wù)的服務(wù)器健康檢查（健康檢查就是F5設(shè)備檢查提供服務(wù)的真實服務(wù)器是否可用的代名詞）。在行內(nèi)常用到的有HTTP與TELNET，（例如，F(xiàn)5配置了Telnet的類型后，F(xiàn)5設(shè)備就會定期對提供服務(wù)的真實服務(wù)器發(fā)送telnet的探測包，如果在定義的時間內(nèi)沒有返回信息給F5，F(xiàn)5便會停止此真實服務(wù)器對外提供服務(wù)。但F5會一直按照規(guī)定發(fā)送Telnet探測包至服務(wù)器，直到服務(wù)器給予正確的回應(yīng)后，F(xiàn)5便恢復(fù)此服務(wù)器。）檢查條件根據(jù)在檢查類型中定義的類型，來填寫檢查條件，（例如“檢查類型”填寫的是ICMP，“檢查條件”應(yīng)填寫）成功返回值如果檢查類型填寫的是HTTP或者其他自定義的類型，那么在成功返回值中應(yīng)該填寫真實服務(wù)器正確返回給F5的是什么信息，F(xiàn)5即認為服務(wù)器是可用的。探測包發(fā)送間隔第一次探測與第二次探測的間隔時間。F5設(shè)備默認的間隔時間是5秒鐘。即F5設(shè)備會每隔5秒鐘對真實服務(wù)器發(fā)送一次探測包，來探測真實服務(wù)器是否正常。探測包重傳次數(shù)連續(xù)探測多少次服務(wù)器。F5設(shè)備默認的次數(shù)是3次。即F5設(shè)備會每隔5秒鐘對真實服務(wù)器做狀態(tài)探測，如果連續(xù)3次沒有返回給F5正確的信息后，F(xiàn)5便會將此真實服務(wù)器從提供服務(wù)的服務(wù)組里面摘除，直到其變?yōu)榭捎梅?wù)器后在放回提供服務(wù)的服務(wù)組里面。服務(wù)器最大響應(yīng)時間提供服務(wù)的真實服務(wù)器在停止多長時間沒有給F5正確的探測回應(yīng)，F(xiàn)5便可以把此服務(wù)器從提供服務(wù)的服務(wù)組里面摘除。F5設(shè)備默認的是：間隔時間重傳次數(shù)+1=最大響應(yīng)時間。（例如：F5設(shè)備默認的發(fā)送間隔是5秒鐘，重傳次數(shù)是3次，那么最大響應(yīng)時間應(yīng)該是53+1=16秒）一、負載均衡算法隨機 （Random） 隨機分發(fā)輪詢（Round Robin） 將請求依次順序循環(huán)地分發(fā)給服務(wù)器，從1到N然后重新開始。此種均衡算法適合于服務(wù)器組中的所有服務(wù)器都有相同的軟硬件配置并且平均服務(wù)請求相對均衡的情況。權(quán)重（Weighted Round Robi