F5服務(wù)器負(fù)載均衡解決方案

1、F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議F5 Networks服務(wù)器均衡負(fù)載服務(wù)器均衡負(fù)載解決方案建議解決方案建議F5 Networks2005-3-3F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議目目 錄錄一解決方案一解決方案.31.1 網(wǎng)絡(luò)拓樸圖（僅供參考）.31.2 方案描述.4F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議一解決方案一解決方案1.1 網(wǎng)絡(luò)拓樸圖（僅供參考）網(wǎng)絡(luò)拓樸圖（僅供參考） 業(yè)界領(lǐng)先的全千兆負(fù)載均衡解決方案：（千兆光纖端口千兆以太網(wǎng)端口）F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議1.2 方案描述方案描

2、述方案中，建議采用兩臺(tái) F5 公司的 IP 應(yīng)用交換機(jī) BIGIP 安全流量交換機(jī) 6400 作為冗余，為中間件服務(wù)器和應(yīng)用服務(wù)器做負(fù)載均衡，并且 SSL 加速功能。所有服務(wù)器均配置冗余千兆網(wǎng)卡與兩臺(tái) BIGIP6400 相連，這樣無(wú)論是其中的一個(gè)服務(wù)器網(wǎng)卡故障還是一臺(tái) BIGIP6400 故障，都不影響業(yè)務(wù)的正常運(yùn)行。服務(wù)器負(fù)載均衡服務(wù)器負(fù)載均衡BIG/IP 利用虛擬 IP 地址（VIP 由 IP 地址和 TCP/UDP 應(yīng)用的端口組成，它是一個(gè)地址和端口的組合）來(lái)為用戶的一個(gè)或多個(gè)目標(biāo)服務(wù)器（稱為節(jié)點(diǎn)：目標(biāo)服務(wù)器的 IP 地址和TCP/UDP 應(yīng)用的端口組成，它可以是 internet 的

3、私網(wǎng)保留地址）提供服務(wù)。因此，它能夠?yàn)榇罅康幕?TCP/IP 的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。BIG/IP 連續(xù)地對(duì)目標(biāo)服務(wù)器進(jìn)行L4 到 L7 合理性檢查，當(dāng)用戶通過(guò) VIP 請(qǐng)求目標(biāo)服務(wù)器服務(wù)時(shí)，BIG/IP 根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶的請(qǐng)求。BIG/IP 能夠充分利用所有的服務(wù)器資源，將所有流量均衡的分配到各個(gè)服務(wù)器，從而有效地避免“不平衡”現(xiàn)象的發(fā)生。BIGIP 是一臺(tái)對(duì)流量和內(nèi)容進(jìn)行管理分配的設(shè)備。它提供 12 種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對(duì)用戶，只是一臺(tái)虛擬服務(wù)器。用戶此時(shí)只須記住一臺(tái)服務(wù)器，即虛擬服務(wù)器。但他

4、們的數(shù)據(jù)流卻被 BIGIP 靈活地均衡到所有的服務(wù)器。這 12 種算法包括： 輪詢（RoundRobin）：順序循環(huán)將請(qǐng)求一次順序循環(huán)地連接每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第 7 層的故障，BIG/IP 就把其從順序循環(huán)隊(duì)列中拿出，不參加下一次的輪詢，直到其恢復(fù)正常。比率（Ratio）：給每個(gè)服務(wù)器分配一個(gè)加權(quán)值為比例，根椐這個(gè)比例，把用戶的請(qǐng)求分配到每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第 7 層的故障，BIG/IP 就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。 優(yōu)先權(quán)（Priority）：給所有服務(wù)器分組，給每個(gè)組定義優(yōu)先權(quán)，BIG/IP 用戶的請(qǐng)求，分配

5、給優(yōu)先級(jí)最高的服務(wù)器組（在同一組內(nèi)，采用輪詢或比率算法，分配用戶的請(qǐng)求） ；當(dāng)最高優(yōu)先級(jí)中所有服務(wù)器出現(xiàn)故障，BIG/IP 才將請(qǐng)求送給次優(yōu)先級(jí)的服務(wù)器組。這種方式，實(shí)際為用戶提供一種熱備份的方式。最少的連接方式（LeastConnection）：傳遞新的連接給那些進(jìn)行最少連接處理的服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第 7 層的故障，BIG/IP 就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。 最快模式（Fastest）：傳遞連接給那些響應(yīng)最快的服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第 7 層F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議的故障，BIG/IP

6、 就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。觀察模式（Observed）：連接數(shù)目和響應(yīng)時(shí)間以這兩項(xiàng)的最佳平衡為依據(jù)為新的請(qǐng)求選擇服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第 7 層的故障，BIG/IP 就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。預(yù)測(cè)模式（Predictive）：BIG/IP 利用收集到的服務(wù)器當(dāng)前的性能指標(biāo)，進(jìn)行預(yù)測(cè)分析，選擇一臺(tái)服務(wù)器在下一個(gè)時(shí)間片內(nèi)，其性能將達(dá)到最佳的服務(wù)器相應(yīng)用戶的請(qǐng)求。(被 big/ip 進(jìn)行檢測(cè))動(dòng)態(tài)性能分配（DynamicRatio-APM):BIG/IP 收集到的應(yīng)用程序和應(yīng)用服務(wù)器的各項(xiàng)性能參

7、數(shù)，動(dòng)態(tài)調(diào)整流量分配。動(dòng)態(tài)服務(wù)器補(bǔ)充（DynamicServerAct.):當(dāng)主服務(wù)器群中因故障導(dǎo)致數(shù)量減少時(shí)，動(dòng)態(tài)地將備份服務(wù)器補(bǔ)充至主服務(wù)器群。 服務(wù)質(zhì)量(QoS)：按不同的優(yōu)先級(jí)對(duì)數(shù)據(jù)流進(jìn)行分配。 服務(wù)類型(ToS)：按不同的服務(wù)類型（在 TypeofField 中標(biāo)識(shí)）對(duì)數(shù)據(jù)流進(jìn)行分配。 規(guī)則模式：針對(duì)不同的數(shù)據(jù)流設(shè)置導(dǎo)向規(guī)則，用戶可自行編輯流量分配規(guī)則，BIG/IP 利用這些規(guī)則對(duì)通過(guò)的數(shù)據(jù)流實(shí)施導(dǎo)向控制。當(dāng)出現(xiàn)流量“峰值”時(shí)，如果能調(diào)配所有服務(wù)器的資源同時(shí)提供服務(wù)，所謂的“峰值堵塞”壓力就會(huì)由于系統(tǒng)性能的大大提高而明顯減弱。由于 BIGIP 優(yōu)秀的負(fù)載均衡能力，所有流量會(huì)被均衡的轉(zhuǎn)

8、發(fā)到各個(gè)服務(wù)器，即組織所有服務(wù)器提供服務(wù)。這時(shí)，系統(tǒng)性能等于所有服務(wù)器性能的總和，遠(yuǎn)大于流量“峰值”。這樣，即緩解了“峰值堵塞”的壓力，又降低了為調(diào)整系統(tǒng)性能而增加的投資。F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議多種服務(wù)器狀態(tài)監(jiān)測(cè)手段多種服務(wù)器狀態(tài)監(jiān)測(cè)手段BIGIP 支持采用 ICMP，TCP/UDP，ECV，EAV，iControl 等各種方法對(duì)服務(wù)器或應(yīng)用狀態(tài)進(jìn)行健康檢查。ICMP：第 2/3 層的健康檢查方法，采用 Ping 的方法檢查服務(wù)器是否 alive。TCP/UDP：第 4 層的健康檢查方法，檢查相應(yīng)的 TCP/UDP 端口是否激活來(lái)確定 Service 的狀

9、態(tài)。ECV：擴(kuò)展內(nèi)容驗(yàn)證，第 7 層的健康檢查方法。模擬客戶端向服務(wù)器發(fā)出請(qǐng)求，檢查接收數(shù)據(jù)中是否含有期望的字符串來(lái)確定應(yīng)用的狀態(tài)。EAV：擴(kuò)展應(yīng)用驗(yàn)證，嵌入式、個(gè)性化的健康檢查方法?？梢允褂胹hell script 或 perl 語(yǔ)言等嵌入程序執(zhí)行 EAV，對(duì)服務(wù)器進(jìn)行多層步驟、復(fù)雜的健康檢查。一般開發(fā) EAV 需要三天左右的時(shí)間。iControl：主動(dòng)式的健康檢查方法。讓服務(wù)器或應(yīng)用來(lái)告訴BIGIP，它的健康狀態(tài)。一般開發(fā) iControl 需要三個(gè)月甚至更長(zhǎng)的時(shí)間。 方案的特色：實(shí)時(shí)監(jiān)控服務(wù)器應(yīng)用系統(tǒng)的狀態(tài)，并智能屏蔽故障應(yīng)用系統(tǒng)實(shí)現(xiàn)多臺(tái)服務(wù)器的負(fù)載均衡，提升系統(tǒng)的可靠性提供服務(wù)器在線維

10、護(hù)和調(diào)試的手段可以對(duì)服務(wù)器提供流量限制和安全保護(hù)F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議負(fù)載均衡流程原理說(shuō)明：1)在負(fù)載均衡器內(nèi)預(yù)先配置相應(yīng)的策略，將許多真實(shí)的服務(wù)器群規(guī)劃成一個(gè)Pool（服務(wù)器池） ；以及規(guī)劃一個(gè)客戶訪問(wèn)接口虛擬服務(wù)器Virtual Server。2)用戶的請(qǐng)求通過(guò)域名解析，到達(dá)負(fù)載均衡器的Virtual Server；3)負(fù)載均衡器根據(jù)預(yù)先配置和定義的負(fù)載均衡策略（4層至7層）作出判斷，將用戶請(qǐng)求轉(zhuǎn)發(fā)到的最合適的服務(wù)器。4)服務(wù)器處理用戶的請(qǐng)求，再由負(fù)載均衡器將處理結(jié)果返回用戶。全新的硬件平臺(tái)全新的硬件平臺(tái)提供液晶面板顯示設(shè)備工作狀態(tài)和報(bào)警，選配提供關(guān)鍵

11、易損部件的冗余配置和熱插拔更換，包括電源，風(fēng)扇業(yè)界領(lǐng)先的流量處理過(guò)程：業(yè)界領(lǐng)先的流量處理過(guò)程：F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議內(nèi)置內(nèi)置 SSL 硬件加速功能硬件加速功能F5 BIGIP 6400 內(nèi)置了 SSL 硬件加速卡，并且免費(fèi)提供 100TPS 的并發(fā) SSL（HTTPS）訪問(wèn)，最大支持 15000TPS。并且，得到公認(rèn)的國(guó)內(nèi) CA 機(jī)構(gòu)的認(rèn)可，例如中國(guó)國(guó)際金融認(rèn)證中心 CFCA。進(jìn)行密文傳輸 HTTP 信息，勢(shì)必需要使用 SSL 加密用戶數(shù)據(jù)。F5 公司提供硬件的 SSL加密解密方案。通過(guò)轉(zhuǎn)移大量占用 服務(wù)器 CPU 的 SSL 協(xié)商， 提高 SSL 流量和

12、改善Web 服務(wù)器性能。通過(guò)優(yōu)化服務(wù)器處理更多的通信量來(lái)降低成本。與在每一臺(tái)服務(wù)器上插入加密加速器卡相比，利用 F5 的負(fù)載均衡設(shè)備中內(nèi)置的 SSL 加密加速功能，節(jié)省了成本，提高了性能。毫秒級(jí)冗余切換機(jī)制，提高系統(tǒng)的可靠性毫秒級(jí)冗余切換機(jī)制，提高系統(tǒng)的可靠性安全：更高的攻擊防護(hù)安全：更高的攻擊防護(hù) 這種防護(hù)不僅可以阻止攻擊，同時(shí)還可以為合法用戶提供即時(shí)服務(wù)。從這兩方面來(lái)看，BIG-IP 均提供了一整套安全服務(wù)，在提高網(wǎng)絡(luò)和應(yīng)用的安全性方面扮演了日益重要的角色。從增強(qiáng)網(wǎng)絡(luò)和協(xié)議級(jí)安全性到過(guò)濾應(yīng)用攻擊，BIG-IP 都可以部署在關(guān)鍵網(wǎng)關(guān)上，來(lái)出色的保護(hù)您的珍貴資源：運(yùn)行業(yè)務(wù)的應(yīng)用。支持應(yīng)用安全性

13、 資源隱藏資源隱藏 BIG-IP 將全部應(yīng)用、服務(wù)器錯(cuò)誤代碼和真實(shí) URL 地址進(jìn)行虛擬化并隱藏 ， 因?yàn)檫@些信息可能會(huì)給黑客提供攻擊其基礎(chǔ)設(shè)施、服務(wù)以及相關(guān)漏洞的線索。 F5 Networks 服務(wù)器負(fù)載均衡（SLB）解決方案建議定制應(yīng)用攻擊過(guò)濾定制應(yīng)用攻擊過(guò)濾 BIG-IP 的完整檢查能力 及基于事件的規(guī)則提供了一項(xiàng)強(qiáng)大的能力 ， 可搜索并應(yīng)用各種規(guī)則來(lái)阻止 L7 層攻擊 同時(shí)也可以定義策略來(lái)阻止特定訪問(wèn)或禁止某些命令的執(zhí)行。此外，BIG-IP 在為合法用戶持續(xù)提供流量的同時(shí)，還可提供其它安全保護(hù)層，以防范黑客、病毒和蠕蟲的攻擊（如紅色代碼蠕蟲） 。 集中認(rèn)證集中認(rèn)證 BIG-IP 可作為

14、各種流量類型的認(rèn)證代理 ，使 企業(yè)能夠?yàn)?BIG-IP 系統(tǒng)上的應(yīng)用提供最高級(jí)的認(rèn)證。這種功能使各類應(yīng)用又多了一道遠(yuǎn)離自身的網(wǎng)絡(luò)安全防線，為其Web 和應(yīng)用層提供了進(jìn)一步的保護(hù)。 增加關(guān)鍵內(nèi)容保護(hù) 提供行業(yè)內(nèi)最具 選擇性的加密選擇性的加密 方法，來(lái)對(duì)數(shù)據(jù)進(jìn)行整體、部分或有條件地加密 。這種精細(xì)的控制方法可保護(hù)并優(yōu)化不同環(huán)境下的通信。 cookies 加密加密 和其它令牌都透明地分配給合法用戶。企業(yè)可獲得全部狀態(tài)應(yīng)用（電子商務(wù)、CRP、EPR 和其它關(guān)鍵業(yè)務(wù)應(yīng)用等）出色的安全性和更高一級(jí)的用戶身份信任支持更高標(biāo)準(zhǔn) 的的 AES（ 高級(jí)高級(jí) SSL 加密標(biāo)準(zhǔn)加密標(biāo)準(zhǔn) ） 算法 ， 采用市場(chǎng)上最安全的 SSL 加密技術(shù) ， 無(wú)需額外處理成本。 內(nèi)容保護(hù)內(nèi)容保護(hù) 防止企業(yè)的敏感文件或內(nèi)容遺留在站點(diǎn)上。 防御海量攻擊 BIG-IP 包含豐富的 安全特性集 ，可 全面防御拒絕服務(wù) （ DoS） 攻擊、同步攻擊 （ SYN Flood）和 其他基于網(wǎng)絡(luò)的攻擊。 諸如 SYNCheck 等特性可為部署在 BIG-IP 設(shè)備后的服務(wù)器提供全面的同步攻擊 （ SYN Flood） 保護(hù)。此時(shí)，BIG-IP 作為安全代理，來(lái)有效地保護(hù)整個(gè)網(wǎng)絡(luò)。 與 Dynamic Reaping 特性相結(jié)合，BIG-IP 設(shè)備可安全地