F5-BIGIP負載均衡器培訓

1、主講：xhj日期：2022年10月12日F5 BIG-IP LTM負載均衡器培訓學習目標標了解負載載均衡器器的概念念熟悉F5負載均衡衡器產(chǎn)品品能夠?qū)5負載均衡衡器進行行規(guī)劃和和配置學習完本本課程，您應該該能夠：內(nèi)容負載均衡衡器概念念F5負載均衡衡器介紹紹F5負載均衡衡器配置置步驟F5負載均衡衡器的維維護F5的常見組組網(wǎng)方式式什么叫負負載均衡衡器什么是負負載均衡衡器？服務(wù)器負負載均衡衡器是指指設(shè)置在在一組功能相同同或相似似的服務(wù)務(wù)器前端端，對到達達服務(wù)器器組的流量進行合理理分發(fā)，并在其其中某一一臺服務(wù)務(wù)器故障時，能將將訪問請求轉(zhuǎn)移移到其它可可以正常常工作的的服務(wù)器器的軟件件或網(wǎng)絡(luò)絡(luò)設(shè)備。SLB

2、是服務(wù)器器負載均均衡(Server LoadBalancing)的簡稱。服務(wù)器器負載均均衡又可可以分為為局域網(wǎng)網(wǎng)服務(wù)器器負載均均衡與廣廣域網(wǎng)服服務(wù)器負負載均衡衡(Global ServerLoad Balancing)。狹義的的SLB是指局域域網(wǎng)服務(wù)務(wù)器負載載均衡，與廣域域網(wǎng)服務(wù)務(wù)器負載載均衡（GSLB）相對。采用負載載均衡器器有什么么優(yōu)點采用負載載均衡器器的優(yōu)點點：原有的系系統(tǒng)只部部署了一一臺服務(wù)務(wù)器，隨隨著訪問問量的增增加，一一臺服務(wù)務(wù)器已經(jīng)經(jīng)不能滿滿足應用用的需要要，而需需要增加加更多的的服務(wù)器器。當部署了了兩臺以以上的服服務(wù)器時時，就可可能會需需要用到到負載均均衡器。通過服服務(wù)器負負均

3、衡器器，對流流量進行行合理分分配，可可以帶來來以下好好處：提高性能能負載載均衡器器可以實實現(xiàn)服務(wù)務(wù)器之間間的負載載平衡，從而提提高了系系統(tǒng)的反反應速度度與總體體性能；提高可靠靠性負載載均衡器器可以對對服務(wù)器器的運行行狀況進進行監(jiān)控控，及時時發(fā)現(xiàn)運運行異常常的服務(wù)務(wù)器，并并將訪問問請求轉(zhuǎn)轉(zhuǎn)移到其其它可以以正常工工作的服服務(wù)器上上，從而而提高服服務(wù)器組組的可靠靠性提高可維維護性采用用了負均均衡器器器以后，可以根根據(jù)業(yè)務(wù)務(wù)量的發(fā)發(fā)展情況況靈活增增加服務(wù)務(wù)器，系系統(tǒng)的擴擴展能力力得到提提高，同同時簡化化了管理理。負載均衡衡實現(xiàn)的的方式實現(xiàn)服務(wù)務(wù)器負載載均衡有有多種方方法，常常見的方方法有：基于DNS輪

4、詢的方法：即在DNS服務(wù)器中中對同一一域名設(shè)設(shè)置多條條DNSA記錄，通通過DNS的輪詢機機制實現(xiàn)現(xiàn)服務(wù)器器負載均均衡?；趹糜密浖牡膶崿F(xiàn)方方法，在在應用軟軟件設(shè)計計中就考考慮了多多服務(wù)器器之間的的協(xié)同工工作與任任務(wù)調(diào)度度。這種種方法一一般會有有一臺服服務(wù)器作作為中樞樞對訪問問請求進進行調(diào)度度，同時時要求在在應用層層支持訪訪問重定定向或任任務(wù)調(diào)度度、跳轉(zhuǎn)轉(zhuǎn)機制(如nginx)。采用專門門的L4/L7層交換機機來實現(xiàn)現(xiàn)，也即即我們常常說的負負載均衡衡器。一一般都是是通過在在L4/L7層交換機機作地址址轉(zhuǎn)換（NAT）來實現(xiàn)現(xiàn)。負載均衡衡器需要要了解的的問題負載均衡衡器一般般需要了了解以下下方面的

5、的問題：支持的負負載均衡衡算法支持的服服務(wù)器健康檢查查的方法法如何保持客戶端和和服務(wù)器器的會話速度/性能指標標安全性與與可靠性性端口數(shù)量量內(nèi)容負載均衡衡器概念念F5負載均衡衡器介紹紹F5負載均衡衡器配置置步驟F5負載均衡衡器的維維護F5的常見組組網(wǎng)方式式F5負載均衡衡器介紹紹F5負載均衡衡器介紹紹F5產(chǎn)品介紹紹F5的配置方方法F5的幾個概概念F5的數(shù)據(jù)流流F5負載均衡衡算法介介紹F5策略保護護方法介介紹F5健康檢查查方法介介紹F5雙機介紹紹F5地址轉(zhuǎn)換換介紹F5產(chǎn)品介紹紹（現(xiàn)在在用的產(chǎn)產(chǎn)品）6800系列超級多用途流量管理處理器：雙CPU基本內(nèi)存：2GBASIC：Packet Velocity

6、ASIC2千兆位CU端口：16個千兆位光纖端口：(SFP - GBIC Mini)4個（2個標準、2個可選）包括：SSL TPS/Max TPS/Bulk加速模塊：（100/20,000/2GB/秒）流量吞吐量：4GB/秒可選硬件設(shè)備：硬件壓縮*（2GB/秒）6400系列高級多用途流量管理處理器：雙CPU基本內(nèi)存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16個千兆位光纖端口：(SFP - GBIC Mini)4個（2個標準、2個可選）包括：SSL TPS/Max TPS/Bulk加速模塊：（100/15,000/2GB/秒）流量吞吐量：2GB/秒可選硬件設(shè)備：

7、硬件壓縮*（2GB/秒）FIPS處理*（8,000TPS/1GB SSL吞吐量）3400系列中級多用途流量管理處理器：單CPU基本內(nèi)存：1GBASIC：Packet Velocity ASIC2千兆位CU端口：8個千兆位光纖端口：(SFP - GBIC Mini)2個可選包括：SSL TPS/Max TPS/Bulk加速模塊：（100/8,000/1GB/秒）流量吞吐量：1GB/秒2400系列普通多用途流量管理處理器：單CPU基本內(nèi)存：768MBASIC：無千兆位CU端口：2個千兆位光纖端口（ GBIC ）：2個可選包括：SSL TPS/Max TPS/Bulk加速模塊：（100/2,000/

8、500 MB/秒）流量吞吐量：500MB/秒網(wǎng)絡(luò)端口口16個光纖接口口4個右下角屏屏幕控制制板F5端口及板板面說明明（6800）F5的配置方方法兩種配置置方法Web接口方式式https命令行方方式ssh(remote)telnet（需要用用命令打打開）Console建議用命命令行的的方式初初始化，在Web方式下配配置業(yè)務(wù)務(wù)Web配置工具具Web配置工具具配置工具具文檔Web配置工具具命令行配配置方式式命令行配配置方式式：F5#configI NIT IALSE TUPME NUChoosethe desiredconfigurationfunctionfrom thelist below.(A

9、)Configure allservices(R) Steps forredundantsystemsREQUIRED(E)Set defaultgateways(V)Configure VLANs &networking(H)Set hostname(W)Configure webservers(P)Set rootpasswordOPTIONAL(C)Remote authentication(O)Configure remoteaccess(D)Configure DNS(S)ConfigureSSH(F)Configure FTP(T) ConfigureTelnetd(I)Initi

10、alizeiControlportal(U)Configure RSH(K)Set keyboard type(Y)Set supportaccess(L)LicenseActivation(Z)Set timezone(M)Define timeservers(Q)QuitEnterChoice:虛擬服務(wù)務(wù)器（Virtual Servers）的概念念I(lǐng)nternet50:80Virtual Server虛擬服務(wù)務(wù)器是在在F5上虛擬出出來的概概念虛擬服務(wù)務(wù)器IP地址端端口號的的組合節(jié)點（Nodes）的概念念I(lǐng)nternet80:8080Nodes

11、節(jié)點（Nodes)是服務(wù)器器的IP地址端端口號的的組合81:808082:808083:8080地址池（Pool)的概念I(lǐng)nternet客戶端路由器BIG-IP負載均衡衡器服務(wù)器地址池是是一組Node的組合虛擬服務(wù)務(wù)器和節(jié)節(jié)點Internet80:8080虛擬服務(wù)務(wù)器節(jié)點映射到一個虛擬擬服務(wù)器器對應一一個地址址池，一一個地址址池對應應多個節(jié)節(jié)點50:8081:808082:808083:8080虛擬服務(wù)務(wù)器地址轉(zhuǎn)換換

12、BIG-IP會執(zhí)行地地址換，把客戶戶請求的的數(shù)據(jù)包包中的目目的地址址換成真真實的服服務(wù)器地地址真實服務(wù)務(wù)器地址址Network AddressTranslation虛擬服務(wù)務(wù)器地址址Internet50:8080:808081:808082:808083:8080網(wǎng)絡(luò)數(shù)據(jù)據(jù)流- Packet#1InternetDNS服務(wù)器50:8080:808081:808082:8080192.80.10

13、.183:8080網(wǎng)絡(luò)數(shù)據(jù)據(jù)流-Packet#1在BIG-IP上把目的的地址轉(zhuǎn)轉(zhuǎn)換成節(jié)節(jié)點的地地址，端端口轉(zhuǎn)換換成節(jié)點點的偵聽聽端口InternetPacket#1Src-0:4003Dest 50:80Packet#1Src0:4003Dest 80:8080050:8080:808081:808082:808083:8080網(wǎng)絡(luò)數(shù)據(jù)據(jù)流Packet#1Return在BIG-IP把返

14、回的的數(shù)據(jù)包包的源地地址轉(zhuǎn)換換成虛擬擬服務(wù)器器地址，端口轉(zhuǎn)轉(zhuǎn)換成BIG-IP偵聽端口口InternetPacket#1 -returnDest -0:4003Src50:80Packet#1 -returnDest 0:4003Src192. 80.10.180:8080050:8080:808081:808082:808083:8080網(wǎng)絡(luò)數(shù)據(jù)據(jù)流- Packet#2InternetPacket#2Src-

15、1:4003Dest 50:80Packet#2Src1:4003Dest 81:8080150:8080:808081:808082:808083:8080網(wǎng)絡(luò)數(shù)據(jù)據(jù)流Packet#2ReturnInternetPacket#2 -returnDest -1:4003Src50:80Packet#2 -returnDest 1:4003Src192. 80.10.182:80207

16、.17.117.2150:8080:808081:808082:808083:8080F5負載均衡衡算法介介紹RoundRobin（輪詢）Ratio（權(quán)重）LeastConnections（最少連連接）Fastest（最快回回應）Observed（觀察）Predictive（預測）Dynamic Ratio（動態(tài)權(quán)權(quán)重）Minimum ActiveMembers（最少活活動成員員）FallbackHost靜態(tài)動態(tài)失效機制制負載均衡衡算法輪詢客戶端路由器BIG-IP負載均衡衡器服務(wù)器

17、客戶的請請求被嚴嚴格分發(fā)發(fā)12345678Internet負載均衡衡算法權(quán)重管理員設(shè)設(shè)置把客客戶的請請求按3:1:1:1比例分配配123478910Internet561112客戶端路由器BIG-IP負載均衡衡器服務(wù)器負載均衡衡算法最快回回應下一個客客戶請求求被分配配到反應應最快的的機器12Internet10ms5ms20ms17ms當前反應時間客戶端路由器BIG-IP負載均衡衡器服務(wù)器負載均衡衡算法最快回回應一定時間間后101102Internet14ms15ms20ms11ms當前反應時間客戶端路由器BIG-IP負載均衡衡器服務(wù)器下一個客客戶請求求被分配配到反應應最快的的機器負載均衡衡算

18、法最少連連接數(shù)12Internet下一次請請求發(fā)送送到有最最少連接接數(shù)的機機器上462460455465當前連接數(shù)客戶端路由器BIG-IP負載均衡衡器服務(wù)器負載均衡衡算法最少連連接數(shù)一定時間間后Internet6162342330338335當前連接數(shù)下一次請請求發(fā)送送到有最最少連接接數(shù)的機機器上客戶端路由器BIG-IP負載均衡衡器服務(wù)器負載均衡衡算法最少活活動成員員135246InternetPriority1Priority2如果最少少活動成成員為2，現(xiàn)在有有3個高優(yōu)先先級的成成員可用用，則低低優(yōu)先級級的節(jié)點點不會被被使用客戶端路由器BIG-IP負載均衡衡器服務(wù)器負載均衡衡算法最少活活動成

19、員員15InternetPriority1Priority2324678如果最少少活動節(jié)節(jié)點少于于2個，則下下一優(yōu)先先級的節(jié)節(jié)點就會會被使用用客戶端路由器BIG-IP負載均衡衡器服務(wù)器負載均衡衡算法FallbackHostInternetIfallnodesfail,thenclientissentanhttp redirect to the“fallback” server.客戶端路由器BIG-IP負載均衡衡器服務(wù)器策略保持持（Persistence）概念123123策略保持持是處理理同一臺臺Client端過來的的請求如如果分發(fā)發(fā)到同一一個節(jié)點點中去的的問題策略保持持方法SimplePers

20、istence（簡單策策略保持持）SSLPersistence（SSL策略保持持）CookiePersistence（Cookie策略保持持）Insert, Rewrite, Passive&HashPersistencebyExpressio（表達式式的策略略保持）http:/ request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (no cookie)HTTP reply (with inserted cookie)pickserverHTTP request (with same c

21、ookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (no cookie)HTTP reply (updated cookie)cookiespecifiesserverFirst HitSecond HitCookieInsert模式ClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (with blank cookie)HTTP reply (with r

22、ewritten cookie)pickserverHTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with blank cookie)HTTP reply (with updated cookie)cookiespecifiesserverFirst HitSecond HitCookieRewrite模式ClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP re

23、quest (no cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)pickserverHTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)cookiespecifiesserverFirst HitSecond HitCookiePassive模式Cl

24、ientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (with cookie)HTTP reply (with cookie)pickserverHTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)HTTP reply (with cookie)cookiehashspecifiesser

25、verFirst HitSecond HitThird HitServerTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)cookiehashspecifiesserverTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)CookieHash模式IP & TCP HeaderTCP Data表達式（Expression）保持SYNSYN-ACKACKClientRequestSSLSessionIDIPAddressSIP

26、CallIDHTTP HeadersUser DefinedFieldsTCPHandshake表達式保保持基于數(shù)據(jù)據(jù)包中的的其他內(nèi)內(nèi)容來做做策略保保持可以做任任何內(nèi)容容的策略略保持類似于Rules簡單(simple)策略保持持方法基于源或或目的IP地址假設(shè)ClientIP地址不變變Netmask一段地址址范圍當當作源地地址SSL策略保持持方法基于SSL會話ID當客戶端端IP地址變化化時，保保持不變變?nèi)绻鸖SL會話ID丟失后，保持會會發(fā)生變變化80:8080F5的健康檢檢查方法法Internet節(jié)點&節(jié)點地址址狀態(tài)用Monitors檢查的節(jié)節(jié)點的狀狀態(tài)UNCHECKEDC

27、HECKINGUPDOWNADDRESS DOWN管理員原原因引起起的狀態(tài)態(tài)DISABLEDADDRESS DISABLEDFORCEDDOWNADDRESS DOWN健康檢查查健康檢查查概念Address,Service,Content（內(nèi)容）& Interactive Checks配置健康康檢查從模板中中創(chuàng)建Monitor關(guān)聯(lián):pool地址（Address） 檢查查步驟包被送到到IP地址如果沒有有反應，則不會會再往此此節(jié)點發(fā)發(fā)送流量量例如- ICMPInternet82ICMP8180服務(wù)（Service）Check步驟建立

28、一個個TCP連接(IP地址:服務(wù))關(guān)閉連接接如果TCP連接失效效，則不不會再往往此節(jié)點點發(fā)送流流量例如 TCPInternet82:8080TCPConnection81:808080:8080內(nèi)容（Content） 檢查查Internet步驟：建立一個個OpensTCP連接(IP地址:服務(wù))發(fā)送一個個請求返回數(shù)據(jù)據(jù)連接關(guān)閉閉如果收到到的包中中內(nèi)容不不對，則不會再再往此節(jié)節(jié)點發(fā)送送流量例如 httphttp GET/82:808081:808080:8080交互（

29、Interactive）檢查Internet步驟建立一個個連接(IP地址:服務(wù))模擬真實實應用交交互會話話連接關(guān)閉閉如果期望望的結(jié)果果不對，則不會再再往此節(jié)節(jié)點發(fā)送送流量例如 SQL請求會話82:808081:808080:8080F5雙機系統(tǒng)統(tǒng)主備主備雙機配置置的一些些概念Unit ID（單元號號碼，雙雙機時此此Unit ID不能相同同）FailoverIP(雙機中對對端機器器的內(nèi)部部IP地址，兩兩臺機器器FailoverIP要能互相相ping通）FailoverMethod(HardwiredorNetwork)（Hardw

30、ired用專門的的Failover線，而Network用網(wǎng)線，經(jīng)驗驗驗證要采采用hardwired）SharedIP（類似于于雙機的的浮動IP）Hostname（機器名名，兩臺臺機器的的機器名名一定不不要相同同）F5雙機系統(tǒng)統(tǒng)的一些些概念配置F5雙機系統(tǒng)統(tǒng)配置步驟驟：確認BIG-IP運行在雙雙機模式式。在導導航條選選擇SYSTEM-Platform，Hith Availability設(shè)置中應應選擇為為RedundantPair。通常BIG-IP1的Unit ID為1，BIG-IP2的Unit ID為2。在導航條條選擇SYSTEM-High Availability，完成如如下配置置配置F5雙機

31、系統(tǒng)統(tǒng)Redundancy Mode選擇Active/Standby模式EnableNetworkFailover選項。F5主備機的的同步F5主備機的的同步：同步別的配置當前配置F5只能同步步Web頁面的配配置同步是一一個push或者pull的操作F5主機的判判斷通過WEB檢查通過命令令行檢查查 bigtop強制把F5主機變成成備機只能把主主機變成成備機，但不能能把備機機變成主主機命令方式式 bfailoverstandbyF5雙機切換換切換方式式WatchdogdeviceVLAN ArmFailsafeSSLProxyFailoverGateway Failsafe檢測方法法Fail-ov

32、ercableNetwork Fail-overWatchdog機制主F5有 硬件件或軟件件問題Watchdogdevice觸發(fā)一個個切換動動作(重啟機器器)備機收不不到主機機的信息息備機變成成主機VLAN ArmFailsafe機制檢測到?jīng)]沒有業(yè)務(wù)務(wù)網(wǎng)絡(luò)流流量F5本身觸發(fā)發(fā)一些流流量仍然沒有有沒有檢檢測到業(yè)業(yè)務(wù)網(wǎng)絡(luò)絡(luò)流量發(fā)起切換換進程(重啟機器器)備機從主主機中收收不到信信息備機變成成主機SSLProxyFailover機制加密模塊塊硬件錯錯誤發(fā)起切換換進程(重啟機器器)備機從主主機中收收不到信信息備機變成成主機Gateway Failsafe機制ping GW沒有回應應主機變成成備機模模式

33、Sta備機從主主機中收收不到信信息備機變成成主機檢測方法法Failover線主備機之之間的串串口線檢查對端端機器的的電壓Network線兩臺機器器的內(nèi)網(wǎng)網(wǎng)接口的的通訊Communication betweenboxesacross internal interface檢查到?jīng)]沒有信號號廠商宣稱稱支持二二個檢測測方法，實際中中建議用用Failover線F5的NAT和SNATF5的NAT和SNAT：NAT(NetworkAddressTranslation)和SNAT(SecureNetwork AddressTranslation)都是地址址轉(zhuǎn)換機機制。NAT是一對一一的，而而SNAT是多對一一的。SNAT只應用于于從內(nèi)部部主動發(fā)發(fā)起的流流量，NAT在公司業(yè)業(yè)務(wù)中很很少用。SNAT出去的地地址可以以與