F5設(shè)備在災(zāi)備雙活中應(yīng)用探討

F5在災(zāi)備項(xiàng)目中應(yīng)用探討2011年11月F5產(chǎn)品在災(zāi)備雙活項(xiàng)目中的使用F5常用產(chǎn)品介紹打造中國(guó)金融IT服務(wù)業(yè)第一品牌Copyright?2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易誠(chéng)科技有限公司F5產(chǎn)品全系列EnterpriseManager?TMOS?iControl?Applications

&StorageUsersInternationalDataCenterBIG-IP?LocalTrafficManagerARX?FileVirtualizationFirePass?SSLVPNBIG-IP?EdgeGatewayBIG-IP?

GlobalTrafficManagerBIG-IP?LinkControllerBIG-IP?WANOptimizationModuleBIG-IP?Web-AcceleratorBIG-IP?

ApplicationSecurityManagerBIG-IP?AccessPolicyManager低端中端高端產(chǎn)品系列LTM1600LTM3600LTM3900LTM6900LTM8900簡(jiǎn)要功能說(shuō)明LTM√√√√√本地服務(wù)器負(fù)載均衡LC√●●●●多鏈路負(fù)載均衡GTM√/●√/●√/●●●廣域網(wǎng)負(fù)載均衡，多站點(diǎn)容災(zāi)WA√/●√/●√/●√/●Web加速ASM√/●√/●√/●√/●應(yīng)用防火墻EdgeGateway（APM）√/●√/●√/●√/●√/●SSLVPN必須通過(guò)外部用戶認(rèn)證服務(wù)器驗(yàn)證用戶（AD,Radius,LDAP）FirePassFP4305（100并發(fā)用戶）FP4310（250并發(fā)用戶）FP4320（500并發(fā)用戶）FP4330（1000并發(fā)用戶）FP4300-E（2000并發(fā)用戶）SSLVPN包含高級(jí)功能Web通道模式應(yīng)用通道模式網(wǎng)絡(luò)層透明模式F5產(chǎn)品功能介紹●√專門的硬件通過(guò)License方式遞交F5的主要產(chǎn)品-BIG-IPGTM適用場(chǎng)景應(yīng)用冗災(zāi)與廣域網(wǎng)絡(luò)負(fù)載均衡廣域網(wǎng)分布式站點(diǎn)（CDN）負(fù)責(zé)將用戶引導(dǎo)到最近的站點(diǎn)，獲得最佳用戶體驗(yàn)災(zāi)難備份系統(tǒng)負(fù)責(zé)災(zāi)備系統(tǒng)的用戶訪問(wèn)切換，保證系統(tǒng)的持續(xù)運(yùn)行多鏈路接入+廣域網(wǎng)分布負(fù)責(zé)用戶的最佳訪問(wèn)引導(dǎo)，獨(dú)一無(wú)二的解決方案F5的主要產(chǎn)品-BIG-IPLinkController適用場(chǎng)景多互聯(lián)網(wǎng)出口管理多鏈路接入負(fù)責(zé)內(nèi)網(wǎng)用戶對(duì)外訪問(wèn)的最佳線路選擇，智能NAT技術(shù)保證數(shù)據(jù)包的可靠往返負(fù)責(zé)將內(nèi)網(wǎng)的服務(wù)器（服務(wù)器群組）對(duì)外提供多個(gè)地址訪問(wèn)，并將訪問(wèn)應(yīng)答按原路返回內(nèi)置智能DNS解析，引導(dǎo)Internet用戶從最佳線路訪問(wèn)內(nèi)部應(yīng)用與FirePass配合實(shí)現(xiàn)多線路VPN接入使VPN通道可從多條鏈路接入優(yōu)化用戶訪問(wèn)，提高訪問(wèn)速度提供壓縮、TCPExpress等優(yōu)化手段，降低帶寬消耗F5的主要產(chǎn)品-BIG-IPLocalTrafficManager適用場(chǎng)景服務(wù)器負(fù)載均衡防火墻負(fù)載均衡應(yīng)用前端優(yōu)化帶寬控制高級(jí)路由F5的主要產(chǎn)品-WebAccelerator適用場(chǎng)景數(shù)據(jù)中心優(yōu)化應(yīng)用靈巧型緩存

靜態(tài)緩存SSL優(yōu)化

連接優(yōu)化Web應(yīng)用加速快速加載

快速連接

高速壓縮

高速文檔瀏覽

高速頁(yè)面訪問(wèn)

應(yīng)用特定規(guī)則消除現(xiàn)有的帶寬限制降低網(wǎng)絡(luò)與應(yīng)用系統(tǒng)架構(gòu)的負(fù)荷集中化的部屬與管理EDGEGateway通過(guò)與遠(yuǎn)端WOM配合實(shí)現(xiàn)對(duì)稱加速通過(guò)客戶端軟件實(shí)現(xiàn)客戶端加速BIG-IPEdgeGateway包含了WA、WOM和APM三個(gè)模塊通過(guò)WAModule實(shí)現(xiàn)不對(duì)稱加速ApplicationsClientsBIG-IPEdgeGatewayBIG-IPEdgeGatewayF5產(chǎn)品選購(gòu)指南-功能模塊選擇基本系統(tǒng)：BIGIPLocalTrafficManager（1600/3600/3900/6900/8900/Viprion）負(fù)載均衡、iRules、RamCache、SSLoffload、HTTP壓縮、網(wǎng)絡(luò)層安全Web應(yīng)用加速：WebAccelerator（WAModule/WA3600）Module:IBR、動(dòng)態(tài)頁(yè)面Cache、HTTP壓縮，3600以上平臺(tái)支持獨(dú)立設(shè)備：iRules、SSLoffload、RamCache、HTTP壓縮、IBR、動(dòng)態(tài)頁(yè)面Cache、網(wǎng)絡(luò)層安全廣域網(wǎng)傳輸加速：WOM廣域網(wǎng)傳輸加速、應(yīng)用加速。WOM只能作為Module添加在LTM上或者已經(jīng)包含在EDGEGateway里面，除協(xié)議加速和重復(fù)數(shù)據(jù)消除外，其他功能在LTM10.1以上版本已經(jīng)免費(fèi)包含Web應(yīng)用安全：ProtocolSecurityManager,ApplicationSecurityManager(PSMModule/ASMModule/ASM3600/ASM6900)PSM:協(xié)議層安全，只能以模塊方式添加在LTM上，不進(jìn)行阻斷工作的模式免費(fèi)在LTM中提供，3600以上平臺(tái)支持ASMModule：網(wǎng)絡(luò)層安全、協(xié)議層安全、基于特征代碼防護(hù)和應(yīng)用流程安全控制，3600以上平臺(tái)支持ASM獨(dú)立設(shè)備：iRules、網(wǎng)絡(luò)層安全、協(xié)議層安全、基于特征代碼防護(hù)和應(yīng)用流程安全控制F5產(chǎn)品選購(gòu)指南-功能模塊選擇-contSSLVPN遠(yuǎn)程安全接入：EDGEGateway(Firepass1200/4300/EDGEGateway/1600/3600/3900/6900/8900)以獨(dú)立設(shè)備方式提供，F(xiàn)irepass適合于小規(guī)模客戶（2000并發(fā)以下），EDGEGateway適合于大規(guī)模用戶接入（2000以上）多鏈路接入：BIGIPLinkController(LCModule/LC1600)可以以模塊方式添加在LTM上可以是獨(dú)立的設(shè)備廣域網(wǎng)冗災(zāi)、多中心建設(shè)：BIGIPGlobalTrafficManager(GTMModule/GTM1600/GTM3600/GTM3900)可以以模塊方式添加在LTM上通常使用獨(dú)立設(shè)備文件存儲(chǔ)虛擬化-ARX500/2000/4000ARX采用的獨(dú)立硬件平臺(tái)DataManager作為系統(tǒng)資源分析工具BIG-IP產(chǎn)品參數(shù)F5產(chǎn)品的部署示意圖用戶DMZFirePass防火墻路由器路由器生產(chǎn)中心分支機(jī)構(gòu)災(zāi)備中心或第二生產(chǎn)中心

InternetISPISPISP1ISP2BIG-IPLocalTrafficManagerWANJet

WANJet

防火墻

WANJetBIG-IPLocalTrafficManagerBIG-IP

GlobalTrafficManager遠(yuǎn)程用戶ISPTrafficShield路由器路由器路由器路由器WebAccelerator存儲(chǔ)設(shè)備應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器WEB服務(wù)器BIG-IPLinkController防火墻FirePassBIG-IP

GlobalTrafficManagerFirePassDMZDMZF5在災(zāi)備中應(yīng)用方案打造中國(guó)金融IT服務(wù)業(yè)第一品牌Copyright?2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易誠(chéng)科技有限公司在災(zāi)備建設(shè)中使用F5需要考慮的問(wèn)題實(shí)現(xiàn)應(yīng)用級(jí)雙活數(shù)據(jù)中心哪些應(yīng)用可以實(shí)現(xiàn)雙活架構(gòu)F5支持哪些類型的應(yīng)用在廣域網(wǎng)層面如何保障用戶在一個(gè)生產(chǎn)中心無(wú)法提供對(duì)外服務(wù)時(shí)，繼續(xù)訪問(wèn)另外一個(gè)數(shù)據(jù)中心在應(yīng)用服務(wù)層面如何保障用戶當(dāng)一個(gè)生產(chǎn)中心的一組應(yīng)用無(wú)法響應(yīng)客戶請(qǐng)求時(shí)，繼續(xù)訪問(wèn)另外一組應(yīng)用F5多中心方案總體概況Intranet/InternetADCWEBWEBWEBADCAPPAPPAPPADC數(shù)據(jù)中心(一)RouterRouterGTMGTMADCWEBWEBWEBADCAPPAPPAPPADC數(shù)據(jù)中心(二)流量引導(dǎo)ORACLERACORACLERACiSession/EoIP/OTV/IPSEC展示層iSession/EoIP/OTV/IPSEC應(yīng)用層WOM/EoIP/OTV/IPSEC數(shù)據(jù)庫(kù)城域網(wǎng)和廣域網(wǎng)冗災(zāi)系統(tǒng)建設(shè)17ApplicationApplicationEnterpriseApplication互聯(lián)網(wǎng)ISP1ISP2BIG-IPLTM/LCApplicationApplicationEnterpriseApplicationISP3ISP4BIG-IPLCBIG-IPGTMBIG-IPGTM數(shù)據(jù)中心廣域網(wǎng)接入方案打造中國(guó)金融IT服務(wù)業(yè)第一品牌Copyright?2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易誠(chéng)科技有限公司數(shù)據(jù)信息通訊如何進(jìn)入數(shù)據(jù)中心？多路進(jìn)入模式GTM根據(jù)地理位置或網(wǎng)絡(luò)距離智能選擇優(yōu)點(diǎn)：可以靈活分配，用戶體驗(yàn)好缺點(diǎn)：故障切換有一定延遲，應(yīng)用必須支持DNS訪問(wèn)RHI靜態(tài)路由注入模式優(yōu)點(diǎn)：使用路由調(diào)整方式，切換速度快，應(yīng)用無(wú)需支持DNS缺點(diǎn)：只能支持主備模式，不能同時(shí)使用N+M冗余模式優(yōu)點(diǎn)：切換迅速，應(yīng)用無(wú)需支持DNS缺點(diǎn)：對(duì)外有兩個(gè)或者兩個(gè)以上入口，需要人工分配，必須要有二層打通支持多種信息通訊引導(dǎo)模式可以組合使用流量選擇——GTM根據(jù)地理位置或網(wǎng)絡(luò)距離智能選擇GTM設(shè)備——通過(guò)DNS解析實(shí)現(xiàn)智能流量判斷作用——用戶訪問(wèn)目的引導(dǎo)工作模式通過(guò)對(duì)不同的用戶解析出不同的域名對(duì)應(yīng)IP地址實(shí)現(xiàn)流量引導(dǎo)判斷用戶的地理位置引導(dǎo)用戶到不同的數(shù)據(jù)中心判斷用戶的網(wǎng)絡(luò)距離引導(dǎo)用戶到不同的數(shù)據(jù)中心判斷數(shù)據(jù)中心的服務(wù)狀況來(lái)實(shí)現(xiàn)引導(dǎo)切換解決問(wèn)題：引導(dǎo)客戶訪問(wèn)到最佳的健康的數(shù)據(jù)中心應(yīng)用GTM智能流量引導(dǎo)模式的優(yōu)缺點(diǎn)分析優(yōu)點(diǎn)易于控制，可實(shí)現(xiàn)多種流量分布模型，主備、主主或者分應(yīng)用主備等模型維護(hù)方便，自成系統(tǒng)，與其他設(shè)備松耦合可根據(jù)地理位置分布、網(wǎng)絡(luò)距離或者應(yīng)用繁忙程度動(dòng)態(tài)調(diào)配缺點(diǎn)應(yīng)用必須采用DNS方式進(jìn)行訪問(wèn)切換時(shí)間相對(duì)較長(zhǎng)（取決于TTL時(shí)間），通常用于互聯(lián)網(wǎng)應(yīng)用5-10分鐘，內(nèi)網(wǎng)應(yīng)用30-60秒最佳應(yīng)用類型網(wǎng)上銀行、電子商務(wù)等基于B/S的應(yīng)用系統(tǒng)RHI靜態(tài)路由注入模式LTM設(shè)備——通過(guò)靜態(tài)路由注入方式進(jìn)行切換作用——用戶訪問(wèn)目的引導(dǎo)工作模式LTM需要參與到動(dòng)態(tài)路由協(xié)議中兩個(gè)數(shù)據(jù)中心的不同LTM負(fù)責(zé)對(duì)外發(fā)布VIP的主機(jī)路由不同LTM發(fā)布的VIP主機(jī)路由優(yōu)先級(jí)不同LTM通過(guò)控制優(yōu)先級(jí)通知?jiǎng)討B(tài)路由實(shí)現(xiàn)流量的引導(dǎo)后臺(tái)應(yīng)用的健康狀態(tài)也會(huì)導(dǎo)致路由切換解決問(wèn)題：引導(dǎo)客戶訪問(wèn)主生產(chǎn)中心，在生產(chǎn)中心LTM或者應(yīng)用出現(xiàn)故障時(shí)，迅速切換到備份中心RHI靜態(tài)路由注入模式的優(yōu)缺點(diǎn)分析優(yōu)點(diǎn)：切換速度快（取決于路由收斂速度）可支持基于IP訪問(wèn)的應(yīng)用和傳統(tǒng)路由相比，可以感知應(yīng)用的健康狀態(tài)進(jìn)行切換支持業(yè)務(wù)類型廣泛缺點(diǎn)僅支持主備模式，備中心設(shè)備利用率不高和網(wǎng)絡(luò)路由系統(tǒng)的耦合度高，必須直接參與路由計(jì)算適合應(yīng)用系統(tǒng)傳統(tǒng)的C/S結(jié)構(gòu)應(yīng)用無(wú)法實(shí)現(xiàn)域名DNS訪問(wèn)的應(yīng)用N+M冗余模式LTM設(shè)備(V11)——通過(guò)LTM集群方式實(shí)現(xiàn)冗余切換作用——用戶訪問(wèn)目的引導(dǎo)工作模式多個(gè)數(shù)據(jù)中心中的LTM形成集群模式對(duì)外提供兩個(gè)VIP，分別以兩個(gè)數(shù)據(jù)中心作為主服務(wù)中心手工分組用戶訪問(wèn)不同的VIP地址按照應(yīng)用進(jìn)行分組，一個(gè)組的應(yīng)用綁定漂移同組的LTM每個(gè)VLAN都需要二層直通（保證MAC切換時(shí)，流量會(huì)正常切換）解決問(wèn)題：引導(dǎo)客戶訪問(wèn)不同的VIP地址，LTM設(shè)備或者應(yīng)用出現(xiàn)故障時(shí)自動(dòng)進(jìn)行切換N+M冗余模式下的優(yōu)缺點(diǎn)分析優(yōu)點(diǎn)支持業(yè)務(wù)類型廣泛自成系統(tǒng)，無(wú)需其他產(chǎn)品參與切換和分配部署模型靈活可支持C/S結(jié)構(gòu)缺點(diǎn)一組業(yè)務(wù)在一個(gè)數(shù)據(jù)中心主活如果需要并行需要對(duì)外提供2個(gè)VIP地址，人工分用戶進(jìn)行訪問(wèn)需要雙中心之間二層聯(lián)通適合應(yīng)用內(nèi)網(wǎng)部署應(yīng)用C/S應(yīng)用，僅支持IP訪問(wèn)的B/S應(yīng)用GTM在網(wǎng)絡(luò)中的部署ISP1內(nèi)網(wǎng)訪客網(wǎng)站服務(wù)器ISP1-R1ROOTDNSISPDNSISP2ISP2-R1電信聯(lián)通GTMGTMBIG-IPLTMBIG-IPLTM技術(shù)要點(diǎn)：旁路式部署，不影響現(xiàn)有結(jié)構(gòu)采用一個(gè)公網(wǎng)IP地址對(duì)外服務(wù)。高達(dá)100kDNS每秒請(qǐng)求實(shí)現(xiàn)DNSSEC，確保域名安全訪客ISPDNS涉及產(chǎn)品在災(zāi)備項(xiàng)目建設(shè)過(guò)程中，對(duì)于應(yīng)用級(jí)雙活數(shù)據(jù)中心的建設(shè)涉及的F5產(chǎn)品有BIG-IPGTMBIG-IPLTM一般建議采用雙機(jī)部署模式應(yīng)用根據(jù)結(jié)構(gòu)可分為B/S（短鏈接）、C/S模式（長(zhǎng)、短鏈接），F(xiàn)5可支持的應(yīng)用，應(yīng)根據(jù)具體情況確定數(shù)據(jù)中心應(yīng)用負(fù)載均衡方案打造中國(guó)金融IT服務(wù)業(yè)第一品牌Copyright?2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易誠(chéng)科技有限公司W(wǎng)eb-App層面問(wèn)題性能：如果沒(méi)有SSL處理，在系統(tǒng)中通常APP服務(wù)器的壓力比較大APP服務(wù)器的故障概率比較高多個(gè)中心的APP服務(wù)器需要實(shí)現(xiàn)靈活的調(diào)配機(jī)制傳輸?shù)臄?shù)據(jù)以明文為主，數(shù)據(jù)量遠(yuǎn)遠(yuǎn)大于C/S結(jié)構(gòu)解決在Web-App之間使用ADC實(shí)現(xiàn)靈活的流量調(diào)配在本地資源不足的時(shí)候調(diào)用遠(yuǎn)端的閑置資源在兩個(gè)數(shù)據(jù)中心之間使用數(shù)據(jù)傳輸優(yōu)化通道減小數(shù)據(jù)傳輸量對(duì)靜態(tài)內(nèi)容進(jìn)行緩存減小中心之間的數(shù)據(jù)傳輸Web-App層面ADCADCWEBServerWEBServerAPPServerAPPServerAPP-DB的流量處理問(wèn)題數(shù)據(jù)庫(kù)實(shí)現(xiàn)雙A還是有很大的技術(shù)難度對(duì)時(shí)延比較敏感，當(dāng)雙中心距離較遠(yuǎn)的時(shí)候會(huì)嚴(yán)重影響響應(yīng)速度和數(shù)據(jù)庫(kù)并發(fā)連接壓力通常一個(gè)用戶操作有數(shù)十次的數(shù)據(jù)庫(kù)往返查詢，時(shí)延將會(huì)進(jìn)一步惡化響應(yīng)速度數(shù)據(jù)庫(kù)自身的Cluster機(jī)制在節(jié)點(diǎn)數(shù)量較多的時(shí)候故障隔離速度較慢雙中心數(shù)據(jù)庫(kù)切換時(shí)需要改變App服務(wù)器的配置或應(yīng)用系統(tǒng)解決：可以采用ADC實(shí)現(xiàn)數(shù)據(jù)庫(kù)集群本地負(fù)載均衡采用ADC實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)庫(kù)調(diào)配使用，使數(shù)據(jù)庫(kù)切換時(shí)不需要改變App服務(wù)器的配置和應(yīng)用系統(tǒng)App-DB層面ADCADCAPPServerAPPServerDBInstanceDBInstanceClusteredDB/RACClusteredDB/RACWeb-APP-多層結(jié)構(gòu)大型部署WebServerBIG-IPLTMWebServerWebServerAPPServerBIG-IPLTMAPPServerAPPServerNetwork根據(jù)部署的規(guī)?？蛇x獨(dú)立設(shè)備或者BIG-IPLTM上的模塊WebAccelerator、ApplicationSecurityManager在大型部署結(jié)構(gòu)中，通常分為兩個(gè)層面分別實(shí)現(xiàn)負(fù)載均衡部署WebServer主要用于提供靜態(tài)內(nèi)容APPSer