基于庞大的网络结构,集群服务的使用带来了流量等负载问题。 与此相对,负荷分散的技术也应运而生。 每种技术都需要产品支持,现在让我们认识一下F5。 是负载平衡器的一种。
首先,说明产品的结构和功能。
F5 Network的BIG-IP、Citrix的Netscalerf5big-IPltm的正式名称称为本地通信管理器, 4-7层负载均衡负载均衡APP应用交换会话交换状态监测智能网络地址转换通用持久性响应错误处理IPv6网关高级路由智能端口镜像SSL加速智能HTTP压缩TCP优化第7层速率整形内容连接快速缓存cookie加密选择性内容加密APP攻击拒绝过滤(DoS )攻击和SYN Flood保护防火墙)包过滤消毒等功能
对于F5负载平衡产品,它是我们常用的网络负载控制产品之一,这里将全面介绍其功能和特点。 通过对该产品的认识,也可以知道在网络管理中需要注意哪些问题。
F5负载均衡功能1.多链路的负载均衡和冗余
与互联网相关的关键业务必须安排和配置多条ISP接入链路,以保证网络服务质量,消除单点故障,减少停机时间。 多个ISP接入方案不仅仅是多个不同广域网的路由问题,因为每个ISP都有不同的自治域。 因此,必须考虑在这两种情况下如何实现多条链路上的负载平衡:内部APP系统和网络站如何在多个不同的链路上动态地访问互联网服务和站点负载均衡互联网的外部用户(也称为出站通信)如何在外部访问内部站点和APP应用系统时动态地在多个链路上平衡分配? 当一条链路断开时,它可以智能地切换到另一条链路以到达服务器和APP应用系统,也称为INBOUND通信负载平衡
相对于F5的BIG-IP LC可以智能地解决这两个问题的:OUTBOUND业务,BIG-IP LC在接收到业务后智能地将outbound业务不同的互联网接口既可以指定某个合法的IP地址进行源地址的NAT,也可以使用BIG-IP LC的NAT,保证在数据包回复时能够正确接收INBOUND业务,BIG-IP LC将两个ISP运营商的公共地址解决来自两个ISP运营商的DNS解决请求的BIG-IP LC不仅根据服务器的健康状况和响应速度与LDNS对应的IP地址,还通过两个链路分别与LDNS建立连接,基于RTT时间判断链路的好坏,这两个参数
F5负载均衡功能2.防火墙负载均衡
由于大多数防火墙只能达到30%的线速吞吐量,因此系统要达到设计的线速处理能力,必须添加多个防火墙才能满足系统要求。 但是,防火墙需要同时发送数据。 否则,连接将被拒绝,如何解决防火墙负载均衡问题成为关系到系统整体稳定性的关键问题F5的防火墙负载均衡方案。 为用户提供异构防火墙负载平衡和故障排除功能的典型防火墙处理能力提升方法是采用“防火墙夹层”方法,实现透明设备的持久性。 这可以满足某些需要通过同一防火墙才能成功交易的APP应用的要求,并保留原始的网络安全隔离要求
F5负载均衡功能3.服务器负载均衡
对于所有对外服务的服务器,在BIG-IP上配置Virtual Server以实现负载均衡的同时,BIG-IP持续检查服务器的健康状况,发现有故障的服务器后,从负载均衡组中提取BIG-IP 由用户的一个或多个目标服务器(节点:的IP地址和TCP/UDP APP端口)组成的地址,可以是因特网的专用网络地址,用于提供服务因此,可以为许多基于TCP/IP的网络APP应用程序提供服务器负载平衡服务,并根据服务类型单独定义服务器组。 能够在每个服务端口将流量引导到适当服务器的BIG-IP,对目标服务器连续进行L4~L7有效性检查,当用户通过VIP向目标服务器请求服务时,BIG-IP向目标服务器请求服务根据用户要求选择性能最佳的服务器,在充分利用所有服务器资源的情况下,将所有流量平均分配给每台服务器。 可以有效地避免“不平衡”的发生。 使用UIE iRules,可以打开TCP/UDP包,并在其中的
特征数据,之后根据搜索到的特征数据作相应的规则处理。因此可以根据用户访问内容的不同将流量导向到相应的服务器,例如:根据用户访问请求的URL将流量导向到相应的服务器。
F5负载均衡功能4.系统高可用性
系统高可用性主要可以从以下几个方面考虑:
4.1.设备自身的高可用性:F5 BIG-IP专门优化的体系结构和卓越的处理能力保证99.999%的正常运行时间,在双机冗余模式下工作时可以实现毫秒级切换,保证系统稳定运行,另外还有冗余电源模块可选。在采用双机备份方式时,备机切换时间最快会在200ms之内进行切换。BIG-IP 产品是业界唯一的可以达到毫秒级切换的产品, 而且设计极为合理,所有会话通过Active 的BIG-IP 的同时,会把会话信息通过同步数据线同步到Backup的BIG-IP,保证在Backup BIG-IP内也有所有的用户访问会话信息;另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频,当Active BIG-IP故障时,watchdog会首先发现,并通知Backup BIG-IP接管Shared IP,VIP等,完成切换过程,因为Backup BIG-IP中有事先同步好的会话信息,所以可以保证访问的畅通无阻。
4.2.链路冗余:BIG-IP可以检测每条链路的运行状态和可用性,做到链路和ISP故障的实时检测。一旦出现故障,流量将被透明动态的引导至其它可用链路。通过监控和管理出入数据中心的双向流量,内部和外部用户均可保持网络的全时连接。
4.3.服务器冗余,多台服务器同时提供服务,当某一台服务器故障不能提供服务时,用户的访问不会中断。BIG-IP可以在OSI七层模型中的不同层面上对服务器进行健康检查,实时监测服务器健康状况,如果某台服务器出现故障,BIG-IP确定它无法提供服务后,就会将其在服务队列中清除,保证用户正常的访问应用,确保回应内容的正确性。
F5负载均衡功能5.高度的安全性
BIG-IP采用防火墙的设计原理,是缺省拒绝设备,它可以为任何站点增加额外的安全保护,防御普通网络攻击。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理,提高设备自身的安全性;能够拆除空闲连接防止拒绝服务攻击;能够执行源路由跟踪防止IP欺骗;拒绝没有ACK缓冲确认的SYN防止SYN攻击;拒绝teartop和land攻击;保护自己和服务器免受ICMP攻击;不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。
BIG-IP的Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接,这可以保护BIG-IP不会因流量过多而瘫痪。BIG-IP可以随着攻击量的增加而加快连接切断速率,从而提供一种具有极强适应能力、能够防御最大攻击量的解决方案。BIG-IP的Delay Binding技术可以为部署在BIG-IP后面的服务器提供全面地SYN Flood保护。此时,BIG-IP设备作为安全代理来有效保护整个网络。BIG-IP可以和其它安全设备配合,构建动态安全防御体系。BIG-IP可以根据用户单位时间内的连接数生成控制访问列表,将该列表加载到其它安全设备上,有效控制攻击流量。F5负载均衡功能6.SSL加速,在每台BIG-IP上,都具有SSL硬件加速芯片,并且自带100个TPS的License,用户可以不通过单独付费,就可以拥有100个TPS的SSL 加速功能,节约了用户的投资。在将来系统扩展时,可以简单的通过License升级的方式,获得更高的SSL加速性能。
F5负载均衡功能7.系统管理
BIG-IP提供HTTPS、SSH、Telnet、SNMP等多种管理方式,用户客户端只需操作系统自带的浏览器软件即可,不需安装其它软件。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理。直观易用的Web图形用户界面大服务降低了多归属基础设施的实施成本和日常维护费用。BIG-IP包含详尽的实时报告和历史纪录报告,可供评测站点流量、相关ISP性能和预计带宽计费周期。管理员可以通过全面地报告功能充分掌握带宽资源的利用状况。另外,通过F5 的i-Control 开发包,目前国内已有基于i-Control开发的网管软件x-control, 可以定制针对系统服务特点的监控系统,比如服务的流量情况、各种服务连接数、访问情况、节点的健康状况等等,进行可视化显示。告警方式可以提供syslog、snmp trap、mail等方式。
F5负载均衡功能8.其它
内存扩充能力:F5 BIG-IP 1000以上设备单机最sldl扩充到2G内存,此时可支持400万并发回话。升级能力:F5 所有设备均可通过软件方式升级,在服务有效期内,升级软件包由F5公司提供。F5 NETWORKS已经发布其系统的最新版本BIG-IP V9.0,主要有以下特性:虚拟 IPV4 / IPV6 应用、加速Web应用高达3倍、减少66%甚至更多的基础架构成本、确保高优先级应用的性能、确保更高级别的可用性、大幅提高网络和应用安全性、强大的性能,简单的管理方式、无以匹敌的自适应能力和延展能力和突破的性能表现力。其强大的HTTP压缩功能可以将用户下载时间缩短50%,节省80%的带宽。IP地址过滤和带宽控制:BIG-IP可以根据访问控制列表对数据包进行过滤,并且针对某一关键应用进行带宽控制,确保关键应用的稳定运行。配置管理及系统报告:F5 BIG-IP提供WEB 界面配置方式和命令行方式进行配置管理,并在其中提供了丰富的系统报告,更可通过i-Control自行开发复杂的配置及报告生成。
以下是F5 BIG-IP用作HTTP负载均衡器的主要功能:
①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器,而面对用户,只是一台虚拟服务器。
②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障,F5会 检查出来并将该服务器标识为宕机,从而不将用户的访问请求传送到该台发生故障的服务器上。这样,只要其它的服务器正常,用户的访问就不会受到影响。宕机一旦修复,F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。
③、F5 BIG-IP具有动态Session的会话保持功能。
④、F5 BIG-IP的iRules功能可以做HTTP内容过滤,根据不同的域名、URL,将访问请求传送到不同的服务器。
下面,结合实例,配置F5 BIG-IP LTM v9.x负载均衡器:
①、如图,假设域名blog.s135.com被解析到F5负载均衡器的外网/公网虚拟IP:61.1.1.3(vs_squid),该虚拟IP下有一个服务器池(pool_squid),该服务器池下包含两台真实的Squid服务器(192.168.1.11和192.168.1.12)。
②、如果Squid缓存未命中,则会请求F5的内网虚拟IP:192.168.1.3(vs_apache),该虚拟IP下有一个默认服务器池(pool_apache_default),该服务器池下包含两台真实的Apache服务器(192.168.1.21和192.168.1.22),当该虚拟IP匹配iRules规则时,则会访问另外一个服务器池(pool_apache_irules),该服务器池下同样包含两台真实的Apache服务器(192.168.1.23和192.168.1.24)。
③、另外,所有真实服务器的默认网关指向F5负载均衡器的自身内网IP,即192.168.1.2。
④、所有的真实服务器通过SNAT IP地址61.1.1.4访问互联网。
出处 http://blog.itpub.net/26187408/viewspace-705428/