F5服務器負載均衡解決方案

1、F5 Networks 服務器負載均衡（SLB）解決方案建議F5 Networks服務器均衡負載服務器均衡負載解決方案建議解決方案建議F5 Networks2005-3-3F5 Networks 服務器負載均衡（SLB）解決方案建議目目 錄錄一解決方案一解決方案.31.1 網(wǎng)絡(luò)拓樸圖（僅供參考）.31.2 方案描述.4F5 Networks 服務器負載均衡（SLB）解決方案建議一解決方案一解決方案1.1 網(wǎng)絡(luò)拓樸圖（僅供參考）網(wǎng)絡(luò)拓樸圖（僅供參考） 業(yè)界領(lǐng)先的全千兆負載均衡解決方案：（千兆光纖端口千兆以太網(wǎng)端口）F5 Networks 服務器負載均衡（SLB）解決方案建議1.2 方案描述方案描

2、述方案中，建議采用兩臺 F5 公司的 IP 應用交換機 BIGIP 安全流量交換機 6400 作為冗余，為中間件服務器和應用服務器做負載均衡，并且 SSL 加速功能。所有服務器均配置冗余千兆網(wǎng)卡與兩臺 BIGIP6400 相連，這樣無論是其中的一個服務器網(wǎng)卡故障還是一臺 BIGIP6400 故障，都不影響業(yè)務的正常運行。服務器負載均衡服務器負載均衡BIG/IP 利用虛擬 IP 地址（VIP 由 IP 地址和 TCP/UDP 應用的端口組成，它是一個地址和端口的組合）來為用戶的一個或多個目標服務器（稱為節(jié)點：目標服務器的 IP 地址和TCP/UDP 應用的端口組成，它可以是 internet 的

3、私網(wǎng)保留地址）提供服務。因此，它能夠為大量的基于 TCP/IP 的網(wǎng)絡(luò)應用提供服務器負載均衡服務。BIG/IP 連續(xù)地對目標服務器進行L4 到 L7 合理性檢查，當用戶通過 VIP 請求目標服務器服務時，BIG/IP 根椐目標服務器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務器響應用戶的請求。BIG/IP 能夠充分利用所有的服務器資源，將所有流量均衡的分配到各個服務器，從而有效地避免“不平衡”現(xiàn)象的發(fā)生。BIGIP 是一臺對流量和內(nèi)容進行管理分配的設(shè)備。它提供 12 種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務器群。而面對用戶，只是一臺虛擬服務器。用戶此時只須記住一臺服務器，即虛擬服務器。但他

4、們的數(shù)據(jù)流卻被 BIGIP 靈活地均衡到所有的服務器。這 12 種算法包括： 輪詢（RoundRobin）：順序循環(huán)將請求一次順序循環(huán)地連接每個服務器。當其中某個服務器發(fā)生第二到第 7 層的故障，BIG/IP 就把其從順序循環(huán)隊列中拿出，不參加下一次的輪詢，直到其恢復正常。比率（Ratio）：給每個服務器分配一個加權(quán)值為比例，根椐這個比例，把用戶的請求分配到每個服務器。當其中某個服務器發(fā)生第二到第 7 層的故障，BIG/IP 就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。 優(yōu)先權(quán)（Priority）：給所有服務器分組，給每個組定義優(yōu)先權(quán)，BIG/IP 用戶的請求，分配

5、給優(yōu)先級最高的服務器組（在同一組內(nèi)，采用輪詢或比率算法，分配用戶的請求） ；當最高優(yōu)先級中所有服務器出現(xiàn)故障，BIG/IP 才將請求送給次優(yōu)先級的服務器組。這種方式，實際為用戶提供一種熱備份的方式。最少的連接方式（LeastConnection）：傳遞新的連接給那些進行最少連接處理的服務器。當其中某個服務器發(fā)生第二到第 7 層的故障，BIG/IP 就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。 最快模式（Fastest）：傳遞連接給那些響應最快的服務器。當其中某個服務器發(fā)生第二到第 7 層F5 Networks 服務器負載均衡（SLB）解決方案建議的故障，BIG/IP

6、 就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。觀察模式（Observed）：連接數(shù)目和響應時間以這兩項的最佳平衡為依據(jù)為新的請求選擇服務器。當其中某個服務器發(fā)生第二到第 7 層的故障，BIG/IP 就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。預測模式（Predictive）：BIG/IP 利用收集到的服務器當前的性能指標，進行預測分析，選擇一臺服務器在下一個時間片內(nèi)，其性能將達到最佳的服務器相應用戶的請求。(被 big/ip 進行檢測)動態(tài)性能分配（DynamicRatio-APM):BIG/IP 收集到的應用程序和應用服務器的各項性能參

7、數(shù)，動態(tài)調(diào)整流量分配。動態(tài)服務器補充（DynamicServerAct.):當主服務器群中因故障導致數(shù)量減少時，動態(tài)地將備份服務器補充至主服務器群。 服務質(zhì)量(QoS)：按不同的優(yōu)先級對數(shù)據(jù)流進行分配。 服務類型(ToS)：按不同的服務類型（在 TypeofField 中標識）對數(shù)據(jù)流進行分配。 規(guī)則模式：針對不同的數(shù)據(jù)流設(shè)置導向規(guī)則，用戶可自行編輯流量分配規(guī)則，BIG/IP 利用這些規(guī)則對通過的數(shù)據(jù)流實施導向控制。當出現(xiàn)流量“峰值”時，如果能調(diào)配所有服務器的資源同時提供服務，所謂的“峰值堵塞”壓力就會由于系統(tǒng)性能的大大提高而明顯減弱。由于 BIGIP 優(yōu)秀的負載均衡能力，所有流量會被均衡的轉(zhuǎn)

8、發(fā)到各個服務器，即組織所有服務器提供服務。這時，系統(tǒng)性能等于所有服務器性能的總和，遠大于流量“峰值”。這樣，即緩解了“峰值堵塞”的壓力，又降低了為調(diào)整系統(tǒng)性能而增加的投資。F5 Networks 服務器負載均衡（SLB）解決方案建議多種服務器狀態(tài)監(jiān)測手段多種服務器狀態(tài)監(jiān)測手段BIGIP 支持采用 ICMP，TCP/UDP，ECV，EAV，iControl 等各種方法對服務器或應用狀態(tài)進行健康檢查。ICMP：第 2/3 層的健康檢查方法，采用 Ping 的方法檢查服務器是否 alive。TCP/UDP：第 4 層的健康檢查方法，檢查相應的 TCP/UDP 端口是否激活來確定 Service 的狀

9、態(tài)。ECV：擴展內(nèi)容驗證，第 7 層的健康檢查方法。模擬客戶端向服務器發(fā)出請求，檢查接收數(shù)據(jù)中是否含有期望的字符串來確定應用的狀態(tài)。EAV：擴展應用驗證，嵌入式、個性化的健康檢查方法?？梢允褂胹hell script 或 perl 語言等嵌入程序執(zhí)行 EAV，對服務器進行多層步驟、復雜的健康檢查。一般開發(fā) EAV 需要三天左右的時間。iControl：主動式的健康檢查方法。讓服務器或應用來告訴BIGIP，它的健康狀態(tài)。一般開發(fā) iControl 需要三個月甚至更長的時間。 方案的特色：實時監(jiān)控服務器應用系統(tǒng)的狀態(tài)，并智能屏蔽故障應用系統(tǒng)實現(xiàn)多臺服務器的負載均衡，提升系統(tǒng)的可靠性提供服務器在線維

10、護和調(diào)試的手段可以對服務器提供流量限制和安全保護F5 Networks 服務器負載均衡（SLB）解決方案建議負載均衡流程原理說明：1)在負載均衡器內(nèi)預先配置相應的策略，將許多真實的服務器群規(guī)劃成一個Pool（服務器池） ；以及規(guī)劃一個客戶訪問接口虛擬服務器Virtual Server。2)用戶的請求通過域名解析，到達負載均衡器的Virtual Server；3)負載均衡器根據(jù)預先配置和定義的負載均衡策略（4層至7層）作出判斷，將用戶請求轉(zhuǎn)發(fā)到的最合適的服務器。4)服務器處理用戶的請求，再由負載均衡器將處理結(jié)果返回用戶。全新的硬件平臺全新的硬件平臺提供液晶面板顯示設(shè)備工作狀態(tài)和報警，選配提供關(guān)鍵

11、易損部件的冗余配置和熱插拔更換，包括電源，風扇業(yè)界領(lǐng)先的流量處理過程：業(yè)界領(lǐng)先的流量處理過程：F5 Networks 服務器負載均衡（SLB）解決方案建議內(nèi)置內(nèi)置 SSL 硬件加速功能硬件加速功能F5 BIGIP 6400 內(nèi)置了 SSL 硬件加速卡，并且免費提供 100TPS 的并發(fā) SSL（HTTPS）訪問，最大支持 15000TPS。并且，得到公認的國內(nèi) CA 機構(gòu)的認可，例如中國國際金融認證中心 CFCA。進行密文傳輸 HTTP 信息，勢必需要使用 SSL 加密用戶數(shù)據(jù)。F5 公司提供硬件的 SSL加密解密方案。通過轉(zhuǎn)移大量占用 服務器 CPU 的 SSL 協(xié)商， 提高 SSL 流量和

12、改善Web 服務器性能。通過優(yōu)化服務器處理更多的通信量來降低成本。與在每一臺服務器上插入加密加速器卡相比，利用 F5 的負載均衡設(shè)備中內(nèi)置的 SSL 加密加速功能，節(jié)省了成本，提高了性能。毫秒級冗余切換機制，提高系統(tǒng)的可靠性毫秒級冗余切換機制，提高系統(tǒng)的可靠性安全：更高的攻擊防護安全：更高的攻擊防護 這種防護不僅可以阻止攻擊，同時還可以為合法用戶提供即時服務。從這兩方面來看，BIG-IP 均提供了一整套安全服務，在提高網(wǎng)絡(luò)和應用的安全性方面扮演了日益重要的角色。從增強網(wǎng)絡(luò)和協(xié)議級安全性到過濾應用攻擊，BIG-IP 都可以部署在關(guān)鍵網(wǎng)關(guān)上，來出色的保護您的珍貴資源：運行業(yè)務的應用。支持應用安全性

13、 資源隱藏資源隱藏 BIG-IP 將全部應用、服務器錯誤代碼和真實 URL 地址進行虛擬化并隱藏 ， 因為這些信息可能會給黑客提供攻擊其基礎(chǔ)設(shè)施、服務以及相關(guān)漏洞的線索。 F5 Networks 服務器負載均衡（SLB）解決方案建議定制應用攻擊過濾定制應用攻擊過濾 BIG-IP 的完整檢查能力 及基于事件的規(guī)則提供了一項強大的能力 ， 可搜索并應用各種規(guī)則來阻止 L7 層攻擊 同時也可以定義策略來阻止特定訪問或禁止某些命令的執(zhí)行。此外，BIG-IP 在為合法用戶持續(xù)提供流量的同時，還可提供其它安全保護層，以防范黑客、病毒和蠕蟲的攻擊（如紅色代碼蠕蟲） 。 集中認證集中認證 BIG-IP 可作為

14、各種流量類型的認證代理 ，使 企業(yè)能夠為 BIG-IP 系統(tǒng)上的應用提供最高級的認證。這種功能使各類應用又多了一道遠離自身的網(wǎng)絡(luò)安全防線，為其Web 和應用層提供了進一步的保護。 增加關(guān)鍵內(nèi)容保護 提供行業(yè)內(nèi)最具 選擇性的加密選擇性的加密 方法，來對數(shù)據(jù)進行整體、部分或有條件地加密 。這種精細的控制方法可保護并優(yōu)化不同環(huán)境下的通信。 cookies 加密加密 和其它令牌都透明地分配給合法用戶。企業(yè)可獲得全部狀態(tài)應用（電子商務、CRP、EPR 和其它關(guān)鍵業(yè)務應用等）出色的安全性和更高一級的用戶身份信任支持更高標準 的的 AES（ 高級高級 SSL 加密標準加密標準 ） 算法 ， 采用市場上最安全的 SSL 加密技術(shù) ， 無需額外處理成本。 內(nèi)容保護內(nèi)容保護 防止企業(yè)的敏感文件或內(nèi)容遺留在站點上。 防御海量攻擊 BIG-IP 包含豐富的 安全特性集 ，可 全面防御拒絕服務 （ DoS） 攻擊、同步攻擊 （ SYN Flood）和 其他基于網(wǎng)絡(luò)的攻擊。 諸如 SYNCheck 等特性可為部署在 BIG-IP 設(shè)備后的服務器提供全面的同步攻擊 （ SYN Flood） 保護。此時，BIG-IP 作為安全代理，來有效地保護整個網(wǎng)絡(luò)。 與 Dynamic Reaping 特性相結(jié)合，BIG-IP 設(shè)備可安全地