F5服务器负载均衡解决设计

wordF5 Networks服务器均衡负载解决方案建议F5 Networks2005-3-3目 录一解决方案31.1 网络拓朴图仅供参考31.2 方案描述4一解决方案1.1 网络拓朴图仅供参考业界领先的全千兆负载均衡解决方案：千兆光纤端口千兆以太网端口1.2 方案描述方案中，建议采用两台F5公司的IP应用交换机BIGIP 安全流量交换机6400作为冗余，为中间件服务器和应用服务器做负载均衡，并且SSL加速功能。所有服务器均配置冗余千兆网卡与两台BIGIP6400相连，这样无论是其中的一个服务器网卡故障还是一台BIGIP6400故障，都不影响业务的正常运行。 服务器负载均衡BIG/IP利用虚拟IP地址VIP由IP地址和TCP/UDP应用的端口组成，它是一个地址和端口的组合来为用户的一个或多个目标服务器称为节点：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网保存地址提供服务。因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。BIG/IP连续地对目标服务器进展L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG/IP根椐目标服务器之间性能和网络健康情况，选择性能最优的服务器响应用户的请求。BIG/IP能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，从而有效地防止“不平衡现象的发生。BIGIP是一台对流量和内容进展管理分配的设备。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这12种算法包括：轮询RoundRobin：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。比率Ratio：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。优先权Priority：给所有服务器分组，给每个组定义优先权，BIG/IP用户的请求，分配给优先级最高的服务器组在同一组内，采用轮询或比率算法，分配用户的请求；当最高优先级中所有服务器出现故障，BIG/IP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。最少的连接方式LeastConnection：传递新的连接给那些进展最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。最快模式Fastest：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。观察模式Observed：连接数目和响应时间以这两项的最优平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。预测模式Predictive：BIG/IP利用收集到的服务器当前的性能指标，进展预测分析，选择一台服务器在下一个时间片内，其性能将达到最优的服务器相应用户的请求。(被big/ip进展检测)动态性能分配DynamicRatio-APM):BIG/IP收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。动态服务器补充DynamicServerAct.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。服务质量(QoS)：按不同的优先级对数据流进展分配。 服务类型(ToS)：按不同的服务类型在TypeofField中标识对数据流进展分配。 规如此模式：针对不同的数据流设置导向规如此，用户可自行编辑流量分配规如此，BIG/IP利用这些规如此对通过的数据流实施导向控制。当出现流量“峰值时，如果能调配所有服务器的资源同时提供服务，所谓的“峰值堵塞压力就会由于系统性能的大大提高而明显减弱。由于BIGIP优秀的负载均衡能力，所有流量会被均衡的转发到各个服务器，即组织所有服务器提供服务。这时，系统性能等于所有服务器性能的总和，远大于流量“峰值。这样，即缓解了“峰值堵塞的压力，又降低了为调整系统性能而增加的投资。多种服务器状态监测手段BIGIP支持采用ICMP，TCP/UDP，ECV，EAV，iControl等各种方法对服务器或应用状态进展健康检查。ICMP：第2/3层的健康检查方法，采用Ping的方法检查服务器是否alive。TCP/UDP：第4层的健康检查方法，检查相应的TCP/UDP端口是否激活来确定Service的状态。ECV：扩展内容验证，第7层的健康检查方法。模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。EAV：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用shell script 或perl 语言等嵌入程序执行EAV，对服务器进展多层步骤、复杂的健康检查。一般开发EAV需要三天左右的时间。iControl：主动式的健康检查方法。让服务器或应用来告诉BIGIP，它的健康状态。一般开发iControl需要三个月甚至更长的时间。方案的特色： 实时监控服务器应用系统的状态，并智能屏蔽故障应用系统 实现多台服务器的负载均衡，提升系统的可靠性 提供服务器在线维护和调试的手段 可以对服务器提供流量限制和安全保护负载均衡流程原理说明：1)在负载均衡器内预先配置相应的策略，将许多真实的服务器群规划成一个Pool服务器池；以与规划一个客户访问接口虚拟服务器Virtual Server。2)用户的请求通过域名解析，到达负载均衡器的Virtual Server；3) 负载均衡器根据预先配置和定义的负载均衡策略4层至7层作出判断，将用户请求转发到的最适宜的服务器。4) 服务器处理用户的请求，再由负载均衡器将处理结果返回用户。 全新的硬件平台提供液晶面板显示设备工作状态和报警，选配提供关键易损部件的冗余配置和热插拔更换，包括电源，风扇业界领先的流量处理过程： 内置SSL硬件加速功能F5 BIGIP 6400内置了SSL 硬件加速卡，并且免费提供100TPS的并发SSLHTTPS访问，最大支持15000TPS。并且，得到公认的国内CA机构的认可，例如中国国际金融认证中心CFCA。进展密文传输HTTP信息，势必需要使用SSL加密用户数据。F5公司提供硬件的SSL加密解密方案。通过转移大量占用服务器CPU 的 SSL 协商，提高 SSL 流量和改善Web 服务器性能。通过优化服务器处理更多的通信量来降低本钱。与在每一台服务器上插入加密加速器卡相比，利用F5的负载均衡设备中内置的SSL加密加速功能，节省了本钱，提高了性能。 毫秒级冗余切换机制，提高系统的可靠性 安全：更高的攻击防护这种防护不仅可以阻止攻击，同时还可以为合法用户提供即时服务。从这两方面来看，BIG-IP均提供了一整套安全服务，在提高网络和应用的安全性方面扮演了日益重要的角色。从增强网络和协议级安全性到过滤应用攻击，BIG-IP都可以部署在关键网关上，来出色的保护您的珍贵资源：运行业务的应用。支持应用安全性资源隐藏BIG-IP 将全部应用、服务器错误代码和真实URL 地址进展虚拟化并隐藏 ， 因为这些信息可能会给黑客提供攻击其根底设施、服务以与相关漏洞的线索。定制应用攻击过滤BIG-IP的完整检查能力与基于事件的规如此提供了一项强大的能力 ， 可搜索并应用各种规如此来阻止 L7 层攻击 同时也可以定义策略来阻止特定访问或禁止某些命令的执行。此外，BIG-IP在为合法用户持续提供流量的同时，还可提供其它安全保护层，以防X黑客、病毒和蠕虫的攻击如红色代码蠕虫。集中认证BIG-IP 可作为各种流量类型的认证代理 ，使企业能够为 BIG-IP 系统上的应用提供最高级的认证。这种功能使各类应用又多了一道远离自身的网络安全防线，为其Web和应用层提供了进一步的保护。增加关键内容保护提供行业内最具选择性的加密方法，来对数据进展整体、局部或有条件地加密。这种精细的控制方法可保护并优化不同环境下的通信。cookies 加密和其它令牌都透明地分配给合法用户。企业可获得全部状态应用电子商务、CRP、EPR和其它关键业务应用等出色的安全性和更高一级的用户身份信任支持更高标准的 AES高级 SSL 加密标准算法 ， 采用市场上最安全的 SSL 加密技术 ，无需额外处理本钱。内容保护防止企业的敏感文件或内容遗留在站点上。防御海量攻击BIG-IP包含丰富的 安全特性集 ，可 全面防御拒绝服务 DoS 攻击、同步攻击 SYN Flood和其他基于网络的攻击。 诸如 SYNCheck 等特性可为部署在 BIG-IP 设备后的服务器提供全面的同步攻击 SYN Flood保护。此时，BIG-IP作为安全代理，来有效地保护整个网络。 与DynamicReaping特性相结合，BIG-IP设备可安全地过滤海量攻击，同时为合法连接用户提供不连续的服务 。防止协议攻击BIG-IP 提供了 “ 协议无害处理 Protocol Sanitization 和“充分TCP终止Full TCP Termination点来单独管理客户机和服务器端连接，以保护所有后端系统和应用免遭恶意攻击。防火墙 包过滤现在， BIG-IP 集成了一个控制点 来定义并 执行基于第 4 层的过滤规如此 基于 PCAP， 与网络防火墙类似 ，以提高网络保护能力。9 / 9