链路及服务器负载均衡_F5解决方案.doc

链路及服务器负载均衡-f5解决方案目录一 项目背景31.1 xxxx行业最新动态简介31.2 xxxx原有网站系统潜在的问题3二 需求描述52.1多链路负载均衡52.2应用服务器负载均衡52.3集成的应用优化需求5三 f5方案描述63.1 f5方案总体设计及描述63.2 f5解决方案的优点73.2.1 f5的解决方案是唯一可以提供毫秒级切换的解决方案73.2.2f5的解决方案是唯一集成优化的负载均衡解决方案83.2.3f5的解决方案提供irules可以对系统应用提供灵活的支持103.2.4f5 是专业的应用交付解决方案的厂商，是行业的领导者。113.2.5f5负载均衡是全球著名应用厂商的的首选推荐。12附录1: 链路负载均衡关键技术13附录2: 服务器负载均衡技术实现15 一 项目背景1.1 xxxx行业最新动态简介xxxx行业用8年的蛰伏迎来了2006年的辉煌。经历了8年的风雨，其间也有股市的牛熊交替，或许xxxx行业从来没有想到2006年有如此的蓬勃发展，而400亿xxxx的一日速成更创造了xxxx发行的天文数字。随着2006年出现一批百亿xxxx，乃至单只规模达四百亿的xxxx登陆证券市场，国内xxxx以超6000千亿元之巨的规模向市场更加明显地表现出了以xxxx为代表的机构化时代的来临。今年以来，新募集的xxxx规模迄今已超过过去5年xxxx首发规模的八成，接近过去3年xxxx的首发规模的总和。随着xxxx业的火热发展，xxxx的网上交易，网上理财，网上资讯等应用访问量都呈指数级增长，对xxxx应用，网站等原有系统都提出新的挑战。优化/改造原有应用it架构成为各xxxx面临的首要任务。xxxx的服务的内容和方式必须进行相应的调整和更新，以满足在互联网技术飞速发展的今天，客户不受时间，地点的限制，随时交互的进行金融活动的需要。对于xxxx的网站来讲，最重要的莫过于实现网上交易平台的安全，快速，高可用了。网上交易系统平台主要需求如下： 安全交易，由于网上交易涉及客户个人隐私和xxxx,银行金融机密，因此网上交易的安全性是系统建设的首要问题。 支持传统业务及新业务发展，实现在线交易。 访问快速。 支持 724小时全天候服务，充分利用系统和设备的能力，为客户提供可靠，完善，便捷的服务。 安装，维护方便。 具备高性能，高扩展性和高可伸缩性。1.2 xxxx原有网站系统潜在的问题引起站点无法访问的原因主要有如下几种 ： 单isp 接入线路故障； 服务器故障服务器出现硬件或操作系统故障而不能使用 ； 软件故障尽管其它应用系统正常运行，但某个或某些应用系统挂起或停止响应 ； 内容故障服务器和应用系统都在正常运行，但对请求的响应却是“404 object not found”，或响应内容不正确; 流量过多服务器的响应与负载量变化密切相关。在流量增 长的过程中，服务器将及时对请求作出响应，然而当流量到达一个极限点时，服务器就会停止对所有请求进行响应。这种现象在本质上很象二进位制服务器或者工作或者罢工 。 不能访问网络如果服务器和外界的连接中断，也就无法进行访问了。这可能是由路由器故障、路由器配置错误或是高速缓存故障而引起的。 访问速度缓慢响应时间将影响客户的信心和心情，很明显，客户访问网站时等待的时间越长，它们就会越不耐烦，为防止现有客户或潜在客户弃您的网站而去，更糟糕的是转而访问竞争对手的网站，一定要避免网站的速度因突然出现的流量高峰而慢得像蜗牛一样。通讯拥塞，服务器过载，ssl的使用，防火墙等等均可造成访问速度减慢。 异地容灾问题当一个中心发生故障时，如何自动转向其它可用站点，并在原中心恢复后，自动转回服务，而且自动同步内容。 安全问题黑客攻击，产品本身安全性，系统的安全性，远程管理的安全性，防火墙异构，ssl方式, 安全与速度等。二 需求描述为了适应新的业务发展需求, 解决原有网站潜在的问题，需要对原有网站系统实现链路及服务器负载均衡，具体要求如下:2.1多链路负载均衡为了保证出口链路的高可用性和访问效率，计划拥有多条isp接入线路。多链路负载均衡设备能够提供独具特色的解决方案，不但能够充分利用多条链路（双向流量按照预设的算法分担到不同的链路上，一旦一条链路不通的情况下，能够无缝切换到另外一条可用链路上）；而且可以根据对不同链路的侦测结果，将最快速的链路提供给外部用户进行响应，从而解决目前广泛存在的多个isp之间的互联互通问题。2.2应用服务器负载均衡通过负载均衡设备, 采用丰富的负载均衡算法对应用服务器进行负载均衡，使流量得以合理分配，并且需要处理因服务器负载均衡所带来的会话保持问题。某台服务器发生故障时由负载均衡产品自动检查到，并且将其从服务器群组中排除，透明的容错，从而保证服务器的整体性能得以大幅度提升。2.3集成的应用优化需求需提供一套有针对性的方法来减少流量，降低互联网延迟和客户机连接瓶颈对其应用性能所造成的影响。通过综合采用多种应用优化手段以后，应用访问的性能可以得到显著提高，与此同时，由于服务器性能的提高，还可以达到减少服务器数量、从而节省投资的目的。例如强调有ssl 加速集成，内容缓存，http 压缩等。三 f5方案描述3.1 f5方案总体设计及描述根据需求，建议在原有系统中部署两台f5 bigip 负载均衡器, 同时实现多链路及服务器的负载均衡。 具体的部署方式根据实际情况和应用要求，可以考虑采取不同部署方式。下面是改造前后的网络拓扑图及相关讨论。以双链路出口(一条网通,一条电信为例) 。改造前internet单出口拓朴互联网内 网mailwebftp论坛/bbs网上交易dmz区二层交换机防火墙防火墙改造后internet双出口拓朴图电信网通内网防火墙防火墙external vlaninternal vlanmailwebftp论坛/bbs网上交易dmz区服务器区：wideips: cncip/ctcipf5_bigip 负载均衡器f5_bigip 负载均衡器两台f5 bigip负载均衡器做ha实现冗余，f5 bigip 负载均衡器可同时实现链路及服务器负载均衡。具体有关链路负载均衡, 服务器负载均衡原理请见附录。同时,f5 bigip 负载均衡器可集成ssl 加速,http压缩, ramcache内容缓存等应用优化功能。3.2 f5解决方案的优点3.2.1 f5的解决方案是唯一可以提供毫秒级切换的解决方案xxxx网站系统是一个可靠性要求非常高的系统，系统中断1秒钟都会影响到成千上万个用户。f5的解决方案可以提供毫秒级的切换，确保网站系统的应用不会因为负载均衡器的切换造成中断。f5公司的bigip 产品是业界唯一的可以达到毫秒级切换的负载均衡产品, 目前，在中国17家专业银行的生产系统无一例外都是采用了f5的负载均衡器，毫秒级的切换时间保证了99.9999%的无故障时间。3.2.2 f5的解决方案是唯一集成优化的负载均衡解决方案 在同一台负载均衡器上同时实现链路及服务器负载均衡通过在负载均衡器上附加软件功能模块还可以实现以下具有典型意义的功能: ssl 加速集成当企业的关键应用(网银系统就是典型代表之一)通过互联网进行部署时，往往需要采ssl来提高应用的安全性。而ssl流量的快速增加，往往使服务器的cpu不堪重负。f5 bigip应用交换机集成了硬件ssl加速处理能力，使客户能够有效地管理通过ssl提供的企业应用，并进行先进的智能流量管理检查。从而，提供了更强大的性能，并降低了实施安全应用的成本。f5 bigip应用交换机对ssl会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速，真正卸载cpu处理ssl加密解密的带来的沉重负担。通过irule提供的强大编程处理能力，f5 bigip应用交换机还可以实现对应用内容有选择性的加密。bigip应用交换机在基本配置中已经包含了100tps的ssl加速处理能力。通过购买附加的license可以将额外ssl的加速处理能力在bigip应用交换机上激活。bigip 1500bigip 3400bigip 6400bigip 6800max. ssl tps2,0008,00015,00020,000max. ssl bulk500 mbps1 gbps2 gbps2 gbpsmax. ssl conc. conn.100,000200,000500,000500,000 动态智能http压缩web serverclient 1client 2big-ipcompression on the big-ip使用工业标准的gzip和deflate压缩算法来压缩http流量；降低带宽消耗、缩短最终用户在慢速 / 低带宽连接条件下的下载时间。 广域网访问的网络延时与带宽瓶颈经常给用户的web应用的正常访问带来不便，通过在f5 big-ip应用交换机上启用http压缩功能，可以带来以下好处：更快的页面下载速度；更小的带宽消耗(支持广泛数据类型的压缩：例如http, xml, javascript, j2ee applications and many others)，启用带宽压缩所带来的带宽节省可以达到80%。客户端自适应的压缩处理能力(技术专利)：f5 big-ip应用交换机可以通过探测到客户端的round trip time来识别用户是通过宽带还是窄带方式上网，然后决定是否要对该用户启用http压缩功能。对用户完全透明，不需要在客户端安装程序：f5 big-ip应用交换机采用的压缩算法是目前常用web浏览器广泛支持的gzip和deflate算法，因此对用户完全透明，不需要预先安装客户端解压程序。bytes before compressionbytes after compression% bandwidth savediis 6.0 (standard web content)538,31897,875 82oracle 10g portalowa 2003305,001 100,192 67sharepoint portal services 2003790,652 203,400 74siebel call center 7.72,053,366275,34387weblogic portal v8.1217,97066,09370以下是各种型号big-ip应用交换机所能支持的最大压缩处理能力：big-ip 1500big-ip 3400big-ip 6400big-ip 6800max. compression100 mbps500 mbps2 gbps2 gbps ramcache 内容缓存通过在f5 big-ip应用交换机的内存上对服务器上被反复存取的内容作缓存，可以大大减轻服务器上的压力(可以减轻50%以上日服务器性能压力)。f5 big-ip应用交换机提供了内存缓存的灵活控制能力，可以对指定应用的指定内容在指定条件下进行缓存与刷新。支持静态与动态内容的缓存，对动态页面(例如动态html)，可以根据预先定义的缓存内容刷新条件对内容进行刷新。而每个应用进行高速缓存可以消耗的内存容量也可以灵活定制。3.2.3 f5的解决方案提供irules可以对系统应用提供灵活的支持bigip软件包括强大易用的irules工具，可用来定义如何根据报头和/或tcp有效负载信息来引导、保存和过滤流量。irules增强了企业或服务提供商定根据业务需求定制应用流量的能力。在bigip上，我们可以同过bigip的irules来实现七层的流量检测和灵活的负载均衡策略定义。通过irules可以对网络流量的任何规则进行判断，如源、目的ip地址，源、目的端口，数据包内容等。irules 可以同系统的应用进行灵活的配合，对系统提交的数据进行分析，对特定的请求进行特殊的处理，或者对于特定的业务进行处理。3.2.4 f5 是专业的应用交付解决方案的厂商，是行业的领导者。从gartner最新的市场分析报告中可以看出，f5 公司不论是在领导者地位还是可执行能力方面都处在最领先的位置。3.2.5 f5负载均衡是全球著名应用厂商的的首选推荐。 f5 与全球著名应用厂商如microsoft , bea , ibm , oracle 等都建立了全球合作伙伴关系, 在他们的系统中, 首选f5负载均衡。f5 负载均衡技术与其应用有着完美的结合及宝贵的经验。附录1: 链路负载均衡关键技术智能dns 解析功能提供智能的dns解析功能（示意图）internetldnsclient ip=?12345探测6探测789注册上级dns：ns1. ns2. 为了更好的分析f5的big-ip 是如何实现对不同isp用户访问提供不同的访问链路的，以一个电信用户的访问过程来详细讲解一下。首先，在lc上将会有两条isp的链路连接，可以在其上层的交换机上通过vlan来划分开两条链路，然后接入到不同isp的路由器上。同时在lc上不同的isp接口上配置上不同isp的连接ip 。然后，在域名解析的dns上做一个别名的dns解析条目，如下：in cname . in ns 。 in ns .in a xx.xx.xx.xx （f5设备电信地址）.in a xx.xx.xx.xx (f5设备网通地址）f5：配置：. in a xx.xx.xx.xx in a xx.xx.xx.xx其中sub是一个在lc上配置的虚拟域名，可以自己来定义。通过一个dns的别名和ns域名解析指向，就可以让用户本地的dns去lc上取相应的域名解析结果，而lc通过对不同链路状态的检测，回复最优路径的访问ip，这样就可以实现访问速度的提高了。具体流程如下：1、 电信用户在ie浏览器上访问 这个域名，本地机器会向其本地dns服务器查询该域名的解析ip。2、 如果本地dns上没有该域名的条目，它会向根询问该条目；如果已经有，则马上回应一个解析条目。3、 由于在根dns上已经做了一个别名的dns解析条目，当本地dns向根dns询问解析的时候，根dns会通知该本地dns向lc获取这个域名的解析条目。4、 本地dns联系lc询问解析，这时lc会动态检测两条通往不同isp路道，测试那条到达该本地dns相对较优，然后选择相对较优的链路的地址去回应本地dns，在本例中会使用中国电信的ip对 这个域名做解析。5、 本地dns会根据从lc收到的域名解析条目回应提出要求的中国电信访问用户。6、 中国电信的访问用户使用中国电信的地址去访问 这个域名。从上面的过程可见，通过lc的链路检测功能，可以为用户提供最优的访问链路，同时解决不同isp接入速度慢的影响。附录2: 服务器负载均衡技术实现big/ip利用虚拟ip地址（vip由ip地址和tcp/udp应用的端口组成，它是一个地址和端口的组合）来为用户的一个或多个目标服务器（称为节点：目标服务器的ip地址和tcp/udp应用的端口组成，它可以是internet的私网保留地址）提供服务。因此，它能够为大量的基于tcp/ip的网络应用提供服务器负载均衡服务。big/ip连续地对目标服务器进行l4到l7合理性检查，当用户通过vip请求目标服务器服务时，big/ip根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。big/ip能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，从而有效地避免“不平衡”现象的发生。bigip是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被bigip灵活地均衡到所有的服务器。这12种算法包括：轮询（roundrobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。比率（ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。优先权（priority）：给所有服务器分组，给每个组定义优先权，big/ip用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，big/ip才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。最少的连接方式（leastconnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。最快模式（fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。观察模式（observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。预测模式（predictive）：big/ip利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被big/ip进行检测)动态性能分配（dynamicratio-apm):big/ip收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。动态服务器补充（dynamicserveract.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。服务质量(qos)：按不同的优先级对数据流进行分配。 服务类型(tos)：按不同的服务类型（在typeoffield中标识）对数据流进行分配。 规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，big/ip利用这些规则对通过的数据流实施导向控