华为数据业务 负载均衡器介绍.ppt

06.April2006,负载均衡器基础,Version4.0,Page2,在数据业务的大容量MMSC、WAPGW局点中都需要应用负载均衡器。数据业务工程师应具备在开局指导书的指引下完成负载均衡器的安装配置及简单排障的能力。,Page3,学习目标,了解负载均衡器的概念熟悉F5负载均衡器产品能够对F5负载均衡器进行规划和配置,学习完本课程，您应该能够：,Page4,参考资料,Page5,第1章负载均衡器概念第2章F5负载均衡器介绍第3章F5负载均衡器配置步骤第4章F5负载均衡器的维护,Page6,什么叫负载均衡器,什么是负载均衡器？服务器负载均衡器是指设置在一组功能相同或相似的服务器前端，对到达服务器组的流量进行合理分发；并在其中某一台服务器故障时，能将访问请求转移到其它可以正常工作的服务器的软件或网络设备。SLB是服务器负载均衡(ServerLoadBalancing)的简称。服务器负载均衡又可以分为局域网服务器负载均衡与广域网服务器负载均衡(GlobalServerLoadBalancing)。狭义的SLB是指局域网服务器负载均衡，与广域网服务器负载均衡（GSLB）相对。,Page7,采用负载均衡器有什么优点,采用负载均衡器的优点：原有的系统只部署了一台服务器，随着访问量的增加，一台服务器已经不能满足应用的需要，而需要增加更多的服务器。当部署了两台以上的服务器时，就可能会需要用到负载均衡器。通过服务器负均衡器，对流量进行合理分配，可以带来以下好处：提高性能负载均衡器可以实现服务器之间的负载平衡，从而提高了系统的反应速度与总体性能。提高可靠性负载均衡器可以对服务器的运行状况进行监控，及时发现运行异常的服务器，并将访问请求转移到其它可以正常工作的服务器上，从而提高服务器组的可靠性。提高可维护性采用了负均衡器器以后，可以根据业务量的发展情况灵活增加服务器，系统的扩展能力得到提高，同时简化了管理。,Page8,负载均衡实现的方式,实现服务器负载均衡有多种方法，常见的方法有：基于DNS轮询的方法：即在DNS服务器中对同一域名设置多条DNS记录，通过DNS的轮询机制实现服务器负载均衡。基于应用软件的实现方法，在应用软件设计中就考虑了多服务器之间的协同工作与任务调度。这种方法一般会有一台服务器作为中枢对访问请求进行调度，同时要求在应用层支持访问重定向或任务调度、跳转机制。采用专门的L4/L7层交换机来实现，即我们常说的负载均衡器。一般都是通过在L4/L7层交换机作地址转换（NAT）来实现。,Page9,3G数据业务典型组网,No7/SignalGw,SMSC,MMSC,GMLC,IMPS,mSTREAM,UM,MDSP,WISG,WIN,Internet,CorporateNetwork,Router,Firewall,CoreLANSwitch,EdgeLANSwitch,HALink,WANLink,FW1,S6506,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,PTT,S3528x2,No7/SignalGw,GELink,FC/SCSILink,100m/FELink,E1Link,FW2,AAA,S3528x2,FW3,FW4,3GCoreNetwork,NMS/OSS,S3528x2,GGSN,OAM,S3528,OAMDesktop,Antivirus,Backup,FW5,FW6,Page10,负载均衡器在MMSC局点中的位置,2Eudemon200,报表服务器IBMX235,MMSPortalSUNV440,OMCServerIBMX235,2QuidwayS6506交换机,2F5BIGIP2400负载均衡器,CMNET,数据库和计费服务器SUNV440双机,MMSCCluster（5SUNV440双机）,BOSS,BOSS,QuidwayAR28路由器,QuidwayAR28路由器,预统计和报表数据库服务器IBMX445,网管接口机SUNV440,MCAS内容适配服务器4HPDL360G3,Page11,负载均衡器需要回答的问题,负载均衡器需要回答以下几个方面的问题：支持的负载均衡算法支持的服务器健康检查的方法如何保持客户端和服务器的会话速度和性能指标安全性与可靠性端口数量,Page12,第1章负载均衡器概念第2章F5负载均衡器介绍第3章F5负载均衡器配置步骤第4章F5负载均衡器的维护,Page13,F5负载均衡器介绍,F5负载均衡器介绍F5厂家介绍F5产品介绍F5的几个概念F5的数据流F5负载均衡算法介绍F5策略保持方法介绍F5健康检查方法介绍F5双机介绍F5地址转换介绍,Page14,F5公司简介,F5Networks,Inc.是一家专注于IP网络流量和内容管理(iTCM）领域的厂商，总部在美国西雅图，成立于1996年，1999年在Nasdac上市。F5Networks是全球领先的Layer4-7层交换机厂商、SSL集成加速产品供应商。F5Networks公司的网站是技术资料、常见问题的答案可以登录.,Page15,F5产品介绍（公司使用的型号）,有高速的L2层交换结构BIG-IP5000/51002410/100&4G端口BIG-IP2000/24001610/100&2G端口BIG-IP1000810/100&1G端口集成SSL加速公司现有产品主要使用BigIP1000和BigIP2400两种型号,5000/5100,2000/2400,1000/1500,Page16,1.1,2.1,1.1,2.1,2.2,2.3,2.4,1.2,1.3,1.4,1.5,1.6,1.7,1.8,1.9,1.10,1.17,1.18,1.16,1.24,3.1,3.1,F5端口命名（以BIG-IP5000为例）,端口命名从上到下，从左到右GE接口从2.1开始管理接口为3.1（此接口不要接业务）,Page17,虚拟服务器（VirtualServers）的概念,虚拟服务器是在F5上虚拟出来的概念虚拟服务器是IP地址端口号的组合,Internet,:80,VirtualServer,Page18,节点（Nodes）的概念,节点（Nodes)是服务器的IP地址端口号的组合,Internet,:80,:80,:80,:80,Nodes,Page19,地址池（Pool)的概念,Internet,客户端,路由器,BIG-IP负载均衡器,服务器,地址池是一组Node的组合,Page20,虚拟服务器和节点,一个虚拟服务器对应一个地址池，一个地址池对应多个节点,Internet,:80,:80,:80,:80,虚拟服务器,7:80,节点,映射到,Page21,虚拟服务器地址转换,BIG-IP会执行地址换，把客户请求的数据包中的目的地址换成真实的服务器地址,真实服务器地址,NetworkAddressTranslation,虚拟服务器地址,Internet,:80,:80,:80,:80,:80,Page22,网络数据流-Packet#1,解释toBIG-IP虚拟服务器地址,Internet,:80,:80,:80,:80,DNS服务器,:80,Page23,网络数据流-Packet#1,在BIG-IP上把目的地址转换成节点的地址,Internet,Packet#1Src-0:4003Dest:80,:80,:80,:80,:80,Packet#1Src0:4003Dest:80,0,:80,Page24,网络数据流Packet#1Return,在BIG-IP把返回的数据包的源地址转换成虚拟服务器地址,Internet,Packet#1-returnDest-0:4003Src:80,:80,:80,:80,:80,Packet#1-returnDest0:4003Src:80,0,:80,Page25,网络数据流-Packet#2,Internet,Packet#2Src-1:4003Dest:80,:80,:80,:80,:80,Packet#2Src1:4003Dest:80,1,:80,Page26,网络数据流Packet#2Return,Internet,Packet#2-returnDest-1:4003Src:80,:8080,:80,:4002,:80,Packet#2-returnDest1:4003Src:80,1,7:80,Page27,F5负载均衡算法介绍,RoundRobin（轮询）Ratio（权重）LeastConnections（最少连接）Fastest（最快回应）Observed（观察）Predictive（预测）DynamicRatio（动态权重）MinimumActiveMembers（最少活动成员）FallbackHost,静态,动态,失效机制,Page28,负载均衡算法轮询,客户端,路由器,BIG-IP负载均衡器,服务器,客户的请求被严格分发,1,2,3,4,5,6,7,8,Internet,Page29,策略保持（Persistence）概念,策略保持是处理同一台Client端过来的请求如何分发到同一个节点中去的问题,Page30,策略保持方法,SimplePersistence（简单策略保持）SSLPersistence（SSL策略保持）SIPPersistence（SIP策略保持）CookiePersistence（Cookie策略保持）Insert,Rewrite,Passive&HashPersistencebyExpression（表达式的策略保持）,Page31,简单(simple)策略保持方法,基于源IP地址假设ClientIP地址不变Netmask一段地址范围当作源地址,配置：,Page32,F5的健康检查方法,Internet,:80,Page33,节点&节点地址状态,用Monitors检查的节点的状态UNCHECKEDCHECKINGUPDOWNADDRESSDOWN,管理员原因引起的状态DISABLEDADDRESSDISABLEDFORCEDDOWNADDRESSDOWN,Page34,健康检查,健康检查概念Address,Service,Content,InteractiveChecks配置健康检查从模板中创建Monitor关联:Node,NodeAddressorService,Page35,地址（Address）检查,步骤包被送到IP地址如果没有反应，则不会再往此节点发送流量例如-ICMP,Internet,,,,ICMP,Page36,服务（Service）Check,步骤建立一个TCP连接(IP地址:服务)关闭连接如果TCP连接失效，则不会再往此节点发送流量例如TCP,Internet,:80,:80,:80,TCPConnection,Page37,内容（Content）检查,步骤：建立一个OpensTCP连接(IP地址:服务)发送一个请求返回数据连接关闭如果收到的包中内容不对，则不会再往此节点发送流量例如http,Internet,:80,:80,:80,httpGET/,Page38,交互（Interactive）检查,步骤建立一个连接(IP地址:服务)模拟真实应用交互会话连接关闭如果期望的结果不对，则不会再往此节点发送流量例如SQL请求,Internet,:80,:80,:80,会话,Page39,F5双机系统,主,备,主,备,Page40,F5双机系统的一些概念,双机配置的一些概念UnitID（单元号码，双机时此UnitID不能相同）FailoverIP(双机中对端机器的内部IP地址，两台机器FailoverIP要能互相ping通）FailoverMethod(HardwiredorNetwork)（Hardwired用专门的Failover线，而Network用网线，经验验证要采用hardwired）SharedIP（类似于双机的浮动IP）Hostname（机器名，两台机器的机器名一定不要相同）,Page41,配置F5双机系统一些界面,Page42,F5主备机的同步,F5主备机的同步：,同步,F5只能同步Web页面的配置同步是一个push的操作,Page43,F5主机的判断,通过WEB检查,通过命令行检查bigtop,Page44,强制把F5主机变成备机,只能把主机变成备机，但不能把备机变成主机,命令方式bfailoverstandby,Page45,F5双机切换,切换方式WatchdogdeviceVLANArmFailsafeSSLProxyFailoverGatewayFailsafe检测方法Fail-overcableNetworkFail-over,Page46,Watchdog机制,主F5有硬件或软件问题Watchdogdevice触发一个切换动作，如重启机器备机收不到主机的信息备机变成主机,Page47,VLANArmFailsafe机制,检测到没有业务网络流量F5本身触发一些流量仍然没有检测到业务网络流量发起切换进程(重启机器)备机从主机中收不到信息备机变成主机配置:,Page48,SSLProxyFailover机制,加密模块硬件错误发起切换进程(重启机器)备机从主机中收不到信息备机变成主机配置:,Page49,GatewayFailsafe机制,pingGW没有回应主机变成备机模式备机从主机中收不到信息备机变成主机配置:,Page50,检测方法,Failover线主备机之间的串口线检查对端机器的电压Network线两台机器的内网接口的通讯Communicationbetweenboxesacrossinternalinterface检查到没有信号,厂商宣称支持以上两种检测方法，实际中建议用Failover线。,Page51,F5的NAT和SNAT,F5的NAT和SNAT：NAT(NetworkAddressTranslation)和SNAT(SecureNetworkAddressTranslation)都是地址转换机制。NAT是一对一的，而SNAT是多对一的。SNAT只应用于从内部主动发起的流量，NAT在公司业务中很少用。SNAT出去的地址可以与VirtualServer的IP地址相同。如果Nodes只接受Client的访问，而不需要主动对外发起连接请求，不需要配置NAT和SNAT。,Page52,F5的NAT,Internet,03,,一对一的映射双向的流量专门的外网地址只有udp和tcp的流量配置:,Page53,F5的SNAT,多对一的映射到SNATAddress的流量是拒绝的可以与VirtualServer共用外网地址只有TCP和UDP流量配置,Internet,02,,,,Page54,第1章负载均衡器概念第2章F5负载均衡器介绍第3章F5负载均衡器配置步骤第4章F5负载均衡器的维护,Page55,F5的配置方法,两种配置方法Web接口方式https命令行方式ssh(remote)telnet（需要用命令打开此服务）Console建议用命令行方式的Console完成初始化配置，然后在Web方式下配置业务,Page56,Web配置工具,Page57,Web配置工具,配置工具,文档,Page58,Web配置工具,Page59,F5负载均衡器的配置步骤,F5组网规划F5配置前的准备工作F5的通用配置F5的初始化配置F5双机切换监控配置（双机时需要）F5MACmasquerade配置F5的pool配置F5的virtualserver配置F5的monitor的配置F5的snat配置F5主备机同步及切换校验业务的校验,基本配置,业务配置,校验,Page60,F5组网规划,F5组网规划包括：组网拓朴图（具体到网络设备物理端口的分配和连接，服务器网卡的分配与连接）IP地址的分配（具体到网络设备和服务器网卡的IP地址的分配）F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定,Page61,F5配置前的准备工作,F5配置前的准备工作版本检查用bversion命令检查当前的版本是否与要求匹配。若不匹配，则需要升级。f5-portal-1:#bversionKernel:BIG-IPKernel4.5PTF-07Build18时间检查用date命令检查系统当前的时间是否正确，如果不正确，请到单用户模式下进行修改f5-portal-1:#dateThuMay2015:05:10CST2004申请license现场用的F5都需要自己到F5网站上申请license,Page62,命令行配置方式,命令行配置方式：F5#config,INITIALSETUPMENUChoosethedesiredconfigurationfunctionfromthelistbelow.(A)Configureallservices(R)StepsforredundantsystemsREQUIRED(E)Setdefaultgateways(V)ConfigureVLANs&networking(H)Sethostname(W)Configurewebservers(P)SetrootpasswordOPTIONAL(C)Remoteauthentication(O)Configureremoteaccess(D)ConfigureDNS(S)ConfigureSSH(F)ConfigureFTP(T)ConfigureTelnetd(I)InitializeiControlportal(U)ConfigureRSH(K)Setkeyboardtype(Y)Setsupportaccess(L)LicenseActivation(Z)Settimezone(M)Definetimeservers(Q)QuitEnterChoice:,Page63,F5的通用配置,F5的通用配置在安全要求允许的情况下，在setup菜单中可以打开telnet及ftp功能，便于以后方便维护。,INITIALSETUPMENUChoosethedesiredconfigurationfunctionfromthelistbelow.(A)Configureallservices(R)StepsforredundantsystemsREQUIRED(E)Setdefaultgateways(V)ConfigureVLANs&networking(H)Sethostname(W)Configurewebservers(P)SetrootpasswordOPTIONAL(C)Remoteauthentication(O)Configureremoteaccess(D)ConfigureDNS(S)ConfigureSSH(F)ConfigureFTP(T)ConfigureTelnetd(I)InitializeiControlportal(U)ConfigureRSH(K)Setkeyboardtype(Y)Setsupportaccess(L)LicenseActivation(Z)Settimezone(M)Definetimeservers(Q)QuitEnterChoice:,Page64,F5的通用配置,F5的通用配置配置vlanunique_mac选项，此选项是保证F5上不同的vlan的MAC地址不一样。在缺省情况下，F5的各个vlan的MAC地址是一样的，建议在配置时，把此项统一选择上。可用命令ifconfiga来检验。,Page65,F5的通用配置,F5的通用配置配置snatany_ip选项，此选项为了保证内网的机器做了snat后，可以对ping的数据流作转换。Ping是第三层的数据包，缺省情况下F5是不对ping的数据包作转换，也就是internalvlan的主机无法pingexternalvlan的机器。（注意：还可以采用telnet来验证。）,Page66,F5的config初始化配置,F5的config初始化配置：建议在对F5进行初始时都用命令行方式来进行初始化。登录到命令行界面，运行config或setup命令可以进行初始化配置。初次运行时会提示一些license的信息。default:#config,BIG-IPLICENSEPROBLEMThereisnoactivelicenseonthissystem.Toactivateyourlicense,runthesetupcommandagainafterthisconfigurationandchoosetheLicenseActivationmenuitem,orexitfromthisprogramnowandrunthelicensecommand.Exitnow?(Y/N):n,Page67,F5的config初始化配置,F5的config初始化配置：再次进入config后的菜单界面，可以在里面进行相应的操作。如何配置可参考F5负载均衡器配置指导书.doc。default:#config,INITIALSETUPMENUChoosethedesiredconfigurationfunctionfromthelistbelow.(A)Configureallservices(R)StepsforredundantsystemsREQUIRED(E)Setdefaultgateways(V)ConfigureVLANs&networking(H)Sethostname(W)Configurewebservers(P)SetrootpasswordOPTIONAL(C)Remoteauthentication(O)Configureremoteaccess(D)ConfigureDNS(S)ConfigureSSH(F)ConfigureFTP(T)ConfigureTelnetd(I)InitializeiControlportal(U)ConfigureRSH(K)Setkeyboardtype(Y)Setsupportaccess(L)LicenseActivation(Z)Settimezone(M)Definetimeservers(Q)QuitEnterChoice:,Page68,F5的双机切换监控配置,F5的vlanarmfailsafe配置：在web页面中选择相应的vlan，在armfailsafe选择则可。Timeout为从F5收不到消息包的时间起，经过多长时间就发生切换。此配置不能同步，需要在F5的主备机上同时配置。每个vlan都可以配置vlanarmfailsafe。,Page69,F5的双机切换监控配置,F5的gatewayfailsafe配置：在web页面中选择system，在redundantproperties中把gatewayfailsafe选择则可。Router是需要监控的Gateway地址。此配置不能同步，需要在F5的主备机上同时配置。一套F5上只能配置一个gatewayfailsafe。,Page70,F5的MACMasquerading配置,F5的MACMasquerading配置：MacMasquerading是F5的SharedIPAddress(Floating)的MAC地址，F5如果不配置此项，则sharedIPAddress的MAC地址与每台F5的vlanselfIPAddress的MAC地址是一样的。一般服务器是以sharedIPAddress为网关，在两台F5上都配置了MacMasquerade（相同的MAC地址），这样当F5发生切换后，服务器上sharedIPaddress的MAC不变，保证了业务的不中断。,Page71,F5的Pool配置,Pool的配置：在配置工具Web页面的导航面板中选择“Pools”中的“Pools”标签，点击“ADD”按钮添加服务器池(Pool)。在池属性（PoolProperties）中的“LoadBalancingMethod”表格中选择负载均衡策略，通常采用默认策略：“RoundRobin”,在“Resources”表格中的“MemberAddress”文本框输入成员IP地址，在“Service”文本框中输入服务端口，点击“”添加到“CurrentMembers”当前成员列表中。添加所有组成员，点击“Done”完成配置。,Page72,F5的Pool的Persistence配置,Pool的Persistence配置：在“Pools”中的“PoolName”列选中特定池，然后池属性页面中选择“Persistence”标签。在“PersistenceType”表格中选中会话保持类型。点击“Apply”应用配置。,Page73,F5的VirtualServer的配置,F5的VirtualServer的配置：在配置工具Web页面的导航面板中选择“VirtualServers”中的“VirtualServers”标签，点击“ADD”按钮添加虚拟服务器。在“AddVirtualServer”窗口的“Address”文本框中输入虚拟服务器IP地址，并在“Service”文本框中输入服务端口号或在下拉框中选择现有的服务名称，点击“Next”执行下一步。在“AddVirtualServer”窗口的“ConfigureBasicProperties”页面中点击“Next”执行下一步。在“AddVirtualServer”窗口的“SelectPhysicalResources”页面中点击单选按钮“Pool”，并在下拉框中选择虚拟服务器对应的负载均衡池。按“Done”完成创建虚拟服务器。,Page74,F5的monitor配置,节点状态监控（Monitor）用于检验负载均衡池中成员节点的连接和服务信息，当池中成员节点服务不可用时BIG-IP系统将会把流量重定向到其它节点，以提高系统的可靠性。系统自带有很多协议的Monitor的方式，但除ping、tcp、udp协议外，很多其他协议都是不能直接引用，而是作为定制Monitor的模板时用（因为很多协议有参数，需要与服务器上的内容保持一致）。定制的Monitor方式，一般需要与业务结合，经过公司的测试才可使用。,Page75,F5的Monitor的配置,F5的Monitor的配置：在配置工具Web页面的导航面板中选择“Monitor”中的“Monitors”标签，点击“ADD”按钮添加监控。根据需要选择相关关联类型：“NodeAssociations”标签、NodeAddressAssociations”标签、ServiceAssociations”标签。被选关联标签中，在“ChooseMonitor”表格中选择监控名称，点击“”按钮添加到“MonitorRule”监控规格文本框中。监控规则可以为一条或多条。选择监控规则后，在对应节点的“AssociateCurrentMonitorRule”复选框中选中。如果欲删除监控关联，则选中对应节点的“DeleteExistingAssocation”复选框。点击“Apply”关联监控。,Page76,F5的NAT和SNAT配置,F5的NAT和SNAT配置：NAT(NetworkAddressTranslation)和SNAT(SecureNetworkAddressTranslation)都是地址转换机制。NAT是一对一的，而SNAT是多对一的。SNAT只应用于从内部主动发起的流量，NAT在公司业务中很少用。SNAT出去的地址可以与VirtualServer的IP地址相同。,Page77,F5的SNAT配置,F5的SNAT的配置在配置工具Web页面的导航面板中选择“NATs”中的“SNATs”标签，点击“ADD”按钮添加SNAT地址。在“AddSNAT”窗口中“TranslationAddress”的“IP