华为数据业务 负载均衡器介绍PPT课件.ppt

06 April2006 负载均衡器基础 Version4 0 Page1 在数据业务的大容量MMSC WAPGW局点中都需要应用负载均衡器 数据业务工程师应具备在开局指导书的指引下完成负载均衡器的安装配置及简单排障的能力 Page2 学习目标 了解负载均衡器的概念熟悉F5负载均衡器产品能够对F5负载均衡器进行规划和配置 学习完本课程 您应该能够 Page3 参考资料 Page4 第1章负载均衡器概念第2章F5负载均衡器介绍第3章F5负载均衡器配置步骤第4章F5负载均衡器的维护 Page5 什么叫负载均衡器 什么是负载均衡器 服务器负载均衡器是指设置在一组功能相同或相似的服务器前端 对到达服务器组的流量进行合理分发 并在其中某一台服务器故障时 能将访问请求转移到其它可以正常工作的服务器的软件或网络设备 SLB是服务器负载均衡 ServerLoadBalancing 的简称 服务器负载均衡又可以分为局域网服务器负载均衡与广域网服务器负载均衡 GlobalServerLoadBalancing 狭义的SLB是指局域网服务器负载均衡 与广域网服务器负载均衡 GSLB 相对 Page6 采用负载均衡器有什么优点 采用负载均衡器的优点 原有的系统只部署了一台服务器 随着访问量的增加 一台服务器已经不能满足应用的需要 而需要增加更多的服务器 当部署了两台以上的服务器时 就可能会需要用到负载均衡器 通过服务器负均衡器 对流量进行合理分配 可以带来以下好处 提高性能 负载均衡器可以实现服务器之间的负载平衡 从而提高了系统的反应速度与总体性能 提高可靠性 负载均衡器可以对服务器的运行状况进行监控 及时发现运行异常的服务器 并将访问请求转移到其它可以正常工作的服务器上 从而提高服务器组的可靠性 提高可维护性 采用了负均衡器器以后 可以根据业务量的发展情况灵活增加服务器 系统的扩展能力得到提高 同时简化了管理 Page7 负载均衡实现的方式 实现服务器负载均衡有多种方法 常见的方法有 基于DNS轮询的方法 即在DNS服务器中对同一域名设置多条DNS记录 通过DNS的轮询机制实现服务器负载均衡 基于应用软件的实现方法 在应用软件设计中就考虑了多服务器之间的协同工作与任务调度 这种方法一般会有一台服务器作为中枢对访问请求进行调度 同时要求在应用层支持访问重定向或任务调度 跳转机制 采用专门的L4 L7层交换机来实现 即我们常说的负载均衡器 一般都是通过在L4 L7层交换机作地址转换 NAT 来实现 Page8 3G数据业务典型组网 No7 SignalGw SMSC MMSC GMLC IMPS mSTREAM UM MDSP WISG WIN Internet CorporateNetwork Router Firewall CoreLANSwitch EdgeLANSwitch HALink WANLink FW1 S6506 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 PTT S3528x2 No7 SignalGw GELink FC SCSILink 100m FELink E1Link FW2 AAA S3528x2 FW3 FW4 3GCoreNetwork NMS OSS S3528x2 GGSN OAM S3528 OAMDesktop Antivirus Backup FW5 FW6 Page9 负载均衡器在MMSC局点中的位置 2 Eudemon200 报表服务器IBMX235 MMSPortalSUNV440 OMCServerIBMX235 2 QuidwayS6506交换机 2 F5BIGIP2400负载均衡器 CMNET 数据库和计费服务器SUNV440双机 MMSCCluster 5 SUNV440双机 BOSS BOSS QuidwayAR28路由器 QuidwayAR28路由器 预统计和报表数据库服务器IBMX445 网管接口机SUNV440 MCAS内容适配服务器4 HPDL360G3 Page10 负载均衡器需要回答的问题 负载均衡器需要回答以下几个方面的问题 支持的负载均衡算法支持的服务器健康检查的方法如何保持客户端和服务器的会话速度和性能指标安全性与可靠性端口数量 Page11 第1章负载均衡器概念第2章F5负载均衡器介绍第3章F5负载均衡器配置步骤第4章F5负载均衡器的维护 Page12 F5负载均衡器介绍 F5负载均衡器介绍F5厂家介绍F5产品介绍F5的几个概念F5的数据流F5负载均衡算法介绍F5策略保持方法介绍F5健康检查方法介绍F5双机介绍F5地址转换介绍 Page13 F5公司简介 F5Networks Inc 是一家专注于IP网络流量和内容管理 iTCM 领域的厂商 总部在美国西雅图 成立于1996年 1999年在Nasdac上市 F5Networks是全球领先的Layer4 7层交换机厂商 SSL集成加速产品供应商 F5Networks公司的网站是技术资料 常见问题的答案可以登录 Page14 F5产品介绍 公司使用的型号 有高速的L2层交换结构BIG IP5000 5100 2410 100 4G端口BIG IP2000 2400 1610 100 2G端口BIG IP1000 810 100 1G端口集成SSL加速公司现有产品主要使用BigIP1000和BigIP2400两种型号 5000 5100 2000 2400 1000 1500 Page15 1 1 2 1 1 1 2 1 2 2 2 3 2 4 1 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 1 10 1 17 1 18 1 16 1 24 3 1 3 1 F5端口命名 以BIG IP5000为例 端口命名从上到下 从左到右GE接口从2 1开始管理接口为3 1 此接口不要接业务 Page16 虚拟服务器 VirtualServers 的概念 虚拟服务器是在F5上虚拟出来的概念虚拟服务器是IP地址 端口号的组合 Internet 211 1 1 1 80 VirtualServer Page17 节点 Nodes 的概念 节点 Nodes 是服务器的IP地址 端口号的组合 Internet 192 168 20 4 80 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 Nodes Page18 地址池 Pool 的概念 Internet 客户端 路由器 BIG IP负载均衡器 服务器 地址池是一组Node的组合 Page19 虚拟服务器和节点 一个虚拟服务器对应一个地址池 一个地址池对应多个节点 Internet 192 168 20 4 80 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 虚拟服务器 216 34 94 17 80 节点 映射到 Page20 虚拟服务器 地址转换 BIG IP会执行地址换 把客户请求的数据包中的目的地址换成真实的服务器地址 真实服务器地址 NetworkAddressTranslation 虚拟服务器地址 Internet 211 1 1 1 80 192 168 20 4 80 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 Page21 网络数据流 Packet 1 解释toBIG IP虚拟服务器地址211 1 1 1 Internet 192 168 20 4 80 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 DNS服务器 211 1 1 1 80 Page22 网络数据流 Packet 1 在BIG IP上把目的地址转换成节点的地址 Internet Packet 1Src 207 17 117 20 4003Dest 211 1 1 1 80 192 168 20 4 80 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 Packet 1Src 207 17 117 20 4003Dest 192 168 20 1 80 207 17 117 20 211 1 1 1 80 Page23 网络数据流 Packet 1Return 在BIG IP把返回的数据包的源地址转换成虚拟服务器地址 Internet Packet 1 returnDest 207 17 117 20 4003Src 211 1 1 1 80 192 168 20 4 80 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 Packet 1 returnDest 207 17 117 20 4003Src 192 168 20 1 80 207 17 117 20 211 1 1 1 80 Page24 网络数据流 Packet 2 Internet Packet 2Src 207 17 117 21 4003Dest 211 1 1 1 80 192 168 20 4 80 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 Packet 2Src 207 17 117 21 4003Dest 192 168 20 2 80 207 17 117 21 211 1 1 1 80 Page25 网络数据流 Packet 2Return Internet Packet 2 returnDest 207 17 117 21 4003Src 211 1 1 1 80 192 168 20 4 8080 192 168 20 1 80 192 168 20 2 4002 192 168 20 3 80 Packet 2 returnDest 207 17 117 21 4003Src 192 168 20 2 80 207 17 117 21 216 34 94 17 80 Page26 F5负载均衡算法介绍 RoundRobin 轮询 Ratio 权重 LeastConnections 最少连接 Fastest 最快回应 Observed 观察 Predictive 预测 DynamicRatio 动态权重 MinimumActiveMembers 最少活动成员 FallbackHost 静态 动态 失效机制 Page27 负载均衡算法 轮询 客户端 路由器 BIG IP负载均衡器 服务器 客户的请求被严格分发 1 2 3 4 5 6 7 8 Internet Page28 策略保持 Persistence 概念 策略保持是处理同一台Client端过来的请求如何分发到同一个节点中去的问题 Page29 策略保持方法 SimplePersistence 简单策略保持 SSLPersistence SSL策略保持 SIPPersistence SIP策略保持 CookiePersistence Cookie策略保持 Insert Rewrite Passive HashPersistencebyExpression 表达式的策略保持 Page30 简单 simple 策略保持方法 基于源IP地址假设ClientIP地址不变Netmask一段地址范围当作源地址 配置 Page31 F5的健康检查方法 Internet 192 168 20 3 80 Page32 节点 节点地址状态 用Monitors检查的节点的状态UNCHECKEDCHECKINGUPDOWNADDRESSDOWN 管理员原因引起的状态DISABLEDADDRESSDISABLEDFORCEDDOWNADDRESSDOWN Page33 健康检查 健康检查概念Address Service Content InteractiveChecks配置健康检查从模板中创建Monitor关联 Node NodeAddressorService Page34 地址 Address 检查 步骤包被送到IP地址如果没有反应 则不会再往此节点发送流量例如 ICMP Internet 192 168 20 1 192 168 20 2 192 168 20 3 ICMP Page35 服务 Service Check 步骤建立一个TCP连接 IP地址 服务 关闭连接如果TCP连接失效 则不会再往此节点发送流量例如 TCP Internet 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 TCPConnection Page36 内容 Content 检查 步骤 建立一个OpensTCP连接 IP地址 服务 发送一个请求返回数据连接关闭如果收到的包中内容不对 则不会再往此节点发送流量例如 http Internet 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 httpGET Page37 交互 Interactive 检查 步骤建立一个连接 IP地址 服务 模拟真实应用交互会话连接关闭如果期望的结果不对 则不会再往此节点发送流量例如 SQL请求 Internet 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 会话 Page38 F5双机系统 主 备 主 备 Page39 F5双机系统的一些概念 双机配置的一些概念UnitID 单元号码 双机时此UnitID不能相同 FailoverIP 双机中对端机器的内部IP地址 两台机器FailoverIP要能互相ping通 FailoverMethod HardwiredorNetwork Hardwired用专门的Failover线 而Network用网线 经验验证要采用hardwired SharedIP 类似于双机的浮动IP Hostname 机器名 两台机器的机器名一定不要相同 Page40 配置F5双机系统一些界面 Page41 F5主备机的同步 F5主备机的同步 同步 F5只能同步Web页面的配置同步是一个push的操作 Page42 F5主机的判断 通过WEB检查 通过命令行检查 bigtop Page43 强制把F5主机变成备机 只能把主机变成备机 但不能把备机变成主机 命令方式 bfailoverstandby Page44 F5双机切换 切换方式WatchdogdeviceVLANArmFailsafeSSLProxyFailoverGatewayFailsafe检测方法Fail overcableNetworkFail over Page45 Watchdog机制 主F5有硬件或软件问题Watchdogdevice触发一个切换动作 如重启机器备机收不到主机的信息备机变成主机 Page46 VLANArmFailsafe机制 检测到没有业务网络流量F5本身触发一些流量仍然没有检测到业务网络流量发起切换进程 重启机器 备机从主机中收不到信息备机变成主机配置 Page47 SSLProxyFailover机制 加密模块硬件错误发起切换进程 重启机器 备机从主机中收不到信息备机变成主机配置 Page48 GatewayFailsafe机制 pingGW没有回应主机变成备机模式备机从主机中收不到信息备机变成主机配置 Page49 检测方法 Failover线主备机之间的串口线检查对端机器的电压Network线两台机器的内网接口的通讯Communicationbetweenboxesacrossinternalinterface检查到没有信号 厂商宣称支持以上两种检测方法 实际中建议用Failover线 Page50 F5的NAT和SNAT F5的NAT和SNAT NAT NetworkAddressTranslation 和SNAT SecureNetworkAddressTranslation 都是地址转换机制 NAT是一对一的 而SNAT是多对一的 SNAT只应用于从内部主动发起的流量 NAT在公司业务中很少用 SNAT出去的地址可以与VirtualServer的IP地址相同 如果Nodes只接受Client的访问 而不需要主动对外发起连接请求 不需要配置NAT和SNAT Page51 F5的NAT Internet 207 10 1 103 192 168 20 3 一对一的映射双向的流量专门的外网地址只有udp和tcp的流量配置 Page52 F5的SNAT 多对一的映射到SNATAddress的流量是拒绝的可以与VirtualServer共用外网地址只有TCP和UDP流量配置 Internet 207 10 1 102 192 168 20 1 192 168 20 2 192 168 20 3 Page53 第1章负载均衡器概念第2章F5负载均衡器介绍第3章F5负载均衡器配置步骤第4章F5负载均衡器的维护 Page54 F5的配置方法 两种配置方法Web接口方式https命令行方式ssh remote telnet 需要用命令打开此服务 Console建议用命令行方式的Console完成初始化配置 然后在Web方式下配置业务 Page55 Web配置工具 Page56 Web配置工具 配置工具 文档 Page57 Web配置工具 Page58 F5负载均衡器的配置步骤 F5组网规划F5配置前的准备工作F5的通用配置F5的初始化配置F5双机切换监控配置 双机时需要 F5MACmasquerade配置F5的pool配置F5的virtualserver配置F5的monitor的配置F5的snat配置F5主备机同步及切换校验业务的校验 基本配置 业务配置 校验 Page59 F5组网规划 F5组网规划包括 组网拓朴图 具体到网络设备物理端口的分配和连接 服务器网卡的分配与连接 IP地址的分配 具体到网络设备和服务器网卡的IP地址的分配 F5上业务的VIP 成员池 节点 负载均衡算法 策略保持方法的确定 Page60 F5配置前的准备工作 F5配置前的准备工作版本检查 用bversion命令检查当前的版本是否与要求匹配 若不匹配 则需要升级 f5 portal 1 bversionKernel BIG IPKernel4 5PTF 07Build18时间检查 用date命令检查系统当前的时间是否正确 如果不正确 请到单用户模式下进行修改f5 portal 1 dateThuMay2015 05 10CST2004申请license 现场用的F5都需要自己到F5网站上申请license Page61 命令行配置方式 命令行配置方式 F5 config INITIALSETUPMENUChoosethedesiredconfigurationfunctionfromthelistbelow A Configureallservices R StepsforredundantsystemsREQUIRED E Setdefaultgateways V ConfigureVLANs networking H Sethostname W Configurewebservers P SetrootpasswordOPTIONAL C Remoteauthentication O Configureremoteaccess D ConfigureDNS S ConfigureSSH F ConfigureFTP T ConfigureTelnetd I InitializeiControlportal U ConfigureRSH K Setkeyboardtype Y Setsupportaccess L LicenseActivation Z Settimezone M Definetimeservers Q QuitEnterChoice Page62 F5的通用配置 F5的通用配置在安全要求允许的情况下 在setup菜单中可以打开telnet及ftp功能 便于以后方便维护 INITIALSETUPMENUChoosethedesiredconfigurationfunctionfromthelistbelow A Configureallservices R StepsforredundantsystemsREQUIRED E Setdefaultgateways V ConfigureVLANs networking H Sethostname W Configurewebservers P SetrootpasswordOPTIONAL C Remoteauthentication O Configureremoteaccess D ConfigureDNS S ConfigureSSH F ConfigureFTP T ConfigureTelnetd I InitializeiControlportal U ConfigureRSH K Setkeyboardtype Y Setsupportaccess L LicenseActivation Z Settimezone M Definetimeservers Q QuitEnterChoice Page63 F5的通用配置 F5的通用配置配置vlanunique mac选项 此选项是保证F5上不同的vlan的MAC地址不一样 在缺省情况下 F5的各个vlan的MAC地址是一样的 建议在配置时 把此项统一选择上 可用命令ifconfig a来检验 Page64 F5的通用配置 F5的通用配置配置snatany ip选项 此选项为了保证内网的机器做了snat后 可以对ping的数据流作转换 Ping是第三层的数据包 缺省情况下F5是不对ping的数据包作转换 也就是internalvlan的主机无法pingexternalvlan的机器 注意 还可以采用telnet来验证 Page65 F5的config初始化配置 F5的config初始化配置 建议在对F5进行初始时都用命令行方式来进行初始化 登录到命令行界面 运行config或setup命令可以进行初始化配置 初次运行时会提示一些license的信息 default config BIG IPLICENSEPROBLEMThereisnoactivelicenseonthissystem Toactivateyourlicense runthe setup commandagainafterthisconfigurationandchoosethe LicenseActivation menuitem orexitfromthisprogramnowandrunthe license command Exitnow Y N n Page66 F5的config初始化配置 F5的config初始化配置 再次进入config后的菜单界面 可以在里面进行相应的操作 如何配置可参考 F5负载均衡器配置指导书 doc default config INITIALSETUPMENUChoosethedesiredconfigurationfunctionfromthelistbelow A Configureallservices R StepsforredundantsystemsREQUIRED E Setdefaultgateways V ConfigureVLANs networking H Sethostname W Configurewebservers P SetrootpasswordOPTIONAL C Remoteauthentication O Configureremoteaccess D ConfigureDNS S ConfigureSSH F ConfigureFTP T ConfigureTelnetd I InitializeiControlportal U ConfigureRSH K Setkeyboardtype Y Setsupportaccess L LicenseActivation Z Settimezone M Definetimeservers Q QuitEnterChoice Page67 F5的双机切换监控配置 F5的vlanarmfailsafe配置 在web页面中选择相应的vlan 在armfailsafe选择则可 Timeout为从F5收不到消息包的时间起 经过多长时间就发生切换 此配置不能同步 需要在F5的主备机上同时配置 每个vlan都可以配置vlanarmfailsafe Page68 F5的双机切换监控配置 F5的gatewayfailsafe配置 在web页面中选择system 在redundantproperties中把gatewayfailsafe选择则可 Router是需要监控的Gateway地址 此配置不能同步 需要在F5的主备机上同时配置 一套F5上只能配置一个gatewayfailsafe Page69 F5的MACMasquerading配置 F5的MACMasquerading配置 MacMasquerading是F5的SharedIPAddress Floating 的MAC地址 F5如果不配置此项 则sharedIPAddress的MAC地址与每台F5的vlanselfIPAddress的MAC地址是一样的 一般服务器是以sharedIPAddress为网关 在两台F5上都配置了MacMasquerade 相同的MAC地址 这样当F5发生切换后 服务器上sharedIPaddress的MAC不变 保证了业务的不中断 Page70 F5的Pool配置 Pool的配置 在配置工具Web页面的导航面板中选择 Pools 中的 Pools 标签 点击 ADD 按钮添加服务器池 Pool 在池属性 PoolProperties 中的 LoadBalancingMethod 表格中选择负载均衡策略 通常采用默认策略 RoundRobin 在 Resources 表格中的 MemberAddress 文本框输入成员IP地址 在 Service 文本框中输入服务端口 点击 添加到 CurrentMembers 当前成员列表中 添加所有组成员 点击 Done 完成配置 Page71 F5的Pool的Persistence配置 Pool的Persistence配置 在 Pools 中的 PoolName 列选中特定池 然后池属性页面中选择 Persistence 标签 在 PersistenceType 表格中选中会话保持类型 点击 Apply 应用配置 Page72 F5的VirtualServer的配置 F5的VirtualServer的配置 在配置工具Web页面的导航面板中选择 VirtualServers 中的 VirtualServers 标签 点击 ADD 按钮添加虚拟服务器 在 AddVirtualServer 窗口的 Address 文本框中输入虚拟服务器IP地址 并在 Service 文本框中输入服务端口号或在下拉框中选择现有的服务名称 点击 Next 执行下一步 在 AddVirtualServer 窗口的 ConfigureBasicProperties 页面中点击 Next 执行下一步 在 AddVirtualServer 窗口的 SelectPhysicalResources 页面中点击单选按钮 Pool 并在下拉框中选择虚拟服务器对应的负载均衡池 按 Done 完成创建虚拟服务器 Page73 F5的monitor配置 节点状态监控 Monitor 用于检验负载均衡池中成员节点的连接和服务信息 当池中成员节点服务不可用时BIG IP系统将会把流量重定向到其它节点 以提高系统的可靠性 系统自带有很多协议的Monitor的方式 但除ping tcp udp协议外 很多其他协议都是不能直接引用 而是作为定制Monitor的模板时用 因为很多协议有参数 需要与服务器上的内容保持一致 定制的Monitor方式 一般需要与业务结合 经过公司的测试才可使用 Page74 F5的Monitor的配置 F5的Monitor的配置 在配置工具Web页面的导航面板中选择 Monitor 中的 Monitors 标签 点击 ADD 按钮添加监控 根据需要选择相关关联类型 NodeAssociations 标签 NodeAddressAssociations 标签 ServiceAssociations 标签 被选关联标签中 在 ChooseMonitor 表格中选择监控名称 点击 按钮添加到 MonitorRule 监控规格文本框中 监控规则可以为一条或多条 选择监控规则后 在对应节点的 AssociateCurrentMonitorRule 复选框中选中 如果欲删除监控关联 则选中对应节点的 DeleteExistingAssocation 复选框 点击 Apply 关联监控 Page75 F5的NAT和SNAT配置 F5的NAT和SNAT配置 NAT NetworkAddressTranslation 和SNAT SecureNetworkAddressTranslation 都是地址转换机制 NAT是一对一的 而SNAT是多对一的 SNAT只应用于从内部主动发起的流量 NAT在公司业务中很少用 SNAT出去的地址可以与VirtualServer的IP地址相同 Page76 F5的SNAT配置 F5的SNAT的配置在配置工具Web页面的导航面板中选择 NATs 中的 SNATs 标签 点击 ADD 按钮添加SNAT地址 在 AddSNAT 窗口中 Transl