F服务器负载均衡解决方案.doc

最新可编辑 word 文档 F5 Networks 服务器均衡负载服务器均衡负载 解决方案建议解决方案建议 F5 Networks 2005 3 3 最新可编辑 word 文档 目目 录录 一 解决方案一 解决方案 3 1 1 网络拓朴图 仅供参考 3 1 2 方案描述 4 最新可编辑 word 文档 一 解决方案一 解决方案 1 1 网络拓朴图 仅供参考 网络拓朴图 仅供参考 业界领先的全千兆负载均衡解决方案 千兆光纤端口 千兆以太网端口 最新可编辑 word 文档 1 2 方案描述方案描述 方案中 建议采用两台 F5 公司的 IP 应用交换机 BIGIP 安全流量交换机 6400 作为冗余 为中间件服务器和应用服务器做负载均衡 并且 SSL 加速功能 所有服务器均配置冗余千兆 网卡与两台 BIGIP6400 相连 这样无论是其中的一个服务器网卡故障还是一台 BIGIP6400 故 障 都不影响业务的正常运行 服务器负载均衡服务器负载均衡 BIG IP 利用虚拟 IP 地址 VIP 由 IP 地址和 TCP UDP 应用的端口组成 它是一个地址和 端口的组合 来为用户的一个或多个目标服务器 称为节点 目标服务器的 IP 地址和 TCP UDP 应用的端口组成 它可以是 internet 的私网保留地址 提供服务 因此 它能够为 大量的基于 TCP IP 的网络应用提供服务器负载均衡服务 BIG IP 连续地对目标服务器进行 L4 到 L7 合理性检查 当用户通过 VIP 请求目标服务器服务时 BIG IP 根椐目标服务器之间 性能和网络健康情况 选择性能最佳的服务器响应用户的请求 BIG IP 能够充分利用所有的 服务器资源 将所有流量均衡的分配到各个服务器 从而有效地避免 不平衡 现象的发生 BIGIP 是一台对流量和内容进行管理分配的设备 它提供 12 种灵活的算法将数据流有效地转 发到它所连接的服务器群 而面对用户 只是一台虚拟服务器 用户此时只须记住一台服务器 即虚拟服务器 但他们的数据流却被 BIGIP 灵活地均衡到所有的服务器 这 12 种算法包括 轮询 RoundRobin 顺序循环将请求一次顺序循环地连接每个服务器 当其中某个服务器发生 第二到第 7 层的故障 BIG IP 就把其从顺序循环队列中拿出 不参加下一次的轮询 直到其恢复正常 比率 Ratio 给每个服务器分配一个加权值为比例 根椐这个比例 把用户的请求分配到每个服 务器 当其中某个服务器发生第二到第 7 层的故障 BIG IP 就把其从服务器队列中拿出 不参加下一次的 用户请求的分配 直到其恢复正常 优先权 Priority 给所有服务器分组 给每个组定义优先权 BIG IP 用户的请求 分配给优先 级最高的服务器组 在同一组内 采用轮询或比率算法 分配用户的请求 当最高优先级中所有服务器出 现故障 BIG IP 才将请求送给次优先级的服务器组 这种方式 实际为用户提供一种热备份的方式 最少的连接方式 LeastConnection 传递新的连接给那些进行最少连接处理的服务器 当其中 某个服务器发生第二到第 7 层的故障 BIG IP 就把其从服务器队列中拿出 不参加下一次的用户请求的分 配 直到其恢复正常 最快模式 Fastest 传递连接给那些响应最快的服务器 当其中某个服务器发生第二到第 7 层 的故障 BIG IP 就把其从服务器队列中拿出 不参加下一次的用户请求的分配 直到其恢复正常 最新可编辑 word 文档 观察模式 Observed 连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器 当其中某个服务器发生第二到第 7 层的故障 BIG IP 就把其从服务器队列中拿出 不参加下一次的用户请 求的分配 直到其恢复正常 预测模式 Predictive BIG IP 利用收集到的服务器当前的性能指标 进行预测分析 选择一台 服务器在下一个时间片内 其性能将达到最佳的服务器相应用户的请求 被 big ip 进行检测 动态性能分配 DynamicRatio APM BIG IP 收集到的应用程序和应用服务器的各项性能参数 动态 调整流量分配 动态服务器补充 DynamicServerAct 当主服务器群中因故障导致数量减少时 动态地将备份服务 器补充至主服务器群 服务质量 QoS 按不同的优先级对数据流进行分配 服务类型 ToS 按不同的服务类型 在 TypeofField 中标识 对数据流进行分配 规则模式 针对不同的数据流设置导向规则 用户可自行编辑流量分配规则 BIG IP 利用这些 规则对通过的数据流实施导向控制 当出现流量 峰值 时 如果能调配所有服务器的资源同时提供服务 所谓的 峰值堵 塞 压力就会由于系统性能的大大提高而明显减弱 由于 BIGIP 优秀的负载均衡能力 所有流量会被均衡的转发到各个服务器 即组织所有服务器提供服务 这时 系统性能 等于所有服务器性能的总和 远大于流量 峰值 这样 即缓解了 峰值堵塞 的压 力 又降低了为调整系统性能而增加的投资 最新可编辑 word 文档 多种服务器状态监测手段多种服务器状态监测手段 BIGIP 支持采用 ICMP TCP UDP ECV EAV iControl 等各种方 法对服务器或应用状态进行健康检查 ICMP 第 2 3 层的健康检查方法 采用 Ping 的方法检查服务器是 否 alive TCP UDP 第 4 层的健康检查方法 检查相应的 TCP UDP 端口 是否激活来确定 Service 的状态 ECV 扩展内容验证 第 7 层的健康检查方法 模拟客户端向服务 器发出请求 检查接收数据中是否含有期望的字符串来确定应用的状态 EAV 扩展应用验证 嵌入式 个性化的健康检查方法 可以使用 shell script 或 perl 语言等嵌入程序执行 EAV 对服务器进行多层步骤 复杂的健康检查 一般开发 EAV 需要三天左右的时间 iControl 主动式的健康检查方法 让服务器或应用来告诉 BIGIP 它的健康状态 一般开发 iControl 需要三个月甚至更长的时间 方案的特色 实时监控服务器应用系统的状态 并智能屏蔽故障应用系统 实现多台服务器的负载均衡 提升系统的可靠性 提供服务器在线维护和调试的手段 可以对服务器提供流量限制和安全保护 负载均衡流程原理说明 1 在负载均衡器内预先配置相应的策略 将许多真实的服务器群规划成一个Pool 服务 器池 以及规划一个客户访问接口虚拟服务器Virtual Server 2 用户的请求通过域名解析 到达负载均衡器的Virtual Server 3 负载均衡器根据预先配置和定义的负载均衡策略 4层至7层 作出判断 将用户请 求转发到的最合适的服务器 4 服务器处理用户的请求 再由负载均衡器将处理结果返回用户 全新的硬件平台全新的硬件平台 最新可编辑 word 文档 提供液晶面板显示设备工作状态和报警 选配提供关键易损部件的冗余配置和热插拔更换 包括电源 风 扇 业界领先的流量处理过程 业界领先的流量处理过程 内置内置 SSL 硬件加速功能硬件加速功能 F5 BIGIP 6400 内置了 SSL 硬件加速卡 并且免费提供 100TPS 的并发 SSL HTTPS 访问 最大支持 15000TPS 并且 得到公认的国内 CA 机构的认可 例如中国国际金融认证 中心 CFCA 进行密文传输 HTTP 信息 势必需要使用 SSL 加密用户数据 F5 公司提供硬件的 SSL 加密解密方案 通过转移大量占用 服务器 CPU 的 SSL 协商 提高 SSL 流量和改善 Web 服务器性能 通过优化服务器处理更多的通信量来降低成本 与在每一台服务器上插入 加密加速器卡相比 利用 F5 的负载均衡设备中内置的 SSL 加密加速功能 节省了成本 提高 了性能 最新可编辑 word 文档 毫秒级冗余切换机制 提高系统的可靠性毫秒级冗余切换机制 提高系统的可靠性 安全 更高的攻击防护安全 更高的攻击防护 这种防护不仅可以阻止攻击 同时还可以为合法用户提供即时服务 从这两方面来看 BIG IP 均提供了一整套安全服务 在提高网络和应用的安全性方面扮演了日益重要的角色 从增强网络和协议级安全性到过滤应用攻击 BIG IP 都可以部署在关键网关上 来出色的保 护您的珍贵资源 运行业务的应用 支持应用安全性 资源隐藏资源隐藏 BIG IP 将全部应用 服务器错误代码和真实 URL 地址进行虚拟化并隐藏 因为这些信息可能会给黑客提供攻击其基础设施 服务以及相关漏洞的线索 定制应用攻击过滤定制应用攻击过滤 BIG IP 的完整检查能力 及基于事件的规则提供了一项强大的能力 可搜索并应用各种规则来阻止 L7 层攻击 同时也可以定义策略来阻止特定访问或禁止 某些命令的执行 此外 BIG IP 在为合法用户持续提供流量的同时 还可提供其它安全保护 层 以防范黑客 病毒和蠕虫的攻击 如红色代码蠕虫 集中认证集中认证 BIG IP 可作为各种流量类型的认证代理 使 企业能够为 BIG IP 系统上 的应用提供最高级的认证 这种功能使各类应用又多了一道远离自身的网络安全防线 为其 Web 和应用层提供了进一步的保护 增加关键内容保护 提供行业内最具 选择性的加密选择性的加密 方法 来对数据进行整体 部分或有条件地加密 这种 精细的控制方法可保护并优化不同环境下的通信 cookies 加密加密 和其它令牌都透明地分配给合法用户 企业可获得全部状态应用 电子商 务 CRP EPR 和其它关键业务应用等 出色的安全性和更高一级的用户身份信任 最新可编辑 word 文档 支持更高标准 的的 AES 高级高级 SSL 加密标准加密标准 算法 采用市场上最安全的 SSL 加密技术 无需额外处理成本 内容保护 内容保护 防止企业的敏感文件或内容遗留在站点上 防御海量攻击 BIG IP 包含丰富的 安全特性集 可 全面防御拒绝服务 DoS 攻击 同步攻击 SYN Flood 和 其他基于网络的攻击 诸如 SYNCheck 等特性可为部署在 BIG IP 设备后 的服务器提供全面的同步攻击 SYN Flood 保护 此时 BIG IP 作为安全代理 来有效 地保护整个网络 与 Dynamic Reaping 特性相结合 BIG IP 设备可安全地过滤海量攻击 同时为合法连接用户提供不间断的服务 避免