F5_负载均衡关键技术.ppt

信诺瑞得信息技术有限公司销售经理技术工程师隆真 F5负载均衡关键技术 负载均衡关键技术 负载均衡算法服务器健康检查会话保持技术HTTP流量压缩连接优化技术带宽管理 BIG IP工作原理 Clients BIG IPController Servers Internet 192 168 0 1 80 192 168 0 2 8080 192 168 0 3 8100 192 168 0 4 8000 10 10 10 10 80 BIG IP负载均衡算法 RoundRobin 轮巡 Ratio 比率 Priority 优先权 LeastConnections 最小连接数 Fastest 最快响应速度 Observed 观察模式 Predictive 预测模式 智能算法UIE Irules 静态 动态 RoundRobin Clients Router BIG IPController Servers Clientrequestsaredistributedevenly 1 2 3 4 5 6 7 8 Internet Ratio Clients Router BIG IPController Servers AdministratorsetsratiofordistributingClientrequests3 1 1 1 1 2 3 4 7 8 9 10 Internet 5 6 11 12 Fastest Clients Router BIG IPController Servers NextrequestsgotoNodewithshortestresponsetime 1 2 Internet Fastest sometimelater Clients Router BIG IPController Servers NextrequestsgotoNodewithshortestresponsetime 101 102 Internet Least Clients Router BIG IPController Servers 1 2 Internet NextrequestsgoestoNodewithfewestnumberofconnections Least sometimelater Clients Router BIG IPController Servers Internet NextrequestsgoestoNodewithfewestnumberofconnections 61 62 Observed Clients Router BIG IPController Servers NextrequestsgoestoNodewithcombinationoffewestconnectionsandbestresponse 1 2 Internet Predictive Clients Router BIG IPController Servers 1 2 Internet NextrequestsgoestoNodewithcombinationoffewestconnectionsandbestresponseovertime MinimumActiveMembers Clients Router BIG IPController Servers 1 3 5 2 4 6 Internet Priority1 Priority2 IfMinimumActiveMembersis2 and3ofthehighestprioritynodesareavailable thenlowerprioritynodeswillnotbeused MinimumActiveMembers Clients Router BIG IPController Servers 1 5 Internet Priority1 Priority2 3 2 4 6 7 8 IfnumberofnodesfallsbelowtheMinimumActiveMembers 2 thenthenexthighestprioritynodesareusedalso FallbackHost Clients Router BIG IPController Servers Internet Ifallnodesfail thenclientissentanhttpredirecttothe fallback server ApologizeServer 服务器负载均衡关键技术 负载均衡算法服务器健康检查会话保持技术HTTP流量压缩连接优化技术带宽管理 服务器健康检查 Internet 172 16 20 3 80 BIG IP服务器健康检查 ICMPTCPServiceECV ExtendContentVerify EAV ExtendApplicationVerify External 主机检查 StepsPacketssenttoIPAddressesIfnoresponse thennotrafficsenttoassociatedNodesExample ICMP Internet 192 168 20 1 192 168 20 2 192 168 20 3 ICMP 服务检查 StepsOpensTCPconnection IPAddress service ConnectionclosedIfTCPconnectionfails thennotrafficsenttoassociatedNodesExample TCP Internet 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 TCPConnection 内容检查 Internet 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 StepsOpensTCPconnection IPAddress service SendsarequestResponsereturnsdataConnectionclosedIfReceiveRulenotfoundindata thennotrafficsenttoassociatedNodesExample http httpGET 交互的应用检查 Internet 192 168 20 1 80 192 168 20 2 80 192 168 20 3 80 StepsOpensTCPconnection IPAddress service Interactiveconversationtosimulatereal worldConnectionclosedIfexpectedresultsdonotoccur thennotrafficsenttoassociatedNodesExample SQLrequest conversation 健康检查模版 ExternalServiceCheck bin sh theseargumentssuppliedautomaticallyforallexternalpingers 1 IP nnn nnn nnn nnnnotationorhostname 2 port decimal hostbyteorder 3andhigher additionalarguments Inthissamplescript 3istheregularexpression pidfile var run pinger 1 2 pid if f pidfile thenkill 9 cat pidfile dev null2 1fiecho pidfilenode ip echo 1 sed s ffff echo GET usr bin nc node ip 22 dev null grep E i 3 dev null usr bin curl m3http node ip 2 32 dev null grep 4 dev nullstatus if status eq0 thenecho up firm f pidfile 对于BIG IP内置没有提供健康检查方法的应用 可以通过编写脚本的方式来定制相应的健康检查方法 例如对某一特定的中间件服务器可以通过编写以下的脚本来实现对应用的检查 服务器负载均衡关键技术 负载均衡算法服务器健康检查会话保持技术HTTP流量压缩连接优化技术带宽管理 PersistenceConcepts Subsequentconnectionsfromausersenttosameserver loadbalancingmodessuperceded 1 2 3 1 2 3 UsernamePassword UsernamePassword BIG IP会话保持 SessionPersistence SimplePersistenceDestinationPersistenceSSLPersistenceCookiePersistence Insert Rewrite Passive Hash MSRDPPersistenceSIPPersistenceUniversalPersistence SimplePersistence BasedonSourceIPAddressAssumesnochangeinIPAddressNetmaskAddressRangeTreatedasSingleSource SSLPersistence BasedonSSLSessionIDRemainsConstantWhenClientIPAddressChangesPersistenceLostifBrowserChangesSSLSessionID CookiePersistence InsertmodeBIG IPInsertsacookieintothestreamRewritemodeHostcreatescookieandBIG IPControllerchangesitPassivemodeHostcreatescookieandBIG IPControllerReadsitHashmodeMapsacookievaluetoaspecificnodeWebservermustgenerateacookie Client Server pickserver cookiespecifiesserver CookieInsertMode Client Server pickserver cookiespecifiesserver CookieRewriteMode Client Server pickserver cookiespecifiesserver CookiePassiveMode Client Server pickserver cookiehashspecifiesserver Server cookiehashspecifiesserver CookieHashMode MSRDPPersistence 微软远程桌面协议 MSRDP 会话保持跟踪那些运行Microsoft 远程桌面协议 RDP 服务的客户机和服务器之间的对话 UniversalPersistence 对于BIG IP没有提供会话保持方法的特定应用 可以通过脚本来进行定制会话保持方法 例如对于许多中间件服务器 JSESSIONID往往会被作为会话保持的依据 但对于用户的首次访问 用户请求中是没有JSESSIONID的 这样往往会现现第一次请求被按负载均衡分配到一台服务器上 而随后的访问却被JSESSIONID保持到别的服务器上的情况 whenCLIENT ACCEPTED setadd persist1 whenHTTP RESPONSE if HTTP cookieexists JSESSIONID and add persist loglocal0 responsesetcookie HTTP cookie JSESSIONID persistadduie HTTP cookie JSESSIONID setadd persist0 whenHTTP REQUEST if HTTP cookieexists JSESSIONID persistuie HTTP cookie JSESSIONID else setjsess findstr HTTP uri jsessionid 1132 if jsess loglocal0 requestinclude jsess persistuie jsess 服务器负载均衡关键技术 负载均衡算法服务器健康检查会话保持技术HTTP流量压缩连接优化技术带宽管理 HTTP压缩处理 Uncompressed Compressed BIG IP HTTP压缩技术 为什么要用压缩处理 访问用户可以更快得到回应节约带宽高TCOLessDatatoEncrypt HTTP压缩处理 HTTP压缩是一个webbrowsers和webservers常用的技术 用户的browser在 Accept Encoding header中通知server采用哪种压缩模式 Server就可以在可协商的范围内选择其中一种方式并压缩回应的包 Server另外插入一个 Content Encoding header显示采用的压缩方式 HTTP压缩处理 可以压缩哪些呢 压缩效果比较好的 texthtmlotherwhitespacerichdata压缩 whitespace 的richdata经常可以得到80 的压缩比拨号用户 TCP延迟较大的用户 HTTP压缩处理选择性压缩 哪些不可以压缩 压缩文件 rar zip etc imageformats jpeg Gif png etc PDFfileswillnotdisplayatalliftheyarecompressed Otherfiletypesthatarealreadycompressed宽带用户 服务器负载均衡关键技术 负载均衡算法服务器健康检查会话保持技术HTTP流量压缩连接优化技术带宽管理 连接优化 可以提高服务器30 的服务能力 聚合大量的用户请求为很少的服务器连接将HTTP1 0的访问转换为HTTP1 1对服务器进行访问智能的负载均衡连接聚合到不同内容的服务器 jpg streaming html 连接优化 OneConnect Withclientaggregation OneConnect HTTPtransformations index htm a gif b gif c asp index htm a gif b gif c asp Many One sales htm d gif e gif f asp index htm d gif a gif c asp HTMLserverpool GIFserverpool ASPserverpool index htm a gif b gif c asp f asp sales htm e gif b gif index htm a gif b gif c asp index htm a gif b gif c asp OneConnect ContentSwitching HTMLserverpool GIFserverpool ASPserverpool 服务器负载均衡关键技术 负载均衡算法服务器健康检查会话保持技术HTTP流量压缩连接优化技术带宽管理 用户问题 市场现象 带宽管理 KaZaa Email VideoConferencing Oracle HTTPTraffic 4x 2x Client 较低优先级的P2P流量影响商业使用 如Ocaled Email 视频会议等需要高品质的专用带宽允许非严格的P2P访问 推动他们增加安全性 防止攻击和风险 并不是所有P2P流量都是无用流量 42 的用户在公司网上从P2P站点下载信息ISPs报告说P2P流量占所有流量的30 70 ISPs报告80 90 最后一公里的流量是P2P去年 P2P站点已经从434增加到刚超过2 000站点 商业利益 F5解决方案 带宽管理 KaZaa Email VideoConferancing Oracle HTTPTraffic 4x 2x Client 带宽管理 iRules 带宽管理可区分出P2P和其它较高优先级的应用 确保高优先级的应用有足够的带宽包过滤 允许对基于协议 地址和端口的P2P站点进行选择性过滤 通过控制非优先级流量峰值 节省20 的带宽在高峰流量加载时最小化对关键业务的影响排除版权和法律诉讼的风险 带宽管理实际效果 ExternalSlide SSLX Control应用安全防护高可用性解决方案合作伙伴 客户问题 SSL引发系统扩展瓶颈 SSL流量每年成倍增长SSL不再是只为电子商务所采用 主要的应用开发商 Siebel Peoplesoft etc 都已经在其软件中集成了SSL企业内部安全机制业已经常关注SSL解决方案 当考虑系统成本时扩展SSL吞吐能力变得十分困难现有的解决方案侧重包交换能力 TPS 却不注重处理大量并发用户连接和高数据流状况下的真实性能随着应用安全的提升 SSL数据流量急剧上升 市场现象 服务器负载均衡设备 SSL加速设备集群 应用服务器 无处不在的安全加密 商业利益 F5解决方案 突破性的SSL解决方案 对SSL密匙交换和批加密加速 同时大大增加SSL的同时连接数 AES加密 最高级的加密标准 使企业随时部署和扩展SSL加密 减少管理和降低TCO 10比1代理数 全面部署SSL得以实现 Application iControl架构 通用的软件架构支持F5产品的互相通讯 收集信息发送指令免费的软件开发工具包 SDK 让软件开发者开发应用使开发与F5产品通讯的模块全自动化的应用控制网络功能 个性化管理软件技术 F5网络控制架构 通过将网络应用软件与F5网络硬件设备无缝集成使F5公司遥遥领先于竞争对手 PCMagazineJanuary2 2002 X Control基于iControl的应用流量管理平台 iControlAPI SDK Oracle APIControl MS Net iControlAPI SDK BeaWebLogic iControlAPI SDK TOM 提高网络与应用安全性 防DOS攻击BIG IP可全面防御拒绝服务 DoS 攻击 同步攻击 SYNFlood 和其他基于网络的攻击 可安全地过滤海量攻击 同时为合法连接用户提供不间断的服务 过滤非法的用户请求 rulenwc robot routing rule whenHTTP REQUEST if HTTP headerUser Agent if matchclass IP remote addr equals blacklisted clients poolspider HTTP headerHost elseif matchclass HTTP headerUser Agent contains blacklisted useragents poolspider HTTP headerHost elseif stringfirst nocase bot HTTP headerUser Agent 0 poolspider HTTP headerHost else poolpool HTTP headerHost F5BIG IP应用交换机提供了强大的应用过滤功能 可将非法的用户请求过滤掉 例如NetworkComputering就是采用以下iRule将非法的用户请求 防止搜索爬虫的遍历操作导致服务器过于繁忙 导向到特定的服务器上 隐藏服务器端敏感信息 为防止敏感信息外泄 BIG IP可以将选定的信息屏蔽掉 如下例子 隐藏HTTPHead中的选定信息 rulewhenHTTP RESPONSE Removeallbutthegivenheaders HTTP headersanitize ETag Connection Content TYPE 对应用数据选择性加密 BIG IP支持对应用关健数据进行先择性加密 提高安全性 以下是对WEB应用中的Cookie加密的例子 rulewhenHTTP REQUEST Decryptthecookieonitswaytotheserver HTTP cookiedecrypt cookie name password key rulewhenHTTP RESPONSE Encryptthecookieonitswaytotheclient HTTP cookieencrypt cookie name password key 高级客户端验证功能 BIG I