F5服务器负载均衡解决方案

1、F5 Networks服务器均衡负载解决方案建议F5 Networks2005-3-3目录解决方案 31.1 网络拓朴图（仅供参考） 31.2 方案描述 4解决方案1.1 网络拓朴图（仅供参考）业界领先的全千兆负载均衡解决方案： （千兆光纤端口千兆以太网端口）1.2 方案描述方案中，建议采用两台 F5 公司的 IP 应用交换机 BIGIP 安全流量交换机 6400 作为冗余， 为中间件服务器和应用服务器做负载均衡， 并且 SSL 加速功能。 所有服务器均配置冗余千兆网 卡与两台 BIGIP6400 相连，这样无论是其中的一个服务器网卡故障还是一台 BIGIP6400 故障， 都不影响业务的正常

2、运行。? 服务器负载均衡BIG/IP 利用虚拟 IP 地址（ VIP 由 IP 地址和 TCP/UDP 应用的端口组成，它是一个地址和 端口的组合）来为用户的一个或多个目标服务器 （称为节点：目标服务器的 IP 地址和 TCP/UDP 应用的端口组成，它可以是 internet 的私网保留地址）提供服务。因此，它能够为大量的基于 TCP/IP 的网络应用提供服务器负载均衡服务。 BIG/IP 连续地对目标服务器进行 L4 到 L7 合理 性检查，当用户通过 VIP 请求目标服务器服务时， BIG/IP 根椐目标服务器之间性能和网络健康 情况，选择性能最佳的服务器响应用户的请求。 BIG/IP

3、能够充分利用所有的服务器资源，将所 有流量均衡的分配到各个服务器，从而有效地避免“不平衡”现象的发生。 BIGIP 是一台对流 量和内容进行管理分配的设备。它提供 12 种灵活的算法将数据流有效地转发到它所连接的服 务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。 但他们的数据流却被 BIGIP 灵活地均衡到所有的服务器。这 12 种算法包括：? 轮询（ RoundRobin ）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第 二到第 7 层的故障， BIG/IP 就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。? 比率（

4、Ratio ）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务 器。当其中某个服务器发生第二到第 7 层的故障， BIG/IP 就把其从服务器队列中拿出，不参加下一次的用户 请求的分配，直到其恢复正常。? 优先权（ Priority ）：给所有服务器分组，给每个组定义优先权， BIG/IP 用户的请求，分配给优先级最 高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求） ；当最高优先级中所有服务器出现故 障， BIG/IP 才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。? 最少的连接方式 （ LeastConnection ）：

5、传递新的连接给那些进行最少连接处理的服务器。当其中某个7 层的故服务器发生第二到第 7 层的故障， BIG/IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直 到其恢复正常。? 最快模式（ Fastest ）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第 障， BIG/IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。? 观察模式( Observed )：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当 其中某个服务器发生第二到第 7 层的故障， BIG/IP 就把其从服务器队列中拿出， 不参加下一次的用户请求的 分配

6、，直到其恢复正常。? 预测模式 ( Predictive )：BIG/IP 利用收集到的服务器当前的性能指标， 进行预测分析， 选择一台服务 器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被 big/ip 进行检测 )? 动态性能分配( DynamicRatio-APM) :BIG/IP 收集到的应用程序和应用服务器的各项性能参数，动态 调整流量分配。? 动态服务器补充( DynamicServerAct.) : 当主服务器群中因故障导致数量减少时，动态地将备份服务 器补充至主服务器群。? 服务质量 (QoS) ：按不同的优先级对数据流进行分配。? 服务类型 (ToS) ：按不

7、同的服务类型(在 TypeofField 中标识)对数据流进行分配。? 规则模式 ：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则， BIG/IP 利用这些规则 对通过的数据流实施导向控制。当出现流量“峰值” 时，如果能调配所有服务器的资源同时提供服务， 所谓的“峰值堵塞” 压力就会由于系统性能的大大提高而明显减弱。 由于 BIGIP 优秀的负载均衡能力， 所有流 量会被均衡的转发到各个服务器，即组织所有服务器提供服务。这时，系统性能等于所有 服务器性能的总和，远大于流量“峰值”。这样，即缓解了“峰值堵塞”的压力，又降低 了为调整系统性能而增加的投资。多种服务器状态监测手段BIGIP

8、 支持采用 ICMP ，TCP/UDP ， ECV ，EAV，iControl 等各种方 法对服务器或应用状态进行健康检查。?ICMP ：第 2/3 层的健康检查方法，采用 Ping 的方法检查服务器是 否 alive 。?TCP/UDP ：第 4 层的健康检查方法，检查相应的 TCP/UDP 端口是 否激活来确定 Service 的状态。?ECV ：扩展内容验证，第 7 层的健康检查方法。模拟客户端向服务 器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。?EAV ：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用 shell script 或 perl 语言等嵌入程序执行

9、 EAV ，对服务器进行多层步骤、 复杂的健康检查。一般开发 EAV 需要三天左右的时间。?iControl ：主动式的健康检查方法。让服务器或应用来告诉BIGIP ，它的健康状态。一般开发 iControl 需要三个月甚至更长的时间。方案的特色：? 实时监控服务器应用系统的状态，并智能屏蔽故障应用系统?实现多台服务器的负载均衡，提升系统的可靠性?提供服务器在线维护和调试的手段?可以对服务器提供流量限制和安全保护负载均衡流程原理说明：1）在负载均衡器内预先配置相应的策略，将许多真实的服务器群规划成一个Pool （服务器池）；以及规划一个客户访问接口虚拟服务器 Virtual Server 。2

10、）用户的请求通过域名解析，到达负载均衡器的 Virtual Server ；3）负载均衡器根据预先配置和定义的负载均衡策略（ 4层至 7层）作出判断，将用户请求 转发到的最合适的服务器。4）服务器处理用户的请求，再由负载均衡器将处理结果返回用户。? 全新的硬件平台提供液晶面板显示设备工作状态和报警，选配提供关键易损部件的冗余配置和热插拔更换，包括电源，风扇业界领先的流量处理过程：? 内置 SSL 硬件加速功能F5 BIGIP 6400 内置了 SSL 硬件加速卡，并且免费提供 100TPS 的并发 SSL（HTTPS ） 访问，最大支持 15000TPS 。并且，得到公认的国内 CA 机构的认

11、可，例如中国国际金融认证 中心 CFCA 。进行密文传输 HTTP 信息，势必需要使用 SSL 加密用户数据。 F5 公司提供硬件的 SSL 加 密解密方案。通过转移大量占用 服务器 CPU 的 SSL 协商， 提高 SSL 流量和改善 Web 服 务器性能。通过优化服务器处理更多的通信量来降低成本。与在每一台服务器上插入加密加速 器卡相比，利用 F5的负载均衡设备中内置的 SSL 加密加速功能，节省了成本，提高了性能。? 毫秒级冗余切换机制，提高系统的可靠性? 安全：更高的攻击防护这种防护不仅可以阻止攻击，同时还可以为合法用户提供即时服务。从这两方面来看，BIG-IP 均提供了一整套安全服务

12、，在提高网络和应用的安全性方面扮演了日益重要的角色。从 增强网络和协议级安全性到过滤应用攻击， BIG-IP 都可以部署在关键网关上，来出色的保护您 的珍贵资源：运行业务的应用。支持应用安全性资源隐藏 BIG-IP 将全部应用、 服务器错误代码和真实 URL 地址进行虚拟化并隐藏 因为这些信息可能会给黑客提供攻击其基础设施、服务以及相关漏洞的线索。定制应用攻击过滤 BIG-IP 的完整检查能力 及基于事件的规则提供了一项强大的能 力 ， 可搜索并应用各种规则来阻止 L7 层攻击 同时也可以定义策略来阻止特定访问或禁F5 Networks 服务器负载均衡（ SLB ）解决方案建议 止某些命令的执

13、行。此外， BIG-IP 在为合法用户持续提供流量的同时，还可提供其它安全保护 层，以防范黑客、病毒和蠕虫的攻击（如红色代码蠕虫） 。集中认证 BIG-IP 可作为各种流量类型的认证代理 ，使 企业能够为 BIG-IP 系统上的 应用提供最高级的认证。这种功能使各类应用又多了一道远离自身的网络安全防线，为其 Web 和应用层提供了进一步的保护。增加关键内容保护提供行业内最具 选择性的加密 方法，来对数据进行整体、 部分或有条件地加密 。这种精 细的控制方法可保护并优化不同环境下的通信。cookies 加密 和其它令牌都透明地分配给合法用户。 企业可获得全部状态应用 （电子商务、 CRP 、EP

14、R 和其它关键业务应用等）出色的安全性和更高一级的用户身份信任支持更高标准 的 AES （ 高级 SSL 加密标准 ） 算法 ， 采用市场上最安全的 SSL 加 密技术 ， 无需额外处理成本。内容保护 防止企业的敏感文件或内容遗留在站点上。防御海量攻击BIG-IP 包含丰富的 安全特性集 ，可 全面防御拒绝服务 （ DoS ）攻击、同步攻击 （ SYN Flood ）和 其他基于网络的攻击。 诸如 SYNCheck 等特性可为部署在 BIG-IP 设备后的服务 器提供全面的同步攻击 （ SYN Flood ） 保护。此时， BIG-IP 作为安全代理，来有效地保护整 个网络。 与 Dynamic Reaping 特性相结合， BIG-IP 设备可安全地过滤海量攻击，同