F5设备在灾备双活中应用探讨

F5在灾备项目中应用探讨2011年11月F5产品在灾备双活项目中的使用第一页，共四十一页。F5常用产品介绍打造中国金融IT服务业第一品牌Copyright©2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易诚科技有限公司第二页，共四十一页。F5产品全系列EnterpriseManager™TMOS®iControl®Applications

&StorageUsersInternationalDataCenterBIG-IP®LocalTrafficManagerARX®FileVirtualizationFirePass®SSLVPNBIG-IP®EdgeGatewayBIG-IP®

GlobalTrafficManagerBIG-IP®LinkControllerBIG-IP®WANOptimizationModuleBIG-IP®Web-AcceleratorBIG-IP®

ApplicationSecurityManagerBIG-IP®AccessPolicyManager第三页，共四十一页。低端中端高端产品系列LTM1600LTM3600LTM3900LTM6900LTM8900简要功能说明LTM√√√√√本地服务器负载均衡LC√●●●●多链路负载均衡GTM√/●√/●√/●●●广域网负载均衡，多站点容灾WA√/●√/●√/●√/●Web加速ASM√/●√/●√/●√/●应用防火墙EdgeGateway（APM）√/●√/●√/●√/●√/●SSLVPN必须通过外部用户认证服务器验证用户（AD,Radius,LDAP）FirePassFP4305（100并发用户）FP4310（250并发用户）FP4320（500并发用户）FP4330（1000并发用户）FP4300-E（2000并发用户）SSLVPN包含高级功能Web通道模式应用通道模式网络层透明模式F5产品功能介绍●√专门的硬件通过License方式递交第四页，共四十一页。F5的主要产品-BIG-IPGTM适用场景应用冗灾与广域网络负载均衡广域网分布式站点（CDN）负责将用户引导到最近的站点，获得最佳用户体验灾难备份系统负责灾备系统的用户访问切换，保证系统的持续运行多链路接入+广域网分布负责用户的最佳访问引导，独一无二的解决方案第五页，共四十一页。F5的主要产品-BIG-IPLinkController适用场景多互联网出口管理多链路接入负责内网用户对外访问的最佳线路选择，智能NAT技术保证数据包的可靠往返负责将内网的服务器（服务器群组）对外提供多个地址访问，并将访问应答按原路返回内置智能DNS解析，引导Internet用户从最佳线路访问内部应用与FirePass配合实现多线路VPN接入使VPN通道可从多条链路接入优化用户访问，提高访问速度提供压缩、TCPExpress等优化手段，降低带宽消耗第六页，共四十一页。F5的主要产品-BIG-IPLocalTrafficManager适用场景服务器负载均衡防火墙负载均衡应用前端优化带宽控制高级路由第七页，共四十一页。F5的主要产品-WebAccelerator适用场景数据中心优化应用灵巧型缓存

静态缓存SSL优化

连接优化Web应用加速快速加载

快速连接

高速压缩

高速文档浏览

高速页面访问

应用特定规则消除现有的带宽限制降低网络与应用系统架构的负荷集中化的部属与管理第八页，共四十一页。EDGEGateway通过与远端WOM配合实现对称加速通过客户端软件实现客户端加速BIG-IPEdgeGateway包含了WA、WOM和APM三个模块通过WAModule实现不对称加速ApplicationsClientsBIG-IPEdgeGatewayBIG-IPEdgeGateway第九页，共四十一页。F5产品选购指南-功能模块选择基本系统：BIGIPLocalTrafficManager（1600/3600/3900/6900/8900/Viprion）负载均衡、iRules、RamCache、SSLoffload、HTTP压缩、网络层安全Web应用加速：WebAccelerator（WAModule/WA3600）Module:IBR、动态页面Cache、HTTP压缩，3600以上平台支持独立设备：iRules、SSLoffload、RamCache、HTTP压缩、IBR、动态页面Cache、网络层安全广域网传输加速：WOM广域网传输加速、应用加速。WOM只能作为Module添加在LTM上或者已经包含在EDGEGateway里面，除协议加速和重复数据消除外，其他功能在LTM10.1以上版本已经免费包含Web应用安全：ProtocolSecurityManager,ApplicationSecurityManager(PSMModule/ASMModule/ASM3600/ASM6900)PSM:协议层安全，只能以模块方式添加在LTM上，不进行阻断工作的模式免费在LTM中提供，3600以上平台支持ASMModule：网络层安全、协议层安全、基于特征代码防护和应用流程安全控制，3600以上平台支持ASM独立设备：iRules、网络层安全、协议层安全、基于特征代码防护和应用流程安全控制第十页，共四十一页。F5产品选购指南-功能模块选择-contSSLVPN远程安全接入：EDGEGateway(Firepass1200/4300/EDGEGateway/1600/3600/3900/6900/8900)以独立设备方式提供，Firepass适合于小规模客户（2000并发以下），EDGEGateway适合于大规模用户接入（2000以上）多链路接入：BIGIPLinkController(LCModule/LC1600)可以以模块方式添加在LTM上可以是独立的设备广域网冗灾、多中心建设：BIGIPGlobalTrafficManager(GTMModule/GTM1600/GTM3600/GTM3900)可以以模块方式添加在LTM上通常使用独立设备文件存储虚拟化-ARX500/2000/4000ARX采用的独立硬件平台DataManager作为系统资源分析工具第十一页，共四十一页。BIG-IP产品参数第十二页，共四十一页。F5产品的部署示意图用户DMZFirePass防火墙路由器路由器生产中心分支机构灾备中心或第二生产中心

InternetISPISPISP1ISP2BIG-IPLocalTrafficManagerWANJet

WANJet

防火墙

WANJetBIG-IPLocalTrafficManagerBIG-IP

GlobalTrafficManager远程用户ISPTrafficShield路由器路由器路由器路由器WebAccelerator存储设备应用服务器数据库服务器WEB服务器BIG-IPLinkController防火墙FirePassBIG-IP

GlobalTrafficManagerFirePassDMZDMZ第十三页，共四十一页。F5在灾备中应用方案打造中国金融IT服务业第一品牌Copyright©2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易诚科技有限公司第十四页，共四十一页。在灾备建设中使用F5需要考虑的问题实现应用级双活数据中心哪些应用可以实现双活架构F5支持哪些类型的应用在广域网层面如何保障用户在一个生产中心无法提供对外服务时，继续访问另外一个数据中心在应用服务层面如何保障用户当一个生产中心的一组应用无法响应客户请求时，继续访问另外一组应用第十五页，共四十一页。F5多中心方案总体概况Intranet/InternetADCWEBWEBWEBADCAPPAPPAPPADC数据中心(一)RouterRouterGTMGTMADCWEBWEBWEBADCAPPAPPAPPADC数据中心(二)流量引导ORACLERACORACLERACiSession/EoIP/OTV/IPSEC展示层iSession/EoIP/OTV/IPSEC应用层WOM/EoIP/OTV/IPSEC数据库第十六页，共四十一页。城域网和广域网冗灾系统建设17ApplicationApplicationEnterpriseApplication互联网ISP1ISP2BIG-IPLTM/LCApplicationApplicationEnterpriseApplicationISP3ISP4BIG-IPLCBIG-IPGTMBIG-IPGTM第十七页，共四十一页。数据中心广域网接入方案打造中国金融IT服务业第一品牌Copyright©2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易诚科技有限公司第十八页，共四十一页。数据信息通讯如何进入数据中心？多路进入模式GTM根据地理位置或网络距离智能选择优点：可以灵活分配，用户体验好缺点：故障切换有一定延迟，应用必须支持DNS访问RHI静态路由注入模式优点：使用路由调整方式，切换速度快，应用无需支持DNS缺点：只能支持主备模式，不能同时使用N+M冗余模式优点：切换迅速，应用无需支持DNS缺点：对外有两个或者两个以上入口，需要人工分配，必须要有二层打通支持多种信息通讯引导模式可以组合使用第十九页，共四十一页。流量选择——GTM根据地理位置或网络距离智能选择GTM设备——通过DNS解析实现智能流量判断作用——用户访问目的引导工作模式通过对不同的用户解析出不同的域名对应IP地址实现流量引导判断用户的地理位置引导用户到不同的数据中心判断用户的网络距离引导用户到不同的数据中心判断数据中心的服务状况来实现引导切换解决问题：引导客户访问到最佳的健康的数据中心应用第二十页，共四十一页。GTM智能流量引导模式的优缺点分析优点易于控制，可实现多种流量分布模型，主备、主主或者分应用主备等模型维护方便，自成系统，与其他设备松耦合可根据地理位置分布、网络距离或者应用繁忙程度动态调配缺点应用必须采用DNS方式进行访问切换时间相对较长（取决于TTL时间），通常用于互联网应用5-10分钟，内网应用30-60秒最佳应用类型网上银行、电子商务等基于B/S的应用系统第二十一页，共四十一页。RHI静态路由注入模式LTM设备——通过静态路由注入方式进行切换作用——用户访问目的引导工作模式LTM需要参与到动态路由协议中两个数据中心的不同LTM负责对外发布VIP的主机路由不同LTM发布的VIP主机路由优先级不同LTM通过控制优先级通知动态路由实现流量的引导后台应用的健康状态也会导致路由切换解决问题：引导客户访问主生产中心，在生产中心LTM或者应用出现故障时，迅速切换到备份中心第二十二页，共四十一页。RHI静态路由注入模式的优缺点分析优点：切换速度快（取决于路由收敛速度）可支持基于IP访问的应用和传统路由相比，可以感知应用的健康状态进行切换支持业务类型广泛缺点仅支持主备模式，备中心设备利用率不高和网络路由系统的耦合度高，必须直接参与路由计算适合应用系统传统的C/S结构应用无法实现域名DNS访问的应用第二十三页，共四十一页。N+M冗余模式LTM设备(V11)——通过LTM集群方式实现冗余切换作用——用户访问目的引导工作模式多个数据中心中的LTM形成集群模式对外提供两个VIP，分别以两个数据中心作为主服务中心手工分组用户访问不同的VIP地址按照应用进行分组，一个组的应用绑定漂移同组的LTM每个VLAN都需要二层直通（保证MAC切换时，流量会正常切换）解决问题：引导客户访问不同的VIP地址，LTM设备或者应用出现故障时自动进行切换第二十四页，共四十一页。N+M冗余模式下的优缺点分析优点支持业务类型广泛自成系统，无需其他产品参与切换和分配部署模型灵活可支持C/S结构缺点一组业务在一个数据中心主活如果需要并行需要对外提供2个VIP地址，人工分用户进行访问需要双中心之间二层联通适合应用内网部署应用C/S应用，仅支持IP访问的B/S应用第二十五页，共四十一页。GTM在网络中的部署ISP1内网访客网站服务器ISP1-R1ROOTDNSISPDNSISP2ISP2-R1电信联通GTMGTMBIG-IPLTMBIG-IPLTM技术要点：旁路式部署，不影响现有结构采用一个公网IP地址对外服务。高达100kDNS每秒请求实现DNSSEC，确保域名安全访客ISPDNS第二十六页，共四十一页。涉及产品在灾备项目建设过程中，对于应用级双活数据中心的建设涉及的F5产品有BIG-IPGTMBIG-IPLTM一般建议采用双机部署模式应用根据结构可分为B/S（短链接）、C/S模式（长、短链接），F5可支持的应用，应根据具体情况确定第二十七页，共四十一页。数据中心应用负载均衡方案打造中国金融IT服务业第一品牌Copyright©2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易诚科技有限公司第二十八页，共四十一页。Web-App层面问题性能：如果没有SSL处理，在系统中通常APP服务器的压力比较大APP服务器的故障概率比较高多个中心的APP服务器需要实现灵活的调配机制传输的数据以明文为主，数据量远远大于C/S结构解决在Web-App之间使用ADC实现灵活的流量调配在本地资源不足的时候调用远端的闲置资源在两个数据中心之间使用数据传输优化通道减小数据传输量对静态内容进行缓存减小中心之间的数据传输第二十九页，共四十一页。Web-App层面ADCADCWEBServerWEBServerAPPServerAPPServer第三十页，共四十一页。APP-DB的流量处理问题数据库实现双A还是有很大的技术难度对时延比较敏感，当双中心距离较远的时候会严重影响响应速度和数据库并发连接压力通常一个用户操作有数十次的数据库往返查询，时延将会进一步恶化响应速度数据库自身的Cluster机制在节点数量较多的时候故障隔离速度较慢双中心数据库切换时需要改变App服务器的配置或应用系统解决：可以采用ADC实现数据库集群本地负载均衡采用ADC实现远程数据库调配使用，使数据库切换时不需要改变App服务器的配置和应用系统第三十一页，共四十一页。App-DB层面ADCADCAPPServerAPPServerDBInstanceDBInstanceClusteredDB/RACClusteredDB/RAC第三十二页，共四十一页。Web-APP-多层结构大型部署WebServerBIG-IPLTMWebServerWebServerAPPServerBIG-IPLTMAPPServerAPPServerNetwork根据部署的规模可选独立设备或者BIG-IPLTM上的模块WebAccelerator、ApplicationSecurityManager在大型部署结构中，通常分为两个层面分别实现负载均衡部署WebServer主要用于提供静态内容APPServer主要用于提供动态内容F5同时提供完备的应用加速和应用安全解决方案第三十三页，共四十一页。涉及产品在灾备项目建设过程中，对于应用级双活数据中心的建设在应用负载均衡层面涉及的F5产品有BIG-IPLTM一般建议采用双机部署模式应用根据结构可分为B/S、C/S模式，F5可支持的应用，应根据具体情况确定根据银行规模，可采取分系统部署模式和统一部署模式第三十四页，共四十一页。异地数据中心数据复制加速方案打造中国金融IT服务业第一品牌Copyright©2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易诚科技有限公司第三十五页，共四十一页。iSessions对