F5 BIG-IP LTM 負載均衡器 功能介紹 下篇
基於龐大的網路結構,叢集伺服器的使用帶來了不少流量等負載問題。那麼相對的,負載均衡的技術也應運而生。每一種技術都需要產品的支援,那麼現在我們來認識一下F5負載均衡器的一種。那麼首先我們先把產品的結構功能進行一下介紹。
許多廠商推出了專用於平衡伺服器負載的負載均衡器,如F5 Network公司的BIG-IP,Citrix公司的NetScaler。F5 BIG-IP LTM 的官方名稱叫做本地流量管理器,可以做4-7層負載均衡,具有負載均衡、應用交換、會話交換、狀態監控、智慧網路地址轉換、通用持續性、響應錯誤處理、IPv6閘道器、高階路由、智慧埠映象、SSL加速、智慧HTTP壓縮、TCP優化、第7層速率整形、內容緩衝、內容轉換、連線加速、快取記憶體、Cookie加密、選擇性內容加密、應用攻擊過濾、拒絕服務(DoS)攻擊和SYN Flood保護、防火牆—包過濾、包消毒等功能。
F5負載均衡產品時我們常用的網路負載控制的產品之一,那麼在此我們對它的功能和特點進行一個全面的介紹。通過對這個產品的認識,我們也能發現,在網路管理中我們需要注意哪些方面的問題。
F5負載均衡功能1.多鏈路的負載均衡和冗餘
與網際網路絡相關的關鍵業務都需要安排和配置多條ISP接入鏈路以保證網路服務的質量,消除單點故障,減少停機時間。多條ISP接入的方案並不是簡單的多條不同的廣域網路的路由問題,因為不同的ISP有不同自治域,所以必須考慮到兩種情況下如何實現多條鏈路的負載均衡:內部的應用系統和網路工作站在訪問網際網路絡的服務和網站時如何能夠在多條不同的鏈路中動態分配和負載均衡,這也被稱為OUTBOUND流量的負載均衡。網際網路絡的外部使用者如何在外部訪問內部的網站和應用系統時也能夠動態的在多條鏈路上平衡分配,並在一條鏈路中斷的時候能夠智慧地自動切換到另外一條鏈路到達伺服器和應用系統,這也被稱作為INBOUND流量的負載均衡。
F5 的BIG-IP LC可以智慧的解決以上兩個問題:對於OUTBOUND流量,BIG-IP LC接收到流量以後,可以智慧的將OUTBOUND流量分配到不同的INTERNET介面,並做源地址的NAT,可以指定某一合法IP地址進行源地址的 NAT,也可以用BIG-IP LC的介面地址自動對映,保證資料包返回時能夠正確接收。對於INBOUND流量,BIG-IP LC分別繫結兩個ISP 服務商的公網地址,解析來自兩個ISP服務商的DNS解析請求。BIG-IP LC不僅可以根據伺服器的健康狀況和響應速度迴應LDNS相應的IP地址,還可以通過兩條鏈路分別與LDNS建立連線,根據RTT時間判斷鏈路的好壞,並且綜合以上兩個引數迴應LDNS相應的IP地址。
F5負載均衡功能2.防火牆負載均衡
考慮到絕大多數的防火牆只能達到線速的30%吞吐能力,故要使系統達到設計要求的線速處理能力,必須新增多臺防火牆,以滿足系統要求。然而,防火牆必須要求資料同進同出,否則連線將被拒絕。如何解決防火牆的負載均衡問題,是關係到整個系統的穩定性的關鍵問題。F5的防火牆負載均衡方案,能夠為使用者提供異構防火牆的負載均衡與故障自動排除能力。典型的提高防火牆處理能力的方法是採用“防火牆三明治"的方法,以實現透明裝置的持續性。這可滿足某些要求客戶為成功安全完成交易必須通過同一防火牆的應用程式的要求,也能夠維護原來的網路安全隔離的要求。
F5負載均衡功能3.伺服器負載均衡
對於所有的對外提供服務的伺服器,均可以在BIG-IP上配置Virtual Server實現負載均衡,同時BIG-IP可持續檢查伺服器的健康狀態,一旦發現故障伺服器,則將其從負載均衡組中摘除。BIG-IP利用虛擬IP地址(VIP由IP地址和TCP/UDP應用的埠組成,它是一個地址)來為使用者的一個或多個目標伺服器(稱為節點:目標伺服器的IP地址和TCP/UDP應用的埠組成,它可以是internet的私網地址)提供服務。因此,它能夠為大量的基於TCP/IP的網路應用提供伺服器負載均衡服務。根據服務型別不同分別定義伺服器群組,可以根據不同服務埠將流量導向到相應的伺服器。BIG-IP連續地對目標伺服器進行L4到L7合理性檢查,當用戶通過VIP請求目標伺服器服務時,BIG-IP根椐目標伺服器之間效能和網路健康情況,選擇效能最佳的伺服器響應使用者的請求。如果能夠充分利用所有的伺服器資源,將所有流量均衡的分配到各個伺服器,我們就可以有效地避免“不平衡"現象的發生。利用UIE+iRules可以將TCP/UDP資料包開啟,並搜尋其中的特徵資料,之後根據搜尋到的特徵資料作相應的規則處理。因此可以根據使用者訪問內容的不同將流量導向到相應的伺服器,例如:根據使用者訪問請求的URL將流量導向到相應的伺服器。
F5負載均衡功能4.系統高可用性
系統高可用性主要可以從以下幾個方面考慮:
4.1.裝置自身的高可用性:F5 BIG-IP專門優化的體系結構和卓越的處理能力保證99.999%的正常執行時間,在雙機冗餘模式下工作時可以實現毫秒級切換,保證系統穩定執行,另外還有冗餘電源模組可選。在採用雙機備份方式時,備機切換時間最快會在200ms之內進行切換。BIG-IP 產品是業界唯一的可以達到毫秒級切換的產品, 而且設計極為合理,所有會話通過Active 的BIG-IP 的同時,會把會話資訊通過同步資料線同步到Backup的BIG-IP,保證在Backup BIG-IP內也有所有的使用者訪問會話資訊;另外每臺裝置中的watchdog晶片通過心跳線監控對方裝置的電頻,當Active BIG-IP故障時,watchdog會首先發現,並通知Backup BIG-IP接管Shared IP,VIP等,完成切換過程,因為Backup BIG-IP中有事先同步好的會話資訊,所以可以保證訪問的暢通無阻。
4.2.鏈路冗餘:BIG-IP可以檢測每條鏈路的執行狀態和可用性,做到鏈路和ISP故障的實時檢測。一旦出現故障,流量將被透明動態的引導至其它可用鏈路。通過監控和管理出入資料中心的雙向流量,內部和外部使用者均可保持網路的全時連線。
4.3.伺服器冗餘,多臺伺服器同時提供服務,當某一臺伺服器故障不能提供服務時,使用者的訪問不會中斷。BIG-IP可以在OSI七層模型中的不同層面上對伺服器進行健康檢查,實時監測伺服器健康狀況,如果某臺伺服器出現故障,BIG-IP確定它無法提供服務後,就會將其在服務佇列中清除,保證使用者正常的訪問應用,確保迴應內容的正確性。
F5負載均衡功能5.高度的安全性
BIG-IP採用防火牆的設計原理,是預設拒絕裝置,它可以為任何站點增加額外的安全保護,防禦普通網路攻擊。可以通過支援命令列的SSH或支援瀏覽器管理的SSL方便、安全的進行遠端管理,提高裝置自身的安全性;能夠拆除空閒連線防止拒絕服務攻擊;能夠執行源路由跟蹤防止IP欺騙;拒絕沒有ACK緩衝確認的SYN防止SYN攻擊;拒絕teartop和land攻擊;保護自己和伺服器免受ICMP攻擊;不執行SMTP、FTP、TELNET或其它易受攻擊的後臺程式。
BIG-IP的Dynamic Reaping特性可以高效刪除各類網路DoS攻擊中的空閒連線,這可以保護BIG-IP不會因流量過多而癱瘓。BIG-IP可以隨著攻擊量的增加而加快連線切斷速率,從而提供一種具有極強適應能力、能夠防禦最大攻擊量的解決方案。BIG-IP的Delay Binding技術可以為部署在BIG-IP後面的伺服器提供全面地SYN Flood保護。此時,BIG-IP裝置作為安全代理來有效保護整個網路。BIG-IP可以和其它安全裝置配合,構建動態安全防禦體系。BIG-IP可以根據使用者單位時間內的連線數生成控制訪問列表,將該列表載入到其它安全裝置上,有效控制攻擊流量。F5負載均衡功能6.SSL加速,在每臺BIG-IP上,都具有SSL硬體加速晶片,並且自帶100個TPS的License,使用者可以不通過單獨付費,就可以擁有100個TPS的SSL 加速功能,節約了使用者的投資。在將來系統擴充套件時,可以簡單的通過License升級的方式,獲得更高的SSL加速效能。
F5負載均衡功能7.系統管理
BIG-IP提供HTTPS、SSH、Telnet、SNMP等多種管理方式,使用者客戶端只需作業系統自帶的瀏覽器軟體即可,不需安裝其它軟體。可以通過支援命令列的SSH或支援瀏覽器管理的SSL方便、安全的進行遠端管理。直觀易用的Web圖形使用者介面大服務降低了多歸屬基礎設施的實施成本和日常維護費用。BIG-IP包含詳盡的實時報告和歷史紀錄報告,可供評測站點流量、相關ISP效能和預計頻寬計費週期。管理員可以通過全面地報告功能充分掌握頻寬資源的利用狀況。另外,通過F5 的i-Control 開發包,目前國內已有基於i-Control開發的網管軟體x-control, 可以定製針對系統服務特點的監控系統,比如服務的流量情況、各種服務連線數、訪問情況、節點的健康狀況等等,進行視覺化顯示。告警方式可以提供syslog、snmp trap、mail等方式。
F5負載均衡功能8.其它
記憶體擴充能力:F5 BIG-IP 1000以上裝置單機最大可擴充到2G記憶體,此時可支援400萬併發回話。升級能力:F5 所有裝置均可通過軟體方式升級,在服務有效期內,升級軟體包由F5公司提供。F5 NETWORKS已經發布其系統的最新版本BIG-IP V9.0,主要有以下特性:虛擬 IPV4 / IPV6 應用、加速Web應用高達3倍、減少66%甚至更多的基礎架構成本、確保高優先順序應用的效能、確保更高級別的可用性、大幅提高網路和應用安全性、強大的效能,簡單的管理方式、無以匹敵的自適應能力和延展能力和突破的效能表現力。其強大的HTTP壓縮功能可以將使用者下載時間縮短50%,節省80%的頻寬。IP地址過濾和頻寬控制:BIG-IP可以根據訪問控制列表對資料包進行過濾,並且針對某一關鍵應用進行頻寬控制,確保關鍵應用的穩定執行。配置管理及系統報告:F5 BIG-IP提供WEB 介面配置方式和命令列方式進行配置管理,並在其中提供了豐富的系統報告,更可通過i-Control自行開發複雜的配置及報告生成。
以下是F5 BIG-IP用作HTTP負載均衡器的主要功能:
①、F5 BIG-IP提供12種靈活的演算法將所有流量均衡的分配到各個伺服器,而面對使用者,只是一臺虛擬伺服器。
②、F5 BIG-IP可以確認應用程式能否對請求返回對應的資料。假如F5 BIG-IP後面的某一臺伺服器發生服務停止、宕機等故障,F5會檢查出來並將該伺服器標識為宕機,從而不將使用者的訪問請求傳送到該臺發生故障的伺服器上。這樣,只要其它的伺服器正常,使用者的訪問就不會受到影響。宕機一旦修復,F5 BIG-IP就會自動查證應用已能對客戶請求作出正確響應並恢復向該伺服器傳送。
③、F5 BIG-IP具有動態Session的會話保持功能。
④、F5 BIG-IP的iRules功能可以做HTTP內容過濾,根據不同的域名、URL,將訪問請求傳送到不同的伺服器。
下面,結合例項,配置F5 BIG-IP LTM v9.x負載均衡器:
①、如圖,假設域名blog.s135.com被解析到F5負載均衡器的外網/公網虛擬IP:61.1.1.3(vs_squid),該虛擬IP下有一個伺服器池(pool_squid),該伺服器池下包含兩臺真實的Squid伺服器(192.168.1.11和192.168.1.12)。
②、如果Squid快取未命中,則會請求F5的內網虛擬IP:192.168.1.3(vs_apache),該虛擬IP下有一個預設伺服器池(pool_apache_default),該伺服器池下包含兩臺真實的Apache伺服器(192.168.1.21和192.168.1.22),當該虛擬IP匹配iRules規則時,則會訪問另外一個伺服器池(pool_apache_irules),該伺服器池下同樣包含兩臺真實的Apache伺服器(192.168.1.23和192.168.1.24)。
③、另外,所有真實伺服器的預設閘道器指向F5負載均衡器的自身內網IP,即192.168.1.2。
④、所有的真實伺服器通過SNAT IP地址61.1.1.4訪問網際網路。