F5LC链路负载均衡解决方案.docx
- 文档编号:9766835
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:27
- 大小:296.81KB
F5LC链路负载均衡解决方案.docx
《F5LC链路负载均衡解决方案.docx》由会员分享,可在线阅读,更多相关《F5LC链路负载均衡解决方案.docx(27页珍藏版)》请在冰点文库上搜索。
F5LC链路负载均衡解决方案
F5LinkController
多链路接入解决方案
北京华胜天成科技股份有限公司
服务交付中心
1.问题的提出
通常用户系统结构设计图如下:
链路单点故障
在系统原有系统结构中,采用单条链路接入,一个或多个DNS服务器,这些服务器对于同一个域名均解析为同一个地址。
在该种网络结构之中,无论主机系统、网络系统的规划有多么完美,完全的排除了应用瓶颈和单点故障,都还存在一个非常明显的单点故障,就是国际网络接入部分的方案不够完整,一旦国际网络接入部分出现中断就直接意味着所有应用的中断。
Internet用户访问快慢差异
随着国内最大的Internet接入提供商Chinanet被拆分为北方ChinaNetcom和南方ChinaTelecom之后,两方资源的互访受到了很大程度的影响。
其出现的根本原因为南北网络的互通互联接点拥塞,造成用户丢包、延迟较大,从而导致访问缓慢,甚至对于一些应用根本无法访问。
以下是一张在真实环境下的实测数据表:
测试项目
网通北京ADSL用户访问
广东电信用户访问,宽带用户
网通北京ADSL用户访问
上海ADSL宽带用户访问
DNSResult
202.xxx.xxx.209
219.xxx.xxx.11
202.xxx.xxx.209
219.xxx.xxx.11
网通
电信
网通
电信
网通
电信
网通
电信
Numberofhits:
72
69
4
76
52
47
19
35
RequestsperSecond
1.20
1.15
0.07
1.27
0.87
0.78
0.32
0.58
SocketConnects
73
70
5
77
53
48
20
36
TotalBytesSent(inKB)
14.19
13.47
0.96
14.96
13.61
12.23
3.87
7.03
BytesSentRate(inKB/s)
0.24
0.22
0.02
0.25
0.23
0.20
0.06
0.12
TotalBytesRecv(inKB)
4148.24
4001.90
256.58
4388.54
3019.94
2703.26
21.73
39.83
BytesRecvRate(inKB/s)
69.12
66.68
4.28
73.12
50.32
45.05
0.36
0.66
表中可以看出,对于同一个站点,一个用户分别从两条线路进行访问,得出的访问速度差异是非常大的。
最大的差值在广东电信分别访问站点的两条线路,其速度差异接近20倍。
有效解决链路单点故障及为南北不同用户提供相同服务质量的需求与日俱增。
对于一个运行关键业务的网站来说,为用户供24*7不间段的业务,并保持用户的访问速度和访问的成功率非常重要。
2.F5提供的最佳解决方案
使用F5公司的LinkControl多链路设计结构图:
网络出口结构建议
我们建议采用一对F5Linkcontroller设备接在两个出口链路处,实现由内向外和由外向内的出入站流量负载均衡。
由外向内的inbound访问的智能性,通过Linkcontroller提供的智能DNS解析功能,实现对两条链路的负载均衡。
Linkcontroller可以通过实时监控两条链路的负载状况及其健康状况,也可以根据当前链路的负载情况,用户所处的位置ip地址或用户的特殊要求进行相应域名解析,指引用户从最快的、最好的、最近的路径访问到企业的站点。
这里我们建议采用静态负载(Topology)和动态负载(RTT)相结合的方式,使得方案更能满足客户是实际需求,当用户是来自国内的用户,在F5设备的Class中能查到它是来自哪家运营商的地址,这时F5的设备将采用静态的算法给用户端一条最快的链路,如果用户不是来自国内,是来自国外的用户,F5设备将采用动态算法(RTT),去探测用户的LDNS,然后算出来一个最佳路径并提供给用户,这样从用户端,不论是来自国内还是来自国外的用户都能得到一条最佳的路径来访问用户企业网站。
用户在进行由内向外的outbound访问时,由F5Linkcontroller提供智能的链路选择,实现对两条链路的负载均衡。
F5LC可以通过实时监控两条链路的负载状况及其健康状况来保证链路的高可用性,同时可以根据当前链路的负载情况,用户想要访问的IP地址等信息进行链路选择,指引用户从最快的、最好的、最近的路径访问INTERNET,另外考虑到带宽等,我们可以在F5LC上通过添加策略来实现指定用户走指定链路,只有当此链路出问题时会自动切换到其他好的链路上。
方案特点:
1、从整体结构上来看,对入站链路选择进行了优化,解决了服务器互访慢的问题,使得web服务提高了响应速度,由于链路的优化从而改善了这些服务的的响应速度,国内用户和国外用户通过F5设备的均衡最终能得到一个相对最佳的链路,保证了内部服务从外网访问能通过一条最快的链路,大大提升了网络响应速度
2、采用F5的LC,同时也解决了出站时的链路优化和当其中某个链路中断时,自动切换到其他的链路上去的功能,另外在BIGIP上设置不同网段的链路选择,如:
可以将一段地址网络只走某一条链路,其他的地址走另外的链路,当此链路中断时,BIGIP把所有流量切换到好的链路上。
3、另外F5LC还同时具备服务器负载均衡的能力,可以解决企业原有的服务器性能不足的问题。
技术实现原理
出站连接
为了向企业用户访问互联网资源时提供高可性,LC使用defaultgatewaypool和SNAT(安全网络地址转换)将流量动态导向最佳链路。
Defaultgatewaypool包含了多个网关,F5LC将根据负载均衡算法选择一个最优网关,将当前数据发送到该网关,从而发送到对应ISP。
SNAT提供了一个安全机制,可将不能路由内部地址转换为可路由的地址,并将流量导向合适的上游网关路由器。
利用LC的智能流量管理功能,可替代防火墙的NAT功能,并保证流量可以通过与WAN或互联网的最佳连接往返发送。
另外LC可以利用rules功能实现类似策略路由的功能,LC可以根据数据源地址或目的地址来选择路径,从而实现outbound流量的最优链路选择,避免针对某些链路的站点收费问题。
入站连接
为了保证用户可以在24*7并且提高用户的访问速度,LC可以通过智能DNS解析功能,动态选择最佳链路,将外部用户导向驻留在站点中的资源。
LC上可以配置多个VLAN,分别绑定多个ISP服务商的公网地址,解析来自互联网用户的地址解析请求。
后台服务器则由LC做成集群和虚拟化成针对ISPA的虚拟服务器VirtualServer1和ISPB的虚拟服务器VirtualServer2,这样对于每个用户到来的请求,LC都会分别检测后台服务器的状态并选择最佳的链路提供服务,达到用户的就近性访问及服务器的负载均衡。
LC在回应客户的DNS解析请求时,可以采用15种动态或者静态的决策方法中的任何一种方法并检测链路的实际状态将复合客户要求的最佳状态的链路的服务器公网地址返回给客户端,从而达到多链路动态负载均衡的效果。
技术实现原理讲解
链路的健康检查
如何有效地确定链路以及提供对外服务的服务器、应用、内容的状态,是提高系统可靠性的关键。
BIGIPlinkcontroller利用其独到的、高效的“健康检测”手段,识别服务器、应用、内容的状态。
它们包括L2~L3的icmp检查,L4的tcp/udpport检查,L7的ECV检查和用户可以任意定制的EAV检查等多种方法。
扩展内容查证(ECV:
ExtendedContentVerification)
ECV是一种非常复杂的服务检查,主要用于确认应用程序能否对请求返回对应的数据。
如果一个应用对该服务检查作出响应并返回对应的数据,则BIGIP控制器将该服务器标识为工作良好。
如果服务器不能返回相应的数据,则将该服务器标识为宕机。
宕机一旦修复,BIGIP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。
该功能使BIGIP可以将保护延伸到后端应用如Web内容及数据库。
BIGIP的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。
这将有助于确认您为客户提供的内容正是其所需要的。
依据链路健康状态和流量来均衡处理DNS解析
在确定了ISP接入链路的连通状态后,linkcontroller可以根据ISP链路的实际流量,链路品质等因素来进行智能的DNS解析处理,如果出现某ISP链路中断的情况,在确认后及时的改变DNS解析的内容,将中断链路的IP地址从DNS解析列表中删除,保证解析出的地址都一定是可以访问得到的可用地址。
系统切换时间
在采用DNS实现链路切换时,系统的切换时间主要取决于每个域名的TTL时间设置。
在LinkControl系统里,每个域名如均可设置对应的TTL生存时间。
在用户的LocalDNS得到域名解析纪录后,将在本地在TTL设定时间内将该域名解析对应纪录进行Cache,在Cache期间所有到该LocalDNS上进行域名解析的用户均将获得该纪录。
在TTL时间timeout之后,如果有用户到LocalDNS上请求解析,则此LocalDNS将重新发起一次请求到LinkController上获得相应纪录。
因此,当单条线路出现故障时,LinkController将在系统定义的检查间隔(该时间可自行定义)内检查到线路的故障,并只解析正常的线路侧地址。
但此时在LocalDNS上可能还有未过时的Cache纪录。
在TTL时间timeout之后,该LocalDNS重新发起请求的时候就将从LinkController上获得正确的解析,从而引导用户通过正常的线路进行访问。
系统检测间隔加上TTL时间之和则为系统切换的最长时间。
通常,系统检测间隔设置为60秒,而TTL时间设置为600秒,所以系统切换的整体时间为11分钟。
LinkController替代现有的DNS服务器
LinkController在实现双链路时的Inbound流量时,要求将DNS的最终解析权交由LinkControllerp完成,建议将站点的所有域名解析均放置到LinkController上进行解析,优点是可以充分利用LinkController的动态用户引导和强大的图形化管理界面。
注册多一个NS记录
LinkController取代现在DNS服务器后,需在上一级DNS服务器中添加一个新的NS记录,即指向新增加链路中的LinkController的IP地址。
这样,对应一个域名,将产生两个不同ISP的NS记录。
服务器负载均衡
LinkController在实现链路负载均衡的同时,企业可以免费得到该款产品提供的服务器负载均衡功能,为服务器提供高可用性及高性能的保证。
LinkControl提供11种灵活的算法将数据流有效地转发到它所连接的服务器群。
而面对用户,只是一台虚拟服务器。
用户此时只须记住一台服务器,即虚拟服务器。
但他们的数据流却被BIGIP灵活地均衡到所有的服务器。
这11种算法包括:
●轮询(RoundRobin):
顺序循环将请求一次顺序循环地连接每个服务器。
当其中某个服务器发生第二到第7层的故障,BIGIP就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。
●比率(Ratio):
给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。
当其中某个服务器发生第二到第7层的故障,BIGIP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
●优先权(Priority):
给所有服务器分组,给每个组定义优先权,BIGIP用户的请求,分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当最高优先级中所有服务器出现故障,BIGIP才将请求送给次优先级的服务器组。
这种方式,实际为用户提供一种热备份的方式。
●最少的连接方式(LeastConnection):
传递新的连接给那些进行最少连接处理的服务器。
当其中某个服务器发生第二到第7层的故障,BIGIP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
●最快模式(Fastest):
传递连接给那些响应最快的服务器。
当其中某个服务器发生第二到第7层的故障,BIGIP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
●观察模式(Observed):
连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。
当其中某个服务器发生第二到第7层的故障,BIGIP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
●预测模式(Predictive):
BIGIP利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。
(被BIGIP进行检测)
●动态性能分配(DynamicRatio-APM):
BIGIP收集到的应用程序和应用服务器的各项性能参数,动态调整流量分配。
●动态服务器补充(DynamicServerAct.):
当主服务器群中因故障导致数量减少时,动态地将备份服务器补充至主服务器群。
●服务质量(QoS):
按不同的优先级对数据流进行分配。
●服务类型(ToS):
按不同的服务类型(在TypeofField中标识)对数据流进行分配。
强大而且免费的安全防护功能
在图中我们可以看到,前置服务器群或中间件服务器群在逻辑上位于BIGIP之后,所有的数据流,包括“攻击性”数据流都要经过BIGIP才能够流至服务器。
BIGIP具有以下优秀的安全特性,对系统进行保护:
∙访问控制列表
∙IP包过滤
∙加密(SSL)的管理信息传递
∙口令保护
∙拒绝“DoS”攻击
∙免疫“PingofDeath”攻击
∙不用Ack缓冲应答未确认的SYN,防止SYN风暴
∙通过对无效连接的管理来防止使用没有开放的服务进行攻击
∙源路由检查,防止IP欺骗
∙NAT/SNAT。
通过设置,BIGIP®可以将一个端口映射到多个端口上。
许多知名的端口是,如80,443,20,21可以被映射到服务器上的任何一个端口上。
此外,BIGIP®可以将位于它后面的服务器的地址翻译为那些对外公布的地址。
这个安全特性为网络带来了以下几种好处:
Ø入侵者无法确定哪些服务运行在哪些端口上,因而增加了攻击的难度;
Ø使用非公开的路由地址、BIGIP®可以节省客户的IP地址,降低客户的成本;
Ø可以隐藏BIGIP®背后的服务器地址,避免这些服务器暴露到外部世界,从而减少了黑客攻击这些服务器的机会
∙利用虚拟IP地址隐藏服务器实际地址。
同时,在BIGIP®的安全管理报告中通过监视下列参数,BIGIP®可以在安全报告中列出那些服务和端口受到了非法的访问尝试:
∙IP地址:
攻击者的源IP地址
∙频率:
攻击者尝试攻击的数量
∙端口:
哪个端口受到攻击
这些信息可以帮助管理员发现他们网络中存在的安全漏洞,并且可以判定哪些人是潜在的攻击者。
有效解决防火墙的处理能力瓶颈
考虑到绝大多数的防火墙只能达到线速的30%吞吐能力,故要使系统达到设计要求的线速处理能力,必须添加多台防火墙,以满足系统要求。
然而,防火墙必须要求数据同进同出,否则数据将被拒绝。
如何解决防火墙的负载均衡问题,是关系到整个系统的稳定性的关键问题。
F5的防火墙负载均衡方案,能够为用户提供异构防火墙的负载均衡与故障自动排除能力。
方案的特色:
∙提供多台防火墙的负载均衡能力
∙提供在线维护防火墙的方法
∙解决了单台防火墙的处理能力瓶颈问题,提供了系统的扩展能力
同时对于实现了链路负载均衡和服务器负载均衡的企业来说,防火墙负载均衡相当于免费赠送,提高了用户投资回报率。
F5i–Control开放的API接口介绍
为了确保电子商务取得成功,应用和网络必须能够紧密结合。
网络通知应用;应用指导网络。
这就是F5新型体系结构的基础。
定义:
F5互联网控制体系结构(图1)是业界第一个集成的端到端互联网流量、内容和网络管理体系结构,该体系结构可以:
−集成网络产品
−促进网络与应用间的通信
−现在就可使用
它提供了业界最紧密集成的产品套件,利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。
它提供了端到端集成所需要的产品间的安全通信,而且还可以通过开放式XMLAPI对F5产品进行编程,以支持客户与合作伙伴应用间的集成(F5的iControl内部通信协议)。
图1:
F5的解决方案是业界第一个集成的端到端互联网流量、应用和网络管理体系结构。
这种架构方式克服了多厂商解决方案的最大问题:
互操作性和管理复杂性,而且还避免了单厂商套件的最大问题:
有限的灵活性、缺乏足够的集成能力(图3)。
这种架构使服务提供商和企业能够:
∙管理和控制全球范围的互联网流量和内容
∙部署并实施SLA政策
∙将政策应用到多种技术上,如防火墙、VPN和QoS设备
∙接收告警并管理关于网络和设备活动的报告
∙保持适当的系统配置
iControl能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。
通过iControl开放的安全通信协议和SOAP/XMLAPI,网络设备能够与应用进行通信,应用可以控制网络,从而避免出现易于出错的过程和人为干预。
iControl能够提供网络产品间安全、加密的互相通信能力,并为无缝应用集成带来了方便,其中包括:
(1)本地流量管理;
(2)分布于全球的流量管理;
(3)将内容部署到远程服务器上;
(4)管理网络中高速缓存提供的内容版本;
(5)显著减少管理分布式网络所需的资源。
客户、合作伙伴及第三方集成商都可以使用iControl软件开发套件(SDK),它具有开放式的SOAP/XML或CORBAAPI。
随着iControl的推出,F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。
通过将iControl与F5的业界领先iTCM产品相结合使用,可以实施并部署F5的完整互联网控制体系结构,从而增强了7层性能。
任何第三方和客户都可以通过iControl将自己的应用与网络系统集成在一起,从而提供无与伦比的7层性能。
3.方案优势阐述
设备及拓扑结构的优点
1.采用一个硬件平台同时实现链路负载均衡和服务器负载均衡,allinone的硬件一体化解决方案,使网络结构简单实用,减少单点故障点同时也减少网络维护人员的负担,避免运行维护时面对大批网络设备。
2.F5LC具有强大的ASIC内嵌芯片专门处理4层流量,提供每秒120,000的4层新建连接,可以满足企业的大量用户访问压力。
3.ISP接入链路,服务器等网络层次全部采用负载均衡方式处理网络流量,提高网络服务能力和投资回报率.
4.灵活的扩展空间,用户可以根据实际的网络流量和压力增加链路带宽,添加防火墙或增加服务器来提高整体的服务水平
安全机制方面
1.HTTPS,SSH等加密的网络管理,避免明码通讯对网络设备控制时的安全隐患。
2.BIGIP具有以下优秀的,免费的安全特性,对系统进行保护:
∙访问控制列表
∙IP包过滤
∙加密(SSL)的管理信息传递
∙口令保护
∙拒绝“DoS”攻击
∙免疫“PingofDeath”攻击
∙不用Ack缓冲应答未确认的SYN,防止SYN风暴
∙通过对无效连接的管理来防止使用没有开放的服务进行攻击
∙源路由检查,防止IP欺骗
∙NAT/SNAT。
通过设置,BIGIP®可以将一个端口映射到多个端口上。
许多知名的端口是,如80,443,20,21可以被映射到服务器上的任何一个端口上。
此外,BIGIP®可以将位于它后面的服务器的地址翻译为那些对外公布的地址。
这个安全特性为网络带来了以下几种好处:
Ø入侵者无法确定哪些服务运行在哪些端口上,因而增加了攻击的难度;
Ø使用非公开的路由地址、BIGIP®可以节省客户的IP地址,降低客户的成本;
Ø可以隐藏BIGIP®背后的服务器地址,避免这些服务器暴露到外部世界,从而减少了黑客攻击这些服务器的机会
∙利用虚拟IP地址隐藏服务器实际地址。
同时,在BIGIP®的安全管理报告中通过监视下列参数,BIGIP®可以在安全报告中列出那些服务和端口受到了非法的访问尝试:
∙IP地址:
攻击者的源IP地址
∙频率:
攻击者尝试攻击的数量
∙端口:
哪个端口受到攻击
这些信息可以帮助管理员发现他们网络中存在的安全漏洞,并且可以判定哪些人是潜在的攻击者。
与应用的结合方面
1.F5可以通过ECV,EAV对后台的多层结构的服务器进行健康检查,确保用户的正常访问。
2.F5可以通过InsertCookies和Samplepersistence等方式和应用实现无缝集合的各种切换。
3.F5的iControl是一套全球唯一的网络产品提供的API/SDK,可以允许用户根据自己的要求控制网络设备。
投资回报方面
1.LC在提供链路负载均衡和服务器负载均衡的同时,免费提供对Firewall,IDS等的负载均衡,可以在将来帮助用户解决安全性能瓶颈。
2.F5的LC产品已在cernet和网通及电信系统中大量使用,用户采用F5产品可以充分享受到F5产品在电信级网络中运行所得到的经验,以及最新的ip地址划分等附加资源。
3.统计与报告
LC链路应用交换机包含详尽的实时报告和历史纪录报告,可供评测站点流量模式、相关ISP性能和预计带宽计费周期。
全面的报告功能为管理员提供了对带宽资源的充分掌握,从而使企业可以作出更合适的业务决策。
4.互联网链路评估器
专用互联网链路评估器提供了一种独特的查看功能,您可以用此来查看ISP为您的用户所提供的总体性能。
现在,管理员可以非常轻松地:
确定慢速链路,通过ISP寻找性能故障
评估ISP为目标互联网用户群快速提供服务的能力
评估您的网络与您的用户之间的ISP连接质量。
4.相关产品介绍
BIG-IP®v9系列
BIG-IP链路控制器数据表
Internet
互联网
Routers
路由器
BIG-IPLinkController
BIG-IP链路控制器
Firewall
防火墙
CorporateNetwork
企业网络
CorporateServers
企业服务器
CorporateUsers
企业用户
主要优势:
∙构建可靠的广域网(WAN)连接,提供企业级互联网连接能力
∙借助速率调整(RateShaping)使WAN链路带宽的使用更为高效
∙采用压缩技术减少WAN链路带宽的消耗
∙通过基于TCPExpress的TCP/IP优化,显著改善WAN链路性能
∙确保将流量导向最佳链路和ISP,为用户提供最高质量的服务和速度
∙通过整合经济型链路最大限度地提高公司在连接能力方面的投资回报。
∙通过边界网关协议(BGP)消除部署障碍,显著降低多归属网络的部署
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- F5LC 负载 均衡 解决方案