F5设备在灾备双活中应用探讨

F5在灾备项目中应用探讨2011年11月F5产品在灾备双活项目中的使用F5常用产品介绍打造中国金融IT服务业第一品牌Copyright©2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易诚科技有限公司F5产品全系列EnterpriseManager™TMOS®iControl®Applications&StorageUsersInternationalDataCenterBIG-IP®LocalTrafficManagerARX®FileVirtualizationFirePass®SSLVPNBIG-IP®EdgeGatewayBIG-IP®GlobalTrafficManagerBIG-IP®LinkControllerBIG-IP®WANOptimizationModuleBIG-IP®Web-AcceleratorBIG-IP®ApplicationSecurityManagerBIG-IP®AccessPolicyManager低端中端高端产品系列LTM1600LTM3600LTM3900LTM6900LTM8900简要功能说明LTM√√√√√本地服务器负载均衡LC√●●●●多链路负载均衡GTM√/●√/●√/●●●广域网负载均衡，多站点容灾WA√/●√/●√/●√/●Web加速ASM√/●√/●√/●√/●应用防火墙EdgeGateway（APM）√/●√/●√/●√/●√/●SSLVPN必须通过外部用户认证服务器验证用户（AD,Radius,LDAP）FirePassFP4305（100并发用户）FP4310（250并发用户）FP4320（500并发用户）FP4330（1000并发用户）FP4300-E（2000并发用户）SSLVPN包含高级功能Web通道模式应用通道模式网络层透明模式F5产品功能介绍●√专门的硬件通过License方式递交F5的主要产品-BIG-IPGTM适用场景应用冗灾与广域网络负载均衡广域网分布式站点（CDN）负责将用户引导到最近的站点，获得最佳用户体验灾难备份系统负责灾备系统的用户访问切换，保证系统的持续运行多链路接入+广域网分布负责用户的最佳访问引导，独一无二的解决方案F5的主要产品-BIG-IPLinkController适用场景多互联网出口管理多链路接入负责内网用户对外访问的最佳线路选择，智能NAT技术保证数据包的可靠往返负责将内网的服务器（服务器群组）对外提供多个地址访问，并将访问应答按原路返回内置智能DNS解析，引导Internet用户从最佳线路访问内部应用与FirePass配合实现多线路VPN接入使VPN通道可从多条链路接入优化用户访问，提高访问速度提供压缩、TCPExpress等优化手段，降低带宽消耗F5的主要产品-BIG-IPLocalTrafficManager适用场景服务器负载均衡防火墙负载均衡应用前端优化带宽控制高级路由F5的主要产品-WebAccelerator适用场景数据中心优化应用灵巧型缓存静态缓存SSL优化连接优化Web应用加速快速加载快速连接高速压缩高速文档浏览高速页面访问应用特定规则消除现有的带宽限制降低网络与应用系统架构的负荷集中化的部属与管理EDGEGateway通过与远端WOM配合实现对称加速通过客户端软件实现客户端加速BIG-IPEdgeGateway包含了WA、WOM和APM三个模块通过WAModule实现不对称加速ApplicationsClientsBIG-IPEdgeGatewayBIG-IPEdgeGatewayF5产品选购指南-功能模块选择基本系统：BIGIPLocalTrafficManager（1600/3600/3900/6900/8900/Viprion）负载均衡、iRules、RamCache、SSLoffload、HTTP压缩、网络层安全Web应用加速：WebAccelerator（WAModule/WA3600）Module:IBR、动态页面Cache、HTTP压缩，3600以上平台支持独立设备：iRules、SSLoffload、RamCache、HTTP压缩、IBR、动态页面Cache、网络层安全广域网传输加速：WOM广域网传输加速、应用加速。WOM只能作为Module添加在LTM上或者已经包含在EDGEGateway里面，除协议加速和重复数据消除外，其他功能在LTM10.1以上版本已经免费包含Web应用安全：ProtocolSecurityManager,ApplicationSecurityManager(PSMModule/ASMModule/ASM3600/ASM6900)PSM:协议层安全，只能以模块方式添加在LTM上，不进行阻断工作的模式免费在LTM中提供，3600以上平台支持ASMModule：网络层安全、协议层安全、基于特征代码防护和应用流程安全控制，3600以上平台支持ASM独立设备：iRules、网络层安全、协议层安全、基于特征代码防护和应用流程安全控制F5产品选购指南-功能模块选择-contSSLVPN远程安全接入：EDGEGateway(Firepass1200/4300/EDGEGateway/1600/3600/3900/6900/8900)以独立设备方式提供，Firepass适合于小规模客户（2000并发以下），EDGEGateway适合于大规模用户接入（2000以上）多链路接入：BIGIPLinkController(LCModule/LC1600)可以以模块方式添加在LTM上可以是独立的设备广域网冗灾、多中心建设：BIGIPGlobalTrafficManager(GTMModule/GTM1600/GTM3600/GTM3900)可以以模块方式添加在LTM上通常使用独立设备文件存储虚拟化-ARX500/2000/4000ARX采用的独立硬件平台DataManager作为系统资源分析工具BIG-IP产品参数F5产品的部署示意图用户DMZFirePass防火墙路由器路由器生产中心分支机构灾备中心或第二生产中心InternetISPISPISP1ISP2BIG-IPLocalTrafficManagerWANJetWANJet防火墙WANJetLANWANPEERMGMTPowerStatusLANWANPEERMGMTPowerStatusBIG-IPLocalTrafficManagerBIG-IPGlobalTrafficManager远程用户ISPTrafficShield路由器路由器路由器路由器WebAccelerator存储设备应用服务器数据库服务器WEB服务器BIG-IPLinkController防火墙FirePassBIG-IPGlobalTrafficManagerFirePassDMZDMZF5在灾备中应用方案打造中国金融IT服务业第一品牌Copyright©2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易诚科技有限公司在灾备建设中使用F5需要考虑的问题实现应用级双活数据中心哪些应用可以实现双活架构F5支持哪些类型的应用在广域网层面如何保障用户在一个生产中心无法提供对外服务时，继续访问另外一个数据中心在应用服务层面如何保障用户当一个生产中心的一组应用无法响应客户请求时，继续访问另外一组应用F5多中心方案总体概况Intranet/InternetADCWEBWEBWEBADCAPPAPPAPPADC数据中心(一)RouterRouterGTMGTMADCWEBWEBWEBADCAPPAPPAPPADC数据中心(二)流量引导ORACLERACORACLERACiSession/EoIP/OTV/IPSEC展示层iSession/EoIP/OTV/IPSEC应用层WOM/EoIP/OTV/IPSEC数据库城域网和广域网冗灾系统建设17ApplicationApplicationEnterpriseApplication互联网ISP1ISP2BIG-IPLTM/LCApplicationApplicationEnterpriseApplicationISP3ISP4BIG-IPLCBIG-IPGTMBIG-IPGTM数据中心广域网接入方案打造中国金融IT服务业第一品牌Copyright©2009YuchengTechnologiesLimitedAllRightsReserved.北京宇信易诚科技有限公司数据信息通讯如何进入数据中心？多路进入模式GTM根据地理位置或网络距离智能选择优点：可以灵活分配，用户体验好缺点：故障切换有一定延迟，应用必须支持DNS访问RHI静态路由注入模式优点：使用路由调整方式，切换速度快，应用无需支持DNS缺点：只能支持主备模式，不能同时使用N+M冗余模式优点：切换迅速，应用无需支持DNS缺点：对外有两个或者两个以上入口，需要人工分配，必须要有二层打通支持多种信息通讯引导模式可以组合使用流量选择——GTM根据地理位置或网络距离智能选择GTM设备——通过DNS解析实现智能流量判断作用——用户访问目的引导工作模式通过对不同的用户解析出不同的域名对应IP地址实现流量引导判断用户的地理位置引导用户到不同的数据中心判断用户的网络距离引导用户到不同的数据中心判断数据中心的服务状况来实现引导切换解决问题：引导客户访问到最佳的健康的数据中心应用GTM智能流量引导模式的优缺点分析优点易于控制，可实现多种流量分布模型，主备、主主或者分应用主备等模型维护方便，自成系统，与其他设备松耦合可根据地理位置分布、网络距离或者应用繁忙程度动态调配缺点应用必须采用DNS方式进行访问切换时间相对较长（取决于TTL时间），通常用于互联网应用5-10分钟，内网应用30-60秒最佳应用类型网上银行、电子商务等基于B/S的应用系统RHI静态路由注入模式LTM设备——通过静态路由注入方式进行切换作用——用户访问目的引导工作模式LTM需要参与到动态路由协议中两个数据中心的不同LTM负责对外发布VIP的主机路由不同LTM发布的VIP主机路由优先级不同LTM通过控制优先级通知动态路由实现流量的引导后台应用的健康状态也会导致路由切换解决问题：引导客户访问主生产中心，在生产中心LTM或者应用出现故障时，迅速切换到备份中心RHI静态路由注入模式的优缺点分析优点：切换速度快（取决于路由收敛速度）可支持基于IP访问的应用和传统路由相比，可以感知应用的健康状态进行切换支持业务类型广泛缺点仅支持主备模式，备中心设备利用率不高和网络路由系统的耦合度高，必须直接参与路由计算适合应用系统传统的C/S结构应用无法实现域名DNS访问的应用N+M冗余模式LTM设备(V11)——通过LTM集群方式实现冗余切换作用——用户访问目的引导工作模式多个数据中心中的LTM形成集群模式对外提供两个VIP，分别以两个数据中心作为主服务中心手工分组用户访问不同的VIP地址按照应用进行分组，一个组的应用绑定漂移同组的LTM每个VLAN都需要二层直通（保证MAC切换时，流量会正常切换）解决问题：引导客户访问不同的VIP地址，LTM设备或者应用出现故障时自动进行切换N+M冗余模式下的优缺点分析优点支持业务类型广泛自成系统，无需其他产品参与切换和分配部署模型灵活可支持C/S结构缺点一组业务在一个数据中心主活如果需要并行需要对外提供2个VIP地址，人工分用户进行访问需要双中心之间二层联通适合应用内网部署应用C/S应用，仅支持IP访问的B/S应用GTM在网络中的部署