企业F5-BIGIP负载均衡应用解决方案

企业F5BIGIP应用流量管理系统解决方案1F5BIGIP在企业应用描述F5BIGIP应用流量管理系统又分为全局负载均衡系统、链路负载均衡系统和本地服务器负载均衡系统（服务器负载均衡系统）和WEB应用加速系统4类系统。各种系统在企业都有其用武之地，其中：1)全局负载均衡系统主要用于多站点间负载均衡，典型应用是银行网银应用、企业多站点网站应用等；2)链路负载均衡系统主要用于多链路负载均衡，用于企业互联网接入；3)WEB应用加速系统主要用于企业网站应用加速。4)服务器负载均衡系统可以用于企业众多应用系统的负载均衡，比如应用于各种对可用性、安全性和性能要求很高的核心业务系统。F5BIGIP服务器负载均衡系统的核心功能是实现同类型同功能服务器的负载均衡，要求同类型业务安装于多台服务器，且服务配置相同或类似的服务。F5BIGIP可以针对应用类型对真实服务器的服务进行健康检查，确定服务器工作状态，在某台服务器或服务器上某项服务发生故障的时候，会把流量动态分配到其它服务器上，避免应用中断。对于B/S类应用，F5BIGIP可以配置可选的HTTP压缩和RAMCache模块，实现HTTP应用的加速。2F5BIGIP功能描述2.1服务器负载均衡原理负载均衡器利用一台虚拟服务器（简称：VS，使用一个虚拟IP地址即VIP）代替后台多个真实服务器（简称：RS，多个RS组成目标服务器池）向用户提供服务。当一个访问虚拟服务器的请求到达负载均衡器以后，负载均衡器根据预先设定的负载均衡算法从目标服务器池中挑选出一台目标服务器，然后通过网络地址转换（NAT）将访问请求包的目的地址与端口转换成该目标服务器的IP地址和服务端口，并将数据包发到该目标服务器。该目标服务器处理访问请求后作出回应。回应的包返回到负载均衡器上，由负载均衡器将回应包的源地址与端口转换回虚拟服务器的IP地址与服务端口，并返回给客户。这样就完成一次访问过程。当大量的访问请求发生时，因为负载均衡器的作用，这些访问请求就被均衡地分配到目标服务器池中的所有服务器上去了，不但充分所有的服务器资源，还有效避免了“不平衡”现象的发生。同时，负载均衡器能够连续地对目标服务器进行健康检查，如果发现某台服务器异常时，负载均衡器会把该台服务器从目标服务器池中剔除，不再为后续的访问请求提供服务，有效避免了少量服务器故障对正常业务的影响。由于应用的复杂特性，在内容交换机上，最好具备用户自定义的二次开发功能，可以根据用户的特殊需求进行二次开发。2.2服务器负载均衡应用服务器负载均衡为负载均衡的典型应用，在金融机构中有大量的部署。负载均衡主要处理三个方面的问题：服务器性能问题服务器的高可用性问题服务器的监控问题典型的负载均衡部署结构如下：2.2.1B/S结构应用行内使用的B/S结构应用行内使用的B/S结构应用指的是直接提供给行内用户使用的B/S应用。典型的应用平台包括MSIIS，Apache，IBMWebSphare，BEAWebLogic、SunOne等Web服务平台和中间件业务平台。HTTPS类型的B/S应用由于网络通讯的安全性和保密性的要求，许多关键业务必须通过HTTPS方式进行访问，将明文方式传输的HTTP请求和回应包含在SSL通道中。同时，通过证书体系或动态口令方式对服务器和客户端进行唯一性验证。由于SSL在带来应用安全性的同时，将会给服务器带来巨大的负担，因此在这类应用中，建议启用负载均衡设备上的SSL加速功能，通过硬件SSL加解密卸载服务器的处理能力，保证应用的安全，稳定运行。典型的B/S结构部署模型在典型的B/S部署结构中，采用两对BIGIP-LTM实现不同层次的负载均衡。一对BIGIP-LTM主要负责Web服务器的负载均衡、SSL加解密。Web服务器与应用服务器之间通过内层防火墙相连，在内网通过另外一对BIGIP对内网的应用服务器群组实现负载均衡。2.2.2通讯方式为短连接的C/S结构应用C/S结构下的短连接可采用负载均衡器实现负载均衡，服务器负载均衡。该类应用，每发生一次应用会话，均需建立一次通讯连接。此类的典型业务包括前置网关、分支机构网关等。2.2.3通讯方式为长连接的C/S结构应用该类应用，对应整个应用过程，只建立一次通讯连接。对该类应用是否能使用网络负载均衡技术均需要进行应用测试后决定。对于某些应用由于应用的特殊性，使用网络负载均衡技术后，将引起应用错误，不能使用网络负载均衡技术。对于有大量客户端或有高可用性要求的应用，可以使用负载均衡器。对于某些应用，客户端的TCP长连接进行通讯，负载均衡器只能起到故障备份的功能，不能实现负载均衡。由于负载均衡器的工作原理是基于会话保持进行数据包的转发，会话分配只有在连接建立时进行，而应用使用TCP长连接进行通讯后，后续的数据包传输，将不会再进行负载的分配，负载均衡将不能实现。典型的应用如IBMMQ。2.3F5BIGIP对应用系统的安全防护和优化随着技术的进步，在基于硬件的负载均衡设备中又增加了很多新的功能，全面围绕安全、高可用性和应用加速这三个方面。并且，在单一设备内的集成度越来越高。F5作为行业的领导者，在应用的安全、快速和高可用性方面投入了巨大的研发力量。开发出了具有革命性意义的V9平台。所有F5设备的底层均由TM/OS实现，在其基础之上，是一个基于数据流技术的通用检查引擎（UIE）。构建在对所有数据流内容的理解上，设计了与安全、优化和交付相关的所有模块。这些模块的配置均通过Profile进行，Profile按照对象建模方式可以继承、修改。在所有配置的顶端，由iRules对整个系统的运行进行可编程控制。在iRules语法结构中，可以使用50多个事件，200多个函数，可以实现丰富而灵活的功能。2.3.1可编程控制网络通过采用强大的硬件交换芯片和高速的核心CPU，在最新一代的BIGIP中设计了可编程控制模式。通过与标准计算机编程语言TCL相结合，可以在客户端请求应用数据流到达负载均衡设备和从服务器返回的应用数据流的各个阶段中。通过硬件的监测引擎对数据流进行分析，然后根据判断的结果，进行相应的控制和处理。在目前最先进的BIGIP可编程控制网络中，采用事件驱动方式对数据流进行处理。典型的处理如下：事件触发：当客户端TCP三次握手连接建立的时候触发事件当客户端提交HTTP请求的时候触发事件当客户端SSL握手提交证书后触发事件条件判断：是否在数据包中包含以”cgi”作为结尾的HTTP请求？是否数据包的源地址是以八进制“206”为开头？是否在TCP的数据包中包含字符串“ABC”。数据流处理如果数据包源IP为20.1.1.2则将其分配到服务器A；如数据包前50个字符包含字母“REAL”则将其丢弃；如果数据包第一个字符为0xE3则将其放入4Mbps的一个RateClass进行带宽控制。通过可编程控制技术，可以对应用数据流进行进一步的精确控制，弥补普通内容交换/负载均衡设备功能单一、扩展性和灵活性较差的缺点。2.3.2安全性增强：2.3.2.1DDOS攻击内容交换/负载均衡设备的放置位置，决定了所有的服务器均在其之后，因此，防DDOS攻击成为其中的一个重要环节。在新型的内容交换/负载均衡设备中，采用DelayBinding或者SynCookie技术来实现对Syn攻击的防护。在高端的产品中，还采用了硬件芯片来处理攻击流量，以确保站点的安全，稳定运行。保证后端服务器的安全。典型的企业内网防攻击流程如下：在BIGIP上可以统计每个客户端建立的连接数量，在其连接数量超过一定限制的时候，则拒绝其发起新的连接。并记录客户端的IP地址以供审计。2.3.2.2应用层防火墙技术应用层防火墙主要针对的是在应用层次上的攻击手段。对于普通的防火墙来说，只能实现对端口开放或不开放进行防护，而在内容交换/负载均衡设备上，本身就已经具备不开放无服务端口的功能。因此对于安全防护主要体现在应用层次上。应用层安全可以分为以下两个级别：被动式安全：在被动式安全模式下，需要确定攻击的手段，然后根据攻击的方式编写相应的防攻击代码，或预先在设备内定义好安全防护模块，由使用人员选择开启那些安全防护模块。被动式安全的优点在于配置、使用简单，但无法对未知的攻击模式进行防护。主动式安全：在主动式安全模式下，通常采用自学习模式和安全代理模式，将整个站点的访问层次、访问流程等进行预先的纪录。在纪录完成后，微调一部分内容，然后关闭学习模式后进入生产模式。一旦进入生产模式，则凡是系统不认识的输入手段和访问流程均将会被拒绝。这样，可以保证系统完全按照开发人员的思路运行，而不允许有任何的例外和非法的操作发生。主动式安全的优点在于进一步增强了安全性，可防范未知的攻击手段；缺点是维护较为复杂，需要使用者对站点的结构、协议非常了解。2.3.3高可用性增强2.3.3.1健康检查模式健康检查属于负载均衡处理中非常重要的一个环节，负载均衡设备在进行流量分配之前，必须准确的知道后台应用的健康状态。目前，BIGIP-LTM的健康检查模式有：ICMPMonitorFTPMonitorWAPMonitorPOP3MonitorGatewayICMPMonitorSIPMonitorIMAPMonitorRADIUSMonitorTCPMonitorSMTPMonitorLDAPMonitorRDPMonitorTCPEchoMonitorSNMPMonitorLDAPoverSSLMonitorRealNMonitorUDPMonitorSoapMonitorMicrosoftSQLMonitorOracleMonitorHTTPMonitorsHTTPSMonitorNNTPMonitorWMIMonitorEAVMonitorReverseKeywordMonitorTransparentDeviceMonitorMonitorScriptingCompositeMonitors(thisisanMofNmonitorrule)除此之外，在BIGIP中还可以通过编程方式，实现用户自定义的服务器健康检查。2.3.3.2设备自身冗余技术与传统的基于3层的设备冗余技术不同，在应用级的设备冗余要复杂很多。在2-3层的网络结构中，网络设备主要是按照数据包进行分发，因此只要设备具备分发交换能力，在任何一台设备上均可以处理数据包交换。而在4-7层的负载均衡设备中，均是按照数据流方式处理，数据流都存在有状态信息。因此单纯的HSRP或者VRRP技术已经不能满足需求，在内容交换/负载均衡设备上通常采用自行设计的高速切换方式，现在最短的已经可以达到200ms的切换速度。并且在两台设备之间对数据流的状态信息进行复制，保证在切换后用户端和服务器端感觉不到切换，从而保证应用的持续运行。2.3.4应用加速2.3.4.1SSL加速在BIGIP-LTM中，可以通过嵌入高性能SSL加解密芯片的方式。来处理从客户端发送过来的大量SSL请求，将这些请求进行解密后，再以HTTP方式发送到后台的服务器，以节省服务器的CPU资源。现在最的BIGIP-LTM8800中已经可以达到48,000，6Gbps的SSL处理能力。2.3.4.2HTTP压缩在内容交换/负载均衡设备中，可以通过CPU或者内置高速硬件压缩芯片对服务器的返回HTTP页面进行压缩，然后返还给客户端。这样可以节省网络带宽资源，见效带宽投入；并且减小客户端打开页面的时间。现在内容交换/负载均衡设备最高已经可以达到6Gbps的HTTP流量压缩处理能力。2.3.4.3连接优化通过负载均衡设备对HTTP协议的分析和重组能力。可以将很多个客户的连接请求进行合成到少数个连接请求发送到服务器端。这样大大的减少了服务器端由于打开连接所造成的资源消耗，从而提高服务器的服务能力，加速应用的访问速度。HTTP压缩和连接优化的效果：以上结果为全球最大的新闻网站MSNBC的实测结果。2.3.4.4WEB动态加速在BIGIP-LTM6400以上的平台上，还可以内置的WA（WebAccelerator）模块，通过智能算