A10负载均衡及运维培训forv4x

A10负载均衡及运维培训forv4x硬件物理结构基础理论介绍内容提要高可用业务配置举例故障处理产品功能概述售后开CASE流程A10监控及运维硬件物理结构TH840硬件物理结构TH930硬件物理结构TH1030S硬件物理结构TH3230（S）硬件物理结构ConsoleRS232参数设置产品功能概述ACOS共享内存架构ACOS共享内存架构传统的IPC架构L4-7CPU1L4-7CPU2L4-7CPU3L4-7CPU4L4-7CPU5High-speedSharedMemoryL4-7CPU1L4-7CPU2L4-7CPU3L4-7CPU4L4-7CPU5CommunicationBus集中管理（RESTfulAPI,监控,云平台,自动化）应用服务L4-7交付协议内容优化SSL安全DDoS高可用IPsec定制化扩展NAT访问控制专有IT系统托管IT系统CloudIaaS任何设备任何地点任何应用任何模式提高应用可靠性–4层负载均衡•Cookie持续•目的IP持续•源IP持续•SSL会话ID持续会话保持分配流量监控服务器健康度•RoundRobin•LeastConnections•ServiceLeastConnection•FastestResponseTime•SourceIPHash•Manymore…•TCP•UDP•HTTP•HTTPS•FTP•COMPOUND•Manymore…TCP与UDP客户请求•Anythinginrequestbody•DeviceType•Language•Cookie•BrowserCapability客户端属性•AnyTCPRequest•HTTPGet•HTTPPost请求协议请求方法•AnyTCPpayloadvalue•AnyHTTPpayloadvalue•Domain•WildcardURL提高应用可靠性–7层负载均衡在线服务器维护-服务器温暖上线/下线A10Thunder控制队列•把发送给服务器的流量速率控制在合理范围•温暖上线-服务器慢启动•温暖下线-下线后在设置的时间内继续处理已有的连接应用请求客户端1.A10收到并终结客户端连接2.客户端传送应用请求3.A10建立服务器连接客户端连接4.通过A10与服务器之间的连接传送客户端请求5.更多的客户端遵循相同的过程6.多个客户端请求可以通过公共的可复用的服务器连接传送•TCP卸载服务器服务器连接应用请求降低资源负载-TCP连接复用aFleX脚本：灵活的应用控制/bbsa.jpegNews.htmljpeg_serversbbs_serversweb_servers.jpegwhenHTTP_REQUEST_DATA{{if{[HTTP::URI]start_with“bbs}{poolbbs_servers}elseif{[HTTP::URI]end_with“.jpeg{pooljpeg_servers}else{poolweb_servers}应用逻辑对象可视化工具中文WEB界面管理与维护Thunder系列ADC硬件平台虚拟机箱(aVCS)vThunderforVmware/KVM/XenA10Vthunder产品ThunderSeries虚拟分区(ADP)ThunderHVA硬件虚拟化ADCUtility(UBM)Rent(PGM)在云中按需购买的ADC业务aCloudServicesCloudDataCenter,Containers&VirtualizedDCTPSAnti-DDOS160G吞吐量CFWDCFWIpsecVPNADCGSLB/SLB/LLBSSL卸载WAF5~300G吞吐量CGNNAT44/642.5亿并发ADCaaSThunderSeriesApplianceCloudInstancesLightningADCVirtualSSLiSSL透视3~40G吞吐量SECUREAPPLICATIONSERVICESCHOICEaGALAXYMANAGEMENTAdvancedCoreOperatingSystem(ACOS)BareMetalA10Networks应用交付方案LIGHTNINGCONTROLLER基础理论介绍正式名称通俗名称提示符用户权限用户模式user模式可以监控SLB&CGN，做备份,使用简单的诊断工具。从这个级别的用户不能更改配置。特权模式enable模式#继承用户模式的权限，还可以管理和监控系统，但不能修改SLB或CGN的配置。特权模式下的配置模式config模式(config)#继承特权模式的权限，还可以配置SLB或CGN在特权模式下的命令，可以在本模式前面加do后执行。设备管理口默认IP地址为172.31.31.31，需要将电脑网卡IP地址设置在同一网段：使用进行登录，默认的登录用户名：“admin”，密码：“a10”，如下图:登录Web界面服务器负载服务器负载服务器负载确保流量分配最合理应用程序故障转移确保不间断的可用性不平均的用户流量平均的服务器流量MoviesHomepageFinanceGamesPhotos负载均衡的主要目的客户端Web服务器Server定义真实服务器的IP地址、端口、以及其他服务器相关的参数Servicegroup定义某个业务端口所属的真实服务器IP及端口的集合Virtualserver定义某个VIP上需要发布的业务和端口Template各种可以在多个模式下复用的策略Healthmonitor健康检测，可以在server、servicegroup两个层面启用基础概念拓扑:单臂源地址转换SNAT模式InternetSourceIPDestIP200.0.0.1100.0.0.10SourceIPDestIP100.0.1.50100.0.1.100DestIPSourceIP200.0.0.1100.0.0.10DestIPSourceIP100.0.1.50100.0.1.100100.0.0.0/24200.0.0.1VIP=100.0.0.10SNAT=100.0.1.50100.0.1.0/24100.0.1.[100-200]核心交换机用户SiSiSiSi旁路部署方式核心交换机A10负载均衡设备A10负载均衡设备服务器•部署简单，无需改变现有拓扑结构•可以不改变现有VLAN，IP地址规划•无需更改服务器网关，不进行负载均衡的流量可直接通过交换机转发，效率较高•对防火墙部署小，策略迁移简单•扩展能力强由于上述优势，旁路部署是行业惯例和大部分用户的共识SourceIPDestIP200.0.0.1100.0.0.10SourceIPDestIP200.0.0.1100.0.1.100DestIPSourceIP200.0.0.1100.0.0.10DestIPSourceIP200.0.0.1100.0.1.100Internet100.0.0.0/24200.0.0.1VIP=100.0.0.10100.0.1.0/24100.0.1.[100-200]核心交换机用户SiSiSiSi串接部署方式核心交换机A10负载均衡设备A10负载均衡设备服务器•部署复杂，需要改变现有网络连接。通常也需要改变服务器的VLAN和IP地址规划•需要改变服务器网关，不论是否需要负载均衡的流量都必须穿过负载均衡设备•对防火墙的安全域部署造成严重干涉，甚至无法与防火墙共存•扩展能力受限由于上述弊病，实际应用中，几乎系统没有采用串接方式部署负载均衡设备100.0.0.0/24InternetSourceIPDestIP200.0.0.1100.0.0.10SLBMACSourceIPDestIP200.0.0.1100.0.0.10ServerMACDestIPSourceIP200.0.0.1100.0.0.10200.0.0.1VIP=100.0.0.10100.0.0.0/24LoopbackIP=VIP=100.0.0.10100.0.0.[100-200]优点:–高度的伸缩性(ADC只处理入方向的流量)拓扑:DSR模式缺点:–不能使用ADC的任何七层特性(aFleX仍然可以在虚拟端口级别下应用)–需要在每台服务器上在loopback口配置虚IP100.0.0.0/24Internet200.0.0.1VIP=100.0.0.10100.0.0.0/24100.0.0.[100-200]LoopbackIP=VIP=100.0.0.10HTTP扩展健康检查举例HTTP扩展健康检查举例Exampleofgettingtheexpectedresponse,soservicewillbeUPHTTP扩展健康检查举例ExampleofNOTgettingtheexpectedresponse,soservicewillbeDOWN基于源IP（SourceIP）的会话保持–当同一个客户端的应用访问流量或连接要求必须终结在同一台服务器的时候，可以启用基于源IP的会话保持基于源IP的会话保持123123205.229.151.10205.229.152.11205.229.151.107–和源IP保持一样,Cookie会话保持用于HTTP/HTTPS客户端要让他们的连接始终保持在同一个服务器上–但Cookie会话保持提供了更细的粒度,因为即使不同的用户来自相同的代理(这样他们就有相同的源IP地址)会通过Cookie会话保持将连接分配到不同的服务器上Cookie会话保持123123Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3fgb3Cookie:PHPSESSID=qacrosfkmd3pmnvemfm2s3cqa4客户端IP头插入–为了让服务器记录客户端真实IP地址信息，设备可以在HTTP请求头中插入客户端的IP地址信息–ACOS(config-http))#insert-client-ipSYN(TCPPort443)SYN/ACKACKCLIENT_HELLO(SSL版本,是否支持加密,数据压缩算法,SessionID,随机数)SERVER_HELLO(SSL版本,是否支持加密,所选数据压缩算法,指定的SessionID,随机数)CHANGE_CIPHER_SPEC(告知服务器后续的客户端发来的报文都要被加密)SERVER_DONECERTIFICATE_VERIFY(客户端告知服务器已经验证成功服务器的证书)CERTIFICATE(公钥,认证签名)CHANGE_CIPHER_SPEC(告知客户端后续的服务器发来的报文都要被加密)FINISHEDFINISHED自此用户的数据都被加密了–最大化每个数据包的载荷–提高应用程序性能HTTP压缩缓存的拷贝RAM缓存静态和动态远程员工客户移动用户更多的请求原始内容初次请求合作伙伴参数动态缓存使用A10前使用A10后3.5Sec0.4Secslbtemplatecachetemp_cachedisable-insert-agedisable-insert-viamax-cache-size290max-content-size5000000default-policy-nocachepolicyuri.jpgcachepolicyuri.gifcachepolicyuri.pngcachepolicyuri.swfcachepolicyuri.csscachepolicyuri.ttfcachepolicyuri.woffcachepolicyuri.icocachepolicyurisys.jsnocachepolicyurii18n.jsnocachepolicyurimd5.jsnocachepolicyuriutil.jsnocachepolicyuri.jspnocachepolicyuri/bi/cacheRAM缓存配置举例：高可用VRRP-AVR