F5政府行业解决方案.docx
《F5政府行业解决方案.docx》由会员分享,可在线阅读,更多相关《F5政府行业解决方案.docx(30页珍藏版)》请在冰豆网上搜索。
F5政府行业解决方案
F5政府行业
解决方案
税务
直辖市地税网上征收平台
项目概况:
国家金税工程的重点项目之一,项目主要分为两期完成。
一期工程的主要目的是实现一个完整的地税网上交易平台,为全市的地税用户提供网上交易。
二期工程的主要目的是容灾中心的建立来保证业务系统的不中断服务,并同时考虑备份中心的备而不废问题。
网络结构:
客户需求:
因为在多个ISP接入链路间没有BGP自治域,为保证内部用户的上网访问和外部用户对内部服务器的访问的持续性,要求在负载均衡的处理时同时提供透明的容错处理,实现对ISP接入链路的高可用性
防火墙的负载均衡,多层的负载均衡的防火墙为加强网络的安全性.因为防火墙要处理所有的网络流量,因此特别需要多台负载均衡的防火墙同时工作以提高网络的通过能力,避免成为网络瓶颈
内部的多台服务器的负载均衡,同时的并行工作,某台服务器发生故障时由负载均衡产品自动检查到,并且将其从服务器群组中排除,透明的容错
同时处理多个IDC中心的访问流量,根据每个中心的服务业务来分配访问,实现备份中心的备而不废的问题。
实时监控每个IDC的服务状态,和ISP链路的连接状态,在某个IDC服务停顿的情况下及时报警,等待行政指令确认后及时切换
F5的解决方案:
一期工程:
1.方案采用F5公司的应用交换机linkcontroller两台,同时提供链路的负载均衡和防火墙的对内的负载均衡.
2.方案采用F5公司的应用交换机BigIP两台,提供防火墙的对外负载均衡和服务器的负载均衡.
3.方案另外还采用F5公司的应用交换机BigIP5000两台,处理另外部门的服务器的负载均衡采用F5LC1500双机HA冗余结构,实现双链路基于应用访问的负载均衡。
二期工程:
1.扩容方案将主中心的设备和结构原样拷贝的备份中心
2.同时在主备中心各采用3DNS产品实现IDC的容灾和切换
为什么选择F5:
HA切换的灵活和可靠,地税的网上征收平台是高安全和高可靠性要求极高的业务,设备的故障切换的时间要求是秒级,目前市场上只有f5能够满足需求。
高性能,测试表明,在大业务压力情况下的CPU利用率仍然低于5%。
和某国内防火墙厂商的完善配合,在防火墙有很多安全限制的情况下实现全冗余连接的容错处理结构。
完整的DNS服务能力和,DNS配置的图形化编辑界面
备份中心故障的及时报警,等待行政指令后的立刻切换,而不是自动切换的处理,配合行政需求
关键技术阐述:
毫秒级的HA切换
BIG-IP产品是业界唯一的可以达到ms级切换的产品,所有会话通过Active的BIG-IP的同时,会把会话信息通过同步数据线同步到Backup的BIG-IP,保证在BackupBIG-IP内也有所有的用户访问会话信息;另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频,当ActiveBIG-IP故障时,watchdog会首先发现,并通知BackupBIG-IP接管SharedIP,VIP等,完成A=>B的切换过程,因为BackupBIG-IP中有事先同步好的会话信息,所以可以保持访问的畅通和在线会话的数据.
全冗余连接的国产防火墙负载均衡:
多台防火墙以负载均衡的方式提供服务,拓展了服务能力的同时也解决了单点故障,特别是防火墙端口正常,而功能异常的情况的处理,并且负载均衡器与防火墙之间采用了冗余链接,当通路中只有一条链路故障时,通过链路切换即可恢复系统的运行,而不会引起负载均衡器或防火墙的切换
配合应用逻辑的容灾策略
首先建立两个和实际应用附和的IDC清单,分别是
Data_Center_XX对应主中心
Data_Center_Backup对应新建的数据中心
分别建立不同的数据中心中的服务地址,实际上就是BigIP的VIP地址
启动3DNS和BigIP间的加密通讯判断服务是否可以正常提供,当前数据中心的网络压力,和国际网络接入的状况.
依据实际需求规定两个不同的domain对应实际服务和另外一个专门负责报表等统计工作的domain
在不同的doamin中规定两个数据中心的不同的服务地址为不同的服务等级,
在中的主中心为优先服务状态,
中的备份中心为优先服务状态
而在优先服务状态的服务出现故障时将会自动的切换到另外一个数据中心提供服务,或等待行政命令后及时的切换.
省级国税-CTAIS系统流量管理解决方案
项目概况:
该省国家税务局是省主管国家税收工作的行政管理机构,下辖17个市州局、60个县(市)局和366个基层分局。
为了更好地服务国税客户,决定对CTAIS系统等关键应用进行优化。
关键业务系统的7*24小时不中断,同时在每个月的高峰时间不仅要保证应用不中断,还要提高访问速度,改善用户体验。
随着应用数据不断的增加,能够实现业务主机的无缝扩展。
通过架构流量管理产品,改进服务器和应用在运维时对在线业务的影响。
网络结构:
客户需求:
提供全面的服务器负载均衡算法,不仅要有常见的算法,还需要有能根据用户要求特别订制的算法。
提供基于应用的健康检查机制。
具有良好的抗攻击的能力。
通过HA方式保证系统的7x24小时服务,保证系统的高可靠性;同时提供会话镜像功能,保证设备切换时,应用的连续性。
要求方案设计简单,容易部署,不改变现有的网络结构。
F5的解决方案:
采用F5LTM6400双机HA冗余结构,实现以CTAIS为核心的多种应用的负载均衡。
采用F5特有的负载均衡算法和健康检查方法保证CTAIS各种业务负载实时、高效均衡。
采用F5丰富的会话保持机制,对应用访问的一致性进行流量控制。
以F5独有的毫秒级切换和StatefulFailover技术实现系统切换时应用的连贯性。
采用双千兆链路聚合的全冗余、少层次的网络结构,保证不会因为网络或线路故障影响业务。
基于应用的结构,便于以后业务系统无缝拓展。
为什么选择F5:
LTM产品能够满足要求严格的应用健康检查要求,是最贴近应用的健康检查,保证了各个服务器,更重要的是应用业务系统的正常运行。
LTM产品能够满足特殊的应用会话保持机制,特别是F5专利的cookie会话保持技术解决了源地址会话保持的局限性。
F5负载均衡器内置业界唯一专有的四层ASIC芯片,加速对数据处理的性能。
F5负载均衡器双机心跳线方式提供毫秒级快速切换,是CTAIS系统这样的关键业务系统所必需的。
简单而稳定的结构部署,实施容易,以后的扩容也容易。
F5在国内税务行业中拥有众多的成功案例和优异的运行记录。
专业的技术支撑和服务团队,第一时间对用户响应和解决问题。
关键技术阐述:
UIE+iRule提供了对应用的可编程控制:
UIE实现了对所有TCP、UDP应用的数据包分析与信息提取功能;iRule则是基于事件驱动的编程方式、功能强大、扩充性极强的开发语言。
强大的应用会话保持功能:
内置多种会话保持方式(源地址相关性持续性、cookie持续性、目的地地址相关性持续性、Hash持续性、微软远程桌面协议持续性、SIP持续性、SSL持续性、通用持续性);支持复杂的的、可定制的会话保持功能。
双机采用专用的心跳线,支持毫秒级切换:
专用的心跳线使双机的切换变得更加快速可靠。
双机的的切换可以在200毫秒以内完成。
双机连接状态镜像(ConnectionMirroring):
LTM设备支持会话表有选择性状态同步,可以选择设定对哪些应用采用会话状态同步功能。
这样即可减轻双机状态同步对系统带来的额外压力,又可以对要求不间断运行的应用,做到双机切换对应用无影响。
社保
社保系统流量管理解决方案
项目概况:
金保工程是一项重要的电子政务工程,旨在通过网站为社会提供劳动保障业务和政策信息,提高劳动保障政策透明度和公共服务水平。
该省率先推出劳动保障网,目前访问量已经颇具规模,为了更好地保证网站的可靠性,考虑对前置Web服务器和中间件服务器进行负载均衡等流量管理。
流量管理解决方案还将推广至全省其它地市的社保行业中。
流量管理解决方案主要分为对Web服务器和中间件服务器负载均衡,以及对街道等小型分支机构和医院,药房等联系单位的远程SSLVPN安全接入。
社保行业主要使用BEAWeblogic和Tuexdo中间件服务器,需要负载均衡产品对这些中间件应用有更好的支持。
社保行业原来广泛使用IPSecVPN解决方案进行远程安全接入,希望通过更好SSLVPN技术能够更方便,更安全地部署和使用。
通过架构F5ADN(应用交付网络),方便今后对应用的更深度优化。
网络结构:
客户需求:
服务器负载均衡(包括网站Web服务器,中间件服务器和其它应用服务器)
详细说明:
根据预设的负载策略,将不同的访问请求分发到相应的服务器。
并能够通过规定方式检查服务器是否正常提供相应的服务,若发现某个服务出现异常,则采用设定的方案进行隔离,保证正常服务不受其影响。
要求在正常情况下两台或多台服务器的负载基本相同,在某台服务器停机的情况下透明的容错,保证关键应用的持续,提供特别的会话保持能力,可以根据不同应用的特点保证特定用户的访问会定位在特定的服务器,只有在这台服务器出现故障时再将访问导向到其他服务器。
合适的会话保持机制
详细说明:
通过基于sourceip或者cookieinsert机制进行对应用的会话保持,从而保证应用的连续性。
客户端源地址翻译技术(SNAT)
详细说明:
由于社保系统中广泛使用安全加密设备,该设备对客户端源地址有严格认证要求,这就要求负载均衡设备具有智能的地址翻译技术,将客户端的源地址翻译成合法的地址交给安全加密设备。
SSLVPN
详细说明:
要求客户端“零维护”实现远程VPN接入,取代原来IPSecVPNRemote接入方式。
要求支持Windows,Unix,linux系统;要求支持Layer3VPN隧道方式和B-S代理架构方式。
设备的高可靠性
详细说明:
通过HA方式保证系统的7x24小时服务,保证系统的高可靠性;同时提供会话镜像功能,保证设备切换时,应用的连续性。
F5的解决方案:
采用F5LTM3400双机HA冗余结构,实现Web服务器,中间件服务器和其它应用服务器的负载均衡。
F5负载均衡器内置业界唯一专有的四层ASIC芯片,加速对数据处理的性能。
采用F5特有的负载均衡算法和健康检查方法保证各种应用负载实时高效均衡。
采用F5丰富的会话保持机制,对应用访问的一致性进行流量控制。
采用F5Firepass1200系列产品,实现SSLVPN安全远程连接。
为什么选择F5:
服务器负载均衡产品能够满足要求严格的应用健康检查要求
服务器负载均衡产品能够满足特殊的应用会话保持机制,并且可以配置备份的会话保持方式,例如:
主要会话保持机制为CookieInsert,次要会话保持机制为SourceIP。
服务器负载均衡产品能够根据用户要求,将客户端的SourceIP转换成内网的特定IP,以便和安全加密设备进行联系。
F5负载均衡器双机心跳线方式提供毫秒级快速切换,是网银系统这样的关键业务系统所必需的。
F5SSLVPN支持Layer3和B-S代理等多种访问方式,支持中文管理帮助和登陆界面,方便了客户使用,真正做到客户端“零维护”。
服务器负载均衡产品能够集成其它的流量处理和优化模块,如RamCache,HTTPCompression,WebAccelerator,ApplicationSecurity等功能模块,今后可以拓展对应用进行更加高级的优化。
关键技术阐述:
基于JSessionID进行会话保持机制
在会话保持技术方面,Weblogic可以在URL中重写JSessionID,BIGIP支持根据URL中的JSessionID进行会话保持。
NAT&SNAT机制
当用户在医院进行医保卡消费的时候,为了保证数据的安全性,一般在医保中心会部署加密机,在设置加密机的时候需要对加密机的数据源ip地址进行设置,一般在加密机里面只能设置10个ip地址左右,另外考虑到加密机的性能,加密机一般只能同时加密5000个连接,为了达到以上的功能,一般需要附带一个加密机的排队机,其作用就是提供地址转换和排队,但以上功能完全可以通过F5的SNAT功能和Connectionlimit选项完成。
F5与BEAWeblogic和Tuexdo无缝配合
当用户用卡进行交易的时候,在医院和医保中心交易的时候会采用交易中间件(如Tuexdo)服务器,由于tuexdo在交易的时候像oracle一样,一开始起一个侦听端口,如8014等,真正交易的时候由服务器端通告给客户端一个动态的高端端口(一般在10000以上)进行交易,如果这样的应用会需要应用将服务器的内部真实地址通告给用户,从而降低了系统的安全性。
通过F5BIGIP可以在不同的tuxedonode上配置不同的WSL端口范围,例如在node1上是21000~30000,而在node2上是10000~19000;在用户访问WSH时是负载均衡的处理,而在WSL的连接时就可以经过BIGIP独有的iRules根据目标端口的高低来进行应用交换处理和会话保持了。
公安
出入境管理信息系统服务器负载均衡解决方案
项目概况:
该省公安厅出入境管理处是省主管中国公民因私出入境和外国人、华侨、港澳台居民入出境以及相关事务的职能部门。
"公安出入境管理信息系统",用户遍及全省一百多个公安受理及审批单位.
该系统以公安计算机专用网络为依托,数据上以出入境证件的制作管理为主线,以提高全省各级出入境管理部门电子政务服务水平为目标而构建的。
目前全省共有21个地级市、129个县区公安局、12个口岸签证点通过该系统完成所有出入境证件的受理、审批、制证及管理工作。
系统运作至今已积累有效办证信息近3000万条,存储数据超过500G。
随着数据大集中的要求,急需建立以省厅数据库为核心的出入境管理综合业务集中处理系统;减少数据处理层次,全面实现业务和数据的全部集中处理。
新系统为-出入境管理信息集中处理系统(简称“大集中系统”),该系统的应用服务器需要负载均衡器解决应用负载的均衡问题。
网络结构:
“大集中系统”基本按照B/A/S三层结构模式构建,其应用体系架构如下图
客户需求:
系统体系结构和功能框架具备可扩展性、兼容性和良好的适应性。
提供以出入境管理业务流程为线索的应用服务器动态负载均衡。
由于该系统的不可间断性,高可用性和可靠性成为重点之一。
Web及中间键服务器(IBMWebSphere)为刀片服务器,性能不是很好,容易因压力过大宕机,需要高效合理的服务器负载均衡方法。
因应用访问流程的复杂性,需要负载均衡器解决流程上的一些特殊问题。
具体流程处理在以下F5方案中详述。
对外提供的服务要进行基于来源地址的会话保持。
F5的解决方案:
结构采用F5BIGIP3400LTM双机HA冗余做服务器负载均衡。
双机采用心跳及网络方式HA,保证系统服务不中断。
采用F5特有的负载均衡算法(观察法,最少连接数)和健康检查方法保证业务负载实时高效均衡。
保证业务处理高效,有效性。
通过F5灵活的TCP优化及会话保持技术满足业务应用需求。
F5通过业界唯一的真正的四七层解决方案:
iRules功能解决该系统的特殊应用访问流程,解决该流程在负载均衡流程上的处理难点。
该iRules示例如下:
whenCLIENT_ACCEPTED{
if{[IP:
:
addr[IP:
:
remote_addr]equals10.10.10.0/255.255.255.0]}{
poolpool99
}
elseif{[IP:
:
addr[IP:
:
remote_addr]equals192.168.1.1]}{
poolpool_1
}
…
…
…
}
(附:
应用访问流程:
客户端发出请求,访问大集中系统经过F5,F5通过负载均衡策略(采用地市分pool和leastconnection的策略),根据用户的IP判断分发到某一刀片请求到达刀片服务器上的web服务器(80端口)判断用户的合法性和权限,重定向到同一刀片的CAS应用(根据源地址保持的策略)(443端口)若用户登陆正确,重定向到应用服务器(9080端口)根据业务,由刀片服务器发出请求,访问数据库获取数据应用服务器处理完后发出响应给客户端)
为什么选择F5:
F5负载均衡器双机心跳线方式提供毫秒级快速切换,是诸如出入境管理系统这样的关键业务系统所必需的。
F5负载均衡器高性能高稳定性在中国诸多用户业务环境中得到证实。
F5是业界唯一采用专有四层加速芯片的负载均衡厂商。
该系统的应用服务器采用IBMWebsphere,WebSphere是IBM在WebServices策略中的核心平台,支持所有应用的开放标准和技术,包括UDDI,SOAP,J2EE,WSDL,以及对XML技术集成的增强。
其与F5建立了全球合作伙伴关系。
IBMWebsphere在全球相关负载均衡应用推荐使用F5。
F5强大的iRules提供真正的四七层交换,为客户实际需求提供灵活的解决方法。
关键技术阐述:
F5–iRules:
基于事件驱动的编程方式、功能强大、扩充性极强的开发语言TCL
什么是iRules–
•iRules是基于事件定义的规则
•TM系统在触发iRules里定义的事件时触发这个规则
•iRules由三个要素构成:
事件说明(告诉BIP去检查什么)
事件触发者(告诉BIP检查的东西里面关心什么)
iRules命令(告诉BIP检查出结果以后该怎么做)
基于事件的语法结构
Eventdeclarations
{
Operators
{
iRulecommands
}
}
✧举例:
whenCLIENT_ACCEPTED
{
if{[IP:
:
addr[IP:
:
client_addr]equals10.1.1.1]}
{
poolweb_pool
}
}
iRules:
真正的四--七层交换
•摆脱了script语言的限制,提供了真正开发语言TCL
•摆脱了包过滤方式的局限,基于数据流的事件触发方式真正体现应用数据流
•超越了ATM的应用交换概念,实现了ADN的应用智能分发功能
•结合TMOS平台实现压缩、带宽管理、SSL加速、链接优化等功能
•可以实现用户对数据流的任意处理要求!
!
!
公安系统内网核心应用流量管理解决方案
项目概况:
某市公安局是主管本市公安工作的市政府职能部门,按照职能设置36个业务部门和8个专业分局,按照xx市行政区划设置11个区公安分局、2个县公安局,下辖245个公安派出所,总警力近万人。
多套内部应用系统(警务综合查询平台,身份证查询系统,第二代身份证管理系统和门户系统)需要进行负载均衡,原来使用的是Websphere的cluster。
内部应用系统关系到整个城市的安全、警务,不能出现中断,实时性需要强。
网络结构:
客户需求:
需要有支持应用的负载均衡产品,具备多种负载均衡算法;能够做到根据各个应用服务器的性能,合理地分配服务器群中的每台机器所要处理的请求。
能够及时的发现集群中的某台机器发生故障,从而不对此机器发送请求。
当故障机器恢复正常后,自动进行业务处理。
有效直观的监控统计界面,包含当前时刻、过去一段时间的请求数量统计、性能统计、会话时间统计。
能够提供有效的机制缓解后台应用中间键服务器压力,提高业务的访问量。
高可靠性,通过HA方式保证系统的7x24小时服务,保证系统的高可靠性。
F5的解决方案:
采用F5公司提供的应用流量管理器LTM6400两台做HA冗余结构。
全冗余连接方法,绝对保证网络没有单点故障的存在。
LTM6400提供所有应用的负载均衡,并实时监控各台服务器的状态,自动屏蔽故障服务器,从而确保系统稳定工作。
同时,由于采用F5特有的动态攻击防御系统,LTM6400对恶意的海量攻击具有很强的抵御能力,确保了服务器和服务的正常运作。
F5负载均衡器内置业界唯一专有的四层ASIC芯片,加速对数据处理的性能。
采用F5专有的心跳线,利用内置的Watchdog芯片,使得LTM6400的切换时间小于200ms。
采用F5的温暖关机特性,减少系统运维时对用户在线访问的影响。
为什么选择F5:
可以支持所有基于TCP/IP的应用。
可以自动抵御大量DoS/DDoS攻击,使后台的服务器不遭到任何攻击。
在大量攻击情况下,正常的用户访问仍然能够被转发到服务器采用sync-cookie技术可以轻易的区分出攻击请求和正常访问请求。
丰富的系统状态、请求统计、负载性能统计等页面,使得用户可以实时直观的对系统进行了解。
F5负载均衡器双机心跳线方式提供毫秒级快速切换,是OA系统这样的关键业务系统所必需的。
在公安系统中的优秀使用记录和众多用户,专业的技术支撑和服务团队,第一时间对用户响应和解决问题。
关键技术阐述:
扩展内容查证ECV:
EAV是另一种服务检查,用于确认运行在某个服务器上的应用能否对客户请求作出响应。
为完成这种检查,BIG/IP®控制器使用一个被称作外部服务检查者的客户程序,该程序为BIG/IP®提供完全客户化的服务检查功能,但它位于BIG/IP®控制器的外部。
例如,该外部服务检查者可以查证一个Internet或Intranet上的从后台数据库中取出数据,并在HTML网页上显示的应用能否正常工作。
EAV是BIG/IP®提供的非常独特的功能,它提供管理者将BIG/IP®客户化后访问各种各样应用的能力,该功能使BIG/IP®在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。
F5i–Control开放的API接口:
它提供了业界最紧密集成的产品套件,利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。
它提供了端到端集成所需要的产品间的安全通信,而且还可以通过开放式XMLAPI对F5产品进行编程,以支持客户与合作伙伴应用间的集成(F5的iControl内部通信协议)。
iControl能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。
通过iControl开放的安全通信协议和SOAP/XMLAPI,网络设备能够与应用进行通信,应用可以控制网络,从而避免出现易于出错的过