F5服务器负载均衡方案.docx

1、F5服务器负载均衡方案XXXX服务器负载均衡方案建议书一综述 3二用户需求 32.1 总体目标 32.2 系统功能需求 32.3 系统性能需求 42.4 系统安全性需求 42.5 系统可管理性需求 42.6 系统可扩展性需求 5三需求分析 53.1 Web服务器负载均衡及冗余 53.2 服务器安全防护 53.3 mail服务器的负载均衡及冗余 63.4 FTP服务器负载均衡及冗余 63.5 API接口 6四方案设计 74.1 网络拓扑图 74.2 设计描述 84.2.1 总体描述 84.2.2 Web服务器负载均衡及冗余 84.2.3 服务器安全防护 84.2.4 Mail服务器负载均衡及冗余

2、 94.2.5 FTP服务器负载均衡及冗余 94.2.6 易于管理性 9五关键技术介绍 105.1 本地服务器负载均衡算法 105.2 本地服务器/防火墙健康检查机制 115.3 会话保持技术 135.4 HTTP流量压缩 155.5 连接优化和长连接负载均衡 155.6 带宽管理 165.7 API接口iControl 175.8 系统安全性 205.8.1 提高服务器的高可用性 215.8.2 提高自身的高可用性 225.8.3 网络流量镜像 235.8.4 应用安全性 245.8.5 动态策略保护 26六产品介绍 26七F5专业服务条款 26八设备清单及报价 27一综述随着访问用户数量的

3、增加，给服务器带来越来越大的压力，实现访问流量在各服务器上均衡分配，充分利用各服务器资源，是网络改造的重要目标。 二用户需求2.1 总体目标1高性能系统可以采用多样，灵活，适应性好的负载均衡算法实现服务器负载均衡，使流量可以合理分配，提高系统整体的性能。2高可用性系统运行稳定，单一服务器故障不会影响系统有效运行。3高安全性系统具备良好的攻击防御能力，实现对服务器的安全防护。4高可管理性系统具备安全，简便，灵活的管理特点。5高可扩展性系统具备扩展简便的特点，在不影响现有系统整场运行的情况下，可以根据需要增加服务器。2.2 系统功能需求为了适应系统扩展的需要，新的系统需要满足以下功能：1服务器的负

4、载均衡系统中有多台Web服务器需要实现负载均衡，保证用户访问流量能在各服务器上均衡分配，提高服务器资源的利用率。并且当某台服务器发生故障时能被及时检测到，并且故障服务器将会被自动隔离，直到其恢复正常后自动加入服务器群，实现透明的容错，保证服务器整体性能得到大幅提升。2Web服务器的安全防护为了保证Web服务器正常提供服务，优化后代的系统必须满足对其安全防护的能力。当大数据流DOS/DDOS攻击进入的时候，能保证服务器继续正常稳定运行。3Mail服务器负载均衡 系统中目前有一台mail服务器，但随着访问量的增大，系统中的mail服务器将会扩展到两台，需要实现两台mail服务器的负载均衡，保证用户

5、的流量能够均衡分配。4丰富的日志记录 为了便于系统日常的维护工作，以及在排除故障时有据可依，处于网络核心位置的负载均衡设备必须具备多种详尽的日志记录方式。2.3 系统性能需求 为了保证系统正常稳定的运行，必须满足以下性能需求：1在一定的访问压力下仍然能提供正常服务。 2系统稳定性好，系统响应时间要短（当一台服务器发生故障时，负载均衡设备能及时探测到并将用户访问导向其它服务器）。2.4 系统安全性需求 为了保证系统有效运行，系统需具备安全防范措施：1负载均衡产品本身具有良好的系统安全性，不存在安全漏洞。2产品提供安全的访问管理环境。3具有一定的安全防护能力，协助防火墙和其他IDS设备构建动态防御

6、体系，防御网络常见攻击，提高系统整体的安全防护能力。2.5 系统可管理性需求为了便于新系统的日常维护和管理，系统在可管理性方面的要求如下：1可以采用SSL加密方式安全的通过Web界面来进行管理。2可以通过SSH客户端进行管理。3可以通过本地串口进行命令行管理。4除了系统本身具备的管理方式外，还可以提供中文网管软件，对网络和流量进行实时的监控和管理。2.6 系统可扩展性需求在网络优化前，需要考虑系统扩展性需求，使系统具备灵活的适应性。1增加Web服务器-在不影响现有系统正常提供服务的前提下，增加服务器， 扩展系统容量。2其它服务器-在不影响系统正常运行的情况下，实现除Web服务器之外其它服务器的

7、负载均衡。3增加防火墙服务器-在不浪费现有投资的情况下，增加防火墙服务器，实现防火墙服务器的负载均衡，避免防火墙单点故障。三需求分析3.1 Web服务器负载均衡及冗余负载均衡设备利用多种静态和动态算法实现系统中10台Web服务器的负载均衡，使用户访问流量能够均衡分配，提高服务器整体服务能力和性能。当有服务器发生故障时，负载均衡设备利用EAV/ECV等精确的探测能力及时发现并隔离故障设备，直到其恢复正常工作，实现服务器冗余。3.2 服务器安全防护当大数据流DoS/DDoS攻击进入的时候，服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃，甚至导致数据丢失或客户资料遗失。而采用F

8、5的BIG-IP保护服务器，通过EAV/ECV精确探测服务器的处理能力，从而在服务器处理能力饱和之前自动屏蔽新建链接。超过服务器吞吐能力的链接将在F5上处于waiting状态，直至有服务器空闲或TCP timeout。同时，对于所有对外提供应用的服务器，由于有F5提供负载均衡，用户无法直接于服务器联系，必须与F5上建立的虚拟服务器建立链接，所以黑客无法获得服务器的真实地址，增加了黑客攻击的难度。并且，由于虚拟服务器对外只提供应用服务端口，其余端口F5均不响应且直接丢弃数据包，从而有效地屏蔽了黑客攻击的第一步端口扫描。甚至F5可以将虚拟服务器的ARP响应屏蔽，从而使黑客无法PING通虚拟服务器。

9、3.3 mail服务器的负载均衡及冗余 Mail服务器负载均衡及冗余同Web服务器。由于邮件是采用双向解析的特殊应用，负载均衡设备必须能实现邮件服务器的反向解析，从而保证访问的完整性。3.4 FTP服务器负载均衡及冗余 FTP服务器负载均衡及冗余同Web服务器和Mail服务器负载均衡。为了保证FTP服务器能提供完整的服务，负载均衡设备须具备会话保持功能。3.5 API接口F5设备提供了开放的API接口-iControl，它提供了业界最紧密集成的产品套件，利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。它提供了端到端集成所需要的产品间的安全通信，而且还可以通过开放式XML

10、API对F5产品进行编程，以支持客户与合作伙伴应用间的集成（F5的i-Control内部通信协议）i-Control能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过i-Control开放的安全通信协议和SOAP/XML API，网络设备能够与应用进行通信，应用可以控制网络，从而避免出现易于出错的过程和人为干预。i-Control能够提供网络产品间安全、加密的互相通信能力，并为无缝应用集成带来了方便，其中包括：本地流量管理分布于全球的流量管理将内容部署到远程服务器上管理网络中高速缓存提供的内容版本显著减少管理分布式网络所需的资源客户、合作伙伴及第三方集成商都可以使用i-Contr

11、ol软件开发套件（SDK），它具有开放式的SOAP/XML或CORBA API。随着i-Control的推出，F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。通过将i-Control与F5的业界领先iTCM产品相结合使用，可以实施并部署F5的完整互联网控制体系结构，从而增强了7层性能。任何第三方和客户都可以通过i-Control将自己的应用与网络系统集成在一起，从而提供无与伦比的7层性能。四方案设计4.1 网络拓扑图改造后新的网络拓扑图如下：负载均衡部分网络拓扑图4.2 设计描述4.2.1 总体描述本系统中采用美国F5公司两台BIGIP，实现系统中多种服务器的负载均衡及会话保持，

12、其中Web服务器有x台，Mail服务器x台，以及OA服务器有x台,FTP服务器x台。上图是网络中负载均衡部分的拓扑图，两台BIGIP实现双机冗余，下连二层交换机，服务器连接到二层交换机上，实现服务器的负载均衡及冗余。Web服务器，Mail服务器，BBS服务器的负载均衡及冗余相同，对于BBS服务器，BIGIP利用专有的会话保持技术保证用户的正常访问。4.2.2 Web服务器负载均衡及冗余BIGIP采用多种静态和动态负载均衡算法实现Web服务器负载均衡，并采用EAV/ECV等精确的检测方法及时检测出服务器故障，隔离故障服务器，直到其恢复正常。对于需要定位在一台服务器上访问的用户，可以采用BIGIP

13、特有的Cookie的会话保持方法将用户会话保持在同一台服务器，保证访问的持续性和完整性。4.2.3 服务器安全防护 BIGIP还有特殊的机制对Web服务器进行安全防护。1EAV/ECV的健康检查当有大数据流DOS/DDOS攻击时，BIGIP利用其精确的EAV/ECV探测能力能准确检测服务器运行情况，在服务器处理能力饱和之前屏蔽新建连接。超过服务器吞吐能力的连接在BIGIP处于“等待”状态，直到服务器有空闲资源或TCP timeout时间。2API接口-iControl 为进一步防止服务器遭受攻击过载，F5利用“iControl”技术可以帮助服务器通知网络，“此时忙，暂停服务”，然后，网络将停止

14、再向它转发客户请求，而将客户请求继续转发至其它服务器，继续对客户应用请求提供服务。3虚拟服务器对外提供服务的Web服务器，由BIGIP实现负载均衡，用户无法同服务器直接联系，必须与BIGP上虚拟服务器建立联系，同时虚拟服务器只开放提供服务的端口，对其它端口访问，BIGIP均不响应，只做丢包处理。4防火墙功能（包过滤规则）BIGIP提供包过滤功能，可以实现基于协议类型（tcp，udp，icmp），源IP地址，源端口，目的IP地址，目的端口进行包过滤，保证不合法数据包的入侵，避免后台服务器遭受攻击。4.2.4 Mail服务器负载均衡及冗余Mail服务器的负载均衡及冗余同Web服务器。对于Mail服

15、务器，由于收发邮件需要实现双向解析，负载均衡设备采用SNAT保证Mail服务器能正常反向解析。4.2.5 FTP服务器负载均衡及冗余FTP服务器的负载均衡及冗余同Web服务器。为了保证用户能正常访问FTP服务器，BIGIP提供会话保持功能，可以采用多种方式实现会话保持。4.2.6 易于管理性BIGIP产品不仅提供https的安全Web界面管理，基于串口的管理和SSH安全命令行管理，还有基于软件XControl的管理。XControl是基于F5开放接口iControl开发出来的，针对F5设备进行监控管理的软件产品。五关键技术介绍5.1 本地服务器负载均衡算法BIG-IP可以提供12种灵活的算法将

16、数据流有效地转发到它所连接的服务器群、用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIG-IP灵活地均衡到所有的服务器。这12种局域负载均衡算法包括：1静态负载均衡算法轮询（Round Robin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，BIG-IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。优

17、先权（Priority）：给所有服务器分组，给每个组定义优先权，BIG-IP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，BIG-IP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。2动态负载均衡算法最少的连接方式（Least Connection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器

18、发生第二到第7层的故障，BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。预测模式（Predictive）：BIG-IP利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被BIG-IP进行检测)动态性能分配（Dynamic Ratio-APM):BIG-IP收集到的应用程序和

19、应用服务器的各项性能参数，动态调整流量分配。动态服务器补充（Dynamic Server Act.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。服务质量(QoS)：按不同的优先级对数据流进行分配。服务类型(ToS)：按不同的服务类型（在Type of Field中标识）对数据流进行分配。规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，BIG-IP利用这些规则对通过的数据流实施导向控制。5.2 本地服务器/防火墙健康检查机制BIG-IP除了能够进行不同OSI层面的健康检查之外，还具有扩展内容验证(ECV)和扩展应用查证(EAV)两种健康检查方法。

20、基本的健康检查方法有以下几种： 在Layer 2 健康检查涉及到用来对给定的IP地址寻找MAC地址的地址分辨协议 (ARP) 请求。因为BIG-IP设置了真实服务器的IP地址，它会发送针对每一个真实服务器的IP地址的ARP请求以找到相应的MAC地址，服务器会响应这个ARP请求，除非它已经停机。在Layer 3 健康检查涉及到对真实服务器发送”ping”命令。“ping”是常用的程序来确认一个IP地址是否在网络中存在，或者用来确认主机是否正常工作。在Layer 4，BIG-IP会试图联接到一个特定应用在运行的TCP或UDP端口。举例来说，如果VIP是被绑定在端口80做Web应用的话，BIG-IP

21、试图建立一个联接到真实服务器的80端口。BIG-IP发送一个TCP SYN 请求包到每个真实服务器的80端口，并检查回应的TCP SYN ACK数据包是否收到，如果哪一个没有收到，BIG-IP就确认那台服务器不能正常提供服务，BIG-IP单独针对服务器的每个应用端口做健康检查并单独做关于其服务器的诊断结果是非常重要的。这样一来真实服务器的80服务可能停机，但是端口21可能正常工作，BIG-IP可以继续利用这个服务器的21端口提供FTP服务，同时确认这个服务器的Web应用已经停机，这样一来就提供了一个高效率的负载均衡解决方案，细分健康检查的做法有效地提高了服务器的处理能力。扩展内容查证(ECV：

22、Extended Content Verification)：ECV是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查做出响应并返回对应的数据，则BIG-IP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机一旦修复，BIG-IP就会自动查证应用已能对客户请求做出正确响应并恢复向该服务器传送。该功能使BIG-IP可以将保护延伸到后端应用如Web内容及数据库。BIG-IP的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客户提供的内容正

23、是其所需要的。用户可以定义发送和接收的字串，发送字串是指发送到一个服务器的请求命令，例如：“GET /” 字串发送到一个HTTP 服务器。服务器回应得字串必须与接收到的字串相匹配，例如“”。ECV 可以工作在正常和透明节点模式。扩展应用查证(EAV: Extended Application Verification)：EAV是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求做出响应。为完成这种检查，BIG-IP控制器使用一个被称作外部服务检查者的客户程序，该程序为BIG-IP提供完全客户化的服务检查功能，但它位于BIG-IP控制器的外部。例如，该外部服务检查者可以查证一个从后台

24、数据库中取出数据的应用能否正常工作。EAV是BIG-IP提供的非常独特的功能，它提供管理者将BIG-IP客户化后访问各种各样应用的能力，该功能使BIG-IP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于提高系统可靠性至关重要，它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤连接到前置服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。一旦BIG-IP掌握了该“可用性”信息，即可利用负载平衡使资源达到最高的可用性。BIG-IP已经为测试多种服务的健康情况和状态，预定义了扩展应用验证(EAV)，如：FTP、NNTP、SMTP

25、、POP3和MSSQL等，用户还可依据实际应用，自行编辑EAV脚本。F5产品健康检查的频度和间隔是可以根据用户的要求而设置。通过F5灵活自定义方式的ECV健康检查方式，用户可以检查常见的应用如HTTP、SMTP、POP3等。而通过EAV健康检查方式，更可自行编写脚本，实现更加复杂的健康检查方式，全面的检测后台服务器的运行状态，保证系统运行的高效，可靠。5.3 会话保持技术当使用BIG-IP对服务器进行负载均衡时，就需要会话保持。如果某位用户连接到了一台服务器上，那么我们肯定希望该用户在将来再次连接时将仍可连接到该台服务器上。当该服务器存有用户相关数据，并且这些数据并不与其它服务器动态共享时，持

26、续性就显得十分有必要了。例如，假设一位用户在某网站采购了一“购物车”的商品，然后还未结帐就离开了该网站。如果在其重新登录网站后，BIG-IP应用交换机将客户请求路由至不同的服务器，那么新的服务器对该用户的数据和其所购买的商品将一无所知。当然，如果所有服务器都在同一个后台数据库服务器中存储用户信息及其选购商品的话，那么一切就不成问题了。但是如果网站不是这样设计的，那么具体的购物车数据就只能存储在特定的服务器上。这样，BIG-IP应用交换机就必需选择用户曾连接上的那台服务器，以无缝地处理用户请求。BIG-IP提供以下几种会话保持方法：Simple Persistence，SSL Session I

27、D Persistence，SIP Persistence，Cookie Persistence，iMode Persistence，目的地址归类。Simple Persistence：根据源地址做会话保持，即相同源地址的访问请求定位在同一台服务器上面。SSL Session ID Persistence：根据SSL会话ID做会话保持。SIP Persistence：SIP协议会话保持技术。HTTP Cookie Persistence：BIG-IP支持四种Cookie会话保持技术，即：改写模式，插入模式，被动的cookie，Cookie散列。1在Cookie改写模式下，服务器将插入一个coo

28、kie，然后BIG-IP应用交换机将对其进行重写，访问流程如下：首次命中，HTTP请求（不带有cookie）进入BIG-IP应用交换机，BIG-IP应用交换机任选一台服务器，将请求发送至该服务器，来自该服务器的HTTP回复此时包括一个空白的cookie，BIG-IP应用交换机重写cookie，并在粘贴一个特殊的cookie后将HTTP回复发送回去。再次命中，HTTP请求（带有与上面同样的cookie）进入BIG-IP应用交换机，BIG-IP应用交换机借助cookie信息确定合适的服务器，HTTP请求（带有与上面同样的cookie）进入服务器，HTTP回复（带有空白cookie）返回BIG-IP

29、应用交换机，后者将向客户机提供更新后的cookie。如图4.2所示：图4.1 Cookie会话保持改写模式2在Cookie插入模式下，BIG-IP插入一个cookie，服务器无需作出任何修改，访问流程如下：首次命中，HTTP请求（不带cookie）进入BIG-IP应用交换机，BIG-IP应用交换机任选一台服务器，将请求发送至该服务器，HTTP回复（不带cookie）被发回BIG-IP应用交换机BIG-IP应用交换机插入cookie，将HTTP回复返回到客户机。再次命中，HTTP请求（带有与上面同样的cookie）进入BIG-IP应用交换机，Cookie指定合适的服务器，HTTP请求（带有与上面

30、同样的cookie）进入服务器，HTTP回复（不带有cookie）进入BIG-IP应用交换机，后者将为客户机提供更新后的cookie。3在被动模式下，服务器使用特定信息来设置cookie，访问流程如下：首次命中，HTTP请求（不带有cookie）进入BIG-IP应用交换机，BIG-IP应用交换机任选一台服务器，将请求发送至该服务器，HTTP回复（带有特定cookie）返回至BIG-IP应用交换机，BIG-IP应用交换机将HTTP回复（带有特定cookie）发回客户机。再次命中，发送HTTP请求（带有与上面同样的cookie），Cookie指定合适的服务器，HTTP请求（带有与上面同样的cook

31、ie）进入服务器，HTTP回复（带有特定cookie）返回至BIG-IP应用交换机，后者将HTTP回复（带有特定cookie）发送回客户机。BIG-IP应用交换机Cookie持续性模式与SSL持续性模式之间的主要区别在于：对于Cookie持续性而言，数据存储在客户机上，而不是BIG-IP应用交换机上，因此可充分使用客户机上的无限资源。即Cookie持续性体现在HTTP Cookie上，而信息则存储于客户机的磁盘驱动器上。4Cookie会话保持散列模式该模式只能在BIGIP HA控制器和企业上使用。散列模式使您可以通过设定cookie中一定字节数的信息来确定连接的目的地。该模式用于将cookie值映射到节点上，之后该值这将用于连接含该cookie的客户机，从而实现了节点的持续性。5.4 HTTP流量压缩利用BIGIP的流量压缩功能，支持多种类型的文件压缩，从而在降低80%网络带宽的同时，将应用性能提高3倍以上，并且解决了互联网延迟和客户机连接瓶颈对其应用性能的所造成的影响。5.5 连接优化和长连接负载均衡BIGIP可提供广泛的连接管理能力，以优化服务器性能，显著提高页面加载速度。连接优化可以实现以下功能：可以提