Why F5
稳定性:BIGIP完善的冗余和实际应用中的稳定性是保证项目成功的决定性因素。由于前置机靠近主机,影响面非常大,因此设备本身的稳定性是第一位的 多VS处理:BIGIP上可以对同一个服务器组对外提供多个VS,保证了在系统进行切割时的顺利进行。
会话同步:由于所有的应用均是长连接,因此在BIGIP进行HA切换时,必须保证所有的长连接均可正常保持。BIGIP快速而准确的会话同步保证了在BIGIP进行切换时,应用不会发生中断。
关键技术阐述:
HA技术:BIGIP在设备故障时,可以实现毫秒级切换,使应用感觉不到BIGIP的状态变化 会话同步:BIGIP可配置完全会话同步和会话保持同步,可以适应在不同情况下BIGIP切换时的应用保证需求。 多VS处理:BIGIP具备非常灵活的VS定义方式,可支持一个服务器组多个VS,也可支持一个VS多个服务器组。更可以定义网络VS等来满足各种环境和应用的需求。
1.1.6 分行中间业务
项目概况:
在一个大型银行中,分行的中间业务为分行非常重要的业务内容,不同的分行可以有20-40种中间业务应用系统。
连接来自五个方向,分别是柜面、网银、电话银行、ATM/POS、人行前置
在以前的结构设计中,所有的中间业务均在一台服务器上处理。该服务器上运行有20多个不同的应用系统。一旦机器出现硬件故障或者某个应用出现故障,则影响到所有的应用系统。
不同的应用系统对系统造成的压力也不同,应用之间的相互影响比较严重。
网络结构:
客户需求:
采用多台设备进行并行处理20多个应用系统,减轻服务器的压力。提高系统的负载能力和扩展能力 采用应用交换机对服务器进行检测,并对每个应用进行独立检测,当某台机器的某个应用出现故障的时候不会影响到其他的业务系统。
F5的解决方案:
系统采用了两台BIGIP应用交换机对多台中间业务服务器实现负载均衡处理。 BIGIP将来自于柜面、网银、电话银行、ATM/POS、人行前置的各类请求均衡的分布到4台中间业务服务器上。 BIGIP对每台服务器上的不同业务进行健康检查。当其中某个应用出现故障的时候,则将其从负载均衡组中摘除,保证整体业务系统的持续运行。 Why F5
中间业务的流程极其复杂,包括TCP短连接、TCP长连接、UDP、HTTP等多种应用协议。同时,还存在同步通讯与异步通讯。因此负载均衡处理时必须具备非常灵活的处理机制,iRules在其中扮演了非常重要的角色。
由于应用的复杂性,对应用的健康检查手段也非常的重要,BIGIP支持四级健康检查体系,从简单的ICMP到复杂的SQL查询,甚至是用户自编程的健康检查手段带来了检查的多样灵活型
BIGIP灵活的会话保持机制,也进一步完善了负载均衡的整体处理。
关键技术阐述:
iRules:F5独创的网络应用可编程控制体系,包含有50多个事件处理,200多个函数处理,可以对流经BIGIP的流量几乎做任何方式的处理。
高级健康检查:BIGIP支持ICMP、TCP/UDP Port、ECV、EAV等多种健康检查方式,可以对任何一种应用进行健康检查,保证业务的持续运行。 会话保持:BIGIP具备多种系统预定义的会话保持手段,包括典型的源IP、目的IP、HTTP Header、Cookie等,更可以通过可编程控制体系来完成用户的自定义会话保持机制,充分保证应用在实现负载均衡的时候,无须更改源代码。
1.1.7 银行总部内网OA系统防攻击解决方案
项目概况:
该银行为首家全国性股份制商业银行,是中国金融体制改革的先行者。为我国股份制商业银行的发展开辟了道路,对金融改革起到了催化、推动和示范作用。
内部portal系统是银行内部的OA核心系统,各个分行均会连接到内部portal系统。该业务是一个银行的核心系统,且涉及到所有的分行,用户希望能够提供一个安全、可靠、持续稳定运行的门户。通过架构流量管理产品,改进服务器和应用在运维时对在线业务的影响。
网络结构:
客户需求:
用户需要对在两台IBM主机上的4个OA业务同时实现负载均衡,并且要求系统能够实现无缝切换、在线维护。
由于发生过分行设备故障导致发送大量half-sync连接到portal服务器,导致核心的portal服务器故障。所以用户要求提供抵御核心系统防御half-sync的DDOS功能,以及阻止单一IP发起超过规定连接数的访问请求。 该故障的发生有两种原因:一是服务器或客户机中病毒,由病毒发起大量Syn连接到Portal服务器;二是由于应用的编写问题,在某种情况下认为连接没有建立成功,而在不停的向Portal服务器新建连接。
高可靠性,通过HA方式保证系统的7x24小时服务,保证系统的高可靠性。 提供有选择性的会话镜像功能,保证设备切换时,关键的指定应用的连续性。
F5的解决方案:
采用F5公司提供的应用流量管理器LTM 6800两台做HA冗余结构,不但可以实现两台服务器的负载均衡,而且在系统级别实现了动态攻击抵御。
系统采用了独特的TMOS系统,从内核就自动可以防范通常的DoS/DDos攻击建立half-Sync的请求。
采用系统内部提供的TCL脚本,我们轻松的实现了阻止同一IP客户建立超过规定的连接而不影响其已经建立的连接。
F5负载均衡器内置业界唯一专有的四层ASIC芯片,加速对数据处理的性能。 采用F5特有的负载均衡算法和健康检查方法保证各种业务负载实时高效均衡。 采用F5丰富的会话保持机制,对应用访问的一致性进行流量控制。 采用F5的温暖关机特性,减少系统运维时对用户在线访问的影响。
为什么选择F5:
可以支持所有基于TCP/IP的应用。
可以自动抵御大量DoS/DDoS攻击,使后台的服务器不遭到任何攻击。
在大量攻击情况下,正常的用户访问仍然能够被转发到服务器采用sync-cookie技术可以轻易的区分出攻击请求和正常访问请求。
采用内嵌的TCL脚本,可以阻止用户建立n个连接以上的请求。并且,系统在阻止第n+1个请求时,并不会影响现有的n个连接。尤其重要的是,这种设置是基于每一个对外服务单独设置的,带来了极大的系统灵活性。
F5负载均衡器双机心跳线方式提供毫秒级快速切换,是OA系统这样的关键业务系统所必需的。
F5在世界级银行(例如:花旗银行,美洲银行等)以及全国性银行(例如:工行,农行,建行,中行,招行等)成功案例和优异运行记录。
关键技术阐述:
UIE+iRule提供了对应用的可编程控制:
UIE -- Universal Inspection Engine, 可以将TCP/UDP的数据包打开,并搜索其中的特征数据。 iRules -- 可以根据UIE搜索到的数据进行应用规则处理。 UIE+ iRules可以帮助用户实现以下功能:
1. 应用流量管理
2. 针对复杂应用的负载均衡和会话保持处理 3. 应用安全处理
下面的Rules通过统计客户端连接数,当某客户端连接数超过一定限度时,则将其所有的新建连接拒绝。
when RULE_INIT {
array set ::active_clients { } }
when CLIENT_ACCEPTED {
set client_ip [IP::remote_addr]