通过iRules来进行深层应用的灵活处理: 所有F5设备的底层均由TM/OS实现,在其基础之上,是一个基于数据流技术的通用检查引擎(UIE)。构建在对所有数据流内容的理解上,设计了与安全、优化和交付相关的所有模块。这些模块的配置均通过Profile进行,Profile按照对象建模方式可以继承、修改。在所有配置的顶端,由iRules对整个系统的运行进行可编程控制。在iRules语法结构中,可以使用50多个事件,200多个函数,可以实现丰富而灵活的功能
通过SSL加速芯片来进行加密通信处理:
由于网络通讯的安全性和保密性的要求,许多关键业务必须通过HTTPS方式进行访问,将明文方式传输的HTTP请求和回应包含在SSL通道中。同时,通过证书体系或动态口令方式对服务器和客户端进行唯一性验证。由于SSL在带来应用安全性的同时,将会给服务器带来巨大的负担,因此在这类应用中,F5将会启用设备本身的SSL加速功能,通过硬件SSL处理芯片对SSL通信进行加解密处理,从而卸载服务器的处理能力,保证应用的安全,稳定运行。
基于Cookie信息的会话保持机制
Cookie持续性利用客户机存储的cookie信息来把客户机连接到合适的服务器上。F5提供4种不同的Cookie持续性模式以适应任何应用的要求:重写模式、插入模式、被动模式和散列模式。
健康检查方法
BIGIP支持采用ICMP,TCP/UDP,ECV,EAV,iControl等各种方法对服务器或应用状态进行健康检查。 ? ? ? ?
ICMP:第2/3层的健康检查方法,采用Ping的方法检查服务器是否alive。 TCP/UDP:第4层的健康检查方法,检查相应的TCP/UDP端口是否激活来确定Service的状态。
ECV:扩展内容验证,第7层的健康检查方法。模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态。
EAV:扩展应用验证,嵌入式、个性化的健康检查方法。可以使用shell script 或perl 语言等嵌入程序执行EAV,对服务器进行多层步骤、复杂的健康检查。
1.4 基金
1.4.1 大型基金公司多链路接入及服务器负载均衡
项目概况:
“这是跳跃式发展的一年。”基金业人士如此评价即将过去的2006年。
今天的中国基金业已经站到了新的起点。公司数量达到58家,基金数量294只,资产总规模已达6312亿元。 随着基金业的火热发展,基金公司的网上交易,网上查询,网上论坛,Email等应用访问量都呈指数级增长,对基金公司应用,网站等原有系统都提出新的挑战。优化/改造原有应用IT架构成为各基金公司面临的首要任务。
该基金公司portal原有的单链路接入,单应用服务器/应用服务器软件集群等架构都远远不能满足现有的业务需求。
在链路及应用服务器方面,该基金公司急需保证业务访问的快速,安全,高可用。因此,急需链路及服务器负载均衡来解决燃眉之急。 网络结构:
客户需求:
由原来的单链路(网通)接入改为双链路接入(网通和电信)。 实现从Internet对服务器访问流量的负载均衡(Inbound)。 支持自动检测和屏蔽故障Internet链路。
支持多种静态和动态算法智能均衡多个ISP链路的流量,可方便扩展到多出口(2个ISP以上)。提供客户端就近性访问。 支持双出口链路动态冗余,流量比率和切换。
支持多种DNS解析和规划方式,适合各种用户网络环境。 完全支持各种应用服务器负载均衡。 多层安全增强防护,抵挡黑客攻击。
业界领先的双机冗余切换机制,能够做到毫秒级切换。
F5的解决方案:
结构采用F5 BIGIP3400LTM+LC 双机HA冗余做链路及服务器负载均衡。 双机采用心跳及网络方式HA,保证系统服务不中断。
F5 BIGIP LC 链路控制器可以智能寻找最佳的出口链路,从而保证客户得到最快的上网访问速度。确定最接近用户的最佳ISP的动静态结合算法合理有效,灵活。 本设计可动态检查各条出口链路的健康状态,并将下一个请求分配给最有效率的链路,任何一条链路发生故障时,即刻将请求分配给其他的链路,从而达到99.999%系统有效性。
本设计支持地址翻译技术和安全地址翻译,这样一来客户不可能知道真正提供服务的服务器的IP地址与端口,链路负载均衡设备采用SSH和SSL技术,可以防止来自内部或互联网上的黑客攻击。
本设计可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路,而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。
可以实时监控整个链路群组的流量状态,并分析发展趋势帮助客户及时根据流量增长增加出口带宽。
同时对内部应用服务器负载均衡。
为什么选择F5:
F5 负载均衡器双机心跳线方式提供毫秒级快速切换,是网上交易等关键业务系统所必需的。
负载均衡算法: 有多种算法可选择,并且可以定义顺序执行,可先动态,后静态或先静态,后动态,高效灵活。静态表定义可以多重嵌套,可在大区域中包含小区域,可灵活定制,并且有优先级划分。动态探测机制灵活,探测结果以文件方式存放在设备中,设备重起时可直接导入系统
整合方案: 链路负载均衡与服务器负载均衡整合在同一设备中
该系统的应用服务器采用IBM Websphere, WebSphere是IBM在Web Services策略中的核心平台,支持所有应用的开放标准和技术,包括UDDI,SOAP,J2EE,WSDL,以及对XML技术集成的增强。其与F5建立了全球合作伙伴关系。IBM Websphere在全球相关负载均衡应用推荐使用F5。
F5 强大的iRules 提供真正的四七层交换,为客户实际需求提供灵活的解决方法。 F5 在金融行业的成功案例不胜枚举,全国17家专业银行无一例外使用F5负载均衡器。在基金业也有诸多成功案例,例如易方达基金,博时基金等等都是采用F5负载均衡器解决类似需求。
关键技术阐述:
智能DNS 解析功能
为了更好的分析F5的BIG-IP 3400是如何实现对不同ISP用户访问提供不同的访问链路的,以一个电信用户的访问过程来详细讲解一下。
首先,在LC上将会有两条ISP的链路连接,可以在其上层的交换机上通过VLAN来划分开两条链路,然后接入到不同ISP的路由器上。同时在LC上不同的ISP接口上配置上不同ISP
的连接IP 。
然后,在域名解析的DNS上做一个别名的DNS解析条目,如下:
www.xxfunds.com.cn ??
sub.xxfunds.com.cn. f5a.xxfunds.com.cn. f5b.xxfunds.com.cn.
F5:配置:
IN CNAME www.sub.xxfunds.com.cn IN NS f5a.xxfunds.com.cn。 IN NS f5b.xxfunds.com.cn。
IN A xx.xx.xx.xx (F5设备电信地址) IN A xx.xx.xx.xx (F5设备网通地址)
www.sub.xxfunds.com.cn. IN A IN A
xx.xx.xx.xx xx.xx.xx.xx
其中SUB是一个在LC上配置的虚拟域名,可以自己来定义。通过一个DNS的别名和
NS域名解析指向,就可以让用户本地的DNS去LC上取相应的域名解析结果,而LC通过对不同链路状态的检测,回复最优路径的访问IP,这样就可以实现访问速度的提高了。具体流程如下:
1、 电信用户在IE浏览器上访问www.xxfunds.com.cn 这个域名,本地机器会
向其本地DNS服务器查询该域名的解析IP。 2、 如果本地DNS上没有该域名的条目,它会向根询问该条目;如果已经有,则
马上回应一个解析条目。 3、 由于在根DNS上已经做了一个别名的DNS解析条目,当本地DNS向根DNS询问解析的时候,根DNS会通知该本地DNS向LC获取这个域名的解析条目。 4、 本地DNS联系LC询问解析,这时LC会动态检测两条通往不同ISP路道,测
试那条到达该本地DNS相对较优,然后选择相对较优的链路的地址去回应本地DNS,在本例中会使用中国电信的IP对www.xxfunds.com.cn 这个域名做解析。
5、 本地DNS会根据从LC收到的域名解析条目回应提出要求的中国电信访问用
户。
6、 中国电信的访问用户使用中国电信的地址去访问www.xxfunds.com.cn 这个
域名。
从上面的过程可见,通过LC的链路检测功能,可以为用户提供最优的访问链路,同时解决不同ISP接入速度慢的影响。