F5負(fù)載均衡器使用介紹

智能測試部鄭劍課程內(nèi)容

什么是負(fù)載均衡器？F5的網(wǎng)絡(luò)結(jié)構(gòu)和流量控制F5配置過程F5配置舉例現(xiàn)場解答普通的WEB站點組網(wǎng)結(jié)構(gòu)WEB效勞器Internet路由器Web站點存在問題響應(yīng)速度慢Zona研究發(fā)現(xiàn)，8秒是用戶接收網(wǎng)頁時可以容忍的最長時間，超過該時間用戶會轉(zhuǎn)向競爭對手的網(wǎng)頁無論何時用戶收到出錯消息，他們都將立即轉(zhuǎn)向競爭對手的站點可靠性差站點故障軟件故障內(nèi)容錯誤網(wǎng)絡(luò)流量過載利用負(fù)載均衡器構(gòu)建WEB站點ServerArrayBIG?IP實現(xiàn)流量管理InternetRouter使用負(fù)載均衡器的好處負(fù)載均衡器可以按照一定的負(fù)載均衡的原那么，將訪問WEB站點的請求流量分配給不同的WEB效勞器處理，給用戶提供完全相同的效勞。從而提高WEB站點的訪問響應(yīng)速度和質(zhì)量。通過增加WEB效勞器的數(shù)目，可以增加整個系統(tǒng)的處理能力，保證系統(tǒng)的平滑升級。而升級過程對于用戶使用是透明的。提供WEB站點的高可用性。負(fù)載均衡器可以實時監(jiān)控WEB效勞器的狀態(tài)，對于不能提供效勞的WEB效勞器，將不會把用戶的請求轉(zhuǎn)發(fā)給它處理。F5－BIGIP2000介紹處理器：

PIII1GHz網(wǎng)絡(luò)接口：

16個10/10Mbps以太網(wǎng)接口，2個1Gbps光接口

1個10/10Mbps以太網(wǎng)管理接口內(nèi)存：

512Mflash1GBRAM網(wǎng)絡(luò)接口標(biāo)識：按照端口的槽號+序號組成，唯一標(biāo)識。

16個以太網(wǎng)接口是從1.1到1.162個光接口是2.1和2.2

管理以太網(wǎng)接口是3.1BIG/IP網(wǎng)絡(luò)結(jié)構(gòu)-VLANInternetVLANExternalVLANInternalSelf-IPAddressVLAN虛擬局域網(wǎng)劃分vlan的目的是將內(nèi)部網(wǎng)和外部網(wǎng)分開，提高交換速度效勞器集群和F5的內(nèi)部接口組成內(nèi)部虛擬局域網(wǎng)internalvlan,這個vlan的IP地址就是selfIP。效勞器將缺省網(wǎng)關(guān)設(shè)置成為internalvlan的selfIP地址。比方上圖中的F5的外部接口連接Internal網(wǎng)，它們組成外部虛擬網(wǎng)externalvlan,這個vlan的IP地址就是selfIP。比方上圖中的F5有一個管理接口admin,這個接口初始化之前有一個缺省的IP地址。在初始化時，利用網(wǎng)線直接連接PC機(jī)和admin口，利用IE訪問s://45,可以進(jìn)入web的管理界面，管理員的初始帳號密碼是root/defaultNAT和SNAT由于劃分了internalvlan和externalvlan,效勞器集群中的單獨一臺Node效勞器由于在內(nèi)部vlan中，是不能夠直接連通外部vlan中的機(jī)器的，如果效勞器需要作為客戶端訪問外部地址，必須設(shè)置SNAT〔源網(wǎng)絡(luò)地址轉(zhuǎn)換〕，缺省是將Node效勞器的IP地址和訪問端口號映射成為externalvlan的selfIP和一個端口號。如果希望外網(wǎng)的機(jī)器能夠訪問內(nèi)網(wǎng)的效勞器，必須設(shè)置NAT〔網(wǎng)絡(luò)地址轉(zhuǎn)換〕，這時候內(nèi)網(wǎng)效勞器被映射一個固定的外網(wǎng)IP地址，以后外網(wǎng)訪問這個外網(wǎng)IP地址時，可以自動被轉(zhuǎn)換為內(nèi)網(wǎng)IP。NAT和SNATInternetNode1Node2ClientsRouterBIG-IPControllerServers1)

如果設(shè)置了SNAT，內(nèi)網(wǎng)的和兩臺機(jī)器可以訪問Internet,但是外網(wǎng)不能訪問這兩臺機(jī)器；2)

如果被設(shè)置了NAT，映射地址時,那么從Internet訪問就可以直接訪問Node1.BigIP的流量控制原理〔1〕InternetDNSentry:ClientsRouterServers沒有流量控制的網(wǎng)絡(luò)BigIP的流量控制原理〔2〕InternetDNSentry:

ClientsRouterBIG-IPControllerServers有流量控制的網(wǎng)絡(luò)節(jié)點NodesInternet:8080:80:4002:80Nodes節(jié)點＝IP：PORT虛擬效勞器VirtualServerInternet:8080:80:4002:80VirtualServer7:80虛擬效勞器＝IP：PORT虛擬效勞器和節(jié)點Internet:80:80:80:80:80VirtualServerNodeMember組中的節(jié)點Nodesgroupedinto:PoolsRulesInternetClientsRouterBIG-IPControllerServers提供相同效勞的節(jié)點Node組成Pool節(jié)點池。Pool和虛擬效勞器進(jìn)行映射。虛擬效勞器和節(jié)點之間的映射Internet:8080:80:4002:80VirtualServer7:80NodesMapstoBIGIP進(jìn)行網(wǎng)絡(luò)地址映射BIG-IPperformsnetworkaddresstranslationtorealserveraddressessuchthatallmachinesareviewedasoneVirtualServer.BIGIP將虛擬效勞器的地址映射到提供效勞的真實效勞器〔Nodes)地址上，從用戶角度來看，仿佛所有的機(jī)器看起來，都是同一個虛擬效勞器RealServerAddressNetworkAddressTranslationVirtualServerAddressInternet7:80:8080:80:4002:80網(wǎng)絡(luò)數(shù)據(jù)流－數(shù)據(jù)包#1resolvestoBIG-IPVirtualServerAddressInternet:8080:80:4002:80DNSServerBIG-IPtranslatesDestAddresstoNodebasedonLoadBalancingInternetPacket#1Src-0:4003Dest–7:80:8080:80:4002:80Packet#1Src–0:4003Dest–:80網(wǎng)絡(luò)數(shù)據(jù)流－數(shù)據(jù)包#1BIG-IPtranslatesSrcAddressbacktoVirtualServerAddressInternetPacket#1-returnDest-0:4003Src–7:80:8080:80:4002:80Packet#1-returnDest–0:4003Src–:80網(wǎng)絡(luò)數(shù)據(jù)流－數(shù)據(jù)包#1返回網(wǎng)絡(luò)數(shù)據(jù)流－數(shù)據(jù)包#2InternetPacket#2Src-1:4003Dest–7:80:8080:80:4002:80Packet#2Src–1:4003Dest–:4002InternetPacket#2-returnDest-1:4003Src–7:80:8080:80:4002:80Packet#2-returnDest–1:4003Src–:4002網(wǎng)絡(luò)數(shù)據(jù)流－數(shù)據(jù)包#2返回InternetPacket#3Src-5:4003Dest–7:80:8080:80:4002:80Packet#3Src–5:4003Dest–:8080網(wǎng)絡(luò)數(shù)據(jù)流－數(shù)據(jù)包#3InternetPacket#3-returnDest-5:4003Src–7:80:8080:80:4002:80Packet#3-returnDest–5:4003Src–:8080網(wǎng)絡(luò)數(shù)據(jù)流－數(shù)據(jù)包#3返回負(fù)載均衡的算法〔7種〕RoundRobin：這是缺省的配置方式。用戶的連接請求被平均地分配給作為負(fù)載均衡的所有節(jié)點。如果作為效勞器節(jié)點的設(shè)備在處理速度和內(nèi)存上是一致的，那么這樣的處理方式是最適宜的。Radio：效勞器節(jié)點先確定根據(jù)處理能力確定他們各自的處理請求比重，然后根據(jù)比重把請求發(fā)送到效勞器節(jié)點進(jìn)行處理，這樣可以解決在pool中存在不同機(jī)器型號的均衡器設(shè)備問題。DynamicRadio：這和Radio類似，但是他們的請求處理比重是根據(jù)每個節(jié)點的處理能力而動態(tài)分配的。節(jié)點處理能力的監(jiān)控可以實時地通過獲得每個節(jié)點的當(dāng)前連接數(shù)、最快的響應(yīng)時間等動態(tài)性能確定。Fastest：設(shè)備獲得當(dāng)前處理速度最快的節(jié)點，然后把處理請求發(fā)向這個最快的節(jié)點。LeastConnections：在所有節(jié)點有差不多的處理能力情況下，把當(dāng)前的處理請求發(fā)送到當(dāng)前連接數(shù)最少的效勞節(jié)點。Observed：這是Fastest和LeastConnections模式的結(jié)合。所有的節(jié)點按照連接數(shù)和響應(yīng)速度的總體情況進(jìn)行排序，后續(xù)用戶請求中更大比例讓那些連接數(shù)少并且處理速度快的節(jié)點處理。這種方式對節(jié)點的處理性能不一致時適用。Predictive：這種方式使用Observed方式的處理方式對節(jié)點進(jìn)行排序，但是設(shè)備還考慮了這些節(jié)點處理能力的變化趨勢以確定某個節(jié)點的處理能力是在上升還是在降低，讓那些處理能力呈上升趨勢的節(jié)點處理更多的請求。ClientsRouterBIG-IPControllerServersClientrequestsaredistributedevenly12345678Internet輪詢(RoundRobin)12345678InternetAdministratorsetsratiofordistributingClientrequests3:1:1:1ClientsRouterBIG-IPControllerServers9101112比率RatioClientsRouterBIG-IPControllerServers12InternetNextrequestsgoestoNodewithfewestnumberofconnections462460455465CurrentConnections最少連接〔LeastConnection〕持續(xù)性Persistence〔1〕在UDP或者HTTP協(xié)議處理時，有時候客戶端發(fā)送的前后兩個請求是有一定的邏輯關(guān)系的，需要將這兩個請求發(fā)送到同一個Node效勞器上處理，否那么將出現(xiàn)錯誤。這時候，就需要配置BigIP將請求轉(zhuǎn)發(fā)給同一個Node時的前后持續(xù)性條件。持續(xù)性是Pool的一個屬性。ClientsRouterBIG-IPControllerServersF5將客戶端發(fā)送的前后兩個請求都轉(zhuǎn)發(fā)給Node2處理，保持請求處理的邏輯持續(xù)性12InternetNode1Node2Node3Node4持續(xù)性Persistence〔2)持續(xù)性Persistence〔3〕F5提供了以下幾種設(shè)置持續(xù)性的方法：UniversalPersistence：可以利用規(guī)那么描述符進(jìn)行條件判斷。SimplePersistence：根據(jù)請求的源IP地址進(jìn)行轉(zhuǎn)發(fā)，設(shè)置有超時時間。HTTPCookiePersistence：利用Http協(xié)議頭中的cookie進(jìn)行判斷，cookie是由webserver產(chǎn)生的，存放在客戶端的訪問標(biāo)識。SSLPersistence，SIPPersistence，WTSPersistence等節(jié)點健康狀態(tài)監(jiān)視monitor效勞器(Node)-Ping(ICMP)效勞(Port)-Connect擴(kuò)展的應(yīng)用驗證(EAV)擴(kuò)展的內(nèi)容驗證(ECV)效勞分組到端口級的節(jié)點別名針對節(jié)點的檢查頻率和超時頻度響應(yīng)擴(kuò)展的內(nèi)容驗證(ECV)“Agent-free”應(yīng)用檢驗向節(jié)點發(fā)出一個請求,e.g.“Get/”接收數(shù)據(jù)與期望的字符串比較,e.g.“f5”SSL方式,e.g.利用口令保護(hù)效勞器配置F5的一般步驟