F5BIGIP负载均衡器培训

1、主讲：xhj日期：2022年8月13日F5 BIG-IP LTM负载均衡器培训学习目标了解负载均衡器的概念熟悉F5负载均衡器产品能够对F5负载均衡器进行规划和配置学习完本课程，您应该能够：内容负载均衡器概念F5负载均衡器介绍F5负载均衡器配置步骤F5负载均衡器的维护F5的常见组网方式什么叫负载均衡器什么是负载均衡器？服务器负载均衡器是指设置在一组功能相同或相似的服务器前端，对到达服务器组的流量进行合理分发，并在其中某一台服务器故障时，能将访问请求转移到其它可以正常工作的服务器的软件或网络设备。 SLB是服务器负载均衡(Server Load Balancing)的简称。服务器负载均衡又可以分为

2、局域网服务器负载均衡与广域网服务器负载均衡(Global Server Load Balancing)。狭义的SLB是指局域网服务器负载均衡，与广域网服务器负载均衡（GSLB）相对。 采用负载均衡器有什么优点采用负载均衡器的优点： 原有的系统只部署了一台服务器，随着访问量的增加，一台服务器已经不能满足应用的需要，而需要增加更多的服务器。当部署了两台以上的服务器时，就可能会需要用到负载均衡器。通过服务器负均衡器，对流量进行合理分配，可以带来以下好处：提高性能负载均衡器可以实现服务器之间的负载平衡，从而提高了系统的反应速度与总体性能；提高可靠性负载均衡器可以对服务器的运行状况进行监控，及时发现运行

3、异常的服务器，并将访问请求转移到其它可以正常工作的服务器上，从而提高服务器组的可靠性提高可维护性采用了负均衡器器以后，可以根据业务量的发展情况灵活增加服务器，系统的扩展能力得到提高，同时简化了管理。 负载均衡实现的方式实现服务器负载均衡有多种方法，常见的方法有：基于DNS轮询的方法：即在DNS服务器中对同一域名设置多条DNSA记录，通过DNS的轮询机制实现服务器负载均衡。基于应用软件的实现方法，在应用软件设计中就考虑了多服务器之间的协同工作与任务调度。这种方法一般会有一台服务器作为中枢对访问请求进行调度，同时要求在应用层支持访问重定向或任务调度、跳转机制(如nginx)。采用专门的L4/L7层

4、交换机来实现，也即我们常说的负载均衡器。一般都是通过在L4/L7层交换机作地址转换（NAT）来实现。负载均衡器需要了解的问题负载均衡器一般需要了解以下方面的问题：支持的负载均衡算法支持的服务器健康检查的方法如何保持客户端和服务器的会话速度/性能指标安全性与可靠性端口数量 内容负载均衡器概念F5负载均衡器介绍F5负载均衡器配置步骤F5负载均衡器的维护F5的常见组网方式F5负载均衡器介绍F5负载均衡器介绍F5产品介绍F5的配置方法F5的几个概念F5的数据流F5负载均衡算法介绍F5策略保护方法介绍F5健康检查方法介绍F5双机介绍F5地址转换介绍F5产品介绍（现在用的产品）6800系列超级多用途流量管

5、理处理器：双CPU基本内存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16个千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选）包括：SSL TPS/Max TPS/Bulk加速模块：（100/20,000/2GB/秒）流量吞吐量：4GB/秒可选硬件设备：硬件压缩*（2GB/秒）6400系列高级多用途流量管理处理器：双CPU基本内存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16个千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选）包括：SSL TPS/Max TPS/Bulk加速模

6、块：（100/15,000/2GB/秒）流量吞吐量：2GB/秒可选硬件设备：硬件压缩*（2GB/秒）FIPS处理*（8,000TPS/1GB SSL吞吐量）3400系列中级多用途流量管理处理器：单CPU基本内存：1GBASIC：Packet Velocity ASIC2千兆位CU端口：8个千兆位光纤端口：(SFP - GBIC Mini)2个可选包括：SSL TPS/Max TPS/Bulk加速模块：（100/8,000/1GB/秒）流量吞吐量：1GB/秒2400系列普通多用途流量管理处理器：单CPU基本内存：768MBASIC：无千兆位CU端口：2个千兆位光纤端口（ GBIC ）：2个可选包

7、括：SSL TPS/Max TPS/Bulk加速模块：（100/2,000/500 MB/秒）流量吞吐量：500MB/秒网络端口16个光纤接口4个右下角屏幕控制板F5端口及板面说明（6800）F5的配置方法两种配置方法Web接口方式 https 命令行方式ssh (remote)telnet（需要用命令打开）Console建议用命令行的方式初始化，在Web方式下配置业务Web 配置工具Web 配置工具配置工具文档Web 配置工具命令行配置方式命令行配置方式：F5#config I N I T I A L S E T U P M E N U Choose the desired configur

8、ation function from the list below. (A) Configure all services (R) Steps for redundant systems REQUIRED (E) Set default gateways (V) Configure VLANs & networking (H) Set host name (W) Configure web servers (P) Set root password OPTIONAL (C) Remote authentication (O) Configure remote access (D) Confi

9、gure DNS (S) Configure SSH (F) Configure FTP (T) Configure Telnetd (I) Initialize iControl portal (U) Configure RSH (K) Set keyboard type (Y) Set support access (L) License Activation (Z) Set time zone (M) Define time servers (Q) Quit Enter Choice: 虚拟服务器（Virtual Servers）的概念 Internet50:80Virtual Serv

10、er虚拟服务器是在F5上虚拟出来的概念虚拟服务器IP地址端口号的组合节点（Nodes）的概念Internet80:8080Nodes节点（Nodes)是服务器的IP地址端口号的组合81:808082:808083:8080地址池（Pool)的概念 Internet客户端路由器BIG-IP 负载均衡器服务器地址池是一组Node的组合虚拟服务器和节点Internet80:8080虚拟服务器节点映射到一个虚拟服务器对应一个地址池，一个地址池对应多个节点50:8081:808082:808083:8080虚拟服务器 地址转换BIG-IP 会执行地址换，把客户请求的数据包中的目的地址换成真实的服务器地址

11、真实服务器地址Network Address Translation虚拟服务器地址Internet50:8080:808081:808082:808083:8080网络数据流 - Packet #1解释 to BIG-IP 虚拟服务器地址 50 InternetDNS 服务器50:8080:808081:808082:808083:8080网络数据流 - Packet #1在BIG-IP 上把目的地址转换成节点的地址，端口转换成节点的侦听端口InternetPacket # 1 Src - 0:4003Dest 50:80Packet # 1 Src 0:4003Dest 80:8080050

12、:8080:808081:808082:808083:8080网络数据流 Packet #1 Return 在BIG-IP 把返回的数据包的源地址转换成虚拟服务器地址，端口转换成BIG-IP侦听端口InternetPacket # 1 - return Dest - 0:4003Src 50:80Packet # 1 - return Dest 0:4003Src 192. 80.10.180:8080050:8080:808081:808082:808083:8080网络数据流 - Packet #2InternetPacket # 2 Src - 1:4003Dest 50:80Packe

13、t # 2 Src 1:4003Dest 192. 80.10.181:8080150:8080:808081:808082:808083:8080网络数据流 Packet #2 Return InternetPacket # 2 - return Dest - 1:4003Src 50:80Packet # 2 - return Dest 1:4003Src 192. 80.10.182:80150:8080:808081:808082:808083:8080F5负载均衡算法介绍Round Robin（轮询）Ratio（权重）Least Connections（最少连接）Fastest（最快

14、回应）Observed（观察）Predictive（预测）Dynamic Ratio（动态权重）Minimum Active Members（最少活动成员）Fallback Host静态动态失效机制负载均衡算法轮询客户端路由器BIG-IP 负载均衡器服务器客户的请求被严格分发12345678Internet负载均衡算法权重管理员设置把客户的请求按 3:1:1:1比例分配123478910Internet561112客户端路由器BIG-IP 负载均衡器服务器负载均衡算法最快回应下一个客户请求被分配到反应最快的机器12Internet10ms5ms20ms17ms当前反应时间客户端路由器BIG-I

15、P 负载均衡器服务器负载均衡算法最快回应 一定时间后101102Internet14ms15ms20ms11ms当前反应时间客户端路由器BIG-IP 负载均衡器服务器下一个客户请求被分配到反应最快的机器负载均衡算法最少连接数12Internet下一次请求发送到有最少连接数的机器上462460455465当前连接数客户端路由器BIG-IP 负载均衡器服务器负载均衡算法最少连接数 一定时间后Internet6162342330338335当前连接数下一次请求发送到有最少连接数的机器上客户端路由器BIG-IP 负载均衡器服务器负载均衡算法最少活动成员135246InternetPriority 1P

16、riority 2如果最少活动成员为2，现在有3个高优先级的成员可用，则低优先级的节点不会被使用客户端路由器BIG-IP 负载均衡器服务器负载均衡算法最少活动成员15InternetPriority 1Priority 2324678如果最少活动节点少于2个，则下一优先级的节点就会被使用客户端路由器BIG-IP 负载均衡器服务器负载均衡算法Fallback HostInternetIf all nodes fail, then client is sent an http redirect to the “fallback” server.客户端路由器BIG-IP 负载均衡器服务器策略保持（

17、Persistence）概念123123策略保持是处理同一台Client端过来的请求如果分发到同一个节点中去的问题策略保持方法Simple Persistence（简单策略保持）SSL Persistence（SSL策略保持）Cookie Persistence（Cookie策略保持）Insert, Rewrite, Passive & HashPersistence by Expressio（表达式的策略保持）.交流分享/网络/F5/会话保持.doc会话策略保持方法Cookie 策略保持方法Insert 模式BIG-IP 在数据流中插入一个 cookie Rewrite 模式主机产生 coo

18、kie而 BIG-IP 会改写cookiePassive 模式主机产生 cookie 而 BIG-IP 读此cookieHash 模式镜像一个 cookie值到一个特别的节点 Web server 必须产生一个 cookieClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (no cookie)HTTP reply (with inserted cookie)pickserver HTTP request (with same cookie)TCP h

19、andshakeTCP handshakeHTTP request (with same cookie)HTTP reply (no cookie)HTTP reply (updated cookie)cookiespecifiesserver First HitSecond HitCookie Insert 模式ClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (with blank cookie)HTTP reply (with rewritten

20、 cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with blank cookie)HTTP reply (with updated cookie)cookiespecifiesserver First HitSecond HitCookie Rewrite 模式ClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP reques

21、t (no cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)cookiespecifiesserver First HitSecond HitCookie Passive 模式Cl

22、ientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (with cookie)HTTP reply (with cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)HTTP reply (with cookie)cookie hash specifies

23、server First HitSecond HitThird HitServerTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)cookie hash specifiesserver TCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)Cookie Hash 模式IP & TCP HeaderTCP Data表达式 （Expression）保持SYNSYN-ACKACKClient RequestSSL Session I

24、DIP AddressSIP Call IDHTTP HeadersUser Defined FieldsTCP Handshake表达式保持基于数据包中的其他内容来做策略保持可以做任何内容的策略保持类似于 Rules简单(simple)策略保持方法基于源或目的IP地址假设Client IP地址不变Netmask一段地址范围当作源地址SSL 策略保持方法基于SSL会话ID当客户端IP地址变化时，保持不变如果SSL 会话ID丢失后，保持会发生变化80:8080F5的健康检查方法Internet节点 & 节点地址状态用 Monitors检查的节点的状态 UNCHECKEDCHECKINGUP DO

25、WNADDRESS DOWN管理员原因引起的状态 DISABLEDADDRESS DISABLEDFORCED DOWNADDRESS DOWN健康检查健康检查概念Address, Service, Content（内容） & Interactive Checks配置健康检查从模板中创建 Monitor关联:pool地址（Address） 检查步骤包被送到IP地址如果没有反应，则不会再往此节点发送流量例如 - ICMPInternet82ICMP8180服务（Service） Check步骤建立一个 TCP 连接 (IP 地址 : 服务)关闭连接如果TCP连接失效，则不会再往此节点发送流量例如

26、 TCP Internet82:8080TCP Connection81:808080:8080内容（Content） 检查Internet步骤：建立一个Opens TCP 连接 (IP地址 : 服务)发送一个请求返回数据连接关闭 如果收到的包中内容不对，则不会再往此节点发送流量例如 http http GET /82:808081:808080:8080交互（Interactive）检查Internet步骤建立一个连接 (IP 地址: 服务)模拟真实应用交互会话连接关闭 如果期望的结果不对，则不会再往此节点发送流量例如 SQL 请求会话82:808081:808080:8080F5双机系统主

27、备主备双机配置的一些概念Unit ID （单元号码，双机时此Unit ID不能相同）Failover IP (双机中对端机器的内部IP地址，两台机器Failover IP要能互相ping通）Failover Method (Hardwired or Network)（Hardwired用专门的Failover线，而Network用网线，经验验证要采用hardwired）Shared IP（类似于双机的浮动IP）Hostname（机器名，两台机器的机器名一定不要相同）F5双机系统的一些概念配置F5双机系统配置步骤：确认BIG-IP运行在双机模式。在导航条选择SYSTEM -Platform，Hi

28、th Availability设置中应选择为Redundant Pair。通常BIG-IP1的Unit ID为1， BIG-IP2的Unit ID为2。在导航条选择SYSTEM -High Availability，完成如下配置 配置F5双机系统Redundancy Mode选择Active/Standby模式Enable Network Failover选项。F5主备机的同步F5主备机的同步：同步别的配置当前配置F5只能同步Web 页面的配置同步是一个push或者pull的操作F5主机的判断通过WEB检查通过命令行检查 bigtop 强制把F5主机变成备机只能把主机变成备机，但不能把备机变成

29、主机命令方式 b failover standbyF5双机切换 切换方式Watchdog deviceVLAN Arm FailsafeSSL Proxy FailoverGateway Failsafe检测方法Fail-over cableNetwork Fail-overWatchdog 机制主F5有 硬件或软件问题Watchdog device 触发一个切换动作 (重启机器)备机收不到主机的信息备机变成主机VLAN Arm Failsafe机制检测到没有业务网络流量F5本身触发一些流量仍然没有没有检测到业务网络流量发起切换进程 (重启机器)备机从主机中收不到信息备机变成主机SSL Pro

30、xy Failover机制加密模块硬件错误发起切换进程 (重启机器)备机从主机中收不到信息备机变成主机Gateway Failsafe机制 ping GW没有回应主机变成备机模式Sta备机从主机中收不到信息备机变成主机检测方法Failover 线主备机之间的串口线检查对端机器的电压Network 线两台机器的内网接口的通讯Communication between boxes across internal interface检查到没有信号厂商宣称支持二个检测方法，实际中建议用Failover线F5的NAT和SNATF5的NAT和SNAT：NAT (Network Address Translation)和SNAT(Secure Net