负载均衡设备基本原理_第1页
负载均衡设备基本原理_第2页
负载均衡设备基本原理_第3页
负载均衡设备基本原理_第4页
负载均衡设备基本原理_第5页
已阅读5页,还剩40页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、负载均衡设备基本原理第1页,共45页,2022年,5月20日,8点57分,星期三1负载均衡基础中文站负载均衡设备使用情况内部VIP和外部VIP负载均衡的地址转换(3种工作模式/SNAT)连接分配与保持技术(源地址,COOKIE)健康检查F5工作原理F5性能指标(安全防护)Agenda第2页,共45页,2022年,5月20日,8点57分,星期三负载均衡基础第3页,共45页,2022年,5月20日,8点57分,星期三3中文站负载均衡设备使用情况兴议CSR兴议核心交换机接入交换机L2 1GL3 L3 L3 10GL3 10GF5 BIG8400F5 BIG8400A10 AX3200A10 AX32

2、00NS 10010NS 9950NS 10010NS 9950第4页,共45页,2022年,5月20日,8点57分,星期三LB用途F5 8400:中文站市场/收费/社区/P4P/SA应用/附属应用A10 AX3200:中文站图片CACHENS:10010:搜索/TPDNS/图片VIP9950:图片CACHE第5页,共45页,2022年,5月20日,8点57分,星期三5内部VIP与外部VIP内部VIP提供生产网络机房内部调用,比如:搜索的isearch内部VIP,外部不可访问外部VIP提供对外用户的访问需求,比如中文站主站,以及CRM的应用,能够通过安全设备提供对源地址的访问限制第6页,共45

3、页,2022年,5月20日,8点57分,星期三6负载均衡的VIP功能地址转换模式A(SNAT/DNAT:万能模式)源地址目标地址都转换,服务器无法看到真实客户源地址模式B(DNAT:PBR模式)只转换目标地址,需要网络结构/负载均衡都支持模式C(NOTHING :DR/DSR模式)不做地址转换,需要服务器创建一个LOOPBACK地址。推荐的使用模式。第7页,共45页,2022年,5月20日,8点57分,星期三7一个例子:Internet:8080:80:4002:80Virtual Server7:80Pool MembersMaps to第8页,共45页,2022年,5月20日,8点57分,

4、星期三Virtual Server - Address TranslationBIG-IP performs network address translation to real server addresses such that all machines are viewed as one Virtual ServerReal Server AddressNetwork Address TranslationVirtual Server AddressInternet7:80:8080:80:4002:80第9页,共45页,2022年,5月20日,8点57分,星期三Network Flo

5、w - Packet #1resolves to BIG-IP Virtual Server Address 7:80 Internet:8080:80:4002:80DNS Server7:80第10页,共45页,2022年,5月20日,8点57分,星期三Network Flow - Packet #1BIG-IP translates Dest Address to Node based on Load BalancingInternetPacket # 1 Src - 0:4003Dest 7:80:8080:80:4002:80Packet # 1 Src 0:4003Dest :80

6、7:80第11页,共45页,2022年,5月20日,8点57分,星期三Network Flow Packet #1 Return BIG-IP translates Src Address back to Virtual Server AddressInternetPacket # 1 - return Dest - 0:4003Src 7:80:8080:80:4002:80Packet # 1 - return Dest 0:4003Src :807:80第12页,共45页,2022年,5月20日,8点57分,星期三Network Flow - Packet #2InternetPacke

7、t # 2 Src - 1:4003Dest 7:80:8080:80:4002:80Packet # 2 Src 1:4003Dest :40027:80第13页,共45页,2022年,5月20日,8点57分,星期三Network Flow Packet #2 Return InternetPacket # 2 - return Dest - 1:4003Src 7:80:8080:80:4002:80Packet # 2 - return Dest 1:4003Src :40027:80第14页,共45页,2022年,5月20日,8点57分,星期三Network Flow - Packet

8、 #3InternetPacket # 3 Src - 5:4003Dest 7:80:8080:80:4002:80Packet # 3 Src 5:4003Dest :80807:80第15页,共45页,2022年,5月20日,8点57分,星期三Network Flow Packet #3 Return InternetPacket # 3 - return Dest - 5:4003Src 7:80:8080:80:4002:80Packet # 3 - return Dest 5:4003Src :8080第16页,共45页,2022年,5月20日,8点57分,星期三负载均衡的SNAT

9、(Secure NAT)功能地址转换当服务器只有私有地址的时候,但是又想访问外网的时候,需要网络设备提供地址转换。是不是回忆起啥?对!就是家里的宽带路由器的共享上网功能如果服务器要访问工商银行的FTP服务器,对方会向你索要你的公网地址,加入到白名单。你就可以通过它的防火墙了。第17页,共45页,2022年,5月20日,8点57分,星期三17请看SNAT的示意图第18页,共45页,2022年,5月20日,8点57分,星期三18连接分配方法:Round RobinRatioLeast ConnectionsFastestObservedPredictiveDynamic RatioPriority

10、 Group ActivationFallback HostStaticDynamicFailure Mechanisms第19页,共45页,2022年,5月20日,8点57分,星期三Round RobinClientsRouterBIG-IP ControllerServersClient requests are distributed evenly12345678Internet第20页,共45页,2022年,5月20日,8点57分,星期三RatioClientsRouterBIG-IP ControllerServersAdministrator sets ratio for dist

11、ributing Client requests 3:2:1:11234891011Internet571214613第21页,共45页,2022年,5月20日,8点57分,星期三FastestClientsRouterBIG-IP ControllerServersNext requests go to Node with fastest response time25Internet10ms10ms10ms17msCurrent Response Times1436第22页,共45页,2022年,5月20日,8点57分,星期三FastestClientsRouterBIG-IP Contr

12、ollerServersSome time later, response times change102104Internet10ms10ms7ms7msCurrent Response Times101103第23页,共45页,2022年,5月20日,8点57分,星期三Least ConnectionsClientsRouterBIG-IP ControllerServers12InternetNext requests goes to Node with fewest open connections459460461470Current Connections3456第24页,共45页

13、,2022年,5月20日,8点57分,星期三Least ConnectionsClientsRouterBIG-IP ControllerServersInternetSome time later, number of connections change6163280290111112Current Connections62第25页,共45页,2022年,5月20日,8点57分,星期三Priority Group ActivationClientsRouterBIG-IP ControllerServers135246InternetPriority 1Priority 2If you

14、set Priority Group Activation to 2, and 3 of the highest priority members are available, then lower priority members will not be used.第26页,共45页,2022年,5月20日,8点57分,星期三Priority Group ActivationClientsRouterBIG-IP ControllerServers15InternetPriority 1Priority 2324678If number of members falls below Prio

15、rity Group Activation (2), then the next highest priority members are used also.第27页,共45页,2022年,5月20日,8点57分,星期三重要的健康检查Monitor7层检查: GET / REPONSE 200ok4层检查:SYN-SHAKE;FIN-SHAKEICMP: ping 检查模拟环境示例:在模拟环境上创建3种类型的MONTIOR,在服务器上观察数据包第28页,共45页,2022年,5月20日,8点57分,星期三28Ping检查StepsPackets sent to IP AddressesIf

16、no response, then no traffic sent to members using that node address Example - ICMPInternetICMP第29页,共45页,2022年,5月20日,8点57分,星期三端口检查StepsOpens TCP connection (IP Address : service)Connection closedIf TCP connection fails, then no traffic sent to associated MembersExample TCP Internet:80:80:80TCP Conne

17、ction第30页,共45页,2022年,5月20日,8点57分,星期三7层/内容检查Internet:80:80:80StepsOpens TCP connection (IP Address : service)Sends a requestResponse returns dataConnection closed If Receive Rule not found in data, then no traffic sent to associated MembersExample http http GET /第31页,共45页,2022年,5月20日,8点57分,星期三连接保持技术源

18、地址保持技术示意图Cookie保持技术示意图第32页,共45页,2022年,5月20日,8点57分,星期三源地址保持Based on Client Source IP AddressNetmask - Address Range123123第33页,共45页,2022年,5月20日,8点57分,星期三Cookie 保持Insert modeBIG-IP Inserts a cookie into the streamRewrite modeWeb server creates cookie and BIG-IP Controller changes itPassive modeWeb serv

19、er creates cookie and BIG-IP Controller Reads itHash modeMaps a cookie value to a specific nodeWeb server must generate a cookie第34页,共45页,2022年,5月20日,8点57分,星期三ClientServerHTTP request (no special cookie)TCP handshakeTCP handshakeHTTP request (no special cookie)HTTP reply (no special cookie)HTTP repl

20、y (with inserted cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (no special cookie)HTTP reply (updated cookie)cookiespecifiesserver First HitSecond HitCookie Insert Mode第35页,共45页,2022年,5月20日,8点57分,星期三ClientServerHTTP request (no s

21、pecial cookie)TCP handshakeTCP handshakeHTTP request (no special cookie)HTTP reply (with blank cookie)HTTP reply (with rewritten cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with blank cookie)HTTP reply (with updated cookie)coo

22、kiespecifiesserver First HitSecond HitCookie Rewrite Mode第36页,共45页,2022年,5月20日,8点57分,星期三ClientServerHTTP request (no special cookie)TCP handshakeTCP handshakeHTTP request (no special cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)pickserver HTTP request (with same cookie)TCP

23、handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)cookiespecifiesserver First HitSecond HitCookie Passive Mode第37页,共45页,2022年,5月20日,8点57分,星期三ClientServerHTTP request (no special cookie)TCP handshakeTCP handshakeHTTP request (no speci

24、al cookie)HTTP reply (with cookie)HTTP reply (with cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)HTTP reply (with cookie)cookie hash specifiesserver First HitSecond HitThird HitServerTCP handshakeHTTP request (with s

25、ame cookie)HTTP reply (with cookie)cookie hash specifiesserver TCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)Cookie Hash Mode第38页,共45页,2022年,5月20日,8点57分,星期三F5转发Performance L4Standard VS第39页,共45页,2022年,5月20日,8点57分,星期三39Performance L4TMM只是负责客户端连接的分配和转发,不改变TCP连接中的任何参数客户端和服务器自行协商TC

26、P传输参数在34/64/68平台上Performance L4可以有PVA加入实现硬件加速在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理Performance L4 VS上只有4层的iRules可以使用默认状态下,新建连接的第一个包必须是Syn包,如果是其他的数据包比如ACK、RST等如果不在连接表中,则全部丢弃。在Fast L4 profile打开Loose close和Loose Initial的时候对非Syn包也可以建立连接表TMM客户端客户端客户端服务器端服务器端服务器端第40页,共45页,2022年,5月20日,8点57分,星期三40Performanc

27、e L4 攻击防护-Syn Cookie正常情况下客户端连接和服务器端连接是1:1的关系TMM在第一次收到客户端Syn包时,并不建立连接表TMM的Syn Ack回应通过算法回应给客户端Syn,并期待客户端回应的值TMM对客户端ACK进行计算,确认是真实客户端,再和后台服务器建立连接在84/88上可以实现硬件的Syn Cookie计算,其余的平台都是通过软件实现SynCookie计算Syn Cookie工作模式下,只有成功建立连接的TCP请求才转发到后台TMMSynSyn,Ack (syncookie)Ack(Cookie)SynSyn-AckAckData第41页,共45页,2022年,5月20日,8点57分,星期三41Standard VS正常情况下客户端连接和服务器端连接是1:1的关系默认工作在全代理模式,客户端和服务器端的TCP连接完全独立客户端和服务器端的TCP参数都是由TMM和双方分别协商默认情况下以客户端源IP和后台建立连接,在打开SNAT的情况下用SNAT地址和后台建立连接Standard VS的端口永远对外开放,无论后台是否有服务器在工作TMMSynSyn,AckAckSynSyn-AckAckDataData第42页,共45页,2022年,5月20日,8点57分,星期三42Standard 模式下的攻击防护Standard VS模式具有天然

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论