F5-BIGIP负载均衡器培训

1、主讲：xhj日期：2022年10月12日F5 BIG-IP LTM负载均衡器培训学习目标标了解负载载均衡器器的概念念熟悉F5负载均衡衡器产品品能够对F5负载均衡衡器进行行规划和和配置学习完本本课程，您应该该能够：内容负载均衡衡器概念念F5负载均衡衡器介绍绍F5负载均衡衡器配置置步骤F5负载均衡衡器的维维护F5的常见组组网方式式什么叫负负载均衡衡器什么是负负载均衡衡器？服务器负负载均衡衡器是指指设置在在一组功能相同同或相似似的服务务器前端端，对到达达服务器器组的流量进行合理理分发，并在其其中某一一台服务务器故障时，能将将访问请求转移移到其它可可以正常常工作的的服务器器的软件件或网络络设备。SLB

2、是服务器器负载均均衡(Server LoadBalancing)的简称。服务器器负载均均衡又可可以分为为局域网网服务器器负载均均衡与广广域网服服务器负负载均衡衡(Global ServerLoad Balancing)。狭义的的SLB是指局域域网服务务器负载载均衡，与广域域网服务务器负载载均衡（GSLB）相对。采用负载载均衡器器有什么么优点采用负载载均衡器器的优点点：原有的系系统只部部署了一一台服务务器，随随着访问问量的增增加，一一台服务务器已经经不能满满足应用用的需要要，而需需要增加加更多的的服务器器。当部署了了两台以以上的服服务器时时，就可可能会需需要用到到负载均均衡器。通过服服务器负负均

3、衡器器，对流流量进行行合理分分配，可可以带来来以下好好处：提高性能能负载载均衡器器可以实实现服务务器之间间的负载载平衡，从而提提高了系系统的反反应速度度与总体体性能；提高可靠靠性负载载均衡器器可以对对服务器器的运行行状况进进行监控控，及时时发现运运行异常常的服务务器，并并将访问问请求转转移到其其它可以以正常工工作的服服务器上上，从而而提高服服务器组组的可靠靠性提高可维维护性采用用了负均均衡器器器以后，可以根根据业务务量的发发展情况况灵活增增加服务务器，系系统的扩扩展能力力得到提提高，同同时简化化了管理理。负载均衡衡实现的的方式实现服务务器负载载均衡有有多种方方法，常常见的方方法有：基于DNS轮

4、询的方法：即在DNS服务器中中对同一一域名设设置多条条DNSA记录，通通过DNS的轮询机机制实现现服务器器负载均均衡。基于应用用软件的的实现方方法，在在应用软软件设计计中就考考虑了多多服务器器之间的的协同工工作与任任务调度度。这种种方法一一般会有有一台服服务器作作为中枢枢对访问问请求进进行调度度，同时时要求在在应用层层支持访访问重定定向或任任务调度度、跳转转机制(如nginx)。采用专门门的L4/L7层交换机机来实现现，也即即我们常常说的负负载均衡衡器。一一般都是是通过在在L4/L7层交换机机作地址址转换（NAT）来实现现。负载均衡衡器需要要了解的的问题负载均衡衡器一般般需要了了解以下下方面的

5、的问题：支持的负负载均衡衡算法支持的服服务器健康检查查的方法法如何保持客户端和和服务器器的会话速度/性能指标标安全性与与可靠性性端口数量量内容负载均衡衡器概念念F5负载均衡衡器介绍绍F5负载均衡衡器配置置步骤F5负载均衡衡器的维维护F5的常见组组网方式式F5负载均衡衡器介绍绍F5负载均衡衡器介绍绍F5产品介绍绍F5的配置方方法F5的几个概概念F5的数据流流F5负载均衡衡算法介介绍F5策略保护护方法介介绍F5健康检查查方法介介绍F5双机介绍绍F5地址转换换介绍F5产品介绍绍（现在在用的产产品）6800系列超级多用途流量管理处理器：双CPU基本内存：2GBASIC：Packet Velocity

6、ASIC2千兆位CU端口：16个千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选）包括：SSL TPS/Max TPS/Bulk加速模块：（100/20,000/2GB/秒）流量吞吐量：4GB/秒可选硬件设备：硬件压缩*（2GB/秒）6400系列高级多用途流量管理处理器：双CPU基本内存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16个千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选）包括：SSL TPS/Max TPS/Bulk加速模块：（100/15,000/2GB/秒）流量吞吐量：2GB/秒可选硬件设备：

7、硬件压缩*（2GB/秒）FIPS处理*（8,000TPS/1GB SSL吞吐量）3400系列中级多用途流量管理处理器：单CPU基本内存：1GBASIC：Packet Velocity ASIC2千兆位CU端口：8个千兆位光纤端口：(SFP - GBIC Mini)2个可选包括：SSL TPS/Max TPS/Bulk加速模块：（100/8,000/1GB/秒）流量吞吐量：1GB/秒2400系列普通多用途流量管理处理器：单CPU基本内存：768MBASIC：无千兆位CU端口：2个千兆位光纤端口（ GBIC ）：2个可选包括：SSL TPS/Max TPS/Bulk加速模块：（100/2,000/

8、500 MB/秒）流量吞吐量：500MB/秒网络端口口16个光纤接口口4个右下角屏屏幕控制制板F5端口及板板面说明明（6800）F5的配置方方法两种配置置方法Web接口方式式https命令行方方式ssh(remote)telnet（需要用用命令打打开）Console建议用命命令行的的方式初初始化，在Web方式下配配置业务务Web配置工具具Web配置工具具配置工具具文档Web配置工具具命令行配配置方式式命令行配配置方式式：F5#configI NIT IALSE TUPME NUChoosethe desiredconfigurationfunctionfrom thelist below.(A

9、)Configure allservices(R) Steps forredundantsystemsREQUIRED(E)Set defaultgateways(V)Configure VLANs &networking(H)Set hostname(W)Configure webservers(P)Set rootpasswordOPTIONAL(C)Remote authentication(O)Configure remoteaccess(D)Configure DNS(S)ConfigureSSH(F)Configure FTP(T) ConfigureTelnetd(I)Initi

10、alizeiControlportal(U)Configure RSH(K)Set keyboard type(Y)Set supportaccess(L)LicenseActivation(Z)Set timezone(M)Define timeservers(Q)QuitEnterChoice:虚拟服务务器（Virtual Servers）的概念念Internet50:80Virtual Server虚拟服务务器是在在F5上虚拟出出来的概概念虚拟服务务器IP地址端端口号的的组合节点（Nodes）的概念念Internet80:8080Nodes

11、节点（Nodes)是服务器器的IP地址端端口号的的组合81:808082:808083:8080地址池（Pool)的概念Internet客户端路由器BIG-IP负载均衡衡器服务器地址池是是一组Node的组合虚拟服务务器和节节点Internet80:8080虚拟服务务器节点映射到一个虚拟拟服务器器对应一一个地址址池，一一个地址址池对应应多个节节点50:8081:808082:808083:8080虚拟服务务器地址转换换

12、BIG-IP会执行地地址换，把客户户请求的的数据包包中的目目的地址址换成真真实的服服务器地地址真实服务务器地址址Network AddressTranslation虚拟服务务器地址址Internet50:8080:808081:808082:808083:8080网络数据据流- Packet#1InternetDNS服务器50:8080:808081:808082:8080192.80.10

13、.183:8080网络数据据流-Packet#1在BIG-IP上把目的的地址转转换成节节点的地地址，端端口转换换成节点点的侦听听端口InternetPacket#1Src-0:4003Dest 50:80Packet#1Src0:4003Dest 80:8080050:8080:808081:808082:808083:8080网络数据据流Packet#1Return在BIG-IP把返

14、回的的数据包包的源地地址转换换成虚拟拟服务器器地址，端口转转换成BIG-IP侦听端口口InternetPacket#1 -returnDest -0:4003Src50:80Packet#1 -returnDest 0:4003Src192. 80.10.180:8080050:8080:808081:808082:808083:8080网络数据据流- Packet#2InternetPacket#2Src-

15、1:4003Dest 50:80Packet#2Src1:4003Dest 81:8080150:8080:808081:808082:808083:8080网络数据据流Packet#2ReturnInternetPacket#2 -returnDest -1:4003Src50:80Packet#2 -returnDest 1:4003Src192. 80.10.182:80207

16、.17.117.2150:8080:808081:808082:808083:8080F5负载均衡衡算法介介绍RoundRobin（轮询）Ratio（权重）LeastConnections（最少连连接）Fastest（最快回回应）Observed（观察）Predictive（预测）Dynamic Ratio（动态权权重）Minimum ActiveMembers（最少活活动成员员）FallbackHost静态动态失效机制制负载均衡衡算法轮询客户端路由器BIG-IP负载均衡衡器服务器

17、客户的请请求被严严格分发发12345678Internet负载均衡衡算法权重管理员设设置把客客户的请请求按3:1:1:1比例分配配123478910Internet561112客户端路由器BIG-IP负载均衡衡器服务器负载均衡衡算法最快回回应下一个客客户请求求被分配配到反应应最快的的机器12Internet10ms5ms20ms17ms当前反应时间客户端路由器BIG-IP负载均衡衡器服务器负载均衡衡算法最快回回应一定时间间后101102Internet14ms15ms20ms11ms当前反应时间客户端路由器BIG-IP负载均衡衡器服务器下一个客客户请求求被分配配到反应应最快的的机器负载均衡衡算

18、法最少连连接数12Internet下一次请请求发送送到有最最少连接接数的机机器上462460455465当前连接数客户端路由器BIG-IP负载均衡衡器服务器负载均衡衡算法最少连连接数一定时间间后Internet6162342330338335当前连接数下一次请请求发送送到有最最少连接接数的机机器上客户端路由器BIG-IP负载均衡衡器服务器负载均衡衡算法最少活活动成员员135246InternetPriority1Priority2如果最少少活动成成员为2，现在有有3个高优先先级的成成员可用用，则低低优先级级的节点点不会被被使用客户端路由器BIG-IP负载均衡衡器服务器负载均衡衡算法最少活活动成

19、员员15InternetPriority1Priority2324678如果最少少活动节节点少于于2个，则下下一优先先级的节节点就会会被使用用客户端路由器BIG-IP负载均衡衡器服务器负载均衡衡算法FallbackHostInternetIfallnodesfail,thenclientissentanhttp redirect to the“fallback” server.客户端路由器BIG-IP负载均衡衡器服务器策略保持持（Persistence）概念123123策略保持持是处理理同一台台Client端过来的的请求如如果分发发到同一一个节点点中去的的问题策略保持持方法SimplePers

20、istence（简单策策略保持持）SSLPersistence（SSL策略保持持）CookiePersistence（Cookie策略保持持）Insert, Rewrite, Passive&HashPersistencebyExpressio（表达式式的策略略保持）http:/ request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (no cookie)HTTP reply (with inserted cookie)pickserverHTTP request (with same c

21、ookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (no cookie)HTTP reply (updated cookie)cookiespecifiesserverFirst HitSecond HitCookieInsert模式ClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (with blank cookie)HTTP reply (with r

22、ewritten cookie)pickserverHTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with blank cookie)HTTP reply (with updated cookie)cookiespecifiesserverFirst HitSecond HitCookieRewrite模式ClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP re

23、quest (no cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)pickserverHTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)cookiespecifiesserverFirst HitSecond HitCookiePassive模式Cl

24、ientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (with cookie)HTTP reply (with cookie)pickserverHTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)HTTP reply (with cookie)cookiehashspecifiesser

25、verFirst HitSecond HitThird HitServerTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)cookiehashspecifiesserverTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)CookieHash模式IP & TCP HeaderTCP Data表达式（Expression）保持SYNSYN-ACKACKClientRequestSSLSessionIDIPAddressSIP

26、CallIDHTTP HeadersUser DefinedFieldsTCPHandshake表达式保保持基于数据据包中的的其他内内容来做做策略保保持可以做任任何内容容的策略略保持类似于Rules简单(simple)策略保持持方法基于源或或目的IP地址假设ClientIP地址不变变Netmask一段地址址范围当当作源地地址SSL策略保持持方法基于SSL会话ID当客户端端IP地址变化化时，保保持不变变如果SSL会话ID丢失后，保持会会发生变变化80:8080F5的健康检检查方法法Internet节点&节点地址址状态用Monitors检查的节节点的状状态UNCHECKEDC

27、HECKINGUPDOWNADDRESS DOWN管理员原原因引起起的状态态DISABLEDADDRESS DISABLEDFORCEDDOWNADDRESS DOWN健康检查查健康检查查概念Address,Service,Content（内容）& Interactive Checks配置健康康检查从模板中中创建Monitor关联:pool地址（Address） 检查查步骤包被送到到IP地址如果没有有反应，则不会会再往此此节点发发送流量量例如- ICMPInternet82ICMP8180服务（Service）Check步骤建立

28、一个个TCP连接(IP地址:服务)关闭连接接如果TCP连接失效效，则不不会再往往此节点点发送流流量例如 TCPInternet82:8080TCPConnection81:808080:8080内容（Content） 检查查Internet步骤：建立一个个OpensTCP连接(IP地址:服务)发送一个个请求返回数据据连接关闭闭如果收到到的包中中内容不不对，则不会再再往此节节点发送送流量例如 httphttp GET/82:808081:808080:8080交互（

29、Interactive）检查Internet步骤建立一个个连接(IP地址:服务)模拟真实实应用交交互会话话连接关闭闭如果期望望的结果果不对，则不会再再往此节节点发送送流量例如 SQL请求会话82:808081:808080:8080F5双机系统统主备主备双机配置置的一些些概念Unit ID（单元号号码，双双机时此此Unit ID不能相同同）FailoverIP(双机中对对端机器器的内部部IP地址，两两台机器器FailoverIP要能互相相ping通）FailoverMethod(HardwiredorNetwork)（Hardw

30、ired用专门的的Failover线，而Network用网线，经验验验证要采采用hardwired）SharedIP（类似于于双机的的浮动IP）Hostname（机器名名，两台台机器的的机器名名一定不不要相同同）F5双机系统统的一些些概念配置F5双机系统统配置步骤骤：确认BIG-IP运行在双双机模式式。在导导航条选选择SYSTEM-Platform，Hith Availability设置中应应选择为为RedundantPair。通常BIG-IP1的Unit ID为1，BIG-IP2的Unit ID为2。在导航条条选择SYSTEM-High Availability，完成如如下配置置配置F5双机

31、系统统Redundancy Mode选择Active/Standby模式EnableNetworkFailover选项。F5主备机的的同步F5主备机的的同步：同步别的配置当前配置F5只能同步步Web页面的配配置同步是一一个push或者pull的操作F5主机的判判断通过WEB检查通过命令令行检查查 bigtop强制把F5主机变成成备机只能把主主机变成成备机，但不能能把备机机变成主主机命令方式式 bfailoverstandbyF5双机切换换切换方式式WatchdogdeviceVLAN ArmFailsafeSSLProxyFailoverGateway Failsafe检测方法法Fail-ov

32、ercableNetwork Fail-overWatchdog机制主F5有 硬件件或软件件问题Watchdogdevice触发一个个切换动动作(重启机器器)备机收不不到主机机的信息息备机变成成主机VLAN ArmFailsafe机制检测到没没有业务务网络流流量F5本身触发发一些流流量仍然没有有没有检检测到业业务网络络流量发起切换换进程(重启机器器)备机从主主机中收收不到信信息备机变成成主机SSLProxyFailover机制加密模块块硬件错错误发起切换换进程(重启机器器)备机从主主机中收收不到信信息备机变成成主机Gateway Failsafe机制ping GW没有回应应主机变成成备机模模式

33、Sta备机从主主机中收收不到信信息备机变成成主机检测方法法Failover线主备机之之间的串串口线检查对端端机器的的电压Network线两台机器器的内网网接口的的通讯Communication betweenboxesacross internal interface检查到没没有信号号厂商宣称称支持二二个检测测方法，实际中中建议用用Failover线F5的NAT和SNATF5的NAT和SNAT：NAT(NetworkAddressTranslation)和SNAT(SecureNetwork AddressTranslation)都是地址址转换机机制。NAT是一对一一的，而而SNAT是多对一一的。SNAT只应用于于从内部部主动发发起的流流量，NAT在公司业业务中很很少用。SNAT出去的地地址可以以与