F5云计算技术交流v5

F5云计算技术交流v5第一页，共149页。全球16大云计算服务商有14家采用了F5解决方案

Top16CloudProviders1.Rackspace2.Joyent3.Softlayer4.GoGrid5.IBM6.AT&T7.Savvis8.Terremark9.NaviSite10.Sunguard11.CSC12.Opsource13.MediaTemple14.Amazon15.LayeredTechnologies16.QualityTechnologyServices第二页，共149页。中国运营商云计算平台使用F5解决方案中国运营商中国联通

建立VDC（云计算数据中心）江西电信

建立基于云平台的VOD视频点播系统广东联通

建立基于云平台的OCSProxy系统其他：华为建立one-cloud解决方案美国游戏站点在中国建立“私有云”3第三页，共149页。F5在云计算环境中的关键价值第四页，共149页。全球CIO战略致力于为业务增长和效率建立新的基础设施发展或管理一个灵捷的基础架构181111交付应用和发展规划2131缩减IT开销33210改善IT管理和治理方式4647整合IT运营和资源59912IT重组（吸引/保留IT员工）61083扩展信息/情报的使用77109实现业务流程的改进8456实施云计算解决方案(SaaS,PaaS,IaaS)9***改善/连接业务与IT的关系10212*新的响应类型2011201020092008被CIO们选择为前3名之一的IT战略排名第五页，共149页。今天的市场挑战在于应用是否能顺利交付用户体验快速高可用安全服务器应用门户数据中心ISPs客户端安全需求访问SOA复杂性商业信息资源集中攻击分布式的用户从用户到商业信息的访问过程中，客户面对来自服务器，应用，门户，数据中心，互联网链路，客户端等环节形成的瓶颈，从而无法达到安全，快速，高可用的目标！第六页，共149页。昂贵低效的“打补丁”解决方案Users统一的网络/应用基础设施服务应用/文件存储用户第七页，共149页。运营商业务系统的“烟囱式”建设问题BSS数据库服务器存储备份系统管理中间件业务A网络安全系统集成系统建设系统维护系统采购系统设计BSS扩容数据库服务器存储备份系统管理中间件网络安全系统集成系统建设系统维护系统采购系统设计OSS系统数据库服务器存储备份系统管理中间件业务C网络安全系统集成系统建设系统维护系统采购系统设计MSS系统数据库服务器存储备份系统管理中间件业务D网络安全系统集成系统建设系统维护系统采购系统设计业务B烟囱式业务系统，相对封闭，成本高业务软件和硬件捆绑，采购成本高小型机成本高，不通用业务按峰值配置，资源利用率低CPU：5-10％，存储：<36％，网络：50％硬件准备周期长，业务部署慢硬件准备平均6个月业务上线8～18个月系统稳定性差，维护成本高需要厂家专门维护，单次维护费用高机房消耗高，能耗大“烟囱式”建设的核心问题“烟囱式”业务系统建设的核心问题8第八页，共149页。Fortune500Financial

DividedgroupsdriveinefficienciesDallasDataCenterProblemsNeedasharedinfrastructurePower,space,andcoolingconcernsUnderutilizeddevicesNeedtomaintaincontrolwhileconsolidatingSingaporeDataCenterWebADCITStaffSharePointADCITStaffExchangeADCITStaffAccountingADCITStaffWebADCITStaffADCITStaffADCITStaffSharePointExchangeWAFWAF第九页，共149页。TraditionalADCScalingGSLBWithintheDatacenterWWW.DNSDNSWWW3.ServerFarmCWWW2.ServerFarmBWWW1.ServerFarmAWWW4.ServerFarmDEachadditionrequiresDNSchangesPhysicalreconfigurationsRoutingchangesADCreconfiguration第十页，共149页。TraditionalModelisInflexibleUsersResourcesPhysicalVirtualMulti-SiteDCsPrivatePublicCloud我到底如何把所有这些应用和服务利用合理的资源，符合SLA要求，又安全的提供给每个用户，并且要节省预算和管理简单第十一页，共149页。高可用扩展性HA/容灾解决性能瓶颈负载均衡优化网络应用存储压力卸载安全网络应用数据访问管理

集成

可视性业务流程

战略控制点F5’sDynamicControlPlaneArchitectureUsersResourcesPhysicalVirtualMulti-SiteDCsPrivatePublicCloud第十二页，共149页。业务系统的“烟囱式”建设问题web数据库服务器存储备份系统管理中间件业务A网络安全系统集成系统建设系统维护系统采购系统设计web数据库服务器存储备份系统管理中间件网络安全系统集成系统建设系统维护系统采购系统设计web数据库服务器存储备份系统管理中间件业务C网络安全系统集成系统建设系统维护系统采购系统设计web数据库服务器存储备份系统管理中间件业务D网络安全系统集成系统建设系统维护系统采购系统设计业务B烟囱式业务系统，相对封闭，成本高业务软件和硬件捆绑，采购成本高小型机成本高，不通用业务按峰值配置，资源利用率低CPU：5-10％，存储：<36％，网络：50％硬件准备周期长，业务部署慢硬件准备平均6个月业务上线8～18个月系统稳定性差，维护成本高需要厂家专门维护，单次维护费用高机房消耗高，能耗大“烟囱式”建设的核心问题“烟囱式”业务系统建设的核心问题13第十三页，共149页。云的关键构成元素

计算资源池资源整合虚拟化界面虚拟化的资源呈现对应用进行交付维护管理界面集中的管理/监控动态的资源调配维护管理界面虚拟化界面计算资源池维护管理界面虚拟化界面计算资源池第十四页，共149页。业务云公共云统一存储池物理服务器资源池IDCA机房IDCBIDCC统一存储池物理服务器资源池自营业务合作运营业务资源出租业务云计算管理平台（自动化安装、自动、手动迁移）业务管理PORTAL：统一门户、统一域名容灾容灾云计算身份认证体系：统一身份管理、统一认证两云三地：统一门户、统一身份、统一认证、统一审计、统一资源、统一容灾第三方SAAS云计算的架构第十五页，共149页。测试与研发服务器整合按需扩展自维护数据中心云计算从数据中心到云计算的每个阶段都有f5的身影F5Objective:按需提供IT服务的平台PrivatePublicOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPACommonServicesPlatformfromEnterprisetoCloud第十六页，共149页。Phase1:测试与研发

测试与研发OSAPPOSAPPControlDynamic

BIG-IP

LocalTrafficManagerVirtualEdition

ARXVirtualEdition

FirePassVirtualEdition第十七页，共149页。测试与研发服务器整合按需扩展自维护数据中心云计算从数据中心到云计算的每个阶段都有f5的身影F5Objective:按需提供IT服务的平台PrivatePublicOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPACommonServicesPlatformfromEnterprisetoCloud第十八页，共149页。Phase2:服务器整合-应用虚拟化技术

服务器整合服务器整合OSAPPOSAPPOSAPPOSAPPControlDynamic资源池资源池资源池第十九页，共149页。Phase3:按需动态服务能力扩展WebClientsFrontEndAppServersVirtualizationApp.ServerApp.ServerApp.ServerStorageVirtualizationFrontendsVirtualizationBIG-IPLTMBIG-IPLTMFrontEndFrontEndWebClientsiControliControlMonitoring&ManagementvCenter+AppSpeedDemand↑↑↑F5ProvisionDetectionAutomationVMProvisionDemand↓↓↓VMDeprovisionDetectionAutomationF5Deprovision统一管理/调动系统第二十页，共149页。热部署实现目标实现透明部署，减少因应用新版本发布造成的业务中断实现对服务器资源更灵活的管理与控制实现全自动化部署，避免人为的操作失误实现阶段性部署，便于升级失败后的业务回退第二十一页，共149页。热部署各关键业务模块组成c1c2b1b2……d1d2七层交换机应用服务器数据库DSN解析VIP1VIP2。。。热部署管理软件:发送管理指令，并通过API接口，实时与智能DNS，七层交换机及后台服务器进行通讯。智能DNS:实时控制域名解析结果应用流量控制模块:七层交换机接受管理指令，热部署过程中实现后台资源透明隔离VIP2VIP1智能DNS正常用户管理员测试人员热部署状态正常工作状态第二十二页，共149页。热部署关键流程及技术描述c1c2b1b2……d1d2七层交换机应用服务器数据库DSN解析VIP1VIP2。。。平时智能DNS将解析记录指向四层交换机的VIP１，所有请求导向后台的服务器VIP2则用来热部署时供测试人员进行访问。VIP1与VIP2对应的都是相同的后台服务器组VIP2VIP1智能DNS正常用户管理员测试人员第二十三页，共149页。c1c2b1b2第一组服务器的版本更新……d1d2七层交换机应用服务器数据库。。。①1.在VIP1上Disable服务器2.在Disable的服务器上发布版本3.智能DNS解析VIP2给测试人员访问③②DNS解析VIP1VIP2智能DNSVIP2VIP1正常用户管理员测试人员管理员起动热部署控制指令热部署状态正常工作状态第二十四页，共149页。c1c2b1b2最后一组服务器的更新……d1d2七层交换机应用服务器数据库。。。①1.智能DNS解析VIP2给所有访问者2.在VIP1上Disable最后一组服务器3.在Disable的服务器上发布版本③②DNS解析VIP1VIP2智能DNSVIP2VIP14.所有服务器更新完毕，智能DNS解析VIP1给所有访问者4管理员起动热部署控制指令正常用户管理员测试人员第二十五页，共149页。Phase3:按需动态服务能力扩展友商的按需扩展模式宣传口号：一次性提供最大化的CPU硬件资源通过购买license扩展throughput,达到扩展性能的目的。如何平滑扩展ADC性能?扩展license提升设备的性能？深度分析友商的按需扩展模式我们需要思考：当前业务类型最消耗设备性能的是吞吐，还是新建连接？当CPU资源达到性能极限时，如何扩展性能？26第二十六页，共149页。VirtualMachinesVirtualMachinesServersServersServersPhase3:按需动态服务能力扩展-F5设备

扩需扩展，最高可到160G无需停机无需额外系统配置固定并可欲知的运营管理成本第二十七页，共149页。F5cluster技术ScaleN

更高级别的可靠性及可扩展能力

纵向扩展横向扩展Virtualization(vCMP)ClusteredMultiprocessing(CMP)&SuperVIPTMOS按需的灵活纵向扩展与横向扩展能力，提供最高级别的可靠性保障与平滑的可扩展能力CMP技术可多个CPU同时处理同一事件多台设备（或多块板卡）的集群工作模式，即提高可靠性，又提升处理能力。

基于vCMP技术的按照CPU资源进行设备虚拟化分配，提升设备的利用率及故障隔离。第二十八页，共149页。F5cluster技术:不再是1:1冗余多台设备可以组成N+M冗余模式多台设备可互为备份，提高可靠性多台设备同时工作，提高处理性能ActiveStandbyStandbyActiveCurrentModelActive/StandbyActive/ActiveNewModelActive/Active/StandbyActive/Active/Active/ActiveActive/Active/Active/StandbyActive/Active/Active/Standby/StandbyAndmore;many,manymore.DeviceServiceCluster(DSC)第二十九页，共149页。Phase

4:数据中心间的协同工作

集成站点恢复管理

实时备份Site1:ActiveSite2:Standby

SRM为应用的故障切换提供一套自动化流程

GTM引导用户至最新活动可用的数据中心

F5和VMware之间的API挂钩提供了必要的整合F5的WAN优化可以加速切换过程及数据备份的速度Site1:DownSRM应用切换GTM流量切换Site2:ActiveLTMWAN优化及加密第三十页，共149页。BIG-IPWANOptimizationStep3SymmetricAdaptiveCompressionStep4SSLEncryptionStep5TCPOptimizationStep2SymmetricDataDeduplicationRawDataStep6BandwidthAllocationOptimizedDataStep1ApplicationProtocolAccelerationRawDataOptimizedDataOptimizationswithWOMlicenseWANOptServicesincludedwithLTMBIG-IPLTM+WOMiSessionsInternetorWANBIG-IPLTM+WOMApplicationOptimizationProfiles第三十一页，共149页。VMware远距离vMotion可靠性:建立不中断的用户会话移动通过使用WOM显著提高了vMotion的可靠性性能:大大减少转移虚拟机所需的时间执行vMotion达到最高250毫秒的延迟灵活部署:支持vMotion和存储vMotion支持通过EtherIP的2层扩展支持3层以上的NAT（唯一的IP子网）Bandwidth(Mbps)LinkLatency(RTTms)LinkPacketLoss(%)AvgTimew/oWOMAvgTimewithWOMResultingAccelerationFactorvMotionSuccessw/oWOMvMotionSuccesswithWOM451000%13:433:353.8x<50%100%1551000%13:243:293.9x<50%100%1000200%2:380:383.5x100%100%第三十二页，共149页。F5云间在线应用切换方案成为Vmworld大会的亮点Vmworld大会5000＋到会代表旧金山Moscone会议中心VmwareCTOStephenHerrod

主题演讲theonlysolutionformigrating alivevirtualmachineand applicationbetweendata centerswithoutuserdisruption.Thesolutionleveragesproducts availabletodayfromF5andVMware.IthighlightstheflexibilityandpowerofBIG-IPandiControlItmakescloudcomputingmoreofarealityattainablebyBIG-IPusers

第三十三页，共149页。远程Vmotion实际测试效果测试环境：2台装有MSWindowsServer2003R2,SP2,Enterprisex86Edition的VM文件同时进行远程vmotion.45Mbps带宽/100ms延时/1%丢包率115Mbps带宽/100ms延时/1%丢包率F56900启WOM功能34第三十四页，共149页。App/ProtocolPerformanceImprovementCollateralOracleStreamsUpto9xSolutionProfileDeploymentGuideOracleDataGuardUpto1.3syncUpto15xasyncSolutionProfileDeploymentGuideMSFTSQLSnapshotReplicationUpto15xSolutionProfile(pending)MSFTExchangeDAGReplicationUpto18xSolutionProfile(TBD)NetAppSnapMirrorUpto95xSolutionProfileNetAppFlexCacheUpto60xSolutionProfileHDSTrueCopyInteroperabilitySolutionProfileDellEqualLogicReplicationUpto74xSolutionArticleFTP(Largefiles)Upto65xSolutionProfileVMwareLivevMotionUpto3-4xTechBriefDeploymentGuideVmwareLivevMotion+FlexcacheUpto2.5xSolutionProfileDeploymentGuideDCtoDCWAN优化效果第三十五页，共149页。Phase

4:数据中心间的协同工作-双活数据中心

应用交付和安全展示层服务器应用交付和安全应用层服务器应用交付和安全互联网客户端主数据库应用交付和安全展示层服务器应用交付和安全应用层服务器应用交付和安全灾备数据库加速第三十六页，共149页。应用由路-OracleRAC的优化BIG-IPLTMApplicationServerStorageRACRACRAC复制复制利用F5将同一用户的请求发送到同一个RAC节点，节少多个RAC节点间的复制导致Oracle性能急剧下降的问题第三十七页，共149页。基于云计算平台的虚拟桌面/虚拟应用解决方案38第三十八页，共149页。所有指定应用全部集中在数据中心简便安装、管理、支持到达终端的应用与数据从一开始就是被集中管理的虚拟化支撑新型业务体系架构

–

集中式“交付”：安全、便捷、节能、随需而动应用服务器应用虚拟化服务器环境XenApp/Xendesktop服务器端元件网络应用订制化应用数据中心桌面/终端客户端元件网络应用桌面应用第三十九页，共149页。F5的应用交付解决方案XenApp/XenDesktopVMwareViewXenApp/XendesktopFarmF5LTM+APM+ASMOrEGEWgateway:本地负载均衡SSLVPN接入客户端安全检查统一认证及访问策略控制SSOWeb应用加速或web应用安全DesktopPCsSmartphoneF5BIGIPInternalServers内网其它应用/服务器第四十页，共149页。支持SingleSignOn(单点登录).第一步本地登录第二步VPN登录第三步桌面登录F5APMSSO只需一次登录VmwareVDICitrixXenApp/XenDesktopVirtualserver第四十一页，共149页。针对RDP协议的网络加速和带宽节省通过WANOptimizationModule，LTM可以提高3-4倍的RDP性能，可以减少带宽消耗12：1压缩重复数据删除TCP优化加密第四十二页，共149页。Phase5:公有云、私有云的最佳合作公有云服务提供商混合云

两个或更多的可互操作的云组成，实现数据和应用程序的可移植性公有云通过互联网提供的通用解决方案私有云专属于某一组织，大量的敏感信息和私有通讯私有云企业内部网络突发压力第四十三页，共149页。混合云：整体解决方案概览PublicCloudPrivateDataCentern+1LTMWANOptimization灵活运用“CloudBursting”监视应用程序性能，根据需要自动扩展到公共云第四十四页，共149页。DataCentreAccelerationasaService(WA/LTM)StorageasaService(ARX)ApplicationasaService(AppReadySolution)SecurityasaService(ASM)AccessasaService(FP/Edge+GTM)DCasaService(GTM)公有云/私有云服务内容扩展第四十五页，共149页。Joyent–IaaSandProductPackagingStorageasaService(ARX)ApplicationasaService(ApplicationReadySolution)AccelerationasaService(WA/LTM)Joyent创始人兼首席技术官JasonHoffman说：“我曾经对市场进行了全面的考察，并且尝试了几乎所有产品，但没有一款产品能够与F5的BIG-IP系统相媲美。BIG-IPLTM(本地流量管理器)是唯一一款具备超凡扩展能力，能够对支持Joyent业务蓬勃发展的数千个后端系统进行处理的应用交换机。坦率地说，如果没有该产品，我们就无法取得今天的成功。”第四十六页，共149页。维护管理界面-

统一管理/调动系统计算资源池维护管理界面虚拟化界面第四十七页，共149页。GoGrid–IaaSandProductPackaging第四十八页，共149页。GoGrid-SimplifiedManagement第四十九页，共149页。维护管理界面-统一管理/调动系统HPOperationsOrchestratorVMwarevCenterOrchestratorMicrosoftVirtualMachineManager第五十页，共149页。VMwarevSpherePlug-in-自动化管理

vSphere插件程序允许从单一位置使用本地API调用来执行服务器维护在BIG-IPLTM池中添加虚拟机在虚拟机上执行维护正常关闭服务器全方位服务支持51第五十一页，共149页。AVR-应用性能报告基于每个应用组为单位进行统计管理员可以从中得到：商业智能分析可预见的应用性能提升计划更易排错可以与第三方分析软件联动3rdParty第五十二页，共149页。F5设备自身的虚拟化53第五十三页，共149页。硬件虚拟化-vCMPF5提供强大的硬件及管理虚拟化技术vCMP功能每个blade可以创建4个虚拟设备，且可以运行不同OS版本性能按照不同的CPU数量进行分配，相应的内存，硬盘资源也一同分配虚拟设备间故障隔离，流量分离，配置文件隔离硬件虚拟设备可再次软件虚拟化App1App3App4App2App5BIG-IPAdminERPAdminsCRMAdminsPartition+RouteDomain功能多部门可无冲突的共用一组BIGIP网络和管理隔离，ip地址可重叠硬件资源共享软件虚拟化-Partition+RouteDomain虚拟化提供更高的资源利用率，简单的管理，灵活的扩展性及节能减排第五十四页，共149页。管理员角色管理PartitioningforSpecificApplicationsorBusinessUnitsVirtualResourcesObjects,Caching,Compression,SSL,etcSelf-servemodelincreasesresponsetimeAdministrativeDomainsChangecontrolandauditsCommonPartition(ReadOnlyforall–AdmincanR/W)Partition2VS1Pool1Node1WIP1SPool1Prof1Rule1VS2VS3VS4ManagerOperatorApp.EditorPool2Node2Node3Node4Node5Node6Node7Node8Node9Node10Prof2Rule2VLan1UserPartition1Partition3VS4VS5Rule2Pool3Node10Node11Node8Node9UserwillonlyseethoseobjectsintheirpartitionPool1Pool2Node1Node2Mon1第五十五页，共149页。ViewingallpartitionsAdminseesallobjects第五十六页，共149页。Inpartition#1Userseesonlyobjectsinpartition#1第五十七页，共149页。Inpartition#2Userseesonlyobjectsinpartition#2第五十八页，共149页。TheProblem:Multi-tenancyvs.VirtualizationHardwareOSPartition1Partition2Partition3Partition4HardwareInstance1Instance2Instance3Instance4OSOSOSOSFeatureMulti-TenantVirtualizationResourceAllocationShared/Flexible互相争用Static/Dedicated单独分配，互不影响OperatingSystemSingleShared升级将影响全部业务MultipleUnique每个虚拟设备拥有不同的OS，可逐个升级第五十九页，共149页。虚拟架构优势：按需调整资源APP1APP2APP3APP4按需调整多个负载均衡器间的资源，无须再为单个应用的流量增加而购置新设备第六十页，共149页。F5提供革命性的Cluster技术-不再是1:1冗余ActiveVIPRION1ActiveActiveApp3App1F5Cluster冗余技术，对vCMP同样适用App4App2App7App5App8App6App11App9App12App10VIPRION2VIPRION3第六十一页，共149页。虚拟路由域

“RouteDomains”Hostmultipledepartments/organizationsononeBIG-IPwithoutconflictsGranularcontroltoprovideseparateroutingdomainsandoverlappingIPsDepartmentADepartmentB第六十二页，共149页。虚拟路由域(routedomain)实例-环境说明环境说明：不同用户获得了相同的IP地址，需要访问后台的服务器后台server也被分配了相同的IP地址。

注：该情况在实际的云环境中会出现，比如：不同业务系统会被安装在不同的虚拟服务器上，为减少重复配置虚拟服务器的工作量，其操作系统，IP地址，路由等信息都可以是相同的。负载均衡器的网关地址指向上层被虚拟化成两台路由设备的NE40-2，IP地址都是54.需要解决的问题：在该环境下，如果保证负载均衡器可将请求通过正确的网关地址返回给来自同一源IP地址的不同客户端。63第六十三页，共149页。虚拟路由域(routedomain)实例-技术实现说明问题解决的相关技术实现说明：NE40三层路由设备使用VRF（虚拟路由及转发功能）将一台物理设备需拟为两台独立的路由设备。注：图中的S8505-2只是一台划分了两个vlan的二层交换机。一台物理F5设备同样被划分为两个虚拟设备，并利用routedomain功能，解决不同用户使用相同源IP地址访问的问题。也同样解决下述的服务器使用相同IP地址的问题。

注：在图中，是可以理解为是F5为服务器提供的地址映射（F5叫VS），用户只要访问该地址，就可以访问到相关应用。因为用户A及用户B访问的是相同服务，所以该地址必需在两个虚拟F5上同时出现。同时，由于F5的上一层网关地址也相同（两个虚拟路由器的IP地址都是54），所以也无法利用每个VS设置不同路由的方式找到正确返回的路径。F5routedomainRoutedomain是在云计算环境下，将一台物理设备需拟化成多台后，解决IP地址重叠问题时所采用的关键技术。在划分routedomain后，上述的IP地址实际在两台虚拟的F5设备将被标识为类似%1及时%2。后面%1字样则代表了在哪个routedomain里。因为加上了%1字样，在F5看来就已经不存在IP地址重叠的问题了。64第六十四页，共149页。Routedomain更多环境对于公有云提供商，利用该功能可以实现针对每个客户的网络/服务隔离。65第六十五页，共149页。EMCPC-HomePC-LANWLANDataDomainWindowsNetAppCellRemote-WANVirtualizationARXApplicationServerVirtualizationBIG-IPLTMBIG-IPASMWebServerVirtualization&AccelerationBIG-IPLTMBIG-IPWABIG-IPASMDataCenterVirtualization&SecureAccessBIG-IPGTMBIG-IPEDGE/APMGTM=GlobalTrafficManagerEDGE=EDGEGatewayRemoteAccessAPM=SingleSign-OnLTM=LocalTrafficManagerWA=WebAccelerationASM=ApplicationSecurityManagerBIG-IPWanOptAppServersIMSServersWebServicesSIPServersWebServersVDIServersAuth.ServersVideoServersWOM=WanOptimizationModuleARX=Virtualization云计算架构建议

BIG-IP

BIG-IP

BIG-IP

BIG-IP

第六十六页，共149页。F5在“云计算”平台里体现的优势高性能可灵活扩展的硬件平台及集群模式，满足云计算平台处理能力的平滑扩展F5专门为云计算平台设计的插卡式硬件平台，可通过扩展板卡数量的方式提升性能，无需down机，无需手工配置即可提升整机处理性能，最高单台设备可处理160G流量。可集群工作的性能及高可性扩展模式，提高投资回报率开放的管理控制接口，可与统一的云平台管理系统对接可由统一的云平台管理系统集中控制服务器、F5、应用等资源实现统一的按需资源分配，平滑对后台系统进行升级维护丰富的增值功能，提高用户访问的体验提供用户访问速度，提高应用安全性67第六十七页，共149页。F5在“云计算”平台里体现的优势基于不同OS的物理设备虚拟化技术每个虚拟化的设备拥有自己的OS，升级任一OS时，不会影响其他的虚拟化设备运行每个虚拟化设备拥有自己的配置文件及管理IP地址，可由不同的运维小组管理，互不影响，保证安全每个虚拟化设备拥有独立的CPU，RAM资源，在某一虚拟化设备达到性能瓶颈时，不会影响其他虚拟化设备支持routedomain技术可以有效解决IP地址重叠的问题每个虚拟化设备都可以拥有自己的routedomain.68第六十八页，共149页。F5应用交付架构及关键技术介绍第六十九页，共149页。昂贵低效的“打补丁”解决方案Users统一的网络/应用基础设施服务应用/文件存储用户第七十页，共149页。F5提供的是面向应用的统一交付平台Users统一的网络/应用基础设施服务应用/文件存储用户统一硬件平台第七十一页，共149页。传统IT架构：网络结构混乱业务扩展导致混乱加剧生产力不高成本增加无法实现云计算架构资源无法共享根据IP地址进行服务调度高可用性差灵捷度差战略控制点：网络结构清晰易扩展生产力高成本降低轻松实现云架构资源共享根据业务内容进行服务调度业务高可用灵捷架构使用战略控制点提供整体

共同架构服务第七十二页，共149页。F5的应用交付功能AvailabilityServicesAccelerationPerformanceServicesSecurityServices负载均衡广域均衡和容灾会话保持链路均衡应用监控会话交换服务器预停机高可用快速安全ADNSSL加速HTTP&XML压缩连接优化QoS和带宽管理TCP优化动态/静态内容缓存集中认证协议优化集中认证网络层及应用层DoS攻击防护SSLCookie加密集中证书管理应用层安全受限的DNS解析资源信息隐藏Data校验和清洗准入访问控制包过滤IPv4/IPv6网关第七十三页，共149页。F5’sADNSOLUTIONS-高可用及应用路由

如何缓解访问压力？

如何满足复杂的访问逻辑需求？

如何实现应用级容灾?

第七十四页，共149页。如何缓解访问压力？负载均衡功能平均分配流量,服务器集群工作灵活多样的算法平滑的可扩展架构，随时按需扩充服务器，提升服务能力智能健康检查，实时发现服务器故障，“零”Down机时间ICMPPort内容业务RouterF5ADCApplicationServersDBServersF5ADC第七十五页，共149页。F5不仅仅是负载均衡-应用路由功能BIG-IP有最强的数据包截获和检查引擎（UIE）去检查任何类型数据流中的任何部分，并利用iRules根据截获的信息进行分发处理。可以根据业务需要快速定制分发策略，节省应用开发时间。第七十六页，共149页。为什么需要应用路由DynamicInfrastructureDeliveryModelCorporateEmployeesRemoteEmployeesMobileEmployeesBranchEmployeesCustomer,Partners,orSuppliersCloudServicesHostedApplicationsSAASBranchappsandDataCorporateDataCenter第七十七页，共149页。应用路由满足复杂的访问逻辑需求应用路由：根据不同来源的用户端或所选择的（地区）进行在多个服务器群组中进行分配根据用户的身份进行分配根据应用类型不同进行分配…….WWWBIG-IPWNetwork省1用户省2用户第七十八页，共149页。应用路由-基于URI的七层交换79index.htma.gifb.gifc.jspindex.htma.gifb.gifc.jspHTMLserverpoolGIFserverpoolJSPserverpool基于Object类型进行交换基于URI目录结构进行交换ClientWebServerWebServerJSPServerClientClient/abc/a.jsp/abc/*.*/cde/b.jspWebLogic/cde/*.*WebLogicWebLogicWebLogicApplication1VSStart_with/abc->Pool1Start_with/cde->Pool2Application2BIG-IPLTMBIG-IPLTM第七十九页，共149页。应用由路-OracleRAC的优化BIG-IPLTMApplicationServerStorageRACRACRAC复制复制利用F5将同一用户的请求发送到同一个RAC节点，节少多个RAC节点间的复制导致Oracle性能急剧下降的问题第八十页，共149页。如何满足复杂的访问逻辑需求？BIG-IP有最强的数据包截获和检查引擎去检查任何数据流量包中的任何部分这使得BIG-IP明显有别于其他的厂商的产品第八十一页，共149页。F5’sADNSOLUTIONS-加速

如何提升用户访问速度，提高用户满意度？

第八十二页，共149页。江苏第八十三页，共149页。Bandwidth≠Throughput更大的带宽不意味着更多的流量随着距离的延长，延时增加，丢包率上升，throughput将受到极大影响不同运营商之间的网间路由瓶颈MilesThroughput(Kb/s)vs.Distance(Miles)1001,00010,000150,000300,000450,00000Kb/sPercentageThroughput(Mb/s)vs.PacketLoss(%)2%4%8%10205000Mb/s30406%HTTPFTPAsdistanceincreases,networklatencyincreasesandoverallthroughputdecreasesAspacketlossincreases,overallthroughputdecreases第八十四页，共149页。UsersareIncreasinglyMobileWebpagesare40-80%slowerContinuityofuse第八十五页，共149页。当今的Web应用几乎都是动态页面但实际只有少数内容是真正“动态”的第八十六页，共149页。全方位的智能加速功能–三维加速ServerOffloadNetworkOffloadApplicationOffload减少带宽占用，降低传输延时，提升数据传输效率免费的二层至七层的QOS管理

免费的TCP协议优化

免费且智能的HTTP压缩功能-基于客户访问延时决定是否开启

免费的SitetoSite的WAN优化可扩展的sitetosite重复数据删除应用层加速，提高应用处理性能高级浏览器控制功能，可以强制用户缓存“动态”内容

高级应用代理模式，可以加速CIFS,等协议的传输服务器压力卸载，恢复服务器资源免费的RAMCache

免费的连接复用基于专用芯片的SSL加解密功能10%WAN第八十七页，共149页。Translatesbetweennon-optimizedclientsandserversonWANMaximizesthroughputonhighlatencynetworksImprovesperformanceacrosshighlosslinksAcceleratealldatatransportWebApplicationsDial-UpWirelessBroadbandClientsLANTCPExpressF5第八十八页，共149页。WebBrowsingVoiceOverIPOracleOutlookSAPImplementclassification,coloring,andenforcementEnforcehardbandwidthlimitsorsoftlimitswithborrowingReservebandwidthforpriorityapplicationsOptimizetheallocationofresourcesApplicationsOutlookWebBrowsingVoiceOverIPSAPOracleClients(After)(Before)L7RateShapingBIG-IPLTM第八十九页，共149页。IEsupportsonlytwohttpconnectionspersiteatatimetothesamehost/domainMultiConnectincreasesthenumberofclientconnectionsWebApplicationsPerformmoreoperationsinparallelWANClientsIBR-MultiConnectWebAccelerator第九十页，共149页。IEsupportsonlytwohttpconnectionspersiteatatimetothesamehost/domainMultiConnectincreasesthenumberofclientconnectionsReducesthenumberofserverconnectionsby95%ormoreIncreasesservercapacitybyupto35%OffloadconnectionhandlingoverheadWebApplicationsManyClientConnectionsClientsFewServerConnectionsOneConnect-连接优化WebAccelerator第九十一页，共149页。ImpactofMulti-ConnectBenefitsMakesmoreefficientuseofthenetworkFasterpageloadtimes!FeaturesHandlesbrowserdependenciesEnablespipeliningTransparenttotheoriginapplicationEnabletheBrowsertoIncreaseSimultaneousConnectionsWithoutAccelerationWithAcceleration第九十二页，共149页。StaticandDynamicCompression可选择内置硬件压缩卡与客户端自适应的压缩

基于TCP延迟

–

观察客户端RTT基于低带宽客户端连接Gzip,Deflat选择性压缩基于URI：URI/内容过滤

–

允许/拒绝表

基于MIME类型：对设定文件类型压缩可调节资源分配解决方案

分配更多的内存和CPU时间给高优先级作业Client2Client1Client3CompressSpecifiedContentforUserswithTCPRTT>4MS=Client2and3RTT2msRTT4msRTT5msPaybackTime,

3Months第九十三页，共149页。OffloadsapplicationcontentgenerationCachecanstorebothcompressedanduncompressedcontentReducesclientlatencyReducethenumberrequeststheservermustprocessWebApplicationsClientsStaticandDynamicCachingMostresponsesservedfromcacheWebAccelerator第九十四页，共149页。ImpactofAcceleration–应用加速第九十五页，共149页。DynamicContentControl(continue…)1stAccessExample第九十六页，共149页。DynamicContentControl(continue…)2ndAccessExample第九十七页，共149页。DynamicContentControl(continue…)3rdAccessExample第九十八页，共149页。DynamicContentControl(continue…)AccessExampleWhenIBRobjectsexpiredinWA’slocalcache第九十九页，共149页。IBR+压缩+Cache减小客户端请求数量CompressionCacheServersendsNoCacheExpireorVeryShortExpire应用策略，计算对象的PVCode并设置相应的客户端Cache失效时间Cache应用对象客户端Cache失效时间直接从本地硬盘读取客户端WebServerWebServer客户端WebServer客户端第一次请求第二次请求后续请求Web应用加速技术使客户端浏览器重复使用可缓存的内容>缓存动态页面中的静态内容>无需下载客户端软件>无需改变浏览器>保持内容刷新度第一百页，共149页。ImageOptimization-QualityQuality90Size102Quality70Size50Quality10Size12第一百零一页，共149页。IPWANADC—

部署应用优化加速的理想环节!服务器通用的操作系统通用的硬件平台应用业务逻辑内容

ADC负载均衡SSL终结连接管理压缩动态与静态caching带宽管理通过ASIC卸载压力URL改写应用安全服务器应用交付控制器恢复80%服务器资源降低带宽75％以上提高3－10倍的响应速度第一百零二页，共149页。ImprovingVMDensityTypicalvirtualizedserverSSLCachingCompressionOneConnectTCPOptimizationOffloadSameserverwithBIG-IP第一百零三页，共149页。JointtestingconductedatSAPCo-InnovationLab68%38%ReducedCPUUtilizationonSAPPortal第一百零四页，共149页。ServerConsolidation第一百零五页，共149页。F5’sADNSOLUTIONS

如何保证安全？

-应用安全

-安全访问控制

第一百零六页，共149页。OWASP10大攻击威胁OWASP2010年发布的针对WEB应用的前十大攻击威胁:A1:Injection（注入攻击）A2:Cross-SiteScripting(XSS)(跨站点脚本攻击）A3:BrokenAuthenticationandSessionManagement（破坏认证和会话管理）A4:InsecureDirectObjectReferences（直接对象引用隐患）A5:Cross-SiteRequestForgery(CSRF)（跨站请求伪造漏洞）A6:SecurityMisconfiguration（错误的安全配置）A7:InsecureCryptographicStorage（不安全密码存储）A8:FailuretoRestrictURLAccess（无限制URL访问隐患）A9:InsufficientTransportLayerProtection（薄弱的传输层保护）A10:UnvalidatedRedirectsandForwards（未经验证的网址重定向）第一百零七页，共149页。传统安全防范的不足第一百零八页，共149页。防火墙的优缺点防火墙使用的是正向安全原则，默认关闭所有的端口，然后通过策略配置开启但防火墙无法检查数据包里面的内容，对应用层攻击全部放行另外，防火墙的防SYNflood攻击能力不足109第一百零九页，共149页。传统安全设备不具备HTML语言编译能力Considerthefollowing

Thesequence:

+ADw-

Istheequivalentof<inUTF-7

Thefollowing:

+ADw-script+AD4-alert('XSS')+ADw-/script+AD4-

WhendecodedinUTF-7,itisactually

<script>alert('XSS')</script>

OnlywhendecodedasUTF-7,thiswouldbeaproblem,inotherencodingsitisnot.第一百一十页，共149页。传统防范方法不易阻拦应用层攻击防火墙DataCenterLAN传统防火墙只能防止网络攻击IDS/IPSPort80/443Web流量畅通无阻EmployeesWeb应用WebDav CodeRedNimda ForcefulbrowsingCrosssitescripting OScommandinjectionUnicodeattacks CookiepasswordtheftCookiepoisoning Web-basedwormsSQLinjection SitedefacingATTACKSXMLSOAPwebservices.NETJ2EEJava文件和打印服务对于加密流量或压缩流量，IDS/IPS设备将无法判断第一百一十一页，共149页。Slowloris,SlowPOSTattackSlowloris攻击方式：发送一个http请求，但没有结束符(\r\n)

服务器开始等待再发送一个非正常请求服务器不认识，继续等待...直到连接数耗尽SlowPOSTattackPOST的时候，指定一个非常大的content-length，然后以很低的速度发包，比如10-100s发一个字节，hold住这个连接不断开。这样当客户端连接多了后，占用住了webserver的所有可用连接，从而导致DOS。Result利用非常少的带宽即可使用webserver挂死遗憾的是apache和MS目前都无临时解决方案第一百一十二页，共149页。传统安全防范的不足HTTP攻击看上去都是“正常”请求HTTP是无状态的,而应用是有状态的Web应用是千变万化的没有特征码是为你的web应用而定制开发的最佳的保护应该是可以同时检查返回内容的加密的流量更利于攻击…企业生活在“黑暗”之中没有有效的工具可以统计并报告攻击情况第一百一十三页，共149页。传统方法解决这些问题所需要的时间?WebsiteSecurityStatisticsReport

安全团队无法控制研发团队的优先级别每一个漏洞都需要时间进行修复并进行验证，确保不会带来新的问题手动修复成本高昂有些漏洞很难修复：第三方的代码或程序库研发团队维护的老应用第一百一十四页，共149页。F5安全的四个阶段的解决方案客户端安全执行客户端安全检查及访问准入控制客户端身份认证数据传输安全执行数据双向传输端到端加密，保证数据传输途径中的任何一个环节无法获取关键信息服务器端安全对所有识别的请求放行，对所有不识别的请求进行阻断服务器返回内容安全对服务器返回的内容进行检查，一旦发现有关键字或格式，则进行屏蔽115第一百一十五页，共149页。端点检查及应用访问安全准入控制116

–指定的防病毒软件检查－指定的个人防火墙检查 –Windows操作系统补丁检查 –注册表设置

FullNetworkQuarantineNetworkPleaseupdateyourmachine!通过F5的端点检查，可以对每一个访问的客户端进行检查安全隔离与修补第一百一十六页，共149页。统一的安全访问控制OAMPolicyManagerOAMDirectoryWebServersApp1App2AppnReplacewebProxywithAPMSuperiorscalabilityandhighavailabilityBenefitfromAND支持SSOUsersWebProxyBIG-IPLTMAPMLTM=LocalTrafficManagerOAM=OracleAccessManagerSSO第一百一十七页，共149页。短信口令模式介绍-挑战应答方式短信挑战应答方式第一百一十八页，共149页。访问控制策略可视化图形设计

第一百一十九页，共149页。AdvancedauthenticationandaccesscontrolWebbasedapplicationswithDynamicACLControl(LTMforpublichttptraffic)(LTM+APMforaccesscontrol)231HTTPtrafficforvisitors/guests,accessproaccessHTTPStrafficforsubscribers,accessprologinpageandauthenticationHTTPtrafficforpublicwithnoaccesscontrol第一百二十页，共149页。数据传输安全－SSL通道加密数据传输每一台F5设备内部都配置有硬件的SSL加解密芯片(特别适合2048位key的处理)对于Web类型访问，直接可以通过HTTPS加密方式对传输数据进行加解密对于其他不直接支持SSL加密的协议，可以通过F5内置的SSLVPN建立安全通道，实现加密数据传输121第一百二十一页，共149页。服务器端安全的四个层面122122网络层安全FullProxy运行模式协议层安全完整的协议符合性检查被动安全模式通过可动态更新的特征判断主动安全模式定义数据流程的允许访问策略采用代理模式运行，双TCP堆栈，可以阻止任何的网络层面攻击可对HTTP、SMTP、FTP等协议在协议层面上进行严格检查，对于不符合协议规范的请求一律拒绝访问。通过速率限制防止应用层DDOS攻击内置动态可更新的攻击特征代码，对请求内容进行分析，防止通用型攻击手段通过应用访问流程制定、用户提交信息分析等策略，只放过在安全策略定义范围内的客户端请求，对不认识的请求一律拒绝攻击危险程度安全防护级别应用安全需求F5解决方案第一百二十二页，共149页。网络层防护DDOS攻击FastL4ProfileTCPProfileSystem-GenaralLocalTraffic123第一百二十三页，共149页。协议层安全-强制协议规范符合-PSM124第一百二十四页，共149页。协议层安全-Cookie加密125第一百二十五页，共149页。协议层安全-FTP协议126第一百二十六页，共149页。协议层安全-SMTP协议127第一百二十七页，共149页。被动安全模式-动态更新攻击代码特征库-ASM特征库由全球著名安全组织WhiteHat提供攻击代码特征库-自动/手动第一百二十八页，共149页。主动安全模式-基于应用层的白名单防护第一百二十九页，共149页。Layer7DDoSand暴力/穷举破解

精确的检测技术提供三种不同深度的检查及阻断攻击的方法第一百三十页，共149页。ICAPsupport支持ICAP协议，可将用户上传或下载的文件通过该协议与病毒扫描设备/DLP联动，自动将文件发送到病毒扫描设备上进行分析F5DMZA.V.ICAPCorporateWANInternetSaaS,Partners,ConsumerPortals,etc.FriendorFo