负载均衡设备基本原理

负载均衡设备基本原理1第1页，共45页，2023年，2月20日，星期四负载均衡基础中文站负载均衡设备使用情况内部VIP和外部VIP负载均衡的地址转换（3种工作模式/SNAT）连接分配与保持技术（源地址，COOKIE）健康检查F5工作原理F5性能指标(安全防护)Agenda第2页，共45页，2023年，2月20日，星期四负载均衡基础3第3页，共45页，2023年，2月20日，星期四中文站负载均衡设备使用情况

兴议CSR兴议核心交换机接入交换机L21GL3L3L310GL310GF5BIG8400F5BIG8400A10AX3200A10AX3200NS10010NS9950NS10010NS9950第4页，共45页，2023年，2月20日，星期四LB用途F58400：中文站市场/收费/社区/P4P/SA应用/附属应用A10AX3200：中文站图片CACHENS：10010：搜索/TPDNS/图片VIP9950：图片CACHE5第5页，共45页，2023年，2月20日，星期四内部VIP与外部VIP内部VIP提供生产网络机房内部调用，比如：搜索的isearch内部VIP，外部不可访问外部VIP提供对外用户的访问需求，比如中文站主站，以及CRM的应用，能够通过安全设备提供对源地址的访问限制6第6页，共45页，2023年，2月20日，星期四负载均衡的VIP功能地址转换模式A（SNAT/DNAT：万能模式）源地址目标地址都转换，服务器无法看到真实客户源地址模式B（DNAT：PBR模式）只转换目标地址，需要网络结构/负载均衡都支持模式C（NOTHING：DR/DSR模式）不做地址转换，需要服务器创建一个LOOPBACK地址。推荐的使用模式。7第7页，共45页，2023年，2月20日，星期四一个例子:Internet:8080:80:4002:80VirtualServer7:80PoolMembersMapsto第8页，共45页，2023年，2月20日，星期四VirtualServer-AddressTranslationBIG-IPperformsnetworkaddresstranslationtorealserveraddressessuchthatallmachinesareviewedasoneVirtualServerRealServerAddressNetworkAddressTranslationVirtualServerAddressInternet7:80:8080:80:4002:80第9页，共45页，2023年，2月20日，星期四NetworkFlow-Packet#1resolvestoBIG-IPVirtualServerAddress7:80

Internet:8080:80:4002:80DNSServer7:80第10页，共45页，2023年，2月20日，星期四NetworkFlow-Packet#1BIG-IPtranslatesDestAddresstoNodebasedonLoadBalancingInternetPacket#1Src-0:4003Dest–7:80:8080:80:4002:80Packet#1Src–0:4003Dest–:8007:80第11页，共45页，2023年，2月20日，星期四NetworkFlow–Packet#1ReturnBIG-IPtranslatesSrcAddressbacktoVirtualServerAddressInternetPacket#1-returnDest-0:4003Src–7:80:8080:80:4002:80Packet#1-returnDest–0:4003Src–:8007:80第12页，共45页，2023年，2月20日，星期四NetworkFlow-Packet#2InternetPacket#2Src-1:4003Dest–7:80:8080:80:4002:80Packet#2Src–1:4003Dest–:400217:80第13页，共45页，2023年，2月20日，星期四NetworkFlow–Packet#2ReturnInternetPacket#2-returnDest-1:4003Src–7:80:8080:80:4002:80Packet#2-returnDest–1:4003Src–:400217:80第14页，共45页，2023年，2月20日，星期四NetworkFlow-Packet#3InternetPacket#3Src-5:4003Dest–7:80:8080:80:4002:80Packet#3Src–5:4003Dest–:808057:80第15页，共45页，2023年，2月20日，星期四NetworkFlow–Packet#3ReturnInternetPacket#3-returnDest-5:4003Src–7:80:8080:80:4002:80Packet#3-returnDest–5:4003Src–:808057第16页，共45页，2023年，2月20日，星期四负载均衡的SNAT(SecureNAT)功能地址转换当服务器只有私有地址的时候，但是又想访问外网的时候，需要网络设备提供地址转换。是不是回忆起啥？对！！！就是家里的宽带路由器的共享上网功能如果服务器要访问工商银行的FTP服务器，对方会向你索要你的公网地址，加入到白名单。你就可以通过它的防火墙了。17第17页，共45页，2023年，2月20日，星期四请看SNAT的示意图18第18页，共45页，2023年，2月20日，星期四连接分配方法：RoundRobinRatioLeastConnectionsFastestObservedPredictiveDynamicRatioPriorityGroupActivationFallbackHostStaticDynamicFailureMechanisms第19页，共45页，2023年，2月20日，星期四RoundRobinClientsRouterBIG-IPControllerServersClientrequestsaredistributedevenly12345678Internet第20页，共45页，2023年，2月20日，星期四RatioClientsRouterBIG-IPControllerServersAdministratorsetsratiofordistributingClientrequests3:2:1:11234891011Internet571214613第21页，共45页，2023年，2月20日，星期四FastestClientsRouterBIG-IPControllerServersNextrequestsgotoNodewithfastestresponsetime25Internet10ms10ms10ms17msCurrentResponseTimes1436第22页，共45页，2023年，2月20日，星期四FastestClientsRouterBIG-IPControllerServersSometimelater,responsetimeschange102104Internet10ms10ms7ms7msCurrentResponseTimes101103第23页，共45页，2023年，2月20日，星期四LeastConnectionsClientsRouterBIG-IPControllerServers12InternetNextrequestsgoestoNodewithfewestopenconnections459460461470CurrentConnections3456第24页，共45页，2023年，2月20日，星期四LeastConnectionsClientsRouterBIG-IPControllerServersInternetSometimelater,numberofconnectionschange6163280290111112CurrentConnections62第25页，共45页，2023年，2月20日，星期四PriorityGroupActivationClientsRouterBIG-IPControllerServers135246InternetPriority1Priority2IfyousetPriorityGroupActivationto2,and3ofthehighestprioritymembersareavailable,thenlowerprioritymemberswillnotbeused.第26页，共45页，2023年，2月20日，星期四PriorityGroupActivationClientsRouterBIG-IPControllerServers15InternetPriority1Priority2324678IfnumberofmembersfallsbelowPriorityGroupActivation(2),thenthenexthighestprioritymembersareusedalso.第27页，共45页，2023年，2月20日，星期四重要的健康检查Monitor7层检查:GET/ REPONSE200ok4层检查：SYN-SHAKE;FIN-SHAKEICMP:ping检查模拟环境示例：在模拟环境上创建3种类型的MONTIOR，在服务器上观察数据包28第28页，共45页，2023年，2月20日，星期四Ping检查StepsPacketssenttoIPAddressesIfnoresponse,thennotrafficsenttomembersusingthatnodeaddressExample-ICMPInternetICMP第29页，共45页，2023年，2月20日，星期四端口检查StepsOpensTCPconnection(IPAddress:service)ConnectionclosedIfTCPconnectionfails,thennotrafficsenttoassociatedMembersExample–TCPInternet:80:80:80TCPConnection第30页，共45页，2023年，2月20日，星期四7层/内容检查Internet:80:80:80StepsOpensTCPconnection(IPAddress:service)SendsarequestResponsereturnsdataConnectionclosedIfReceiveRulenotfoundindata,thennotrafficsenttoassociatedMembersExample–httphttpGET/第31页，共45页，2023年，2月20日，星期四连接保持技术源地址保持技术示意图Cookie保持技术示意图第32页，共45页，2023年，2月20日，星期四源地址保持BasedonClientSourceIPAddressNetmask->AddressRange12312301IfNetmaskis07第33页，共45页，2023年，2月20日，星期四Cookie保持InsertmodeBIG-IPInsertsacookieintothestreamRewritemodeWebservercreatescookieandBIG-IPControllerchangesitPassivemodeWebservercreatescookieandBIG-IPControllerReadsitHashmodeMapsacookievaluetoaspecificnodeWebservermustgenerateacookie第34页，共45页，2023年，2月20日，星期四ClientServerHTTPrequest(nospecialcookie)TCPhandshakeTCPhandshakeHTTPrequest(nospecialcookie)HTTPreply(nospecialcookie)HTTPreply(withinsertedcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(nospecialcookie)HTTPreply(updatedcookie)cookie

specifies

serverFirstHitSecondHitCookieInsertMode第35页，共45页，2023年，2月20日，星期四ClientServerHTTPrequest(nospecialcookie)TCPhandshakeTCPhandshakeHTTPrequest(nospecialcookie)HTTPreply(withblankcookie)HTTPreply(withrewrittencookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withblankcookie)HTTPreply(withupdatedcookie)cookie

specifies

serverFirstHitSecondHitCookieRewriteMode第36页，共45页，2023年，2月20日，星期四ClientServerHTTPrequest(nospecialcookie)TCPhandshakeTCPhandshakeHTTPrequest(nospecialcookie)HTTPreply(withspecialcookie)HTTPreply(withspecialcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withspecialcookie)HTTPreply(withspecialcookie)cookie

specifies

serverFirstHitSecondHitCookiePassiveMode第37页，共45页，2023年，2月20日，星期四ClientServerHTTPrequest(nospecialcookie)TCPhandshakeTCPhandshakeHTTPrequest(nospecialcookie)HTTPreply(withcookie)HTTPreply(withcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)HTTPreply(withcookie)cookie

hashspecifies

serverFirstHitSecondHitThirdHitServerTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)cookie

hashspecifies

serverTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)CookieHashMode第38页，共45页，2023年，2月20日，星期四F5转发PerformanceL4StandardVS39第39页，共45页，2023年，2月20日，星期四PerformanceL4TMM只是负责客户端连接的分配和转发，不改变TCP连接中的任何参数客户端和服务器自行协商TCP传输参数在34/64/68平台上PerformanceL4可以有PVA加入实现硬件加速在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理PerformanceL4

VS上只有4层的iRules可以使用默认状态下，新建连接的第一个包必须是Syn包，如果是其他的数据包比如ACK、RST等如果不在连接表中，则全部丢弃。在FastL4profile打开Looseclose和LooseInitial的时候对非Syn包也可以建立连接表TMM客户端客户端客户端服务器端服务器端服务器端40第40页，共45页，2023年，2月20日，星期四PerformanceL4攻击防护-SynCookie正常情况下客户端连接和服务器端连接是1:1的关系TMM在第一次收到客户端Syn包时，并不建立连接表TMM的SynAck回应通过算法回应给客户端Syn，并期待客户端回应的值TMM对客户端ACK进行计算，确认是真实客户端，再和后台服务器建立连接在84/88上可以实现硬件的SynCookie计算，其余的平台都是通过软件实现SynCookie计算SynCookie工作模式下，只有成功建立连接的TCP请求才转发到后台TMMSynSyn,Ack(syncookie)Ack(Cookie)SynSyn-AckAckData41第41页，共45页，2023年，2月20日，星期四StandardVS正常情况下客户端连接和服务器端连接是1:1的关系默认工作在全代理模式，客户端和服务器端的TCP连接完全独立客户端和服务器端的TCP参数都是由TMM和双方分别协商默认情况下以客户端源IP和后台建立连接，在打开SNAT的情况下用SNAT地址和后台建立连接StandardVS的端口永远对外开放，无论后台是否有服务器在工作TMMSynSyn,AckAckSynSyn-AckAckDataData42第42页，共45页，2023年，2月20日，星期四Standard模式下的攻击防护StandardVS模式具有天然的防攻击功能在遇到Syn