F5BIGIP負載均衡器培訓

1、主講：xhj日期：2022年8月13日F5 BIG-IP LTM負載均衡器培訓學習目標了解負載均衡器的概念熟悉F5負載均衡器產(chǎn)品能夠?qū)5負載均衡器進行規(guī)劃和配置學習完本課程，您應該能夠：內(nèi)容負載均衡器概念F5負載均衡器介紹F5負載均衡器配置步驟F5負載均衡器的維護F5的常見組網(wǎng)方式什么叫負載均衡器什么是負載均衡器？服務器負載均衡器是指設置在一組功能相同或相似的服務器前端，對到達服務器組的流量進行合理分發(fā)，并在其中某一臺服務器故障時，能將訪問請求轉移到其它可以正常工作的服務器的軟件或網(wǎng)絡設備。 SLB是服務器負載均衡(Server Load Balancing)的簡稱。服務器負載均衡又可以分為

2、局域網(wǎng)服務器負載均衡與廣域網(wǎng)服務器負載均衡(Global Server Load Balancing)。狹義的SLB是指局域網(wǎng)服務器負載均衡，與廣域網(wǎng)服務器負載均衡（GSLB）相對。 采用負載均衡器有什么優(yōu)點采用負載均衡器的優(yōu)點： 原有的系統(tǒng)只部署了一臺服務器，隨著訪問量的增加，一臺服務器已經(jīng)不能滿足應用的需要，而需要增加更多的服務器。當部署了兩臺以上的服務器時，就可能會需要用到負載均衡器。通過服務器負均衡器，對流量進行合理分配，可以帶來以下好處：提高性能負載均衡器可以實現(xiàn)服務器之間的負載平衡，從而提高了系統(tǒng)的反應速度與總體性能；提高可靠性負載均衡器可以對服務器的運行狀況進行監(jiān)控，及時發(fā)現(xiàn)運行

3、異常的服務器，并將訪問請求轉移到其它可以正常工作的服務器上，從而提高服務器組的可靠性提高可維護性采用了負均衡器器以后，可以根據(jù)業(yè)務量的發(fā)展情況靈活增加服務器，系統(tǒng)的擴展能力得到提高，同時簡化了管理。 負載均衡實現(xiàn)的方式實現(xiàn)服務器負載均衡有多種方法，常見的方法有：基于DNS輪詢的方法：即在DNS服務器中對同一域名設置多條DNSA記錄，通過DNS的輪詢機制實現(xiàn)服務器負載均衡?；趹密浖膶崿F(xiàn)方法，在應用軟件設計中就考慮了多服務器之間的協(xié)同工作與任務調(diào)度。這種方法一般會有一臺服務器作為中樞對訪問請求進行調(diào)度，同時要求在應用層支持訪問重定向或任務調(diào)度、跳轉機制(如nginx)。采用專門的L4/L7層

4、交換機來實現(xiàn)，也即我們常說的負載均衡器。一般都是通過在L4/L7層交換機作地址轉換（NAT）來實現(xiàn)。負載均衡器需要了解的問題負載均衡器一般需要了解以下方面的問題：支持的負載均衡算法支持的服務器健康檢查的方法如何保持客戶端和服務器的會話速度/性能指標安全性與可靠性端口數(shù)量 內(nèi)容負載均衡器概念F5負載均衡器介紹F5負載均衡器配置步驟F5負載均衡器的維護F5的常見組網(wǎng)方式F5負載均衡器介紹F5負載均衡器介紹F5產(chǎn)品介紹F5的配置方法F5的幾個概念F5的數(shù)據(jù)流F5負載均衡算法介紹F5策略保護方法介紹F5健康檢查方法介紹F5雙機介紹F5地址轉換介紹F5產(chǎn)品介紹（現(xiàn)在用的產(chǎn)品）6800系列超級多用途流量管

5、理處理器：雙CPU基本內(nèi)存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16個千兆位光纖端口：(SFP - GBIC Mini)4個（2個標準、2個可選）包括：SSL TPS/Max TPS/Bulk加速模塊：（100/20,000/2GB/秒）流量吞吐量：4GB/秒可選硬件設備：硬件壓縮*（2GB/秒）6400系列高級多用途流量管理處理器：雙CPU基本內(nèi)存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16個千兆位光纖端口：(SFP - GBIC Mini)4個（2個標準、2個可選）包括：SSL TPS/Max TPS/Bulk加速模

6、塊：（100/15,000/2GB/秒）流量吞吐量：2GB/秒可選硬件設備：硬件壓縮*（2GB/秒）FIPS處理*（8,000TPS/1GB SSL吞吐量）3400系列中級多用途流量管理處理器：單CPU基本內(nèi)存：1GBASIC：Packet Velocity ASIC2千兆位CU端口：8個千兆位光纖端口：(SFP - GBIC Mini)2個可選包括：SSL TPS/Max TPS/Bulk加速模塊：（100/8,000/1GB/秒）流量吞吐量：1GB/秒2400系列普通多用途流量管理處理器：單CPU基本內(nèi)存：768MBASIC：無千兆位CU端口：2個千兆位光纖端口（ GBIC ）：2個可選包

7、括：SSL TPS/Max TPS/Bulk加速模塊：（100/2,000/500 MB/秒）流量吞吐量：500MB/秒網(wǎng)絡端口16個光纖接口4個右下角屏幕控制板F5端口及板面說明（6800）F5的配置方法兩種配置方法Web接口方式 https 命令行方式ssh (remote)telnet（需要用命令打開）Console建議用命令行的方式初始化，在Web方式下配置業(yè)務Web 配置工具Web 配置工具配置工具文檔Web 配置工具命令行配置方式命令行配置方式：F5#config I N I T I A L S E T U P M E N U Choose the desired configur

8、ation function from the list below. (A) Configure all services (R) Steps for redundant systems REQUIRED (E) Set default gateways (V) Configure VLANs & networking (H) Set host name (W) Configure web servers (P) Set root password OPTIONAL (C) Remote authentication (O) Configure remote access (D) Confi

9、gure DNS (S) Configure SSH (F) Configure FTP (T) Configure Telnetd (I) Initialize iControl portal (U) Configure RSH (K) Set keyboard type (Y) Set support access (L) License Activation (Z) Set time zone (M) Define time servers (Q) Quit Enter Choice: 虛擬服務器（Virtual Servers）的概念 Internet50:80Virtual Serv

10、er虛擬服務器是在F5上虛擬出來的概念虛擬服務器IP地址端口號的組合節(jié)點（Nodes）的概念Internet80:8080Nodes節(jié)點（Nodes)是服務器的IP地址端口號的組合81:808082:808083:8080地址池（Pool)的概念 Internet客戶端路由器BIG-IP 負載均衡器服務器地址池是一組Node的組合虛擬服務器和節(jié)點Internet80:8080虛擬服務器節(jié)點映射到一個虛擬服務器對應一個地址池，一個地址池對應多個節(jié)點50:8081:808082:808083:8080虛擬服務器 地址轉換BIG-IP 會執(zhí)行地址換，把客戶請求的數(shù)據(jù)包中的目的地址換成真實的服務器地址

11、真實服務器地址Network Address Translation虛擬服務器地址Internet50:8080:808081:808082:808083:8080網(wǎng)絡數(shù)據(jù)流 - Packet #1解釋 to BIG-IP 虛擬服務器地址 50 InternetDNS 服務器50:8080:808081:808082:808083:8080網(wǎng)絡數(shù)據(jù)流 - Packet #1在BIG-IP 上把目的地址轉換成節(jié)點的地址，端口轉換成節(jié)點的偵聽端口InternetPacket # 1 Src - 0:4003Dest 50:80Packet # 1 Src 0:4003Dest 80:8080050

12、:8080:808081:808082:808083:8080網(wǎng)絡數(shù)據(jù)流 Packet #1 Return 在BIG-IP 把返回的數(shù)據(jù)包的源地址轉換成虛擬服務器地址，端口轉換成BIG-IP偵聽端口InternetPacket # 1 - return Dest - 0:4003Src 50:80Packet # 1 - return Dest 0:4003Src 192. 80.10.180:8080050:8080:808081:808082:808083:8080網(wǎng)絡數(shù)據(jù)流 - Packet #2InternetPacket # 2 Src - 1:4003Dest 50:80Packe

13、t # 2 Src 1:4003Dest 192. 80.10.181:8080150:8080:808081:808082:808083:8080網(wǎng)絡數(shù)據(jù)流 Packet #2 Return InternetPacket # 2 - return Dest - 1:4003Src 50:80Packet # 2 - return Dest 1:4003Src 192. 80.10.182:80150:8080:808081:808082:808083:8080F5負載均衡算法介紹Round Robin（輪詢）Ratio（權重）Least Connections（最少連接）Fastest（最快

14、回應）Observed（觀察）Predictive（預測）Dynamic Ratio（動態(tài)權重）Minimum Active Members（最少活動成員）Fallback Host靜態(tài)動態(tài)失效機制負載均衡算法輪詢客戶端路由器BIG-IP 負載均衡器服務器客戶的請求被嚴格分發(fā)12345678Internet負載均衡算法權重管理員設置把客戶的請求按 3:1:1:1比例分配123478910Internet561112客戶端路由器BIG-IP 負載均衡器服務器負載均衡算法最快回應下一個客戶請求被分配到反應最快的機器12Internet10ms5ms20ms17ms當前反應時間客戶端路由器BIG-I

15、P 負載均衡器服務器負載均衡算法最快回應 一定時間后101102Internet14ms15ms20ms11ms當前反應時間客戶端路由器BIG-IP 負載均衡器服務器下一個客戶請求被分配到反應最快的機器負載均衡算法最少連接數(shù)12Internet下一次請求發(fā)送到有最少連接數(shù)的機器上462460455465當前連接數(shù)客戶端路由器BIG-IP 負載均衡器服務器負載均衡算法最少連接數(shù) 一定時間后Internet6162342330338335當前連接數(shù)下一次請求發(fā)送到有最少連接數(shù)的機器上客戶端路由器BIG-IP 負載均衡器服務器負載均衡算法最少活動成員135246InternetPriority 1P

16、riority 2如果最少活動成員為2，現(xiàn)在有3個高優(yōu)先級的成員可用，則低優(yōu)先級的節(jié)點不會被使用客戶端路由器BIG-IP 負載均衡器服務器負載均衡算法最少活動成員15InternetPriority 1Priority 2324678如果最少活動節(jié)點少于2個，則下一優(yōu)先級的節(jié)點就會被使用客戶端路由器BIG-IP 負載均衡器服務器負載均衡算法Fallback HostInternetIf all nodes fail, then client is sent an http redirect to the “fallback” server.客戶端路由器BIG-IP 負載均衡器服務器策略保持（

17、Persistence）概念123123策略保持是處理同一臺Client端過來的請求如果分發(fā)到同一個節(jié)點中去的問題策略保持方法Simple Persistence（簡單策略保持）SSL Persistence（SSL策略保持）Cookie Persistence（Cookie策略保持）Insert, Rewrite, Passive & HashPersistence by Expressio（表達式的策略保持）.交流分享/網(wǎng)絡/F5/會話保持.doc會話策略保持方法Cookie 策略保持方法Insert 模式BIG-IP 在數(shù)據(jù)流中插入一個 cookie Rewrite 模式主機產(chǎn)生 coo

18、kie而 BIG-IP 會改寫cookiePassive 模式主機產(chǎn)生 cookie 而 BIG-IP 讀此cookieHash 模式鏡像一個 cookie值到一個特別的節(jié)點 Web server 必須產(chǎn)生一個 cookieClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (no cookie)HTTP reply (with inserted cookie)pickserver HTTP request (with same cookie)TCP h

19、andshakeTCP handshakeHTTP request (with same cookie)HTTP reply (no cookie)HTTP reply (updated cookie)cookiespecifiesserver First HitSecond HitCookie Insert 模式ClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (with blank cookie)HTTP reply (with rewritten

20、 cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with blank cookie)HTTP reply (with updated cookie)cookiespecifiesserver First HitSecond HitCookie Rewrite 模式ClientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP reques

21、t (no cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with special cookie)HTTP reply (with special cookie)cookiespecifiesserver First HitSecond HitCookie Passive 模式Cl

22、ientServerHTTP request (no cookie)TCP handshakeTCP handshakeHTTP request (no cookie)HTTP reply (with cookie)HTTP reply (with cookie)pickserver HTTP request (with same cookie)TCP handshakeTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)HTTP reply (with cookie)cookie hash specifies

23、server First HitSecond HitThird HitServerTCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)cookie hash specifiesserver TCP handshakeHTTP request (with same cookie)HTTP reply (with cookie)Cookie Hash 模式IP & TCP HeaderTCP Data表達式 （Expression）保持SYNSYN-ACKACKClient RequestSSL Session I

24、DIP AddressSIP Call IDHTTP HeadersUser Defined FieldsTCP Handshake表達式保持基于數(shù)據(jù)包中的其他內(nèi)容來做策略保持可以做任何內(nèi)容的策略保持類似于 Rules簡單(simple)策略保持方法基于源或目的IP地址假設Client IP地址不變Netmask一段地址范圍當作源地址SSL 策略保持方法基于SSL會話ID當客戶端IP地址變化時，保持不變?nèi)绻鸖SL 會話ID丟失后，保持會發(fā)生變化80:8080F5的健康檢查方法Internet節(jié)點 & 節(jié)點地址狀態(tài)用 Monitors檢查的節(jié)點的狀態(tài) UNCHECKEDCHECKINGUP DO

25、WNADDRESS DOWN管理員原因引起的狀態(tài) DISABLEDADDRESS DISABLEDFORCED DOWNADDRESS DOWN健康檢查健康檢查概念Address, Service, Content（內(nèi)容） & Interactive Checks配置健康檢查從模板中創(chuàng)建 Monitor關聯(lián):pool地址（Address） 檢查步驟包被送到IP地址如果沒有反應，則不會再往此節(jié)點發(fā)送流量例如 - ICMPInternet82ICMP8180服務（Service） Check步驟建立一個 TCP 連接 (IP 地址 : 服務)關閉連接如果TCP連接失效，則不會再往此節(jié)點發(fā)送流量例如

26、 TCP Internet82:8080TCP Connection81:808080:8080內(nèi)容（Content） 檢查Internet步驟：建立一個Opens TCP 連接 (IP地址 : 服務)發(fā)送一個請求返回數(shù)據(jù)連接關閉 如果收到的包中內(nèi)容不對，則不會再往此節(jié)點發(fā)送流量例如 http http GET /82:808081:808080:8080交互（Interactive）檢查Internet步驟建立一個連接 (IP 地址: 服務)模擬真實應用交互會話連接關閉 如果期望的結果不對，則不會再往此節(jié)點發(fā)送流量例如 SQL 請求會話82:808081:808080:8080F5雙機系統(tǒng)主

27、備主備雙機配置的一些概念Unit ID （單元號碼，雙機時此Unit ID不能相同）Failover IP (雙機中對端機器的內(nèi)部IP地址，兩臺機器Failover IP要能互相ping通）Failover Method (Hardwired or Network)（Hardwired用專門的Failover線，而Network用網(wǎng)線，經(jīng)驗驗證要采用hardwired）Shared IP（類似于雙機的浮動IP）Hostname（機器名，兩臺機器的機器名一定不要相同）F5雙機系統(tǒng)的一些概念配置F5雙機系統(tǒng)配置步驟：確認BIG-IP運行在雙機模式。在導航條選擇SYSTEM -Platform，Hi

28、th Availability設置中應選擇為Redundant Pair。通常BIG-IP1的Unit ID為1， BIG-IP2的Unit ID為2。在導航條選擇SYSTEM -High Availability，完成如下配置 配置F5雙機系統(tǒng)Redundancy Mode選擇Active/Standby模式Enable Network Failover選項。F5主備機的同步F5主備機的同步：同步別的配置當前配置F5只能同步Web 頁面的配置同步是一個push或者pull的操作F5主機的判斷通過WEB檢查通過命令行檢查 bigtop 強制把F5主機變成備機只能把主機變成備機，但不能把備機變成

29、主機命令方式 b failover standbyF5雙機切換 切換方式Watchdog deviceVLAN Arm FailsafeSSL Proxy FailoverGateway Failsafe檢測方法Fail-over cableNetwork Fail-overWatchdog 機制主F5有 硬件或軟件問題Watchdog device 觸發(fā)一個切換動作 (重啟機器)備機收不到主機的信息備機變成主機VLAN Arm Failsafe機制檢測到?jīng)]有業(yè)務網(wǎng)絡流量F5本身觸發(fā)一些流量仍然沒有沒有檢測到業(yè)務網(wǎng)絡流量發(fā)起切換進程 (重啟機器)備機從主機中收不到信息備機變成主機SSL Pro

30、xy Failover機制加密模塊硬件錯誤發(fā)起切換進程 (重啟機器)備機從主機中收不到信息備機變成主機Gateway Failsafe機制 ping GW沒有回應主機變成備機模式Sta備機從主機中收不到信息備機變成主機檢測方法Failover 線主備機之間的串口線檢查對端機器的電壓Network 線兩臺機器的內(nèi)網(wǎng)接口的通訊Communication between boxes across internal interface檢查到?jīng)]有信號廠商宣稱支持二個檢測方法，實際中建議用Failover線F5的NAT和SNATF5的NAT和SNAT：NAT (Network Address Translation)和SNAT(Secure Net