負載均衡設備基本原理

負載均衡設備基本原理1第1頁，共45頁，2023年，2月20日，星期四負載均衡基礎中文站負載均衡設備使用情況內部VIP和外部VIP負載均衡的地址轉換（3種工作模式/SNAT）連接分配與保持技術（源地址，COOKIE）健康檢查F5工作原理F5性能指標(安全防護)Agenda第2頁，共45頁，2023年，2月20日，星期四負載均衡基礎3第3頁，共45頁，2023年，2月20日，星期四中文站負載均衡設備使用情況

興議CSR興議核心交換機接入交換機L21GL3L3L310GL310GF5BIG8400F5BIG8400A10AX3200A10AX3200NS10010NS9950NS10010NS9950第4頁，共45頁，2023年，2月20日，星期四LB用途F58400：中文站市場/收費/社區(qū)/P4P/SA應用/附屬應用A10AX3200：中文站圖片CACHENS：10010：搜索/TPDNS/圖片VIP9950：圖片CACHE5第5頁，共45頁，2023年，2月20日，星期四內部VIP與外部VIP內部VIP提供生產網絡機房內部調用，比如：搜索的isearch內部VIP，外部不可訪問外部VIP提供對外用戶的訪問需求，比如中文站主站，以及CRM的應用，能夠通過安全設備提供對源地址的訪問限制6第6頁，共45頁，2023年，2月20日，星期四負載均衡的VIP功能地址轉換模式A（SNAT/DNAT：萬能模式）源地址目標地址都轉換，服務器無法看到真實客戶源地址模式B（DNAT：PBR模式）只轉換目標地址，需要網絡結構/負載均衡都支持模式C（NOTHING：DR/DSR模式）不做地址轉換，需要服務器創(chuàng)建一個LOOPBACK地址。推薦的使用模式。7第7頁，共45頁，2023年，2月20日，星期四一個例子:Internet:8080:80:4002:80VirtualServer7:80PoolMembersMapsto第8頁，共45頁，2023年，2月20日，星期四VirtualServer-AddressTranslationBIG-IPperformsnetworkaddresstranslationtorealserveraddressessuchthatallmachinesareviewedasoneVirtualServerRealServerAddressNetworkAddressTranslationVirtualServerAddressInternet7:80:8080:80:4002:80第9頁，共45頁，2023年，2月20日，星期四NetworkFlow-Packet#1resolvestoBIG-IPVirtualServerAddress7:80

Internet:8080:80:4002:80DNSServer7:80第10頁，共45頁，2023年，2月20日，星期四NetworkFlow-Packet#1BIG-IPtranslatesDestAddresstoNodebasedonLoadBalancingInternetPacket#1Src-0:4003Dest–7:80:8080:80:4002:80Packet#1Src–0:4003Dest–:8007:80第11頁，共45頁，2023年，2月20日，星期四NetworkFlow–Packet#1ReturnBIG-IPtranslatesSrcAddressbacktoVirtualServerAddressInternetPacket#1-returnDest-0:4003Src–7:80:8080:80:4002:80Packet#1-returnDest–0:4003Src–:8007:80第12頁，共45頁，2023年，2月20日，星期四NetworkFlow-Packet#2InternetPacket#2Src-1:4003Dest–7:80:8080:80:4002:80Packet#2Src–1:4003Dest–:400217:80第13頁，共45頁，2023年，2月20日，星期四NetworkFlow–Packet#2ReturnInternetPacket#2-returnDest-1:4003Src–7:80:8080:80:4002:80Packet#2-returnDest–1:4003Src–:400217:80第14頁，共45頁，2023年，2月20日，星期四NetworkFlow-Packet#3InternetPacket#3Src-5:4003Dest–7:80:8080:80:4002:80Packet#3Src–5:4003Dest–:808057:80第15頁，共45頁，2023年，2月20日，星期四NetworkFlow–Packet#3ReturnInternetPacket#3-returnDest-5:4003Src–7:80:8080:80:4002:80Packet#3-returnDest–5:4003Src–:808057第16頁，共45頁，2023年，2月20日，星期四負載均衡的SNAT(SecureNAT)功能地址轉換當服務器只有私有地址的時候，但是又想訪問外網的時候，需要網絡設備提供地址轉換。是不是回憶起啥？對?。?！就是家里的寬帶路由器的共享上網功能如果服務器要訪問工商銀行的FTP服務器，對方會向你索要你的公網地址，加入到白名單。你就可以通過它的防火墻了。17第17頁，共45頁，2023年，2月20日，星期四請看SNAT的示意圖18第18頁，共45頁，2023年，2月20日，星期四連接分配方法：RoundRobinRatioLeastConnectionsFastestObservedPredictiveDynamicRatioPriorityGroupActivationFallbackHostStaticDynamicFailureMechanisms第19頁，共45頁，2023年，2月20日，星期四RoundRobinClientsRouterBIG-IPControllerServersClientrequestsaredistributedevenly12345678Internet第20頁，共45頁，2023年，2月20日，星期四RatioClientsRouterBIG-IPControllerServersAdministratorsetsratiofordistributingClientrequests3:2:1:11234891011Internet571214613第21頁，共45頁，2023年，2月20日，星期四FastestClientsRouterBIG-IPControllerServersNextrequestsgotoNodewithfastestresponsetime25Internet10ms10ms10ms17msCurrentResponseTimes1436第22頁，共45頁，2023年，2月20日，星期四FastestClientsRouterBIG-IPControllerServersSometimelater,responsetimeschange102104Internet10ms10ms7ms7msCurrentResponseTimes101103第23頁，共45頁，2023年，2月20日，星期四LeastConnectionsClientsRouterBIG-IPControllerServers12InternetNextrequestsgoestoNodewithfewestopenconnections459460461470CurrentConnections3456第24頁，共45頁，2023年，2月20日，星期四LeastConnectionsClientsRouterBIG-IPControllerServersInternetSometimelater,numberofconnectionschange6163280290111112CurrentConnections62第25頁，共45頁，2023年，2月20日，星期四PriorityGroupActivationClientsRouterBIG-IPControllerServers135246InternetPriority1Priority2IfyousetPriorityGroupActivationto2,and3ofthehighestprioritymembersareavailable,thenlowerprioritymemberswillnotbeused.第26頁，共45頁，2023年，2月20日，星期四PriorityGroupActivationClientsRouterBIG-IPControllerServers15InternetPriority1Priority2324678IfnumberofmembersfallsbelowPriorityGroupActivation(2),thenthenexthighestprioritymembersareusedalso.第27頁，共45頁，2023年，2月20日，星期四重要的健康檢查Monitor7層檢查:GET/ REPONSE200ok4層檢查：SYN-SHAKE;FIN-SHAKEICMP:ping檢查模擬環(huán)境示例：在模擬環(huán)境上創(chuàng)建3種類型的MONTIOR，在服務器上觀察數據包28第28頁，共45頁，2023年，2月20日，星期四Ping檢查StepsPacketssenttoIPAddressesIfnoresponse,thennotrafficsenttomembersusingthatnodeaddressExample-ICMPInternetICMP第29頁，共45頁，2023年，2月20日，星期四端口檢查StepsOpensTCPconnection(IPAddress:service)ConnectionclosedIfTCPconnectionfails,thennotrafficsenttoassociatedMembersExample–TCPInternet:80:80:80TCPConnection第30頁，共45頁，2023年，2月20日，星期四7層/內容檢查Internet:80:80:80StepsOpensTCPconnection(IPAddress:service)SendsarequestResponsereturnsdataConnectionclosedIfReceiveRulenotfoundindata,thennotrafficsenttoassociatedMembersExample–httphttpGET/第31頁，共45頁，2023年，2月20日，星期四連接保持技術源地址保持技術示意圖Cookie保持技術示意圖第32頁，共45頁，2023年，2月20日，星期四源地址保持BasedonClientSourceIPAddressNetmask->AddressRange12312301IfNetmaskis07第33頁，共45頁，2023年，2月20日，星期四Cookie保持InsertmodeBIG-IPInsertsacookieintothestreamRewritemodeWebservercreatescookieandBIG-IPControllerchangesitPassivemodeWebservercreatescookieandBIG-IPControllerReadsitHashmodeMapsacookievaluetoaspecificnodeWebservermustgenerateacookie第34頁，共45頁，2023年，2月20日，星期四ClientServerHTTPrequest(nospecialcookie)TCPhandshakeTCPhandshakeHTTPrequest(nospecialcookie)HTTPreply(nospecialcookie)HTTPreply(withinsertedcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(nospecialcookie)HTTPreply(updatedcookie)cookie

specifies

serverFirstHitSecondHitCookieInsertMode第35頁，共45頁，2023年，2月20日，星期四ClientServerHTTPrequest(nospecialcookie)TCPhandshakeTCPhandshakeHTTPrequest(nospecialcookie)HTTPreply(withblankcookie)HTTPreply(withrewrittencookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withblankcookie)HTTPreply(withupdatedcookie)cookie

specifies

serverFirstHitSecondHitCookieRewriteMode第36頁，共45頁，2023年，2月20日，星期四ClientServerHTTPrequest(nospecialcookie)TCPhandshakeTCPhandshakeHTTPrequest(nospecialcookie)HTTPreply(withspecialcookie)HTTPreply(withspecialcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withspecialcookie)HTTPreply(withspecialcookie)cookie

specifies

serverFirstHitSecondHitCookiePassiveMode第37頁，共45頁，2023年，2月20日，星期四ClientServerHTTPrequest(nospecialcookie)TCPhandshakeTCPhandshakeHTTPrequest(nospecialcookie)HTTPreply(withcookie)HTTPreply(withcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)HTTPreply(withcookie)cookie

hashspecifies

serverFirstHitSecondHitThirdHitServerTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)cookie

hashspecifies

serverTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)CookieHashMode第38頁，共45頁，2023年，2月20日，星期四F5轉發(fā)PerformanceL4StandardVS39第39頁，共45頁，2023年，2月20日，星期四PerformanceL4TMM只是負責客戶端連接的分配和轉發(fā)，不改變TCP連接中的任何參數客戶端和服務器自行協(xié)商TCP傳輸參數在34/64/68平臺上PerformanceL4可以有PVA加入實現(xiàn)硬件加速在15/16/36/69/89/Viprion平臺上都通過TMM核心進行處理PerformanceL4

VS上只有4層的iRules可以使用默認狀態(tài)下，新建連接的第一個包必須是Syn包，如果是其他的數據包比如ACK、RST等如果不在連接表中，則全部丟棄。在FastL4profile打開Looseclose和LooseInitial的時候對非Syn包也可以建立連接表TMM客戶端客戶端客戶端服務器端服務器端服務器端40第40頁，共45頁，2023年，2月20日，星期四PerformanceL4攻擊防護-SynCookie正常情況下客戶端連接和服務器端連接是1:1的關系TMM在第一次收到客戶端Syn包時，并不建立連接表TMM的SynAck回應通過算法回應給客戶端Syn，并期待客戶端回應的值TMM對客戶端ACK進行計算，確認是真實客戶端，再和后臺服務器建立連接在84/88上可以實現(xiàn)硬件的SynCookie計算，其余的平臺都是通過軟件實現(xiàn)SynCookie計算SynCookie工作模式下，只有成功建立連接的TCP請求才轉發(fā)到后臺TMMSynSyn,Ack(syncookie)Ack(Cookie)SynSyn-AckAckData41第41頁，共45頁，2023年，2月20日，星期四StandardVS正常情況下客戶端連接和服務器端連接是1:1的關系默認工作在全代理模式，客戶端和服務器端的TCP連接完全獨立客戶端和服務器端的TCP參數都是由TMM和雙方分別協(xié)商默認情況下以客戶端源IP和后臺建立連接，在打開SNAT的情況下用SNAT地址和后臺建立連接StandardVS的端口永遠對外開放，無論后臺是否有服務器在工作TMMSynSyn,AckAckSynSyn-AckAckDataData42第42頁，共45頁，2023年，2月20日，星期四Standard模式下的攻擊防護StandardVS模式具有天然的防攻擊功能在遇到Syn