F5 Networks IDC CDN方案Word下载.docx
《F5 Networks IDC CDN方案Word下载.docx》由会员分享,可在线阅读,更多相关《F5 Networks IDC CDN方案Word下载.docx(18页珍藏版)》请在冰点文库上搜索。
三、F5公司提供ISO的L4到L7全面高可靠性、高可用性服务
F5公司一家专门从事提供L4到L7层高可靠性,高可用性的厂家。
F5的产品和服务帮助建高质量IDC,使人们获得高质量的服务。
商用级可靠性的三个关键要素。
这三个关键要素是:
1)各类服务器
2)网络
3)内容
另外,您需要利用管理工具对这些要素有效管理,F5Networks的五种核心产品,为Internet提供质量控制(QoS):
BIG/ipreg;
控制器、3DNSreg;
控制器、global/SITE?
控制器、Edge-Fx网络内容加速器和see/IT?
网络管理。
针对Internet市场用户不断增加、Internet服务负载不断加重、Interent新型的电子商务应用需求的增长,F5公司提出一iTCM(internetTrafficandContentManagement)的全新的网络服务概念,提出了一系列完整的Interent流量和内容管理解决方案。
这些解决方案包括第4/7层的服务器负载均衡、智能化的流量控制、各类网络设备(防火墙、路由器、认证服务器等)负载均衡、全球站点的全球负载均衡、带宽管理、基于策略的应用重定向和过滤等等。
目前F5公司解决方案已经覆盖了Internet每一个领域,包括Internet接入商(ISP)、Internet内容提供商(ICP)、Internet应用提供商(ASP)、Internet大型数据中心(IDC)、电子商务、以及企业Intranet应用。
F5公司的解决方案是目前这一领域内技术最领先的厂家,在全球赢得了一大批包括Exodus、NTT、PSInet,UUnet、AOL、英国电信、Intel、HP、Dell、IBM等大型用户。
BIG/IP为大量的TCP/IP应用提供负载均衡服务,包括HTTP、HTTPS、FTP、DNS、Radius、SMTP、POP3、IMAP、和NNTP等服务器的负载均衡。
1、IDC/CDN可利用F5产品为用户提供的服务保证:
a. 为用户提供7X24小时的服务
c. 提供全网的高可靠性
d. 提供本地,异地的负载均衡
e.提供网络访问的加速
f.提供全网的服务管理
2、 IDC利用F5产品提供的增值服务:
a.提供各类服务器的负载均衡
b.为用户服务器提供高可性、高可靠性的控制
c.为用户提供EAV、ECV的服务,保证用户应用的可用性
d.为大型Internet用户提供全球负载均衡
e.为电子商务用户提供SSL加速
f.为Fireware及VPN提供负载均衡
g.为用户提供智能化的流量控制
h.为ICP用户提供内容加速
i.为用户提供流量分析报告
j.提供CDN的实现和多种服务
k.为实现用户访问多个ISP提供负载平衡
四、F5为 IDC/CDN提供的解决方案
1、对各类服务器提供的高可靠性,负载均衡的解决方案
F5的BIG/ipreg;
控制器:
为本地网络提供高可用性和智能化的负载平衡是为提供各类服务器全面的可靠性检测和网络服务器的负载均衡。
BIG/ip在OSI模型的所有主要层上进行性能验证:
第2层(网络)、第3层(服务器)、第4层(个别服务)和第7层(验证应用程序是否向客户发送正确的应答)。
使您的客户将不会因为服务器过载、软件故障、错误或丢失的内容而收到错误消息,从而将确保在IDC的运行客户,BIG/ip将确保其应用程序和服务器在能提供正确的内容的前提下,始终能够为其用户正确地访问其的站点,提供快速响应。
从而避免由于站点故障、软件故障、内容错误、网络流量过载,导致用户的不可访问。
BIG/ip将监控这些因素并将客户引导到可用服务器。
BIG/IP的工作模式
F5 BIG/IP控制器工作模式为主动式,它会连续监控网络内容的可用性,而其它负载均衡产品则是被动式工作模式,这样的产品必须等到客户数据流失败后才能查觉到问题。
BIG/IP把用户在指定的响应时间内导向相应的能给出正确内容的服务器,而决不会将用户送到一个不能正常响应的服务器或应用。
BIG/IP利用虚拟IP地址(VIP由IP地址和TCP/UDP应用的端口组成,它是一个Internet地址)来为用户的一个或多个目标服务器(称为节点:
目标服务器的IP地址和TCP/UDP应用的端口组成,它可以是internet的私网地址)提供internet服务。
因此,它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。
BIG/IP连续地对目标服务器进行L2到L7合理性检查,当用户通过VIP请求目标服务器服务时,BIG/IP根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。
●预测模式(Predictive):
BIG/IP利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。
(被big/ip进行检测)
IDC使用F5的BIG/IP可开展的增值服务
A、BIG/IP支持电子商务“连续性”
电子商务所涉及的商业问题是,大多数通信管理设备无法确保整个购物过程的持续性。
在从浏览商品到将其放入购物车(不安全),及至利用SSL购买商品(安全)且传输信用卡数据的阶段尤为严重。
结果,由于购物车应用恰恰在用户准备购买时出现题(而且不仅仅是购物车空),大多数用户都放弃该站点,转向了竞争对手的站点或传统的零售厂商。
BIG/IP支持各类持续性功能。
这些企业要求保持每个用户与同一服务器维持连接。
这被称为“连续性”。
在授权用户使用特殊功能或数据之前对用户进行鉴权的应用亦要求保持用户与鉴别服务器保持持续性对话。
在整个购物过程中,通常要求购物车应用具有持续性。
典型的负载平衡是利用源IP地址来鉴定用户身份,以保持持续性。
因此,许多电子商务需要提供“连续性”来保证对客户请求进行无缝处理。
BIG/ip通过多种模式提供“连续性”选项:
同一资源服务器、同一服务器、VIP、SSL、Cookie连续性和目标地址相似性。
例如,Cookie连续性(正在申请专利)使用客户存储的cookie信息,将客户连接引导到上次访问的服务器(BIG/ip提供3种不同的Cookie连续性模式以适合所有应用的需要)。
并且,即使在一些客户是从很少的IP地
址导出或其IP地址发生更改的情况下,SSL连续性也能确保客户处于正确的连接状态。
BIG/IP的连续性为电子商务这类特殊应用提供强有力的支持,保证用户的请求的处理在同一服务器上完成。
B、扩展内容查证(ECV:
ExtendedContentVerification)
ECV是一种非常复杂的服务检查,主要用于确认应用程序能否对请求返回对应的数据。
如果一个应用对该服务检查作出响应并返回对应的数据,则BIG/IP控制器将该服务器标识为工作良好。
如果服务器不能返回相应的数据,则将该服务器标识为宕机。
宕机一旦修复,BIG/IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。
该功能使BIG/IP可以将保护延伸到后端应用如Web内容及数据库。
BIG/ip的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。
这将有助于确认您为客户提供的内容正是其所需要的。
C、扩展应用验证(EAV)
扩展应用查证(EAV:
ExtendedApplicationVerification)EAV是另一种服务检查,用于确认运行在某个服务器上的应用能否对客户请求作出响应。
为完成这种检查,BIG/IP控制器使用一个被称作外部服务检查者的客户程序,该程序为BIG/IP提供完全客户化的服务检查功能,但它位于BIG/IP控制器的外部。
例如,该外部服务检查者可以查证一个Internet或Intranet上的从后台数据库中取出数据并在HTML网页上显示的应用能否正常工作。
EAV是BIG/IP提供的非常独特的功能,它提供管理者将BIG/IP客户化后访问各种各样应用的能力,该功能使BIG/IP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。
该功能对于电子商务和其它应用至关重要,它用于从客户的角度测试您的站点。
例如,您可以模拟客户完成交易所需的所有步骤-连接到站点、从目录中选择项目以及验证交易使用的信用卡。
一旦BIG/ip掌握了该“可用性”信息,即可利用负载平衡使资源达到最高的可用性。
BIG/ip已经为测试Internet服务的健康情况和状态,预定义的扩展应用验证(EAV),它有二种用户界面:
浏览器和CLI配置。
BIG/IP预定义的应用检查:
FTP、NNTP、SMTP、POP3和MSSQL.
这些信息可以帮助管理员发现他们网络中存在的安全漏洞,并且可以判定哪些人是潜在的攻击者。
●端口映射和网络地址翻译(NAT)
通过设置,BIG/IP可以将一个端口映射到多个端口上。
许多知名的端口是,如80,443,20,21可以被映射到服务器上的任何一个端口上。
此外,BIG/IP可以将位于它后面的服务器的地址翻译为那些对外公布的地址。
这个安全特性为网络带来了以下几种好处:
●入侵者无法确定哪些服务运行在哪些端口上,因而增加了攻击的难度;
●使用非公开的路由地址、BIG/IP可以节省客户的IP地址,降低客户的成本;
●可以隐藏BIG/IP背后的服务器地址,避免这些服务器暴露到外部世界,从而减少了黑客攻击这些服务器的机会。
●安全的SNMP
BIG/IP不支持SNMP管理中的SET功能,这样BIG/IP就可以避免那些基于SNMP的攻击。
由于SNMPV3正在逐步取代当前的版本,BIG/IP将会充分结合SNMPV3的新特性,诸如用户授权认证及加密等,来增强网络的安全性。
BIG/IP是一款灵活的、适应力非常强的产品,与防火墙、路由器ACL、邮件过滤器及内容过滤器等产品配合使用可以极大地提高网络的安全性,即使F5的BIG/IP产品在市场上的定位并不是防火墙或安全产品,但是BIG/IP的众多安全特性的确为这些网站系统的安全运行提供了必要的支持,许多知名公司如微软,USAToday,ANS及阿拉斯加航空公司等都是BIG/IP的忠实用户,BIG/IP也在这些公司庞大的网站的高效、健康地运行中赢得了巨大的声誉。
E、VLAN中继
BIG/ip支持802.1qVLAN标准,它允许网络管理员可以安全地将一个物理网络分割为多个虚拟网络。
BIG/Ip的中继技术使263 网利用一对BIG/IP为多个用户提供各类增值服务,同时各用户有保持各自的独立性。
F、Npath&
#8482;
性能
BIG/ip包括称作nPath的可选模式。
该模式允许服务器绕过BIG/ip直接将信息返回给客户。
例如,涉及下载流式媒体的企业可以选择采用该功能。
BIG/ip仅对用户的请求(即进入的流量)进行管理。
BIG/Ip的nPATH功能使263利用这一功能为一些特殊用户提供特殊服务。
G、SSL加速
加密套接字(SecureSocket)层交易的广泛采用和总体网络负载减缓了服务器的执行速度。
要求SSL交易加速。
电子商务业务是基于互联网交易。
每笔进入电子商务数据中心的交易均进行了SSL加密处理。
由于每秒可执行多达800个新的安全连接。
BIG/IPSSL加速卡可把CPU从繁重的加密与解密处理负荷中解放出来,从而将宝贵的资源归还给服务器群。
它可与任何操作系统或互联网服务器互操作,而不会出现服务器硬件、软件安装或兼容性问题。
以后各个阶段通过从在这些阶段安装的高速缓存中检索静态且加过密的数据而受益。
全局负载均衡
全网负载均衡是一个关健的设备,如何实现是一个严峻的问题。
F5已经很好地解决了这个问题:
3DNS,它已成功地运行在许多地方:
Exdous、UUNET、MS、NTT、BT、Intel。
IDC可利用3DNS能全面实现多点的,全网的、智能化的负载均衡。
3DNS产品用以向用户提供分布于不同地理位置的Internet站点和数据中心间的高可用性和智能化业务及流量分担解决方案。
3DNS管理和分发不同的Internet,Intranet和Extranet电子商务用户请求到多个,冗余的服务区域,如本方案中的北京,广州,上海,西安和武汉等,而不用考虑服务器平台类型及服务器上运行何种软体。
最终用户的请求可以通过计算多种因素如用户到服务器的跳数,响应时间,响应请求的服务器的数量,包丢失率等等,根据计算结果将请求分配到相应的服务器。
另外3DNS还可以配置成根据什么对你的网络最重要来做流量分布决定。
3DNS可以支持大量不同的应用如Web,电子邮件,多媒体流,和其它基于IP的应用。
3DNS工作过程
在IDC环境中,利用3DNS作为多个网域名系统或子域名系统,对多个IDC的用户域名进行具在负载均衡的域名解析。
建议采用至少二台3DNS 对全网中作域名解析,一台3DNS作为主域名服务器,另一台3DNS作为从域名服务器。
F5的BIG/IP作为对每个IDC的服务器负载均衡设备。
3DNS的工作原理如下:
当用户从Internet上访问IDC服务器时,用户通过3DNS解析到某一IDC中站点的地址为BIG/IP的虚拟地址,该虚拟地址为BIG/IP映射的各服务器的共享虚拟地址,BIG/IP通过各种负载均衡策略将用户访问映射到不同的服务器,实现用户对服务器的访问,同时实现负载均衡。
当用户连到ISP并请求本地DNS解析域名如:
www.ABC,(ABC是IDC中的某个业务),如果本地域名服务器缓存中无该域名,ISP的本地DNS服务器查询根服务器(如:
InterNIC根服务器),根服务器返回ABC域的3DNS服务器的IP地址,下面有两种情况:
●主DNS服务器不是3DNS服务器
这种情况下,3DNS服务器将建立一个子域并管理该子域如wip.ABC,主DNS服务器将通过别名(NAME)将www.ABC域中服务器指向3DNS管理的wip.ABC域中的相应服务器。
这样当ISP的本地DNS连至主DNS服务器请求解析www.ABC时,主DNS服务器将返回给本地ISP的DNS服务器的主3DNS服务器IP地址如北京的主3DNS服务器。
本地DNS服务器查询主3DNS服务器请求解析。
●主3DNS服务器是主DNS服务器
除3DNS不需要产生子域外,3DNS回答请求的步骤与第一种情况相同,此时根服务器返回的即是主3DNS服务器的IP地址,本地DNS服务器向3DNS服务器发出解析请求。
主3DNS服务器接到解析请求后,它将向北京、上海、广州、西安,武汉等处的BIG/IP设备发出请求,请这些BIG/IP根据相应的策略如最少连接数,包丢失率,响应时间等返回各自与client端通讯的结果,3DNS将根据这些结果计算出最佳的最终用户访问区域。
并将该区域响应请求的地址返回给最终用户本地的DNS服务器,从而通知最终用户访问何地的相应内容服务器如北京的Web服务器。
●3DNSLoadbalancing工作步骤
(1)最终用户向本地DNS发出域名解析请求。
(2)本地DNS发现所解析域名指向3DNS,于是向3DNS发出域名解析请求。
(3)3DNS向分布在北京、广州、上海、西安,武汉等地的所有BIG/IP发出iQuary查询命令,获得最好路径所在地的服务器的IP地址。
(4)3DNS将所获得的IP地址解析结果送回相应DNS。
(5)本地DNS将IP地址解析结果送回相应最终用户。
(6)最终用户访问指定服务器。
(7)服务器对最终用户服务。
F5的3DNS系统具有标准DNS的全部功能,同时还具有更强的处理能力,支持多达17种的全网负载均衡手段。
五、IDC利用3DNS可开展的增值服务
A、可靠性
B、为用户提供全球的负载均衡
C、IDC提供灾难恢复
D、为用提供扩展性的服务
E、内容的发布服务
F、CDN 的服务
多点IDC利用3DNS帮助用户消灭单点故障,从而为用户提供所需要的容错功能,3DNS通过将你的最终用户请求分流到不同的服务区域,最终保证你的内容及应用永远可以响应用户请求。
多点IDC可为用户提供全球的负载均衡。
如IDC的管理员可以使用3DNS,通过从站点到最终用户本地DNS的探测程序,将用户发送到探出程序测定出的往返时间最短的站点。
3DNS使用“命中率”,允许将连接发送到在站点和最终用户本地DNS之间进行交易丢失数据包或超时数据包数目最少的站点。
3DNS和BIG/IP结合提供17种的全球流量分配策略。
o轮询算法
o比率
o最少连接数
o随机
o用户定义的服务质量
o往返时间(RTT)
o完成率(数据包丢失)
oBIG-IP吞吐量(PPS)
o全球可用性
oHOPS
o分布式拓扑
o访问控制
oLDNS轮询算法
o动态比率
o电子商务
IDC可根椐用户的不同要求,为不同的用户提供不同负载均衡策略,提供不同的增值服务。
C、 IDC提供灾难恢复
IDC通过3DNS,可以建立一种镜像灾难恢复的策略。
例如,许多机构在一个建筑中有一个主站点,同时在另一个建筑中有一个备份站点。
可以建立一种策略,指定只有在主站点正常运行的情况下将所有流量发送给主站点。
如果主站点未正常运行,则流量可以立即传送到备份站点。
D、为用提供扩展性的服务
3DNS利用单一URL为用户服务;
无论有多少台服务器,也无论这些服务器的位置如何,客户只需要记住一个URL即可访问该站点。
3DNS自动将客户引导到该站点,即使该站点有些服务器正在进行维护,该站点还可以为用户提供不间断地访问。
这个单一URL还可以用来集中化地管理服务器资源和设备。
3DNS允许您根据发展的需要随时添加其它站点,同时将内容放在更接近用户的位置,从而提供功能强大的可扩展性。
3DNS能为 IDC提供全球的负载均衡,提供具有吸引力的增值服务。
E, 内容的发布服务
IDC可为大量用户的务,如何为用户有效、快速地分发这些内容是IDC的一个新的问题,F5的Global-site全球内容的管理器,能有效地解决问题。
Globalsite与Big/ip结合使用可对内容实现自动复制、分发。
通过Globalsite之间的多级自动分发,可有效地节约带宽(仅传送修改的内容,压缩传输)、安全分发(传输过程加密)。
可自适应:
global/SITE支持所有Unix、NT和MAC操作系统。
Global/SITE通过使各种服务器阵列的内容、应用和配置保持同步,从而保护您现有的IT投资。
避免了安装和管理繁琐且代价高昂的附加服务器软件。
同步:
global/SITE确保所有本地服务器和远程服务器具有最新的内容,使Web发布者可以智能化地将文件和目录部署到这些服务器中。
Web发布者可以一次性定义标准的分发文件的描述文件,或设置分发文件的规则,从而实现文件和目录分发的自动化。
此外,global/SITE可以安全地传输整个文件或仅传输更新部分,从而降低已经很紧张的网络资源上的流量。
复制:
global/SITE简化了新资源的添加过程,方法是允许Web发布者将整个目录复制到新的生产服务器和global/SITE控制器。
此外,还允许发布者将所有数据的完整副本或任意一部分目录传送到新的生产服务器和global/SITE控制器。
站点恢复:
使用global/SITE,可以重新创建整个站点,也可以返回重新运行前一个版本,从而节省时间并提供简单的错误恢复。
集中管理:
每台服务器和每个站点均被global/SITE集中管理,使您可以为其提供一致的内容。
通过指定的分段控制器使分布集中化。
分段转出可以确保Internet质量控制。
总体控制:
global/SITE提供对所有部署参数的进行总体控制。
对于互相协作在Internet站点上发布内容的公司,可以使用global/SITE将数据存储在分段存储器中并使其同步,然后在一个或多个站点的所有服务器上进行复制,最终发送到所有服务器,同步进行发布,无论各站点处于什么位置。
版本控制:
版本控制功能全程跟踪并保存所有内