服務(wù)器負(fù)載均衡解決方案V9.0 1600.doc

密 級(jí)： 文檔編號(hào)： 第 版分冊(cè)名稱： 第 冊(cè)/共 冊(cè)服務(wù)器負(fù)載均衡方案建議書(shū)北京海量智能數(shù)據(jù)技術(shù)有限公司總頁(yè)數(shù)正文附錄生效日期：編制：審核：批準(zhǔn)：目 錄一 綜述1二 用戶需求12.1 總體目標(biāo)12.2 系統(tǒng)功能需求12.3 系統(tǒng)性能需求22.4 系統(tǒng)安全性需求32.5 可管理性需求3三 需求分析33.1 服務(wù)器負(fù)載均衡33.2 系統(tǒng)高可用性43.3 高度的安全性53.4 SSL加速53.5 系統(tǒng)管理53.6 其它6四 方案設(shè)計(jì)64.1 方案總體設(shè)計(jì)64.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)64.3設(shè)計(jì)描述7五 相關(guān)技術(shù)介紹85.1 負(fù)載均衡算法85.2健康檢查方法95.3 會(huì)話保持技術(shù)115.4 UIE+iRules135.5 i-Control13六產(chǎn)品介紹146.1 BIGIP 1600146.2 BIGIP 1600性能參數(shù)15 北京海量智能數(shù)據(jù)技術(shù)有限公司 第-16-頁(yè) 共-19-頁(yè)一 綜述隨著訪問(wèn)用戶數(shù)量的增加，給服務(wù)器帶來(lái)越來(lái)越大的壓力，實(shí)現(xiàn)訪問(wèn)流量在各服務(wù)器上均衡分配，充分利用各服務(wù)器資源，提高服務(wù)器的性能，給以最好的用戶體驗(yàn)，是網(wǎng)絡(luò)改造的重要目標(biāo)。二 用戶需求2.1 總體目標(biāo)系統(tǒng)建設(shè)的總體目標(biāo)為：1高性能，即根據(jù)數(shù)據(jù)包內(nèi)的特征數(shù)據(jù)將流量分配到多組不同的服務(wù)器，同時(shí)采用豐富的負(fù)載均衡算法，使流量得以合理分配，從而保證整體服務(wù)器系統(tǒng)的性能得以大幅度提升；2高可靠性，系統(tǒng)運(yùn)行穩(wěn)定，單一設(shè)備故障不能影響系統(tǒng)的正常運(yùn)行；3滿足目前功能和性能的需求； 4良好的系統(tǒng)擴(kuò)充能力，隨著訪問(wèn)量的增加能夠滿足系統(tǒng)擴(kuò)充需求；5系統(tǒng)具有良好的可管理性；6應(yīng)具有高度的安全機(jī)制。7不對(duì)現(xiàn)有的系統(tǒng)進(jìn)行大規(guī)模的調(diào)整。8豐富的會(huì)話保持策略能夠滿足靈活多樣的動(dòng)態(tài)調(diào)整。9通過(guò)中文的監(jiān)視平臺(tái)，方便直觀地管理與監(jiān)視應(yīng)用的狀態(tài)及健康狀況。2.2 系統(tǒng)功能需求作為服務(wù)系統(tǒng)的核心，負(fù)載均衡系統(tǒng)必須滿足以下業(yè)務(wù)需求：1冗余的系統(tǒng)實(shí)施方案，任何單點(diǎn)故障不影響系統(tǒng)的正常運(yùn)營(yíng)在接入系統(tǒng)的設(shè)計(jì)中，負(fù)載均衡設(shè)備采用冗余設(shè)計(jì)和實(shí)施，充分考慮到設(shè)備和線路的中斷或故障情況，在發(fā)生故障時(shí)系統(tǒng)能迅速切換，保證系統(tǒng)的正常運(yùn)營(yíng)。2服務(wù)器負(fù)載均衡考慮到系統(tǒng)中有多臺(tái)Web服務(wù)器需要實(shí)現(xiàn)負(fù)載均衡，保證用戶訪問(wèn)流量能在各服務(wù)器上均衡分配，提高服務(wù)器資源的利用率。并且當(dāng)某臺(tái)服務(wù)器發(fā)生故障時(shí)能被及時(shí)檢測(cè)到，并且故障服務(wù)器將會(huì)被自動(dòng)隔離，直到其恢復(fù)正常后自動(dòng)加入服務(wù)器群，實(shí)現(xiàn)透明的容錯(cuò)，保證服務(wù)器整體性能得到大幅提升。3基于數(shù)據(jù)包內(nèi)容的負(fù)載均衡方式根據(jù)訪問(wèn)請(qǐng)求數(shù)據(jù)包內(nèi)特征數(shù)據(jù)的不同將流量導(dǎo)向到相應(yīng)的服務(wù)器；4升級(jí)能力負(fù)載均衡產(chǎn)品應(yīng)當(dāng)具有良好的系統(tǒng)和軟件升級(jí)能力。5SSL加速卸載服務(wù)器HTTPS流量。6系統(tǒng)的配置管理方便，系統(tǒng)報(bào)告的可用性強(qiáng)，能提供完善的訪問(wèn)統(tǒng)計(jì)和流量管理7能夠提供GUI的良好的維護(hù)界面和日常維護(hù)方案8能夠提供必要的有關(guān)防病毒、防DoS攻擊等黑客攻擊解決方案或其他替代方案9服務(wù)器狀態(tài)監(jiān)測(cè)：動(dòng)態(tài)監(jiān)測(cè)服務(wù)器狀態(tài)。2.3 系統(tǒng)性能需求系統(tǒng)的整體系統(tǒng)響應(yīng)時(shí)間、整體系統(tǒng)性能和故障切換能力應(yīng)達(dá)到或高于以下要求：1能夠在一定的訪問(wèn)壓力下仍然能夠提供正常服務(wù)；2單臺(tái)設(shè)備失效后，冗余設(shè)備能達(dá)到毫秒級(jí)切換；3系統(tǒng)穩(wěn)定性強(qiáng)，系統(tǒng)響應(yīng)時(shí)間（例如服務(wù)器故障后負(fù)載均衡對(duì)故障的反映）短（幾秒鐘之內(nèi)）。2.4 系統(tǒng)安全性需求1負(fù)載均衡產(chǎn)品本身具有良好的系統(tǒng)安全性，不存在安全漏洞；2產(chǎn)品提供安全的訪問(wèn)管理環(huán)境。3具有一定的安全防護(hù)能力，協(xié)助防火墻和其他IDS設(shè)備構(gòu)建動(dòng)態(tài)防御體系，防御網(wǎng)絡(luò)常見(jiàn)攻擊，提高系統(tǒng)整體的安全防護(hù)能力。2.5 可管理性需求在可管理性方面，需要具備以下幾點(diǎn)：1機(jī)架式機(jī)箱，標(biāo)準(zhǔn)19；2客戶端管理軟件能夠方便地安裝到流行的操作系統(tǒng)上（如WinXP，Win2K等）；3提供有效的關(guān)于用戶、流量等的報(bào)表、統(tǒng)計(jì)工具；4提供有效的備份恢復(fù)手段；5提供有效的故障報(bào)警手段；6提供有效的系統(tǒng)監(jiān)控手段并為通用的監(jiān)控工具（如OpenView，Tivoli）提供接口。7系統(tǒng)的配置管理方便，系統(tǒng)報(bào)告的可用性強(qiáng)，能提供完善的訪問(wèn)統(tǒng)計(jì)和流量管理；8能夠提供GUI的良好的維護(hù)界面和日常維護(hù)方案；9加密通訊，保證安全的設(shè)備管理三 需求分析3.1 服務(wù)器負(fù)載均衡對(duì)于所有的對(duì)外服務(wù)的服務(wù)器，均可以在BIG-IP上配置Virtual Server實(shí)現(xiàn)負(fù)載均衡，同時(shí)BIG-IP可持續(xù)檢查服務(wù)器的健康狀態(tài)，一旦發(fā)現(xiàn)故障服務(wù)器，則將其從負(fù)載均衡組中摘除。BIG-IP利用虛擬IP地址（VIP由IP地址和TCP/UDP應(yīng)用的端口組成，它是一個(gè)地址）來(lái)為用戶的一個(gè)或多個(gè)目標(biāo)服務(wù)器（稱為節(jié)點(diǎn)：目標(biāo)服務(wù)器的IP地址和TCP/UDP應(yīng)用的端口組成，它可以是internet的私網(wǎng)地址）提供服務(wù)。因此，它能夠?yàn)榇罅康幕赥CP/IP的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。根據(jù)服務(wù)類型不同分別定義服務(wù)器群組，可以根據(jù)不同服務(wù)端口將流量導(dǎo)向到相應(yīng)的服務(wù)器。BIG-IP連續(xù)地對(duì)目標(biāo)服務(wù)器進(jìn)行L4到L7合理性檢查，當(dāng)用戶通過(guò)VIP請(qǐng)求目標(biāo)服務(wù)器服務(wù)時(shí)，BIG-IP根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶的請(qǐng)求。如果能夠充分利用所有的服務(wù)器資源，將所有流量均衡的分配到各個(gè)服務(wù)器，我們就可以有效地避免“不平衡”現(xiàn)象的發(fā)生。利用UIE+iRules可以將TCP/UDP數(shù)據(jù)包打開(kāi)，并搜索其中的特征數(shù)據(jù)，之后根據(jù)搜索到的特征數(shù)據(jù)作相應(yīng)的規(guī)則處理。因此可以根據(jù)用戶訪問(wèn)內(nèi)容的不同將流量導(dǎo)向到相應(yīng)的服務(wù)器，例如：根據(jù)訪問(wèn)請(qǐng)求數(shù)據(jù)包的特征字段將流量導(dǎo)向到相應(yīng)的服務(wù)器。3.2 系統(tǒng)高可用性系統(tǒng)高可用性主要可以從以下幾個(gè)方面考慮：1設(shè)備自身的高可用性：F5 BIG-IP專門優(yōu)化的體系結(jié)構(gòu)和卓越的處理能力保證99.999%的正常運(yùn)行時(shí)間，在雙機(jī)冗余模式下工作時(shí)可以實(shí)現(xiàn)毫秒級(jí)切換，保證系統(tǒng)穩(wěn)定運(yùn)行，另外還有冗余電源模塊可選。在采用雙機(jī)備份方式時(shí)，備機(jī)切換時(shí)間最快會(huì)在200ms之內(nèi)進(jìn)行切換。BIG-IP 產(chǎn)品是業(yè)界唯一的可以達(dá)到毫秒級(jí)切換的產(chǎn)品, 而且設(shè)計(jì)極為合理，所有會(huì)話通過(guò)Active 的BIG-IP 的同時(shí)，會(huì)把會(huì)話信息通過(guò)同步數(shù)據(jù)線同步到Backup的BIG-IP，保證在Backup BIG-IP內(nèi)也有所有的用戶訪問(wèn)會(huì)話信息；另外每臺(tái)設(shè)備中的watchdog芯片通過(guò)心跳線監(jiān)控對(duì)方設(shè)備的電頻，當(dāng)Active BIG-IP故障時(shí)，watchdog會(huì)首先發(fā)現(xiàn)，并通知Backup BIG-IP接管Shared IP，VIP等，完成切換過(guò)程，因?yàn)锽ackup BIG-IP中有事先同步好的會(huì)話信息，所以可以保證訪問(wèn)的暢通無(wú)阻。2服務(wù)器冗余，多臺(tái)服務(wù)器同時(shí)提供服務(wù)，當(dāng)某一臺(tái)服務(wù)器故障不能提供服務(wù)時(shí)，用戶的訪問(wèn)不會(huì)中斷。BIG-IP可以在OSI七層模型中的不同層面上對(duì)服務(wù)器進(jìn)行健康檢查，實(shí)時(shí)監(jiān)測(cè)服務(wù)器健康狀況，如果某臺(tái)服務(wù)器出現(xiàn)故障，BIG-IP確定它無(wú)法提供服務(wù)后，就會(huì)將其在服務(wù)隊(duì)列中清除，保證用戶正常的訪問(wèn)應(yīng)用，確?；貞?yīng)內(nèi)容的正確性。3.3 高度的安全性BIG-IP采用防火墻的設(shè)計(jì)原理，是缺省拒絕設(shè)備，它可以為任何站點(diǎn)增加額外的安全保護(hù)，防御普通網(wǎng)絡(luò)攻擊?？梢酝ㄟ^(guò)支持命令行的SSH或支持瀏覽器管理的SSL方便、安全的進(jìn)行遠(yuǎn)程管理，提高設(shè)備自身的安全性；能夠拆除空閑連接防止拒絕服務(wù)攻擊；能夠執(zhí)行源路由跟蹤防止IP欺騙；拒絕沒(méi)有ACK緩沖確認(rèn)的SYN防止SYN攻擊；拒絕teartop和land攻擊；保護(hù)自己和服務(wù)器免受ICMP攻擊；不運(yùn)行SMTP、FTP、TELNET或其它易受攻擊的后臺(tái)程序。BIG-IP的Dynamic Reaping特性可以高效刪除各類網(wǎng)絡(luò)DoS攻擊中的空閑連接，這可以保護(hù)BIG-IP不會(huì)因流量過(guò)多而癱瘓。BIG-IP可以隨著攻擊量的增加而加快連接切斷速率，從而提供一種具有極強(qiáng)適應(yīng)能力、能夠防御最大攻擊量的解決方案。BIG-IP的Delay Binding技術(shù)可以為部署在BIG-IP后面的服務(wù)器提供全面地SYN Flood保護(hù)。此時(shí)，BIG-IP設(shè)備作為安全代理來(lái)有效保護(hù)整個(gè)網(wǎng)絡(luò)。BIG-IP可以和其它安全設(shè)備配合，構(gòu)建動(dòng)態(tài)安全防御體系。BIG-IP可以根據(jù)用戶單位時(shí)間內(nèi)的連接數(shù)生成控制訪問(wèn)列表，將該列表加載到其它安全設(shè)備上，有效控制攻擊流量。3.4 SSL加速在每臺(tái)BIG-IP上，都具有SSL硬件加速芯片，并且自帶500個(gè)TPS的License，用戶可以不通過(guò)單獨(dú)付費(fèi)，就可以擁有500個(gè)TPS的SSL加速功能，節(jié)約了用戶的投資。在將來(lái)系統(tǒng)擴(kuò)展時(shí)，可以簡(jiǎn)單的通過(guò)License升級(jí)的方式，獲得更高的SSL加速性能。3.5 系統(tǒng)管理F5提供HTTPS、SSH、Telnet、SNMP等多種管理方式，用戶客戶端只需操作系統(tǒng)自帶的瀏覽器軟件即可，不需安裝其它軟件，同時(shí)可以監(jiān)控流量；另外，通過(guò)F5 的i-Control 開(kāi)發(fā)包，目前國(guó)內(nèi)已有基于i-Control開(kāi)發(fā)的網(wǎng)管軟件，可以定制針對(duì)系統(tǒng)服務(wù)特點(diǎn)的監(jiān)控系統(tǒng),比如服務(wù)的流量情況、各種服務(wù)連接數(shù)、訪問(wèn)情況、節(jié)點(diǎn)的健康狀況等等，進(jìn)行可視化顯示。告警方式可以提供syslog、snmp trap、mail等方式。3.6 其它BIG-IP內(nèi)置i-Control SDK二次開(kāi)發(fā)包，可以通過(guò)API接口方便的取得各種流量統(tǒng)計(jì)信息，作為計(jì)費(fèi)的依據(jù)。在Web用戶界面上面也可以方便的查看各種流量統(tǒng)計(jì)信息，如果需要按照流量計(jì)費(fèi)，可以使用以上兩種方式取得流量的統(tǒng)計(jì)信息。F5 NETWORKS免費(fèi)提供安裝在服務(wù)器端、動(dòng)態(tài)獲取服務(wù)器信息的agent軟件，將其安裝在服務(wù)器端以后，就可以動(dòng)態(tài)獲取服務(wù)器當(dāng)前運(yùn)行狀態(tài)。升級(jí)能力：F5 所有設(shè)備均可通過(guò)軟件方式升級(jí)，在服務(wù)有效期內(nèi)，升級(jí)軟件包由F5公司提供。F5 NETWORKS已經(jīng)發(fā)布其系統(tǒng)的最新版本BIG-IP V9.0，主要有以下特性：虛擬 IPV4 / IPV6 應(yīng)用、減少66%甚至更多的基礎(chǔ)架構(gòu)成本、確保高優(yōu)先級(jí)應(yīng)用的性能、確保更高級(jí)別的可用性、大幅提高網(wǎng)絡(luò)和應(yīng)用安全性、強(qiáng)大的性能，簡(jiǎn)單的管理方式、無(wú)以匹敵的自適應(yīng)能力和延展能力和突破的性能表現(xiàn)力。IP地址過(guò)濾和帶寬控制：BIG-IP可以根據(jù)訪問(wèn)控制列表對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。配置管理及系統(tǒng)報(bào)告：F5 BIG-IP提供WEB 界面配置方式和命令行方式進(jìn)行配置管理，并在其中提供了豐富的系統(tǒng)報(bào)告，更可通過(guò)i-Control自行開(kāi)發(fā)復(fù)雜的配置及報(bào)告生成。四 方案設(shè)計(jì)4.1 方案總體設(shè)計(jì)互為冗余備份的兩臺(tái)BIG-IP1600上連到核心交換機(jī)，后端直接連接多臺(tái)服務(wù)器。在BIG-IP1600上通過(guò)虛擬IP的機(jī)制實(shí)現(xiàn)流量的智能分配和服務(wù)器的負(fù)載均衡。客戶端發(fā)起對(duì)VIP的訪問(wèn)，BIG-IP接收到訪問(wèn)請(qǐng)求之后，按照預(yù)先定義好的負(fù)載均衡算法將流量分發(fā)到某一臺(tái)服務(wù)器，服務(wù)器處理之后返回響應(yīng)給BIG-IP，BIG-IP接收到服務(wù)器返回的響應(yīng)之后將數(shù)據(jù)包發(fā)送給客戶端。4.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4.1所示：4.3設(shè)計(jì)描述在圖中所示，本方案采用BIGIP LTM設(shè)備旁掛在交換機(jī)的旁邊，這種部署方式的最大優(yōu)點(diǎn)是，不需要改動(dòng)用戶原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?？蛻舳嗽L問(wèn)請(qǐng)求到達(dá)BIG-IP，BIG-IP將流量進(jìn)行處理，并按照預(yù)先定義的負(fù)載均衡算法將連接請(qǐng)求轉(zhuǎn)發(fā)到某一臺(tái)服務(wù)器上面，該服務(wù)器返回響應(yīng)到BIG-IP，BIG-IP處理之后返回給客戶端。如下圖所示數(shù)據(jù)處理描述：從客戶端過(guò)了的第一個(gè)數(shù)據(jù)包的源地址為客戶端地址，目的地址為F5設(shè)備上的虛擬服務(wù)器地址；數(shù)據(jù)包到達(dá)F5后，F(xiàn)5會(huì)把數(shù)據(jù)包的目的地址改為實(shí)際服務(wù)器的地址，F(xiàn)5把這個(gè)數(shù)據(jù)包（源地址為客戶端地址，目的地址為實(shí)際服務(wù)器地址）發(fā)給實(shí)際服務(wù)器；實(shí)際服務(wù)器受到這個(gè)數(shù)據(jù)包后并處理完畢后，會(huì)產(chǎn)生一個(gè)目的地址是客戶端地址，源地址為實(shí)際服務(wù)器地址的數(shù)據(jù)包，根據(jù)實(shí)際服務(wù)器的網(wǎng)關(guān)（F5的設(shè)備地址），這個(gè)數(shù)據(jù)包會(huì)到達(dá)F5設(shè)備；F5收到這個(gè)數(shù)據(jù)包后，根據(jù)記錄把此數(shù)據(jù)包的源地址修改為F5設(shè)備上的虛擬服務(wù)器的地址，再把這個(gè)數(shù)據(jù)包發(fā)給客戶端；客戶端收到數(shù)據(jù)包后，整個(gè)數(shù)據(jù)流程結(jié)束。其中Web加速的功能是在應(yīng)用層，主要通過(guò)瀏覽器行為控制和內(nèi)容加速來(lái)實(shí)現(xiàn)對(duì)Web應(yīng)用的加速，瀏覽器行為控制主要是保證用戶在再次訪問(wèn)時(shí)不會(huì)重復(fù)下載不需要的內(nèi)容，去掉刷新檢測(cè)（HTTP 304 content not modified），保證內(nèi)容的始終新鮮；內(nèi)容加速主要是加速動(dòng)態(tài)內(nèi)容、優(yōu)化文件傳輸、線性化PDF文檔、瀏覽器多線程訪問(wèn)。五 相關(guān)技術(shù)介紹5.1 負(fù)載均衡算法BIG-IP可以提供12種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群，這12種局域負(fù)載均衡算法包括：輪詢（Round Robin）：順序循環(huán)將請(qǐng)求一次順序循環(huán)地連接每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG-IP就把其從順序循環(huán)隊(duì)列中拿出，不參加下一次的輪詢，直到其恢復(fù)正常。比率（Ratio）：給每個(gè)服務(wù)器分配一個(gè)加權(quán)值為比例，根椐這個(gè)比例，把用戶的請(qǐng)求分配到每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG-IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。優(yōu)先權(quán)（Priority）：給所有服務(wù)器分組，給每個(gè)組定義優(yōu)先權(quán)，BIG-IP用戶的請(qǐng)求，分配給優(yōu)先級(jí)最高的服務(wù)器組（在同一組內(nèi)，采用輪詢或比率算法，分配用戶的請(qǐng)求）；當(dāng)最高優(yōu)先級(jí)中所有服務(wù)器出現(xiàn)故障，BIG-IP才將請(qǐng)求送給次優(yōu)先級(jí)的服務(wù)器組。這種方式，實(shí)際為用戶提供一種熱備份的方式。最少的連接方式（Least Connection）：傳遞新的連接給那些進(jìn)行最少連接處理的服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG-IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。最快模式（Fastest）：傳遞連接給那些響應(yīng)最快的服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG-IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。觀察模式（Observed）：連接數(shù)目和響應(yīng)時(shí)間以這兩項(xiàng)的最佳平衡為依據(jù)為新的請(qǐng)求選擇服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG-IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請(qǐng)求的分配，直到其恢復(fù)正常。預(yù)測(cè)模式（Predictive）：BIG-IP利用收集到的服務(wù)器當(dāng)前的性能指標(biāo)，進(jìn)行預(yù)測(cè)分析，選擇一臺(tái)服務(wù)器在下一個(gè)時(shí)間片內(nèi)，其性能將達(dá)到最佳的服務(wù)器相應(yīng)用戶的請(qǐng)求。(被BIG-IP進(jìn)行檢測(cè))動(dòng)態(tài)性能分配（Dynamic Ratio-APM):BIG-IP收集到的應(yīng)用程序和應(yīng)用服務(wù)器的各項(xiàng)性能參數(shù)，動(dòng)態(tài)調(diào)整流量分配。動(dòng)態(tài)服務(wù)器補(bǔ)充（Dynamic Server Act.):當(dāng)主服務(wù)器群中因故障導(dǎo)致數(shù)量減少時(shí)，動(dòng)態(tài)地將備份服務(wù)器補(bǔ)充至主服務(wù)器群。服務(wù)質(zhì)量(QoS)：按不同的優(yōu)先級(jí)對(duì)數(shù)據(jù)流進(jìn)行分配。服務(wù)類型(ToS)：按不同的服務(wù)類型（在Type of Field中標(biāo)識(shí)）對(duì)數(shù)據(jù)流進(jìn)行分配。規(guī)則模式：針對(duì)不同的數(shù)據(jù)流設(shè)置導(dǎo)向規(guī)則，用戶可自行編輯流量分配規(guī)則，BIG-IP利用這些規(guī)則對(duì)通過(guò)的數(shù)據(jù)流實(shí)施導(dǎo)向控制。5.2健康檢查方法BIG-IP除了能夠進(jìn)行不同OSI層面的健康檢查之外，還具有擴(kuò)展內(nèi)容驗(yàn)證和擴(kuò)展應(yīng)用查證兩種健康檢查方法?；镜慕】禉z查方法有以下幾種： 在Layer 2 健康檢查涉及到用來(lái)對(duì)給定的IP地址尋找MAC地址的地址分辨協(xié)議 (ARP) 請(qǐng)求。因?yàn)锽IG-IP設(shè)置了真實(shí)服務(wù)器的IP地址，它會(huì)發(fā)送針對(duì)每一個(gè)真實(shí)服務(wù)器的IP地址的ARP請(qǐng)求以找到相應(yīng)的MAC地址，服務(wù)器會(huì)響應(yīng)這個(gè)ARP請(qǐng)求，除非它已經(jīng)停機(jī)。在Layer 3 健康檢查涉及到對(duì)真實(shí)服務(wù)器發(fā)送”ping”命令?！皃ing”是常用的程序來(lái)確認(rèn)一個(gè)IP地址是否在網(wǎng)絡(luò)中存在，或者用來(lái)確認(rèn)主機(jī)是否正常工作。在Layer 4，BIG-IP會(huì)試圖聯(lián)接到一個(gè)特定應(yīng)用在運(yùn)行的TCP或UDP端口。舉例來(lái)說(shuō)，如果VIP是被綁定在端口80做Web應(yīng)用的話，BIG-IP試圖建立一個(gè)聯(lián)接到真實(shí)服務(wù)器的80端口。BIG-IP發(fā)送一個(gè)TCP SYN 請(qǐng)求包到每個(gè)真實(shí)服務(wù)器的80端口，并檢查回應(yīng)的TCP SYN ACK數(shù)據(jù)包是否收到，如果哪一個(gè)沒(méi)有收到，BIG-IP就確認(rèn)那臺(tái)服務(wù)器不能正常提供服務(wù)，BIG-IP單獨(dú)針對(duì)服務(wù)器的每個(gè)應(yīng)用端口做健康檢查并單獨(dú)做關(guān)于其服務(wù)器的診斷結(jié)果是非常重要的。這樣一來(lái)真實(shí)服務(wù)器的80服務(wù)可能停機(jī)，但是端口21可能正常工作，BIG-IP可以繼續(xù)利用這個(gè)服務(wù)器的21端口提供FTP服務(wù)，同時(shí)確認(rèn)這個(gè)服務(wù)器的Web應(yīng)用已經(jīng)停機(jī)，這樣一來(lái)就提供了一個(gè)高效率的負(fù)載均衡解決方案，細(xì)分健康檢查的做法有效地提高了服務(wù)器的處理能力。擴(kuò)展內(nèi)容查證(ECV：Extended Content Verification)：ECV是一種非常復(fù)雜的服務(wù)檢查，主要用于確認(rèn)應(yīng)用程序能否對(duì)請(qǐng)求返回對(duì)應(yīng)的數(shù)據(jù)。如果一個(gè)應(yīng)用對(duì)該服務(wù)檢查做出響應(yīng)并返回對(duì)應(yīng)的數(shù)據(jù)，則BIG-IP控制器將該服務(wù)器標(biāo)識(shí)為工作良好。如果服務(wù)器不能返回相應(yīng)的數(shù)據(jù)，則將該服務(wù)器標(biāo)識(shí)為宕機(jī)。宕機(jī)一旦修復(fù)，BIG-IP就會(huì)自動(dòng)查證應(yīng)用已能對(duì)客戶請(qǐng)求做出正確響應(yīng)并恢復(fù)向該服務(wù)器傳送。該功能使BIG-IP可以將保護(hù)延伸到后端應(yīng)用如Web內(nèi)容及數(shù)據(jù)庫(kù)。BIG-IP的ECV功能允許您向Web服務(wù)器、防火墻、緩存服務(wù)器、代理服務(wù)器和其它透明設(shè)備發(fā)送查詢，然后檢查返回的響應(yīng)。這將有助于確認(rèn)您為客戶提供的內(nèi)容正是其所需要的。用戶可以定義發(fā)送和接收的字串，發(fā)送字串是指發(fā)送到一個(gè)服務(wù)器的請(qǐng)求命令，例如：“GET /” 字串發(fā)送到一個(gè)HTTP 服務(wù)器。服務(wù)器回應(yīng)得字串必須與接收到的字串相匹配，例如“”。ECV 可以工作在正常和透明節(jié)點(diǎn)模式。擴(kuò)展應(yīng)用查證(EAV: Extended Application Verification)：EAV是另一種服務(wù)檢查，用于確認(rèn)運(yùn)行在某個(gè)服務(wù)器上的應(yīng)用能否對(duì)客戶請(qǐng)求做出響應(yīng)。為完成這種檢查，BIG-IP控制器使用一個(gè)被稱作外部服務(wù)檢查者的客戶程序，該程序?yàn)锽IG-IP提供完全客戶化的服務(wù)檢查功能，但它位于BIG-IP控制器的外部。例如，該外部服務(wù)檢查者可以查證一個(gè)從后臺(tái)數(shù)據(jù)庫(kù)中取出數(shù)據(jù)的應(yīng)用能否正常工作。EAV是BIG-IP提供的非常獨(dú)特的功能，它提供管理者將BIG-IP客戶化后訪問(wèn)各種各樣應(yīng)用的能力，該功能使BIG-IP在提供標(biāo)準(zhǔn)的可用性查證之外能獲得服務(wù)器、應(yīng)用及內(nèi)容可用性等最重要的反饋。該功能對(duì)于提高系統(tǒng)可靠性至關(guān)重要，它用于從客戶的角度測(cè)試您的站點(diǎn)。例如，您可以模擬客戶完成交易所需的所有步驟連接到前置服務(wù)器或中間件服務(wù)器、從目錄中選擇項(xiàng)目以及驗(yàn)證交易使用的信用卡。一旦BIG-IP掌握了該“可用性”信息，即可利用負(fù)載平衡使資源達(dá)到最高的可用性。BIG-IP已經(jīng)為測(cè)試多種服務(wù)的健康情況和狀態(tài)，預(yù)定義了擴(kuò)展應(yīng)用驗(yàn)證(EAV)，如：FTP、NNTP、SMTP、POP3和MSSQL等，用戶還可依據(jù)實(shí)際應(yīng)用，自行編輯EAV腳本。F5產(chǎn)品健康檢查的頻度和間隔是可以根據(jù)用戶的要求而設(shè)置.通過(guò)F5靈活自定義方式的ECV健康檢查方式，用戶可以檢查常見(jiàn)的應(yīng)用如HTTP、SMTP、POP3等。而通過(guò)EAV健康檢查方式，更可自行編寫(xiě)腳本，實(shí)現(xiàn)更加復(fù)雜的健康檢查方式，全面的檢測(cè)后臺(tái)服務(wù)器的運(yùn)行狀態(tài)，保證系統(tǒng)運(yùn)行的高效、可靠。5.3 會(huì)話保持技術(shù)當(dāng)使用BIG-IP對(duì)服務(wù)器進(jìn)行負(fù)載均衡時(shí)，就需要會(huì)話保持。如果某位用戶連接到了一臺(tái)服務(wù)器上，那么我們肯定希望該用戶在將來(lái)再次連接時(shí)將仍可連接到該臺(tái)服務(wù)器上。當(dāng)該服務(wù)器存有用戶相關(guān)數(shù)據(jù)，并且這些數(shù)據(jù)并不與其它服務(wù)器動(dòng)態(tài)共享時(shí)，持續(xù)性就顯得十分有必要了。BIG-IP提供以下幾種會(huì)話保持方法：Simple Persistence，SSL Session ID Persistence，SIP Persistence，Cookie Persistence，iMode Persistence，目的地址歸類。Simple Persistence：根據(jù)源地址做會(huì)話保持，即相同源地址的訪問(wèn)請(qǐng)求定位在同一臺(tái)服務(wù)器上面。SSL Session ID Persistence：根據(jù)SSL會(huì)話ID做會(huì)話保持。SIP Persistence：SIP協(xié)議會(huì)話保持技術(shù)。HTTP Cookie Persistence：BIG-IP支持四種Cookie會(huì)話保持技術(shù)，即：改寫(xiě)模式，插入模式，被動(dòng)的cookie，Cookie散列。在Cookie改寫(xiě)模式下，服務(wù)器將插入一個(gè)cookie，然后BIG-IP應(yīng)用交換機(jī)將對(duì)其進(jìn)行重寫(xiě)，訪問(wèn)流程如下：首次命中，HTTP請(qǐng)求（不帶有cookie）進(jìn)入BIG-IP應(yīng)用交換機(jī)，BIG-IP應(yīng)用交換機(jī)任選一臺(tái)服務(wù)器，將請(qǐng)求發(fā)送至該服務(wù)器，來(lái)自該服務(wù)器的HTTP回復(fù)此時(shí)包括一個(gè)空白的cookie，BIG-IP應(yīng)用交換機(jī)重寫(xiě)cookie，并在粘貼一個(gè)特殊的cookie后將HTTP回復(fù)發(fā)送回去。再次命中，HTTP請(qǐng)求（帶有與上面同樣的cookie）進(jìn)入BIG-IP應(yīng)用交換機(jī)，BIG-IP應(yīng)用交換機(jī)借助cookie信息確定合適的服務(wù)器，HTTP請(qǐng)求（帶有與上面同樣的cookie）進(jìn)入服務(wù)器，HTTP回復(fù)（帶有空白cookie）返回BIG-IP應(yīng)用交換機(jī)，后者將向客戶機(jī)提供更新后的cookie。如圖所示： Cookie會(huì)話保持改寫(xiě)模式在Cookie插入模式下，BIG-IP插入一個(gè)cookie，服務(wù)器無(wú)需作出任何修改，訪問(wèn)流程如下：首次命中，HTTP請(qǐng)求（不帶cookie）進(jìn)入BIG-IP應(yīng)用交換機(jī)，BIG-IP應(yīng)用交換機(jī)任選一臺(tái)服務(wù)器，將請(qǐng)求發(fā)送至該服務(wù)器，HTTP回復(fù)（不帶cookie）被發(fā)回BIG-IP應(yīng)用交換機(jī)BIG-IP應(yīng)用交換機(jī)插入cookie，將HTTP回復(fù)返回到客戶機(jī)。再次命中，HTTP請(qǐng)求（帶有與上面同樣的cookie）進(jìn)入BIG-IP應(yīng)用交換機(jī)，Cookie指定合適的服務(wù)器，HTTP請(qǐng)求（帶有與上面同樣的cookie）進(jìn)入服務(wù)器，HTTP回復(fù)（不帶有cookie）進(jìn)入BIG-IP應(yīng)用交換機(jī)，后者將為客戶機(jī)提供更新后的cookie。在被動(dòng)模式下，服務(wù)器使用特定信息來(lái)設(shè)置cookie，訪問(wèn)流程如下：首次命中，HTTP請(qǐng)求（不帶有cookie）進(jìn)入BIG-IP應(yīng)用交換機(jī)，BIG-IP應(yīng)用交換機(jī)任選一臺(tái)服務(wù)器，將請(qǐng)求發(fā)送至該服務(wù)器，HTTP回復(fù)（帶有特定cookie）返回至BIG-IP應(yīng)用交換機(jī)，BIG-IP應(yīng)用交換機(jī)將HTTP回復(fù)（帶有特定cookie）發(fā)回客戶機(jī)。再次命中，發(fā)送HTTP請(qǐng)求（帶有與上面同樣的cookie），Cookie指定合適的服務(wù)器，HTTP請(qǐng)求（帶有與上面同樣的cookie）進(jìn)入服務(wù)器，HTTP回復(fù)（帶有特定cookie）返回至BIG-IP應(yīng)用交換機(jī)，后者將HTTP回復(fù)（帶有特定cookie）發(fā)送回客戶機(jī)。BIG-IP應(yīng)用交換機(jī)Cookie持續(xù)性模式與SSL持續(xù)性模式之間的主要區(qū)別在于：對(duì)于Cookie持續(xù)性而言，數(shù)據(jù)存儲(chǔ)在客戶機(jī)上，而不是BIG-IP應(yīng)用交換機(jī)上，因此可充分使用客戶機(jī)上的無(wú)限資源。即Cookie持續(xù)性體現(xiàn)在HTTP Cookie上，而信息則存儲(chǔ)于客戶機(jī)的磁盤驅(qū)動(dòng)器上。Cookie會(huì)話保持散列模式該模式只能在BIGIP HA控制器和企業(yè)上使用。散列模式使您可以通過(guò)設(shè)定cookie中一定字節(jié)數(shù)的信息來(lái)確定連接的目的地。該模式用于將cookie值映射到節(jié)點(diǎn)上，之后該值這將用于連接含該cookie的客戶機(jī)，從而實(shí)現(xiàn)了節(jié)點(diǎn)的持續(xù)性。5.4 UIE+iRules在BIG-IP上，我們還可以同過(guò)BIG-IP的UIE和iRules來(lái)實(shí)現(xiàn)七層的流量檢測(cè)和靈活的負(fù)載均衡策略定義。通過(guò)UIE，我們可以對(duì)網(wǎng)絡(luò)流量的任何規(guī)則進(jìn)行判斷，如源、目的IP地址，源、目的端口，數(shù)據(jù)包內(nèi)容等。通過(guò)iRules，可以將UIE判斷的結(jié)果進(jìn)行操作，如送往Cache Server群組、特殊的服務(wù)器群組或者簡(jiǎn)單的丟棄或者通過(guò)。5.5 i-Control為了確保電子商務(wù)取得成功，應(yīng)用和網(wǎng)絡(luò)必須能夠緊密結(jié)合。網(wǎng)絡(luò)通知應(yīng)用；應(yīng)用指導(dǎo)網(wǎng)絡(luò)，這就是F5新型體系結(jié)構(gòu)的基礎(chǔ)。i-Control提供了業(yè)界最緊密集成的產(chǎn)品套件，利用統(tǒng)一的設(shè)備活動(dòng)協(xié)作來(lái)對(duì)互聯(lián)網(wǎng)流量和內(nèi)容部署/提供進(jìn)行端到端的控制。它提供了端到端集成所需要的產(chǎn)品間的安全通信，而且還可以通過(guò)開(kāi)放式XML API對(duì)F5產(chǎn)品進(jìn)行編程，以支持客戶與合作伙伴應(yīng)用間的集成（F5的i-Control內(nèi)部通信協(xié)