一、用户需求
建立多个城市的IDC系统,多个IDC之间应保持高智能的动态/静态负载平衡,实现信息自动同步,复制,灾难恢复,内容加速等功能,同时为CDN的运行提供完整基础架构。
所有IDC应提供7X24的全天候服务模式。保证系统的高可靠性、高可用性是面临的一个非常严俊的问题。本方案给出一个完整的解决方案。
二、高可靠性、高可用性包括的内容。
A、站点的高可用性
站点故障、软件故障、内容错误、网络流量过载,所有这些因素都可以导致站点发生问题,从而使客户转向竞争对手。它包括如下可靠性因素:
●电子商务-确保站点不仅存在并运行,还要能够处理订单
●容错能力-消除单故障点
●内容可用性-确保应用程序在响应时提供正确的内容
●目录和验证-检查目录和/或验证服务的可用性(LDAP、Radius、DNS)
●网关-负载平衡(SAA、SNA)
●电子邮件(POP、IMAP、SendMail)-为大量邮件服务器提供平衡流量
必须对OSI模型中的第2层到第7层所包含的所有网络组件是否正常工作的合理验证,使您的客户将不会因为务器过载、软件故障、错误或丢失的内容而收到错误消息,从而将确保客户始能正确地访问您的站点。
B、全球范围内的高可用性和高可靠性
对于在地理上分散的Web站点和数据中心,客户在世界的任何角落,站点故障、软件故障、内容错误、网络故障、网络流量过载,所有这些因素都可以导致站点发生问题,从而使客户转向竞争对手。如何利用一种有效的技术,监视这些因素,定期与世界各地的每一个站点进行通信,然后根据通信过程中得到的参数将客户的请求传送到性能最佳的站点。
三、F5公司提供ISO的L4到L7全面高可靠性、高可用性服务
F5公司一家专门从事提供L4到L7层高可靠性,高可用性的厂家。
F5的产品和服务帮助建高质量IDC,使人们获得高质量的服务。商用级可靠性的三个要害要素。这三个要害要素是:
1)各类服务器
2)网络
3)内容
另外,您需要利用治理工具对这些要素有效治理,F5Networks的五种核心产品,为Internet提供质量控制(QoS):BIG/ipreg;控制器、3DNSreg;控制器、global/SITE™控制器、Edge-Fx网络内容加速器和see/IT™网络治理。
针对Internet市场用户不断增加、Internet服务负载不断加重、Interent新型的电子商务应用需求的增长,F5公司提出一iTCM(internetTrafficandContentManagement)的全新的网络服务概念,提出了一系列完整的Interent流量和内容治理解决方案。这些解决方案包括第4/7层的服务器负载均衡、智能化的流量控制、各类网络设备(防火墙、路由器、认证服务器等)负载均衡、全球站点的全球负载均衡、带宽治理、基于策略的应用重定向和过滤等等。目前F5公司解决方案已经覆盖了Internet每一个领域,包括Internet接入商(ISP)、Internet内容提供商(ICP)、Internet应用提供商(ASP)、Internet大型数据中心(IDC)、电子商务、以及企业Intranet应用。F5公司的解决方案是目前这一领域内技术最领先的厂家,在全球赢得了一大批包括Exodus、NTT、PSInet,UUnet、AOL、英国电信、Intel、HP、Dell、IBM等大型用户。
BIG/IP为大量的TCP/IP应用提供负载均衡服务,包括HTTP、HTTPS、FTP、DNS、Radius、SMTP、POP3、IMAP、和NNTP等服务器的负载均衡。
1、IDC/CDN可利用F5产品为用户提供的服务保证:
a.为用户提供7X24小时的服务
c.提供全网的高可靠性
d.提供本地,异地的负载均衡
e.提供网络访问的加速
f.提供全网的服务治理
2、IDC利用F5产品提供的增值服务:
a. 提供各类服务器的负载均衡
b. 为用户服务器提供高可性、高可靠性的控制
c. 为用户提供EAV、ECV的服务,保证用户应用的可用性
d. 为大型Internet用户提供全球负载均衡
e. 为电子商务用户提供SSL加速
f. 为Fireware及VPN提供负载均衡
g. 为用户提供智能化的流量控制
h. 为ICP用户提供内容加速
i. 为用户提供流量分析报告
j. 提供CDN的实现和多种服务
k. 为实现用户访问多个ISP提供负载平衡
四、F5为IDC/CDN提供的解决方案
1、对各类服务器提供的高可靠性,负载均衡的解决方案
F5的BIG/ipreg;控制器:为本地网络提供高可用性和智能化的负载平衡是为提供各类服务器全面的可靠性检测和网络服务器的负载均衡。
BIG/ip在OSI模型的所有主要层上进行性能验证:第2层(网络)、第3层(服务器)、第4层(个别服务)和第7层(验证应用程序是否向客户发送正确的应答)。
使您的客户将不会因为服务器过载、软件故障、错误或丢失的内容而收到错误消息,从而将确保在IDC的运行客户,BIG/ip将确保其应用程序和服务器在能提供正确的内容的前提下,始终能够为其用户正确地访问其的站点,提供快速响应。从而避免由于站点故障、软件故障、内容错误、网络流量过载,导致用户的不可访问。BIG/ip将监控这些因素并将客户引导到可用服务器。
BIG/IP的工作模式
F5BIG/IP控制器工作模式为主动式,它会连续监控网络内容的可用性,而其它负载均衡产品则是被动式工作模式,这样的产品必须等到客户数据流失败后才能查觉到问题。BIG/IP把用户在指定的响应时间内导向相应的能给出正确内容的服务器,而决不会将用户送到一个不能正常响应的服务器或应用。BIG/IP利用虚拟IP地址(VIP由IP地址和TCP/UDP应用的端口组成,它是一个Internet地址)来为用户的一个或多个目标服务器(称为节点:目标服务器的IP地址和TCP/UDP应用的端口组成,它可以是internet的私网地址)提供internet服务。因此,它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。BIG/IP连续地对目标服务器进行L2到L7合理性检查,当用户通过VIP请求目标服务器服务时,BIG/IP根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。
QQread.com
推出Windows2003教程
win2003安装介绍
win2003网络优化
win2003使用技巧
win2003系统故障
服务器配置
专家答疑
更多的请看:http://www.qqread.com/windows/2003/index.Html
BIG/IP的可靠性
两台BIG/IP能工作在HA方式下,支持Active—Active、Active---Standby工作方式。当BIG/ip产生从当前活动的BIG/ip控制器到备用BIG/ip控制器的自动故障切换时,镜像连接为当前的连接提供无缝故障恢复保护。例如,假如客户正在使用FTP传输较大的文件过程中,BIG/ip发生从当前活动设备到备用设备的故障恢复,则FTP文件传输将继续进行,不会中断。
BIG/IP除了基于硬件连线故障恢复之外,BIG/ip还提供基于网络的故障恢复功能,从而答应不在同一位置的一对BIG/ip控制器实现冗余功能,进一步强化了治理。BIG/IP基于硬连线的故障切换时间:200毫秒,BIG/IP基于网络的故障切换时间:3秒
BIG/IP处理能力
BIG/IP是目前处理L4--L7最快的Internet流量控制器。它的网络吞吐量达:1.8Gbps(Active/Active方式下),每秒能建立第四层会话21000个,能保持第四层会话400百万个。
七种分配流量的方法
BIG/IP支持达8种的流量控制算法,IDC可根据每个用户的需求的不同、提供不同服务级别的的流量每控制算法。BIG/ip使您可以根据用户的需要分配流量。选择静态方法,如轮询模式或比率方式;或者选择动态模式,这样您可以通过BIG/ip将客户请求分配到当前性能最佳的服务器上;比如性能高的大型服务器处理更多的连接,而为性能较低的小型服务器处理较少的请求;从而避免服务器因过载而崩溃,从而进一步保证了应用可用性。。可使其用户无须考虑服务器的性能是否相同,BIG/ip可以充分利用已有的服务器,并达到最佳的性能。
BIG/ip的七种优化性能的策略:
静态方式:
●轮询(RoundRobin):顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。
●比率(Ratio):给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
●优先权(Priority):给所有服务器分组,给每个组定义优先权,BIG/IP用户的请求,分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当最高优先级中所有服务器出现故障,BIG/IP才将请求送给次优先级的服务器组。这种方式,实际为用户提供一种热备份的方式。
动态方式:
●最少的连接方式(LeastConnection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
●最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
●观察模式(Observed):连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
●猜测模式(Predictive):BIG/IP利用收集到的服务器当前的性能指标,进行猜测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。(被big/ip进行检测)
IDC使用F5的BIG/IP可开展的增值服务
A、BIG/IP支持电子商务“连续性”
电子商务所涉及的商业问题是,大多数通信治理设备无法确保整个购物过程的持续性。在从浏览商品到将其放入购物车(不安全),及至利用SSL购买商品(安全)且传输信用卡数据的阶段尤为严重。结果,由于购物车应用恰恰在用户预备购买时出现题(而且不仅仅是购物车空),大多数用户都放弃该站点,转向了竞争对手的站点或传统的零售厂商。
BIG/IP支持各类持续性功能。这些企业要求保持每个用户与同一服务器维持连接。这被称为“连续性”。在授权用户使用非凡功能或数据之前对用户进行鉴权的应用亦要求保持用户与鉴别服务器保持持续性对话。
在整个购物过程中,通常要求购物车应用具有持续性。典型的负载平衡是利用源IP地址来鉴定用户身份,以保持持续性。因此,许多电子商务需要提供“连续性”来保证对客户请求进行无缝处理。BIG/ip通过多种模式提供“连续性”选项:同一资源服务器、同一服务器、VIP、SSL、Cookie连续性和目标地址相似性。例如,Cookie连续性(正在申请专利)使用客户存储的cookie信息,将客户连接引导到上次访问的服务器(BIG/ip提供3种不同的Cookie连续性模式以适合所有应用的需要)。并且,即使在一些客户是从很少的IP地址导出或其IP地址发生更改的情况下,SSL连续性也能确保客户处于正确的连接状态。BIG/IP的连续性为电子商务这类非凡应用提供强有力的支持,保证用户的请求的处理在同一服务器上完成。
B、扩展内容查证(ECV:ExtendedContentVerification)
ECV是一种非常复杂的服务检查,主要用于确认应用程序能否对请求返回对应的数据。假如一个应用对该服务检查作出响应并返回对应的数据,则BIG/IP控制器将该服务器标识为工作良好。假如服务器不能返回相应的数据,则将该服务器标识为宕机。宕机一旦修复,BIG/IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使BIG/IP可以将保护延伸到后端应用如Web内容及数据库。BIG/ip的ECV功能答应您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。
C、扩展应用验证(EAV)
扩展应用查证(EAV:ExtendedApplicationVerification)EAV是另一种服务检查,用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查,BIG/IP控制器使用一个被称作外部服务检查者的客户程序,该程序为BIG/IP提供完全客户化的服务检查功能,但它位于BIG/IP控制器的外部。例如,该外部服务检查者可以查证一个Internet或Intranet上的从后台数据库中取出数据并在HTML网页上显示的应用能否正常工作。EAV是BIG/IP提供的非常独特的功能,它提供治理者将BIG/IP客户化后访问各种各样应用的能力,该功能使BIG/IP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。
该功能对于电子商务和其它应用至关重要,它用于从客户的角度测试您的站点。例如,您可以模拟客户完成交易所需的所有步骤-连接到站点、从目录中选择项目以及验证交易使用的信用卡。一旦BIG/ip把握了该“可用性”信息,即可利用负载平衡使资源达到最高的可用性。
BIG/ip已经为测试Internet服务的健康情况和状态,预定义的扩展应用验证(EAV),它有二种用户界面:浏览器和CLI配置。BIG/IP预定义的应用检查:FTP、NNTP、SMTP、POP3和MSSQL.
QQread.com
推出Windows2003教程
win2003安装介绍
win2003网络优化
win2003使用技巧
win2003系统故障
服务器配置
专家答疑
更多的请看:http://www.qqread.com/windows/2003/index.html
IDC利用这一功能为用户提供扩展的增值服务。
D、为用户提供高级安全措施
BIG/IP已经成功地运行在世界上许多闻名IDC:如Eexdous,NTT、NTT、BT,及许多闻名公司的网络系统中,例如微软公司所有的电子商务网站上,阿拉斯加航空公司的网上售票系统,及Egghead公司软件销售系统。BIG/IP为这些公司庞大的网络系统的安全运行发挥了巨大的作用。越来越多的用户已经熟悉到F5公司的BIG/IP不但可以实现对防火墙、代理服务器的智能的负载均衡处理,同时利用BIG/IP还可以加强系统的安全性,提高系统的可用性。BIG/IP可以支持以下的安全特性:
●防火墙功能
BIG/IP利用包过滤技术来限制和拒绝某些访问,网络治理员可以亲自制定规则,根据访问者IP包的源地址、目的地址以及源端口和目的端口号,甚至数据包的类型(UDP,TCP,ICMP等)来决定是否答应该访问者的进入。BIG/IP的这个特性为网络治理员提供了灵活的治理手段极大地提高了网络的安全性。
●严格的访问控制
通过授权或关闭BIG/IP及虚拟服务器上的端口可以实现仅答应那些规定类型的数据流透过BIG/IP来访问这些虚拟服务器。所谓虚拟服务器是指某种虚拟地址和端口的组合,那些未被定义为可通过BIG/IP的数据流则被拒绝接入。由于BIG/IP只答应那些网络治理人员指定的数据流通过它,因此它提供了一种极为严密的安全手段。
●安全治理
BIG/IP默认的配置仅答应那些加密的治理数据进入。BIG/IP提供了两种安全的远程治理工具。BIG/Config和SSH。BIG/Config提供了一种基于浏览器的界面来实现,网络人员安全地对其进行实时配置和治理。BIG/Config利用SSL来对网络治理员和BIG/IP之间的通讯进行加密。SSH用于BIG/IP中所有的命令行界面信息。利用这些手段,网络治理员就可以高效、安全地设置及治理本地及远端的BIG/IP。
●反抗常规的攻击
BIG/IP本身具有很强的抗攻击能力,它不但可以为网络中的服务器提供负载均衡功能,还提供了以下防攻击手段来保护网络中的服务器:
●通过对无效连接的治理来防止使用没有开放的服务进行攻击。
●实现源路由的跟踪,防止IP欺骗
●不用Ack缓冲应答未确认的SYN,防止SYN风暴。
●防止连续和接管的攻击。
●HA及HA+模块不运行SMTPd,FTPd,Telnetd等易受到攻击的进程,具有较高的安全性。
由于BIG/IP以上这些固有的安全特性及抗攻击能力,可提高网络的安全性。
●安全工具
在BIG/IP的安全治理报告中通过监视下列参数,BIG/IP可以在安全报告中列出那些服务和端口受到了非法的访问尝试:
IP地址:攻击者的源IP地址
频率:攻击者尝试攻击的数量
端口:哪个端口受到攻击
这些信息可以帮助治理员发现他们网络中存在的安全漏洞,并且可以判定哪些人是潜在的攻击者。
●端口映射和网络地址翻译(NAT)
通过设置,BIG/IP可以将一个端口映射到多个端口上。许多知名的端口是,如80,443,20,21可以被映射到服务器上的任何一个端口上。此外,BIG/IP可以将位于它后面的服务器的地址翻译为那些对外公布的地址。这个安全特性为网络带来了以下几种好处:
●入侵者无法确定哪些服务运行在哪些端口上,因而增加了攻击的难度;
●使用非公开的路由地址、BIG/IP可以节省客户的IP地址,降低客户的成本;
●可以隐藏BIG/IP背后的服务器地址,避免这些服务器暴露到外部世界,从而减少了黑客攻击这些服务器的机会。
●安全的SNMP
BIG/IP不支持SNMP治理中的SET功能,这样BIG/IP就可以避免那些基于SNMP的攻击。由于SNMPV3正在逐步取代当前的版本,BIG/IP将会充分结合SNMPV3的新特性,诸如用户授权认证及加密等,来增强网络的安全性。
BIG/IP是一款灵活的、适应力非常强的产品,与防火墙、路由器ACL、邮件过滤器及内容过滤器等产品配合使用可以极大地提高网络的安全性,即使F5的BIG/IP产品在市场上的定位并不是防火墙或安全产品,但是BIG/IP的众多安全特性的确为这些网站系统的安全运行提供了必要的支持,许多知名公司如微软,USAToday,ANS及阿拉斯加航空公司等都是BIG/IP的忠实用户,BIG/IP也在这些公司庞大的网站的高效、健康地运行中赢得了巨大的声誉。
E、VLAN中继
BIG/ip支持802.1qVLAN标准,它答应网络治理员可以安全地将一个物理网络分割为多个虚拟网络。BIG/Ip的中继技术使263网利用一对BIG/IP为多个用户提供各类增值服务,同时各用户有保持各自的独立性。
F、Npath™性能
BIG/ip包括称作nPath的可选模式。该模式答应服务器绕过BIG/ip直接将信息返回给客户。例如,涉及下载流式媒体的企业可以选择采用该功能。BIG/ip仅对用户的请求(即进入的流量)进行治理。BIG/Ip的nPATH功能使263利用这一功能为一些非凡用户提供非凡服务。
G、SSL加速
加密套接字(SecureSocket)层交易的广泛采用和总体网络负载减缓了服务器的执行速度。要求SSL交易加速。
电子商务业务是基于互联网交易。每笔进入电子商务数据中心的交易均进行了SSL加密处理。由于每秒可执行多达800个新的安全连接。BIG/IPSSL加速卡可把CPU从繁重的加密与解密处理负荷中解放出来,从而将宝贵的资源归还给服务器群。它可与任何操作系统或互联网服务器互操作,而不会出现服务器硬件、软件安装或兼容性问题。以后各个阶段通过从在这些阶段安装的高速缓存中检索静态且加过密的数据而受益。