公司网站建设深,最新新闻热点事件看法,黄山风景区,多用户商城系统哪个好第二章#xff1a;负载均衡基础概念
目标#xff1a;
使用网页和TMSH配置virtual servers#xff0c;pools#xff0c;monitors#xff0c;profiles和persistence等。查看统计信息 基础概念#xff1a;
Node一个IP地址。是创建pool池的基础。可以手工创建也可以自动创…第二章负载均衡基础概念
目标
使用网页和TMSH配置virtual serverspoolsmonitorsprofiles和persistence等。查看统计信息 基础概念
Node一个IP地址。是创建pool池的基础。可以手工创建也可以自动创建。node和pool member的区别在于node是一个ip如172.16.20.1而pool member是一个ip:port如172.16.20.1:80 Node 状态enableddisabledforced offline。 pool member一个ip:port的组合是在node创建完之后才能创建的如172.16.20.1:80。 pool是pool member的组合是一个逻辑组需要关联到virtual server。 pool 状态enableddisabledforced offline。 virtual server一个ip:port的组合是F5的流量入口之一。 virtual address当我们创建virtual server的时候会有两个对象产生virtual serverIP:port和virtual addressipvirtual address可以被宣告到网络里。
地址转换Address Translation
当一个数据流到达F5设备的时候进行地址和端口的匹配如果是F5上的vsF5就对他进处理在经典的vs中数据包将会负载到其中一个pool memebr上后端服务器是不会感知到这个数据包被F5处理过后端服务器以为是用户直接访问。
F5设备将一个会话session拆分成两个链接connectionclient-side connection的两端分别是client和F5设备server-side connection两端是F5设备和pool member。F5在这两个链接中间可以修改一些数据比如加解密增加字段等。
Fullnat选择Address Translation Routing Assumptions
如果你需要将流量流经F5设备你有两种选择第一种将服务器的默认网关配置成F5的接口地址第二种选择将流经F5的流量做源地址和源端口转换。
如果选择源地址源端口转换的话你需要开启Auto Map的功能并且建议使用一个浮动地址做转换后的地址。注意单个ip可以支持64k的并发连接如果并发连接更多你需要成倍配置浮动地址以防止端口耗尽。
使用源地址源端口转换的坏处你会发现在后端服务器上抓到的包源地址全是F5的浮动ip如果你做日志记录或者来源认证你会变得很麻烦。如果你使用的是http协议你可以使用X-Forward-For技术解决此问题。
健康检测Health Monitoring
健康检测用于检测设备是否存活和是否正常工作一般情况健康检测需要周期性的接收到执行的响应如果超时则认为目标不正常F5就对这个设备进行摘流直到他恢复正常。
LTM支持node和pool memebr的健康检测。当node健康检测认定不正常的时候所有有关此node的pool member都会被认定为不正常但是pool member的健康检测认定为不正常不会影响node的状态。
对象层次结构和状态object hierarchy and status
每一个模块都影响其他的模块他们都是用层级关系的比如一个node的健康检测为不正常会直接将所有有关此node的pool member都会被认定为不正常但是反过来一个pool member不正常不会影响node的状态当pool member所有成员都不正常pool会被认定为不正常同时也会影响virtual server的状态。 状态
状态可能是通过健康检测做出的认定也可能是管理员手工配置的。管理员可以通过tmsh或者网页进行配置。分为三种状态
Enabled符合接流条件Disabled保持现有活跃链接对于新建连接如果属于已存在的持久性会话persistence session则依然会建立链接否则不会建立。Forced offline保持现有活跃链接不进行新连接建立。
状态图标
图标解释配置为enabled且检测为可达。对象可用。表示BIG-IP系统为目的地址为该对象的流量服务。配置为enabled但是暂时不可达。该对象当前不可用但稍后可能在没有用户干预的情况下变得可用。例如已达到配置连接限制的对象可能会显示黄色状态然后在连接数量低于配置限制时切换到绿色状态。配置为enabled但是判定为不可达。该对象不可用。表示BIG-IP系统无法为目的地址为该对象的流量提供服务。例如当一个节点因为不可用而服务检查失败时可能会出现这种状态。此状态需要用户干预才能将对象状态恢复为绿色。对象的可用性未知。例如该对象未配置为服务检查该对象的IP地址配置错误或该对象与网络断开时可能会出现这种状态。此图标表示会话正在挂起尚未建立。注意:状态为unknown的池成员和节点有资格接收客户端请求。用户主动禁用disabled了一个可用对象。只保持现有会话或者持久化链接流量定向到此对象。用户主动下线forced offline了一个可用对象不将流量导向此对象。
配置文件profile
profile是一个很有用的配置项可以很容易的定义一个流量的行为。profile可以做到
更改网络流量的行为。对一个数据包进行深层次的检查。减少基础设施的硬件需求以适应外部技术的变化和发展。调整网络上的性能和吞吐量。减少应用服务器的处理量。
具体的说profile是一个配置对象其中包括控制和复制特定网络流量如HTTP链接profile还为你提供了一种启用持久性和管理客户端应用程序认证的方法。
persistence profile
现在有越来越多的网页应用是有状态的这意味这一个链接需要维持稳定的上下文关系比如电子商务web应用程序需要维护购物车和用户放置物品的逻辑关系。对于负载均衡环境中有状态的应用程序用户一旦链接就必须连接到同一个应用程序实例上以确保访问存储在该实例中的信息是准确的。持久性persistence就可以做到这一点。
有很多种实现persistence的方法简单一些的方法比如simpleSSLcookie高级一些方法如SIPUniversal和Hash。
simple persistence是一个基于网络层特征的方式比如基于源目地址的持久性这种方式是简单的持久性能力使用简单但是缺点是在使用源地址亲和持久性的特性时会导致流量非常不均匀。
cookie persistence是一种使用cookie头来完成持久化能力的方式许多应用服务器插入一个session id 在响应报文中这个cookie用于用户上下文信息同步和访问存储服务器的数据。基于此F5设备向HTTP包头中添加另一个cookie是十分容易的基于cookie的持久性相较于simple的方式流量会更加均匀。
source address affinity persistence 源地址亲和持久性允许一个特定ip或者一组ip被选择转发到同一个pool member上。当第一个数据包发送到F5设备上会根据负载均衡策略进行分配同时在内存中创建一个持久化记录之后相同的源地址在访问这个vs的时候就会根据持久化记录的信息转发数据包。每次匹配到持久化记录时记录中的时间会重置为0当时间超过老化时间记录将被删除。
你可以使用命令查看记录。
show ltm persistence persist-recoedscookie persistence工作原理是在客户端第一次链接到vs的时候在响应报文中F5设备在http包头中插入特定的cookie这个cookie随着响应报文发送到客户的浏览器中并储存下一次请求会根据这个特定的cookie转发到特定的pool member中。持久化记根据cookie的老化时间超时而消失或者客户端关掉网页。F5设备支持多种cookie的持久化比如cookie insert、cookie rewrite、cookie passive等。
SSL offload(ssl卸载) F5的vs可以充当一个TLS/SSL会话的终端如果流量在F5设备上解密F5设备可以在发送到pool memebr之前对执行cookie persistence 和irules等操作。这样的优势是不需要昂贵的SSL加速硬件还可以为每一个pool member提供单独证书实现集中管理。
client SSL profile
当加密的流量到达配置了client ssl profile的vs上F5设备在ssl协商过过程中充当服务端流量被解密此时可以执行iRules流量策略ASM策略cookie persistence的工作。没有加密的流量会转发到pool member上。回复的数据包在不加密的状态下发送到F5设备上F5对其进行加密返回给client。
server SSL profile
server SSL profile 可以将流量加密之后转发到pool member。这个是对server-side进行加密不是client-side侧的。
同时使用server和client SSL profile
单独使用client ssl profile可以提高性能但是允许线路上未加密流量通过降低了安全性我们同时使用server和client SSL profile以保证安全性同时还能享受F5的iRules、本地流量策略、cookie persistence等特性。如果不需要这些特性你可以不配置SSL profile直接将加密流量转发到pool member上。 Big-ip的配置文件
文件描述/config/bigip.conf包含virtual server、load balancing pools、profile、monitors和SNATs。/config/bigip_base.conf包含platform、networkVLANs、interface、self-ip、HA configuration datatraffic groups、trust domains/config/bigip_user.conf本地用户的account和加密后的password。/config/BigDB.dat这个数据库保存了一组配置键这个键值定义了BIG-IP系统各个方面的行为。例如ui.statistics.modulestatistic.localtraffic.persistencerecords 如果配置成enabled你可以使用Configuration utility查看persistence的记录如果配置成disabled则只能使用tmsh查看persistence记录/config/bigip.license包含lecense的记录包含日期和能提供的特性
保存配置
tmsh save sys config可以将内存中运行的配置保存在文件当中保存文件包含
/config/bigip.conf/config/bigip_base.conf/config/bigip_user.conf
加载配置
tmsh load sys config这个命令的效果
重新加载所有本地负载均衡的配置如vspool monitor等。重新加载网络配置如selfipvlantraffic group。重新加载系统用户信息。保留管理地址保留license文件保留/shared文件夹中的文件保留BigDB.dat中的key
UCS 存档
使用ucs存档可以将重要的配置文件存入不同的文件夹中用于灾备。
# 保存
tmsh save sys ucs 20230225_bigip.ucs
# 加载
tmsh load ucs 20230225_bigip.ucsucs包含
所有big-ip的配置文件产品系列号本地用户信息和密码DNS 的zone 文件SSL证书和密钥
注意事项
你需要在创建ucs的设备上进行恢复操作因为license是与F5的串码相关联的如果需要更换设备需要将license关联到新的设备上。重新关联需要照F5的售后。
实验
使用界面创建一个应用
1、创建一个HTTP 监控器
Nameconfigltm_http_monitorTypeHTTPSend StringGET /index.html\r\nReceive StringServer [1-3] 2、创建两个pool
Namehttp_poolMonitorconfigltm_http_monitorLoad Balancing MethodRatiomemberMember172.16.20.3:80 -3,172.16.20.2:80 -2,172.16.20.1:80 -1 Namehttps_poolLoad Balancing MethodRound RobinMember172.16.20.3:443 ,172.16.20.2:443 ,172.16.20.1:443 3、创建源地址关联持久性配置文件
Nameconfigltm_src_persistPersistence TypeSource Address AffinityParent Profilesource_addrTimeouts30 secondsPrefix LengthSpecify IPv4 and 16 4、创建两个vs
Namehttp_vsDestination Address10.10.10.10080Default Poolhttp_pool Namehttps_vsDestination Address10.10.10.100443Default Poolhttps_poolDefault Persistence Profileconfigltm_src_persist 5、在浏览器输入http://10.10.10.100查看pool的流量统计改变权重441之后查看统计。
实验预期
当您第一次通过访问http_vs及其关联的池http_pool测试HTTP应用程序并查看本地流量统计信息时您应该看到在172.16.20.1、172.16.20.2和172.16.20.3的池成员中连接分布到所有池成员比例接近1:2:3。在改变每个成员的比例并重新测试后连接的分布比例应该接近4:4:1。
当您第一次通过虚拟服务器https_vs及其关联池https_pool测试HTTPS应用程序时您应该看到做出了一个负载平衡决策。由于附加到虚拟服务器的源地址关联持久性配置文件来自你电脑的后续连接应该被定向到相同的池成员。您应该已经看到了类似以下的持久性信息: Sys::Persistent Connections source-address 10.10.0.0 10.10.10.100:443 172.16.20.1:443 (tmm: 1) Total records returned: 1 在等待持久性记录过期30秒后你应该看到F5做出另一个负载平衡决策然后创建了新的持久性记录。
在Source Address Translation调整成auto map之前时访问不通的因为不在同一个二层内。
使用TMSH创建一个应用
1、创建一个pool
Namessh_poolLoad Balancing MethodRound RobinMember172.16.20.3:80 ,172.16.20.2:80 ,172.16.20.1:80
# 创建
create ltm pool ssh_pool load-balancing-mode round-robin members add {172.16.20.1:22 172.16.20.2:22 172.16.20.3:22}
# 查看
list ltm pool ssh_pool
# 手工保存
save sys config
# 离开
quit2、使用命令查看在bigip.conf是否存在ssh_pool配置。
grep ssh_pool /config/bigip.conf3、创建一个vs
Namessh_vsDestination Address10.10.10.10022Default Poolssh_pool
# 创建
create ltm virtual ssh_vs destination 10.10.10.100:22 pool ssh_pool profiles add { tcp }
# 查看
list ltm virtual ssh_vs
# 查看统计信息
show ltm pool ssh_pool members { all }
show ltm pool ssh_pool
show ltm virtual ssh_vs
# 查看会话
show sys connection ss-server-port 22保存配置文件成UCS
# 保存
save sys ucs /shared/tmp/test.ucs
# 加载
load sys ucs /shared/tmp/test.ucs实验预期
在您最初创建ssh_vs之后在bigip.conf中找不到它的配置。使用TMSH所做的更改只影响正在运行的配置。为了查看bigip.conf中ssh_vs的条目必须手动将正在运行的配置保存到存储的配置中。这种行为与Configuration实用程序不同在Configuration实用程序中更改在完成后立即记录到正在运行的配置和存储的配置。 bigip.conf包含从上次运行配置保存到存储配置的应用程序流量处理对象如虚拟服务器、池、监视器和配置文件。 bigip_base.conf包含从上次运行配置保存到存储配置的网络和系统相关对象(如vlan、self ip、设备组和平台信息)。 bigip_user.conf包含BIG-IP系统从上次运行配置保存到存储配置的所有用户的用户名和密码。 bigip.license包含BIG-IP系统的许可信息。服务检查日期将根据最后一次将系统档案提交到F5许可证服务器进行激活的时间而变化。 只有当UCS档案位于/var/local/ucs时配置实用程序才能看到它们因此您保存在/shared/tmp中的UCS在Configuration实用程序中是不可见的。
