今天有人提到F5,早有耳聞,未知其詳.便查點資料出來.
F5全稱大約是這個樣子: F5-BIG-IP-GTM 全球流量管理器.
是一家叫F5 Networks的公司開發(fā)的四~七層交換機,軟硬件捆綁.
據(jù)說最初用BSD系統(tǒng),現(xiàn)在是LINUX;硬件是Intel的PC架構(gòu),再加周邊的網(wǎng)絡和專用加速設備.
當然要提提售價, 都是幾十萬RMB的身價.
這寶貝是用于對流量和內(nèi)容進行管理分配的設備,也就是負載均衡.
從名字就能看出來:BIG-IP.
外部看來是一個IP,內(nèi)部可卻是幾十臺應用服務器.表現(xiàn)為一個虛擬的大服務器.
所以我才說: 好大一個IP.
LVS = Linux Virtual Server
是俺們中國人,一個叫章文嵩的博士推創(chuàng)開發(fā)出來的,
他的web:http://zh./
IBM網(wǎng)站的資料:集群的可擴展性及其分布式體系結(jié)構(gòu)(4)
博士關(guān)于LVS和F5的對比:
關(guān)于和F5的差別�,很難一句話說明白,都是做負載均衡的設備���。
F5雖然也是基于BSD系統(tǒng)修改的(據(jù)說最新的基于Linux了)�,但重要的交換部分,則是通過專門的交換芯片實現(xiàn)的(類似有了專門的圖像處理芯片���,就可以省去大量的CPU對圖像處理的運算)�,這樣他的性能就不會很依賴于主機的操作系統(tǒng)的處理能力���。
F5上負載均衡大多是基于NAT/SNAT��,也可以實現(xiàn)Proxy,但用的較少���,做為一個上市公司,F(xiàn)5自然在產(chǎn)品化程度上做的很好�����,無論配置管理方便性�����、靈活性�,性能和穩(wěn)定性上都比較好。
LVS在NAT模式下�����,和F5的功能基本上是一樣的,但畢竟LVS是純粹的軟件�,性能是依賴于主機的運算能力的。
而且���,LVS是開源的項目���,不應該和一個商業(yè)產(chǎn)品來比較,人家那是賣錢的����,有很多人來維護和開發(fā),而LVS一直是章博士義務來維護開發(fā)的�����,想要更好的功能��,就需要有更多的人參與進來才行�。
說的相當透徹了.
DNS輪詢是做負載均衡最簡單有效的實現(xiàn)方法,各方面代價都極低.貨好便宜量又足.
缺點就是由于沒有檢測機制, 不夠均衡,容錯反應時間長.
國內(nèi)門戶用這個技術(shù)的很多,配合squid有很好的效果.
當然,不做負載均衡, 直接從多個ISP拉幾根線,分別提供服務是最原始的方法.
CDN = Content Delivery Network����,內(nèi)容分發(fā)網(wǎng)絡��。
細究起來上面的都是cdn的實現(xiàn)方式.
國內(nèi)開放的服務很少(chinacache),國外卻非常流行.
就是提供緩存節(jié)點,把目標網(wǎng)絡內(nèi)容的訪問轉(zhuǎn)化為臨近節(jié)點的訪問.
響應速度\安全\透明\擴展,特別是中國這種還沒解放臺灣就南北分裂的網(wǎng)絡格局下,更為偉大.
不過也是貴族的服務,建設成本很高.
maomao前段時間就是說搞這個的, 名字很響亮, 數(shù)量也夠, 就是不知道到底亮了沒有.
說了這么多高高在上的東東,總算遇到一個切身的:
搜索發(fā)現(xiàn)了一個CDN的提供商, 
這是報價:
月流量(GB) 月收費策略
小于 20GB 58元
小于 50GB 128元
小于 100GB 198元
小于 200GB 368元
小于 300GB 528元
小于 400GB 688元
小于 500GB 818元
小于 800GB 1288元
小于 1000GB 1588元
價格很平民哦,不過網(wǎng)站上找不到任何顯示商業(yè)可信度的東東.
至此, ADSL + DDNS + CDN 也算是另一個建小站的途徑了.
把空間的租用費用投資在流量上, 直接有效. 不過電費和穩(wěn)定性上不容樂觀.
其實CDN不只是做網(wǎng)站服務的, 比如在韓國,多數(shù)的CND流量都是被網(wǎng)絡游戲占用了.
試想,如果能大范圍鋪開CDN節(jié)點, 那還有必要一個游戲分那么多區(qū),占用那么多服務器么?
結(jié)論是還有必要 
雖然確實訪問連接和響應速度對現(xiàn)在的網(wǎng)絡游戲有很大影響,但開發(fā)瓶頸更在于計算能力和數(shù)據(jù)存儲訪問.
又一個試想, 
把CDN和P2P結(jié)合, 上網(wǎng)的個人PC只要提供CDN服務, 就可以每月獲的xx美金的傭金.由資訊和應用提供商買單.
怎么看這都是個良性發(fā)展的產(chǎn)業(yè)鏈, 就像google明年要推出免費手機,讓廣告商買單一樣.
不過唯一不高興的就應該是ISP們了,現(xiàn)在bt這樣的共享都被封殺.
除非這個業(yè)務被他們自己壟斷,不然也是僵尸的下場.
用戶也不是百利無害的, 數(shù)據(jù)安全和資訊及時有挑戰(zhàn).
GV們也不是看戲的,現(xiàn)在還有網(wǎng)站可以封,寫個blog都要100萬注冊資金;
如果一堆SSL加密的數(shù)據(jù)四處流竄,神龍無首無尾,怎么屏蔽過濾,怎么防川啊~
回望眼,越看越像網(wǎng)摘,索性就再摘段完整的
F5功能介紹:
1.多鏈路的負載均衡和冗余
與互聯(lián)網(wǎng)絡相關(guān)的關(guān)鍵業(yè)務都需要安排和配置多條ISP接入鏈路以保證網(wǎng)絡服務的質(zhì)量���,消除單點故障,減少停機時間�����。多條ISP接入的方案并不是簡單的多條不同的廣域網(wǎng)絡的路由問題����,因為不同的ISP有不同自治域,所以必須考慮到兩種情況下如何實現(xiàn)多條鏈路的負載均衡:
more..
less..
內(nèi)部的應用系統(tǒng)和網(wǎng)絡工作站在訪問互聯(lián)網(wǎng)絡的服務和網(wǎng)站時如何能夠在多條不同的鏈路中動態(tài)分配和負載均衡�,這也被稱為OUTBOUND流量的負載均衡。
互聯(lián)網(wǎng)絡的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配���,并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務器和應用系統(tǒng)��,這也被稱作為INBOUND流量的負載均衡�����。
F5 的BIG-IP LC可以智能的解決以上兩個問題:
對于OUTBOUND流量���,BIG-IP LC接收到流量以后����,可以智能的將OUTBOUND流量分配到不同的INTERNET接口���,并做源地址的NAT��,可以指定某一合法IP地址進行源地址的 NAT���,也可以用BIG-IP LC的接口地址自動映射,保證數(shù)據(jù)包返回時能夠正確接收��。
對于INBOUND流量�,BIG-IP LC分別綁定兩個ISP 服務商的公網(wǎng)地址,解析來自兩個ISP服務商的DNS解析請求����。BIG-IP LC不僅可以根據(jù)服務器的健康狀況和響應速度回應LDNS相應的IP地址,還可以通過兩條鏈路分別與LDNS建立連接�����,根據(jù)RTT時間判斷鏈路的好壞�����,并且綜合以上兩個參數(shù)回應LDNS相應的IP地址�。
2.防火墻負載均衡
考慮到絕大多數(shù)的防火墻只能達到線速的30%吞吐能力,故要使系統(tǒng)達到設計要求的線速處理能力���,必須添加多臺防火墻�,以滿足系統(tǒng)要求���。然而�,防火墻必須要求數(shù)據(jù)同進同出�,否則連接將被拒絕。如何解決防火墻的負載均衡問題���,是關(guān)系到整個系統(tǒng)的穩(wěn)定性的關(guān)鍵問題�。
F5的防火墻負載均衡方案�����,能夠為用戶提供異構(gòu)防火墻的負載均衡與故障自動排除能力���。典型的提高防火墻處理能力的方法是采用“防火墻三明治”的方法�����,以實現(xiàn)透明設備的持續(xù)性�。這可滿足某些要求客戶為成功安全完成交易必須通過同一防火墻的應用程序的要求,也能夠維護原來的網(wǎng)絡安全隔離的要求��。F5標準防火墻解決方案如圖所示:
防火墻負載均衡連接示意圖
3.服務器負載均衡
對于所有的對外提供服務的服務器��,均可以在BIG-IP上配置Virtual Server實現(xiàn)負載均衡����,同時BIG-IP可持續(xù)檢查服務器的健康狀態(tài),一旦發(fā)現(xiàn)故障服務器��,則將其從負載均衡組中摘除���。
BIG-IP利用虛擬IP地址(VIP由IP地址和TCP/UDP應用的端口組成���,它是一個地址)來為用戶的一個或多個目標服務器(稱為節(jié)點:目標服務器的IP地址和TCP/UDP應用的端口組成,它可以是internet的私網(wǎng)地址)提供服務�����。因此��,它能夠為大量的基于TCP/IP的網(wǎng)絡應用提供服務器負載均衡服務。根據(jù)服務類型不同分別定義服務器群組���,可以根據(jù)不同服務端口將流量導向到相應的服務器�����。BIG-IP連續(xù)地對目標服務器進行L4到L7合理性檢查,當用戶通過VIP請求目標服務器服務時�,BIG-IP根椐目標服務器之間性能和網(wǎng)絡健康情況,選擇性能最佳的服務器響應用戶的請求�����。如果能夠充分利用所有的服務器資源����,將所有流量均衡的分配到各個服務器,我們就可以有效地避免“不平衡”現(xiàn)象的發(fā)生��。
利用UIE+iRules可以將TCP/UDP數(shù)據(jù)包打開����,并搜索其中的特征數(shù)據(jù),之后根據(jù)搜索到的特征數(shù)據(jù)作相應的規(guī)則處理�。因此可以根據(jù)用戶訪問內(nèi)容的不同將流量導向到相應的服務器,例如:根據(jù)用戶訪問請求的URL將流量導向到相應的服務器。
4.系統(tǒng)高可用性
系統(tǒng)高可用性主要可以從以下幾個方面考慮:
4.1.設備自身的高可用性:F5 BIG-IP專門優(yōu)化的體系結(jié)構(gòu)和卓越的處理能力保證99.999%的正常運行時間���,在雙機冗余模式下工作時可以實現(xiàn)毫秒級切換����,保證系統(tǒng)穩(wěn)定運行�����,另外還有冗余電源模塊可選��。在采用雙機備份方式時�����,備機切換時間最快會在200ms之內(nèi)進行切換�����。BIG-IP 產(chǎn)品是業(yè)界唯一的可以達到毫秒級切換的產(chǎn)品, 而且設計極為合理�����,所有會話通過Active 的BIG-IP 的同時��,會把會話信息通過同步數(shù)據(jù)線同步到Backup的BIG-IP,保證在Backup BIG-IP內(nèi)也有所有的用戶訪問會話信息�;另外每臺設備中的watchdog芯片通過心跳線監(jiān)控對方設備的電頻,當Active BIG-IP故障時���,watchdog會首先發(fā)現(xiàn)�,并通知Backup BIG-IP接管Shared IP�,VIP等,完成切換過程����,因為Backup BIG-IP中有事先同步好的會話信息��,所以可以保證訪問的暢通無阻���。
4.2.鏈路冗余:BIG-IP可以檢測每條鏈路的運行狀態(tài)和可用性�����,做到鏈路和ISP故障的實時檢測����。一旦出現(xiàn)故障���,流量將被透明動態(tài)的引導至其它可用鏈路��。通過監(jiān)控和管理出入數(shù)據(jù)中心的雙向流量��,內(nèi)部和外部用戶均可保持網(wǎng)絡的全時連接����。
4.3.服務器冗余,多臺服務器同時提供服務�,當某一臺服務器故障不能提供服務時,用戶的訪問不會中斷����。BIG-IP可以在OSI七層模型中的不同層面上對服務器進行健康檢查,實時監(jiān)測服務器健康狀況�����,如果某臺服務器出現(xiàn)故障�,BIG-IP確定它無法提供服務后,就會將其在服務隊列中清除���,保證用戶正常的訪問應用����,確保回應內(nèi)容的正確性��。
5.高度的安全性
BIG-IP采用防火墻的設計原理���,是缺省拒絕設備���,它可以為任何站點增加額外的安全保護,防御普通網(wǎng)絡攻擊�����??梢酝ㄟ^支持命令行的SSH或支持瀏覽器管理的SSL方便、安全的進行遠程管理����,提高設備自身的安全性���;能夠拆除空閑連接防止拒絕服務攻擊����;能夠執(zhí)行源路由跟蹤防止IP欺騙�;拒絕沒有ACK緩沖確認的SYN防止SYN攻擊�;拒絕teartop和land攻擊���;保護自己和服務器免受ICMP攻擊�;不運行SMTP���、FTP���、TELNET或其它易受攻擊的后臺程序。
BIG-IP的Dynamic Reaping特性可以高效刪除各類網(wǎng)絡DoS攻擊中的空閑連接����,這可以保護BIG-IP不會因流量過多而癱瘓。BIG-IP可以隨著攻擊量的增加而加快連接切斷速率�,從而提供一種具有極強適應能力、能夠防御最大攻擊量的解決方案�。
BIG-IP的Delay Binding技術(shù)可以為部署在BIG-IP后面的服務器提供全面地SYN Flood保護。此時���,BIG-IP設備作為安全代理來有效保護整個網(wǎng)絡��。
BIG-IP可以和其它安全設備配合����,構(gòu)建動態(tài)安全防御體系。BIG-IP可以根據(jù)用戶單位時間內(nèi)的連接數(shù)生成控制訪問列表�����,將該列表加載到其它安全設備上�����,有效控制攻擊流量��。
6.SSL加速
在每臺BIG-IP上�����,都具有SSL硬件加速芯片���,并且自帶100個TPS的License�,用戶可以不通過單獨付費����,就可以擁有100個TPS的SSL 加速功能���,節(jié)約了用戶的投資����。在將來系統(tǒng)擴展時,可以簡單的通過License升級的方式�,獲得更高的SSL加速性能。
7.系統(tǒng)管理
BIG-IP提供HTTPS����、SSH、Telnet�����、SNMP等多種管理方式����,用戶客戶端只需操作系統(tǒng)自帶的瀏覽器軟件即可,不需安裝其它軟件�。可以通過支持命令行的SSH或支持瀏覽器管理的SSL方便�、安全的進行遠程管理。直觀易用的Web圖形用戶界面大服務降低了多歸屬基礎設施的實施成本和日常維護費用�。
BIG-IP包含詳盡的實時報告和歷史紀錄報告,可供評測站點流量����、相關(guān)ISP性能和預計帶寬計費周期�����。管理員可以通過全面地報告功能充分掌握帶寬資源的利用狀況�����。
另外�,通過F5 的i-Control 開發(fā)包���,目前國內(nèi)已有基于i-Control開發(fā)的網(wǎng)管軟件x-control, 可以定制針對系統(tǒng)服務特點的監(jiān)控系統(tǒng),比如服務的流量情況��、各種服務連接數(shù)���、訪問情況、節(jié)點的健康狀況等等�,進行可視化顯示。
告警方式可以提供syslog�����、snmp trap��、mail等方式�。
8.其它
內(nèi)存擴充能力:F5 BIG-IP 1000以上設備單機最大可擴充到2G內(nèi)存,此時可支持400萬并發(fā)回話��。
升級能力:F5 所有設備均可通過軟件方式升級�,在服務有效期內(nèi),升級軟件包由F5公司提供����。F5 NETWORKS已經(jīng)發(fā)布其系統(tǒng)的最新版本BIG-IP V9.0,主要有以下特性:虛擬 IPV4 / IPV6 應用���、加速Web應用高達3倍�����、減少66%甚至更多的基礎架構(gòu)成本���、確保高優(yōu)先級應用的性能、確保更高級別的可用性�、大幅提高網(wǎng)絡和應用安全性、強大的性能���,簡單的管理方式���、無以匹敵的自適應能力和延展能力和突破的性能表現(xiàn)力�。其強大的HTTP壓縮功能可以將用戶下載時間縮短50%����,節(jié)省80%的帶寬。
IP地址過濾和帶寬控制:BIG-IP可以根據(jù)訪問控制列表對數(shù)據(jù)包進行過濾���,并且針對某一關(guān)鍵應用進行帶寬控制�����,確保關(guān)鍵應用的穩(wěn)定運行�����。
配置管理及系統(tǒng)報告:F5 BIG-IP提供WEB 界面配置方式和命令行方式進行配置管理��,并在其中提供了豐富的系統(tǒng)報告���,更可通過i-Control自行開發(fā)復雜的配置及報告生成。
