FY14Q3-TAM-CUT-双活数据中心参考架构-Aaron Yu

©F5Networks,Inc1•客户：包商银行CIO李树森•业务：将总部从包头迁至北京•数据中心现状：目前四个数据中心，包头主中心，北京两个灾备中心，上海一个灾备中心•数据中心规划：北京新建一个主数据中心，撤销包头数据中心和马连道数据中心，建成两地三中心模式背景©F5Networks,Inc2•突出F5在双活数据中心部署的技术特点和优势，使用户深信只有F5可以帮助他们实现更可靠，更灵活的多活数据中心解决方案•转变用户F5就是负载均衡的第一印象，让用户理解应用服务的重要性和价值•消除用户在灾备中心使用竞争对手产品的想法目标思路•从客户两地三中心的的建设规划和业务发展的驱动力和建立应用级双活数据中心所面临的挑战为出发点，在智能流量管理，应用优化与安全，自动化运营三个方面介绍F5的解决方案的优势，让客户认同F5的双活数据中心参考架构双活数据中心参考架构喻纯政FSE18910851253a.yu@f5.com©F5Networks,Inc4•双活数据中心的需求和挑战•双活数据中心参考架构•面向应用的智能流量管理•应用优化与安全•自动化运营•如何构建双活数据中心•典型案例•总结议程©F5Networks,Inc5新的安全隐患业务持续性突发的业务流量成本用户感受©F5Networks,Inc6©F5Networks,Inc.实现双活数据中心面临的挑战智能流量管理•BS/CS动态管理流量•突发的业务流量•移动应用的会话保持应用优化和安全自动化运营6©F5Networks,Inc7双活数据中心参考架构数据中心A1全局负载均衡数据中心级健康检查DNS安全防护用户用户负载均衡路由健康注入应用优化网络及应用安全SSL加速自动化应用交付网络跨数据中心会话保持业务流量突发处理DNS应用管理员数据中心A2应用UI或RESTAPI战略控制点DNS数据库数据库自动化管理重复数据删除数据压缩数据库一键切换©F5Networks,Inc8生产数据中心1生产数据中心2应用级双活数据中心模型一--分应用主备模型•双生产中心均需要完成生产业务•通过数据复制技术将数据复制到对方•通过业务模块或用户的方式将业务分配到不同的中心•平时主要的处理能力均分配给生产应用系统使用•出现灾难时，根据需要接管的方式，动态调度资源给备份系统使用应用A访问应用B访问用户©F5Networks,Inc9应用级双活数据中心模型二--主主模型•业务或用户分配到每个生产数据中心•每个生产中心都有自己的应用集群对外服务•跨双生产中心建立共用数据库•通过数据复制技术将数据镜像到对方•出现灾难时，正常的生产数据中心根据需要接管所有基于指定应用的请求•所有的中心、主机和存储设备均处于生产状态和实现负荷分担生产数据中心1生产数据中心2应用A访问应用B访问用户应用B访问应用A访问©F5Networks,Inc10应用级双活数据中心模型三--动态主主模型•双生产中心均需要完成生产业务•通过数据复制技术将数据复制到对方•通过业务模块或用户的方式将业务分配到不同的中心•平时主要的处理能力均分配给生产应用系统使用•出现灾难时，根据需要接管的方式，动态调度资源给备份系统使用生产数据中心1生产数据中心2应用A访问应用B访问用户应用B访问应用A访问面向应用的智能流量控制©F5Networks,Inc12GTM探测本地资源GTM之间共享本地资源状态和LocalDNS网络距离信息客户端运营商LocalDNS通过一组GTM来对外提供服务GTM监控服务的状态，并通知同组内的其他所有GTM设备，对于每一个DNS请求返回最佳结果好的策略选择和配置方式可以最大幅度提高客户体验互联网业务多中心并行运行将客户端请求发送到最佳的数据中心GTM+DNSWebTierAppTierGTM+DNSWebTierAppTier互联网ISP1ISP2ISP2ISP1数据中心1数据中心2Clients©F5Networks,Inc13DBTier(Active)DBTier(Standby)通过路由将用户引导到“最近”的数据中心通常情况下这些只能基于IP访问的应用包括ATM/自助终端或者银行内的服务器到服务器的应用访问，有以下发布方式：1.在大网上发布一个单一的IP地址，通过IPAnyCast技术将用户请求引导到多个数据中心2.在大网上发布单一IP地址，通过静态路由注入方式将用户引导到单一数据中心，在故障时进行自动切换3.在不同的数据中心发布不同的虚拟IP地址，并且互为备份内网基于IP地址发布的业务多中心并行将连接发送到最佳的数据中心AppTierAppTierPrivateNetwork数据中心1数据中心2KiosksATMsLTM检测本地的资源状况发布VIP的主机路由Branches通过数据中心之间的直接连接实现Active/Active发布同样VIP的主机路由©F5Networks,Inc14•当本地资源出现故障时使用另外一个数据中心资源•避免本地的服务能力无法支撑的场景•设置服务器的并发连接数限制•设置优先级组，当本地资源不足时自动启用另外一个站点资源•如果彻底的由于资源响应问题无法服务（或者同时故障），可以在BIG-IP上直接返回错误页面突发业务流量处理在出现故障或者服务能力无法支撑的情况下使用另外一个数据中心资源WebTierAppTierDBTierWebTierAppTierDBTierExternalNetworksISP1ISP2ISP2ISP1数据中心1数据中心2Clients“对不起，系统忙，请您稍后再试”如果一个数据中心的资源不足或者故障，使用另外一个数据中心资源xx©F5Networks,Inc15•多中心并行运行后，潜在的风险是可能是用户的第一个请求和后续的请求导向到不同的数据中心或者链路上•ISP大量使用WLAN卸载3G网络的压力•移动用户可能在同一个应用使用期间在3G网络和WIFI之间来回切换移动终端业务多中心并行用于追踪当前活动的用户Session数据所归属的数据中心WebTierAppTierDBTierWebTierAppTierDBTierExternalNetworksISP1ISP2ISP2ISP1数据中心1数据中心2ClientsBIG-IP创建数据中心cookie并且插入到服务器的响应中后续的请求发送到的另外一个数据中心数据中心2的BIG-IP读取到了Cookie并且发现用户的Session存在于数据中心1，则将请求转发到数据中心1©F5Networks,Inc16应用交付设备集群部署Switch数据中心1DevicesBIG-IPN+MclusterSwitch数据中心2多中心模式下多采用静态指定切换目标设备VS1VS2VS2VS1应用一访问应用二访问VS3VS3应用三访问应用优化和安全©F5Networks,Inc18•通过数据库快速复制技术，将主数据库的变化更新复制到备数据库•以最小的复制带宽获得数据一致性保证•备数据库实时可读取，可提供查询服务•在主数据中心数据库故障时切换到备份数据库GTM+DNSWebTierAppTierDBTier(Active)GTM+DNSWebTierAppTierDBTier(Standby)ExternalNetworksISP1ISP2ISP2ISP1数据中心1数据中心2Clients数据库快速复制双中心数据一致性保证类似于OracleGoldenGate或者ActiveDataguard的数据库复制©F5Networks,Inc19GTM+DNSWebTierAppTierDBTier(Active)GTM+DNSWebTierAppTierDBTier(Standby)ExternalNetworksISP1ISP2ISP2ISP1PrimaryDataCenterSecondaryDataCenterClients•通常情况下金融行业都采用单一数据中心数据库集群主运行方式•数据一致性考虑•另外一个数据中心的数据库运行在备份模式，在一些情况下提供查询服务•在主数据中心数据库故障时切换到备份数据库交易一致性保证和数据库快速切换所有的交易均发往一个数据中心的数据库xF5在数据库实例前端可以减小数据库实例故障切换时间，并支持跨中心数据库快速切换.•主动数据库健康检查•RACFAN通知F5在数据库实例前端可以减小数据库实例故障切换时间，并支持跨中心数据库快速切换.•主动数据库健康检查•RACFAN通知©F5Networks,Inc20广域网应用访问应用加速和带宽节省同时卸载网络和服务器负载来提高应用访问速度•WebAccelerator使用压缩，本地缓存，客户端缓存和动态缓存技术消除重复的请求•这将同时减少网络数据传输和降低服务器资源消耗•内容重组和图片调整可以使页面的显示更快，提高用户体验•可以替代连接代理层的服务器，比如Web代理层Apache服务器AppTierWebTierActiveStandbyActiveStandbyClientsWebCachesF5LTM+WAToDatabase1)通过缓存技术减小客户端的重复请求2)压缩数据，缩减图片的尺寸来减小网络带宽占用，对于移动用户非常有用3)内容重组改变CSS/JS和其他对象的顺序，使客户端能更快的显示内容，提高用户体验4)在本地缓存对象，减小对Web服务器的请求，或者减小缓存服务器的数量5)对可缓存的动态生成内容进行缓存，可以极大的减小应用服务器和数据库的资源消耗©F5Networks,Inc21某银行CDN全国三地：北京分行，上海数据中心，深圳主数据中心组建CDN平台，服务覆盖北区，华东和华南涉及应用：网站，信用卡，图片服务器。核心架构：•GTM提供多数据中心流量控制•LTM为页面加速器WA提供负载均衡•WA缓存页面内容在本地•WA控制页面内容缓存在用户端•WA缓存过期访问深圳源站取数据F5关键价值:1.客户“就近性”访问三个数据中心2.提升分布在全国各地的用户访问速度3.减少带宽占用4.降低复杂度©F5Networks,Inc22GTM-AnycastWebTierAppTierDBTier(Active)GTM-AnycastWebTierAppTierDBTier(Standby)ExternalNetworksISP1ISP2ISP2ISP1PrimaryDataCenterSecondaryDataCenterLDNSDNS服务安全防护保护数据中心的亿万投资，应对海量DNS攻击防范DNS攻击:DNSCache中毒攻击NXDOMAIN请求攻击UDPFloodDNS放大和反射防范DNS攻击:DNSCache中毒攻击NXDOMAIN请求攻击UDPFloodDNS放大和反射DNSDNSAttackersZoneXFerZoneXFer•可扩展性支持多个DNS服务并行运行•性能增强DNS负载均衡DNSExpress•安全防护DNSSEC支持DNSInspectionValidationDNSRecordTypeACLDDoSThresholdAlertingDNSLoggingandReportingCompleteDNSControl–iRulesICSACertified–deployintheDMZ©F5Networks,Inc23GTM-AnycastWebTierAppTierDBTier(Active)GTM-AnycastWebTierAppTierDBTier(Standby)互联网ISP1ISP2ISP2ISP1数据中心1数据中心2Clients七层DDoS和应用层攻击防护.应用层DDoS保护IP智能数据库每5分钟更新一次F5ADF(LTM+AFM)监测/报警/防护80多个L3-L4攻击类型,DNS变形攻击,基于IP智能数据库进行防护，并且输出到统一安全管理日志当流量充满互联网链路的时候将请求转发到其他防攻击站点F5ADF(LTM+ASM)监测/报警/防护七层攻击,并且输出到统一安全管理日志通过iRules实现快速攻击防护响应DNSDNSAttackersZon