搜索
F5解决方案与技术交流刘振13922405316上海怡德数码技术有限公司©F5Networks•F5公司简介•F5UADN及技术介绍•产品线及服务体系•成功案例分析Agenda©F5Networks公司介绍•全球应用交付网络的领导型公司•成立于1996年,在1999年上市,Nasdaq(FFIV)•2009年连续被评为Deloitte&Touche全球技术发展最快的500家企业之一•总部在西雅图,分支机构遍布北美,欧洲,日本和亚太地区•全球负载均衡+SSL加速产品市场中占据56.8%的市场份额•1500多名员工•2009年全年营业额:850M$•全球客户超过18000家,中国客户超过2000家•60,000系统设备已在用户处安装•挺进安全应用管理领域(SATM)–收购uRoam公司(July2003)–收购MagniFire公司(June2004)•产品涉及ATM&SSLVPN&APS•您现在的移动数据业务均要经过F5•您只要访问互联网一定会经过F5•几乎所有的On-Line-Biz,银行,税务,证券,电子商务,电子政务…均要经过F5©F5Networks多年的市场变化和F5持续领先的地位©F5NetworksF5,在应用交付控制器市场遥遥领先Q110GartnerAdvancedPlatformADCMarketShareSOURCE:GartnerCitrix15.7%F5NETWORKS61%Radware10.5%Others13.8%Q110AdvancedPlatformADC*MarketShareLeaders–F5:61%–Citrix:15.7%–Radware:10.5%Q110AdvancedPlatformADCMarketShareRevenueLeaders–F5:$126.4Million–Citrix:$30.4Million–Radware:$21.7MillionQ110AdvancedPlatformADCQ/QRevenueGrowth–F5:12.5%–Citrix:-15%–Radware:2.4%Q110AdvancedPlatformADCTotalMarketNumbers–Revenue:$207.1Million–Q/QRevenueGrowth:4.3%*AdvancedPlatformSegmentIncludes:ADCsthatintegrateseveralfunctions(typicallymorethanfour)onasingleplatform(forexample,loadbalancing,TCP,connectionmanagement,SSLoffload,compressionandcaching)©F5Networks•F5公司简介•F5UADN及技术介绍•产品线及服务体系•成功案例分析Agenda©F5NetworksF5UADN介绍unifiedapplicationdeliverynetwork7©F5Networks总部员工LAN&WLANCloudServicesHostedApplicationsSAASAppsandDataintheBranchCorporateDataCenter远程接入的员工移动员工Mobile分部的员工LAN&WLAN客户,合作伙伴或供应商我到底如何把所有这些应用和服务利用合理的资源,符合SLA要求,又安全的提供给每个用户,并且要节省预算和管理简单IT架构的困扰©F5Networks业务感知型的应用交付网络总部员工LAN&WLAN移动员工Mobile客户,合作伙伴或供应商分部的员工LAN&WLAN远程接入的员工CloudServicesHostedApplicationsCorporateDataCenterSAASAppsandDataintheBranch•应用交付应用•高可用•应用优化•应用安全•缩减一次性采购投入•缩减运维投入F5的目标:统一的应用和数据交付©F5Networks统一应用交付的数据中心架构DataCenter&LinkPoolVirtualizationWebServerPoolVirtualizationApplicationServerPoolVirtualizationFileStoragePoolVirtualizationMobileRemoteOfficeBranchDataCenter#1DataCenter#2CloudProviderWebServersWebServersWebServersWebServersAppServersAppServersAppServersAppServersWindowsFileStorageNetAppEMC©F5NetworksF5与企业解决方案一览11分支机构EnterpriseManagerFirewallsBIG-IPGlobalTrafficManagerInternetorWAN总部生产数据中心BIG-IPLocalTrafficManager移动用户FirePassBIG-IPLinkControllerBIG-IPApplicationSecurityManagerBIG-IPWebAcceleratorDMZOFM,10gASPortalEBSRACF5TMOSF5TMOSFirewallsBIG-IPGlobalTrafficManager灾备数据中心BIG-IPLocalTrafficManagerFirePassBIG-IPLinkControllerDMZOraclePortalOracleE-BusinessSuiteApplicationsRACF5TMOSPsftSiebelBIG-IPWebAccelerator©F5Networks应用高可用技术13©F5Networks高可用性的四个层面14服务高可用性能高可用站点高可用运维高可用通过基于应用层面的健康检查,判断服务的工作状态,避免通过进程检查方式无法准确判断真实服务状态的问题通过对提供同样应用的服务实例进行负载均衡处理,实现对外统一服务,对内将请求分发到多个应用实例上,提高系统的处理能力,减小应用响应时间通过站点间动态客户调度系统,实现多数据中心灾备模式、多主模式的运行,实现站点高可用通过本地负载均衡和广域网负载均衡处理,屏蔽用户端对真实服务的感知,使系统运维可以实时、在线进行应用高可用需求F5解决方案©F5Networks应用负载均衡工作原理•BIGIPLTM对外提供一个虚拟的应用服务器,接收所有的客户端请求•BIGIPLTM通过负载均衡算法处理,将客户端请求转发到后台的多个应用实例•BIGIPLTM内置可编程控制接口,可以对流量进行编程控制处理•BIGIPLTM通过应用健康检查,准确的判断应用程序的工作和服务状态,一旦发现应用不能提供服务,则将其从负载均衡组中摘除15VirtualServerNetworkApplicationApplication负载均衡处理可编程控制应用健康检查BIG-IPLTMDomainServer1Server2©F5NetworksWeb-APP-多层结构大型部署16WebServerBIG-IPLTMWebServerWebServerAPPServerBIG-IPLTMAPPServerAPPServerNetwork根据部署的规模可选独立设备或者BIG-IPLTM上的模块WebAccelerator、ApplicationSecurityManager在大型部署结构中,通常分为两个层面分别实现负载均衡部署WebServer主要用于提供静态内容APPServer主要用于提供动态内容F5同时提供完备的应用加速和应用安全解决方案©F5Networks基于URI的七层交换17index.htma.gifb.gifc.jspindex.htma.gifb.gifc.jspHTMLserverpoolGIFserverpoolJSPserverpool基于Object类型进行交换基于URI目录结构进行交换ClientWebServerWebServerJSPServerClientClient/abc/a.jsp/abc/*.*/cde/b.jspWebLogic/cde/*.*WebLogicWebLogicWebLogicApplication1VSStart_with/abc-Pool1Start_with/cde-Pool2Application2BIG-IPLTMBIG-IPLTM©F5Networks基于iRules的可编程控制•通过事件触发机制,Rules可以处理流量在BIG-IPLTM内部处理的整个过程18SSLCompressionClientSideServerSideTCPExpressServerTCPExpressCachingMicrokernelVirtualServeriRulesClientiControlAPITCPProxyOneConnectXMLRateShapingTrafficShieldWebAccel3rdParty©F5Networks服务健康状态检查•BIG-IPLTM的Monitor以固定的间隔时间检查应用的真实健康状态•一旦发现应用的响应失败或者不正常,则将其从负载均衡组中摘除•应用级的健康检查避免了HA软件依靠进程状态进行健康检查的问题19WebLogicWebLogicGET/monitor/test.jspHTTP1.1Host:©F5Networks建立多应用动态架构集群20ApplicationApplicationApplicationApplicationNetworkStart_with/abc-Pool1Start_with/cde-Pool2ApplicationCluster1ApplicationCluster2单一VS对外提供服务BIG-IPLTM根据部署的规模可选独立设备或者BIGIPLTM上的模块WebAccelerator、ApplicationSecurityManager©F5Networks互联网多链路接入21ApplicationApplicationEnterpriseApplication互联网ISP1ISP2BIG-IPLC可以实现多链路接入处理,有效的解决了运营商之间的互联互通导致的用户访问速度慢、丢包等网络层问题。客户端只需要访问统一的域名即可,BIG-IPLC会智能的引导客户端通过最佳的链路访问后台的应用系统,保证在正常情况下的最佳客户体验当某一条链路出现故障的时候,BIG-IPLC会判断链路的故障,从而将所有的用户引导到仍然可以对外提供服务的链路上,保证业务的持续运行。©F5Networks城域网和广域网冗灾系统建设22ApplicationApplicationEnterpriseApplication互联网ISP1ISP2BIG-IPLTM/LC©F5Networks应用安全技术23©F5Networks安全的4个层面24网络层安全FullProxy运行模式协议层安全完整的协议符合性检查被动安全模式通过可动态更新的特征判断主动安全模式定义数据流程的允许访问策略采用代理模式运行,双TCP堆栈,可以阻止任何的网络层面攻击可对HTTP、SMTP、FTP等协议在协议层面上进行严格检查,对于不符合协议规范的请求一律拒绝访问。通过速率限制防止应用层DDOS攻击内置动态可更新的攻击特征代码,对请求内容进行分析,防止通用型攻击手段通过应用访问流程制定、用户提交信息分析等策略,只放过