扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者: 佚名, 出处:安全新客站, 责任编辑: 郭秋爽, 2008-06-03 17:05
本文介绍了F5面对保险公司负载均衡问题的解决方案。
项目概况:
· BIGIP为该集团所有生产系统以及网上业务系统提供应用负载功能
· 集团通过旗下各专业子公司共为3,700多万名个人客户及约200万名公司客户提供了保险保障、投资理财等各项金融服务。公司拥有20多万名销售人员及近4万名正式雇员,各级各类分支机构及营销服务部门3,000多个
· 集团内部包括有超过150个应用系统,应用系统之间有各种不同关联,需要在应用层处理上满足各种关联的处理流程
· 集团内部的应用系统架设在不同的应用平台上,包括有Windows、Linux,Weblogic、Websphare等,需要在跨平台的支持上满足各种灵活的处理方式
· 集团的应用系统全部为生产系统或网上业务系统,因此要求要对通信进行较高的加密处理和严格的证书处理
典型网络结构:
客户需求:
· 需要满足针对各种应用平台的深层次应用处理和健康检查,包括有Weblogic和Websphare,以及微软的AppCenter
· 需要支持各种形式的SSL加密处理以及证书处理,包括证书的透传等细节处理
· 需要满足针对应用的细节选择处理,包括根据不同的应用条件选择相应的应用服务器进行数据处理
· 需要满足各种会话保持要求,特别是根据应用条件的会话保持以及根据Cookie信息的会话保持处理
· 要保证高可用性,包括在发生应用切换时候的会话处理能力
· 要能支持高性能,支持数百万级的并发连接处理和十万级的新建会话处理。
· 要有高扩展性,能灵活增加新的处理设备
· 要满足无缝整合,能在任何时候部署新的设备,不影响应用的持续性
· 方案在将来有很好的扩展性,还可以灵活增加新的应用系统而不涉及内部改动
· 要能实现分布式部署,并且能进行统一规划,统一管理
· 要求方案设计简单,容易部署。
F5的解决方案:
· 使用多台BIGIP LTM来实现应用负载均衡,分别处理不同层面的应用系统
· 使用iRules来进行细节应用处理,凡是满足某种应用条件的数据包,都根据要求分配到相应的应用服务器进行相关处理
· 使用高级应用健康检查机制(EAV、ECV)来与各种不同的内部应用平台沟通,真正保证应用健康检查的准确性
· 使用BIGIP内部的SSL加速芯片来提供对基于SSL加密通道通信的高性能处理,并且通过F5的iRules实现各种证书内容的透传处理
· 使用基于Cooike信息的会话保持机制,来保证应用访问的完整性
· 通过iControl接口与内部网络管理系统进行结合,实现统一管理
· 通过Oneconnect功能实现连接优化,提升服务器的处理能力
为什么选择F5:
· 高效灵活的应用处理能力,通过iRules,可以根据应用的各种细节需求进行动静态的处理
· 稳定可靠的会话保持机制,通过基于Cookie信息的会话保持方式,能保证即使从同一台应用代理发出的多种应用访问,也能进行区分并实现应用会话自此至终在同一台应用服务器上完成
· 准确的高级应用健康检查,F5可以模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态,并且可以使用shellscript或perl 语言等嵌入程序执行EAV,对服务器进行多层步骤、复杂的健康检查,从而准确定位服务器的工作状态
· 超强的SSL处理能力和全面的证书透传处理能力,可以通过F5内部的高性能SSL加解密芯片,来处理从客户端发送过来的大量SSL请求,将这些请求进行解密后,再以HTTP方式发送到后台的服务器,以节省服务器的CPU资源
· 高可用性的保证,F5采用自行设计的高速切换方式,现在最短的已经可以达到200ms的切换速度。并且在两台设备之间对数据流的状态信息进行复制,保证在切换后用户端和服务器端感觉不到切换,从而保证应用的持续运行。
关键技术阐述:
· 通过iRules来进行深层应用的灵活处理
所有F5设备的底层均由TM/OS实现,在其基础之上,是一个基于数据流技术的通用检查引擎(UIE)。构建在对所有数据流内容的理解上,设计了与安全、优化和交付相关的所有模块。这些模块的配置均通过Profile进行,Profile按照对象建模方式可以继承、修改。在所有配置的顶端,由iRules对整个系统的运行进行可编程控制。在iRules语法结构中,可以使用50多个事件,200多个函数,可以实现丰富而灵活的功能
· 通过SSL加速芯片来进行加密通信处理
由于网络通讯的安全性和保密性的要求,许多关键业务必须通过HTTPS方式进行访问,将明文方式传输的HTTP请求和回应包含在SSL通道中。同时,通过证书体系或动态口令方式对服务器和客户端进行唯一性验证。由于SSL在带来应用安全性的同时,将会给服务器带来巨大的负担,因此在这类应用中,F5将会启用设备本身的SSL加速功能,通过硬件SSL处理芯片对SSL通信进行加解密处理,从而卸载服务器的处理能力,保证应用的安全,稳定运行。
· 基于Cookie信息的会话保持机制
Cookie持续性利用客户机存储的cookie信息来把客户机连接到合适的服务器上。F5提供4种不同的Cookie持续性模式以适应任何应用的要求:重写模式、插入模式、被动模式和散列模式。
· 健康检查方法
BIGIP支持采用ICMP,TCP/UDP,ECV,EAV,iControl等各种方法对服务器或应用状态进行健康检查。
·ICMP:第2/3层的健康检查方法,采用Ping的方法检查服务器是否alive。
·TCP/UDP:第4层的健康检查方法,检查相应的TCP/UDP端口是否激活来确定Service的状态。
·ECV:扩展内容验证,第7层的健康检查方法。模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态。
·EAV:扩展应用验证,嵌入式、个性化的健康检查方法。可以使用shell script或perl 语言等嵌入程序执行EAV,对服务器进行多层步骤、复杂的健康检查。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者