(课堂笔记)第一章:BIG-IP 产品功能和硬件介绍
---应用交付网络概述-------------
1.应用交付网络:Application Delivery Networking(简称ADN)指利用相应的网络优化/加速设备,确认用户的业务应用能够快速、安全、可靠地交付给内内部员工和外部客户群。
关于应用交付网络的理解,可以看成将企业的关键应用交付到网络上,也就是通过利用L4到L7对基于网络的应用数据进行分析、导向,负载,加速和加密以及应用健康检查--这些”应用交换“技术将关键应用与基础设施关联起来。
2.现在企业应用面临的问题:企业的数据大集中、以及应用web化
服务器端:
《1》应用整合导致服务器速度变慢;(一个服务器安装了PHPDBWEB等)
《2》应用扩展性限制;(将复杂的应用分散到性能差的服务器上,减少采购高端服务器,保护投资)
《3》应用安全性挑战;
《4》网络高资源消耗;(web页面的业务--例如app业务 和用户数的增加)
《5》网络和应用配合性很差;(例如视频会议和HTPPS应用对延迟的不同)
客户端:
《1》应用HA的需求增强;
《2》安全性受到挑战;
《3》网络拥挤、访问速度受到影响;(用户采用不同的接入地点时,跨ISP网络也带来用户访问的困难)
《4》网络接入环境差异导致使用困难
3.应用发布流程过程
数据:硬盘、存储作用
服务器:桥梁作用,提供API
应用系统:数据库系统、中间件系统
门户:ISS等web服务
ISP:用户端和数据中心的桥梁
4.ADM在各个环节的作用
《1》服务器整合:通过使用本地负载均衡(LTM)、应用优化设备,实现服务器的高HA,高安全和可扩展性。
《2》安全攻击:通过网络层安全攻击、应用层安全防护(AFM)和传输通道加密技术,提高系统的整体安全性。
《3》用户分散加剧:通过广域网用户引导、多链路引导(LC)等技术,引导用户选择最佳的数据中心(DNS-GTM),通过最佳的链路到达应用服务器。
《4》应用系统复杂性增大:通过对应用系统的深层次和各种应用加速技术,提高应用系统的访问效率和响应速度。(access加速模块)
《5》终端种类增加:ADN通过识别终端类型,根据终端的类型对用户进行引导,并通过对各种终端接入设备的支持。增强系统的容错特性和安全性,优化各类终端的访问速度和效率。(Profile)
---F5 BIG-IP产品介绍-------------
1.BIP-IP平台是应用交付控制器(ADC)技术的智能演变。在此平台上构建的解决方案是负载平衡器。而且它们还是完整代理(full proxy),可提供对通过网络的所有流量的可视性和控制力(检查并加密或解密)
2.网络靠BIG-IP平台运行,BIP-IP平台靠什么运行?
《1》所有BIG-IP硬件和软件产品都以F5专有的操作系统TMOS为基础,该系统提供统一的智能、灵活性和可编程性。凭借其应用控制层面体系结构,TMOS使能控制应用所需的加速、安全性和可用性服务。
《2》利用TMOS的开放式API:在TMOS基础上构建的F5产品通过开放式API提供灵活性。应用可以使用icontrol API提示基于TMOS的设备控制流量并最大限度地提高性能。
可以使用iRules(F5脚本语言)对F5设备的流量进行精确控制;
iApps模块可以部署和管理特定应用的网络服务。(Profile)
isession模块用于两个数据中心之间F5互联。
---F5 BIG-IP产品功能-------------
https://www.f5.com./products/ways-to-deploy
1.BIGP-IP软件模块:
HA------LTM、DNS(DC架构)
security------ASMAFMAPM安全WEB网关
《1》LTM:local traffic manager,本地流量管理器。特点:
·不仅仅负载均衡,还提供高可用性;
·一个完成整代理,可以检测、管理和报告进出网络的应用流量;
·BIG-IP LTM可编程,因此可以利用其提供的可视化和控制功能,并使用iRules立即采取行动。
优势 支持功能
高可用性 传统的负载均衡服务;广泛、自定义和复用的健康检查;
快速 TCP Express,HTTP 压缩,RAM Cache缓存,SSL 卸载,和连接复用
安全 资源隐藏、DDOS防护、数据丢失防护和选择性加密
《2》DNS:(以前叫GTM):将用户路由到最近或性能最佳的物理、虚拟或云环境,来提高全局应用的性能和高可用性;
还能够大规模部署和保护DNS基础架构以防DDOS攻击,并提供一个实时的DNSSEC 解决方案来抵御劫持型攻击;
《3》APM: Application Performance Management 接入策略管理器,简单可以理解为提供VPN接入,特点:
·提供web访问管理和远程访问SSL VPN;(VPN功能)
·集中式web单点登录和访问控制服务(SS0)
·集成并统一实现用户对应用的安全访问
·默认情况下,所有BIG-IP设备上都包含一个性能不高的APM License;
《4》ASM:Application Security Manager 应用安全管理器,专做应用的防火墙(WAF),其特点:
·将web防火墙服务灵活部署在应用附近,以便随时提供防护;
·过滤有针对性和随机的攻击
·提供对HTTP暴力破解和DOS攻击的保护;
《5》AFM:Application firewall Manager 高级防火墙管理器,特点:
·减少DDOS攻击
·可以在第3-4层网络威胁到达数据中心之前对其进行防御
---F5 BIG-IP软硬件介绍-------------
《1》TMOS软件体系架构:主要以full-proxy为特点,这个特点主要针对的是TCP协议(UDP不涉及,udp属于无连接,这个主要以协议特定决定),这样就分为client端和server端。特点:
·TMOS流量控制模块(full-proxy功能对前端后端建立连接,导致可以对流量进行分析,监控和控制)
·配有高性能转发的微内核(TMM)
·强大的应用协议支持(基于全代理模式,支持很多协议,例如http,https)
·icontrol-利用API实现第三方监控和管理
·iRules-应用/网络层可编程脚本语言
·一个实时的应用全代理操作系统
·IAPP-部署和管理特定应用的网络服务
《2》TMOS全代理结构:
·全内容检测:可针对客户端和服务器分别进行优化;
·全内容改写:构建了一个以Profile(配置模块)为框架的体系结构。
《3》BIG-IP物理体系架构
switch Modules-----packet velacity ASCI-----TMM------Host Managemnt subsystem-----Mgmt processor-----Fans PSUs Etc
《4》BIG-IP多核CPU平台
HSB:high speed bridge,属于硬件芯片
CMP:cluster muti processor,属于工作模式
当系统中有多个CPU内核存在时,BIG-IP LTM将进入CMP的工作模式。所谓CMP,就是在BIP-IP LTM内部,使用硬件芯片HSB对进入生产端口的流量在内部进行了一次负载均衡,使流量均匀分布到每个TMM核心上。而每个TMM核心占据一个CPU内核
(简单来说,多个TMM微内核通过HSB技术组成CMP工作模式)
CMP区别于Unix的SMP工作模式,多核运行越多,性能优势越大。(处理器并行化Amdahl法则)
《5》BIG-IP平台
·硬件版本:BIG-IP Iseries
VIPRION(高端盒子、刀片和机箱版本)
·软件版本:BIG-IP VE(私有云环境,例如vmware等)
BIG-IP Cloud edition(云版本,例如AWS,Windows Azure)
·服务版本:AS a service
《6》性能参数:
https://www.f5.com/pdf/products/big-ip-platforms-datasheet.pdf(性能文档)
·BIG-IP Iseries:
硬件优势1:F5 TurboFlex技术,以Iseries的环境下,以FPGAs(电路)为主;
同期比较CPU和ASIC如下:
ASIC:缺点--功能有限;固化,不能升级;
CPU:灵活,对软件升级即可,就想交换机升级版本解决bug,缺点是处理速度慢
硬件优势2:F5 ScalesN(按需扩展N种);针对应用进行集群;提供类似ADC提供多租户环境等
·BIG-IP VE
可以部署在KMV、Vmware、citrix Xenserver和Microsoft Hyper-V这些私有云上,而高性能版(带宽40G)只能部署在KMV和vmware,原因在与虚拟化可以通过降级Ring-1将虚拟化降级到最底层Ring 0,以获得内核级别权限(就像我们虚拟机开Inter VT或AMD-V功能)
·BIG-IP Cloud editiond
一般部署在AWS、Azure、google cloud paltform这些公有云上
专属per-app service效果,云版本有LTM和Web防火墙效果
影响产品选型的因素:(硬件)
·业务流量吞吐
·每秒新建会话数(4层连接、7层请求)
·硬件端口
·电源数量
·光纤模块