?オリジナルリンクします。http://kuaibao.qq.com/s/20180308G1NPIS00参照してください= cp_1026
出典:ペンギン数-民生運用・保守
1.負荷分散の基本単位
デバイスのバランスを取る、現在の負荷の基本的な処理ユニットがあるTCPコネクション、あるTCPコネクションが確立された後とき、サーバとTCP経由で接続され、この接続応答情報内のすべてのクライアント要求。
唯一のクライアントは、ロードバランシングアルゴリズムに基づいて再計算される新しい接続時間を開始し、それが他のサーバーに分散させることができます。
2.操作の基本モード
F5は、フルプロキシモードをサポートしていますが、4転送モードで作業することもできます。
フルプロキシモデルは標準タイプ、クライアントVS配置され、このモードで接続F5を確立した後は、クライアントが接続を確立するF5、F5およびサーバに要求を送信し、その後、サーバが返す情報、F5サーバに要求を送信します私たちは、クライアントに情報バックを返します。すべての情報の要求と応答を確認するには、このモードでF5では、すべての情報に基づいて分散して処理することができます。
前進4モデルがパフォーマンスL4型VS構成され、このモードでは、4つだけ前進F5、F5は、すなわち、IP及びポート情報、何も処理せずに、特にトラフィックデータのみ、次の4つの処理情報です。クライアントは、サーバに直接必要な処理後F5、F5送信のみIPとポートへデータパケットを送信し、応答情報は、同様の処理です。このモードでは、F5のみ、4階建ての情報を表示することができ、ビジネス情報を扱っていない、プロセスの利点は、シンプルで早いのが特長です。ない四つ以上のプロトコルデータ正確な方法の欠点。
3.ロードバランシングアルゴリズム
静的および動的なアルゴリズムアルゴリズム、ここで一般的に使用される分析の約20種類の合計3つのだけのアルゴリズム:ポーリングレート、接続の最小数二つのカテゴリーに分類アルゴリズムを平衡F5支持負荷。
3.1ポーリング
ポーリングアルゴリズムは関係なくサーバ手頃な価格と圧力条件の、配布順番にバックエンドサーバに従います。アルゴリズムは単純で、簡単に、主に発生する圧力が非常にすべての要求され、特別なアクセスの多数、およびサーバの要求処理性能基本的に同一に適用されます。このアルゴリズムは、実際にはあまり使用しました。
3.2比
まず、アルゴリズムの比率は、各サーバの特定の割合を設定することで、アルゴリズムは、アルゴリズムの比率に応じて分配され、主に作られた異なるバックエンドサーバに使用されることクリア処理能力と処理能力の状況比例関係について知る能力;ありますとき、バックエンドサーバへの移行の必要性というケースの下に、あなたは、各サーバー間の比率を調整することで、意志徐々に移行トラフィックをこのアルゴリズムを使用することができています。
3.3最小接続
接続アルゴリズムの最小数は、最も一般的に使用されるアルゴリズムは、自動的に各サーバに割り当てられた接続の数を計算し、サーバあたりの接続数に応じて、サーバトラフィック分布への接続の最小数を選択しています。このアルゴリズムは、ほとんどのバックエンドサーバーの処理能力に匹敵状況に適用されます。このアルゴリズムは、現在のアルゴリズムのバランスを取る最高の実績のある理想的な負荷です。
4.セッションが残ります
負荷分散は、専用の接続の分布に従っていると、多くの企業が情報セッションを持って、セッション情報は、ビジネスの観点から、複数の接続が含まれますので、セッションを確保するために、セッション接続は、同じサーバーに配布する必要があります一貫性。セッションクッキーとセッション遺跡の送信元アドレスを維持する:F5は、セッションを維持する方法の10種類以上を提供し、ここでの唯一の最も一般的な二つを導入しました。
4.1ソースアドレスセッションキープ
要求が、これは意志に複数のセッションを配布することができ、それは同じサーバーに配布された同じセッションであることを、同じ送信元IP終わったときに、セッションの送信元アドレスは、道を維持するのが最も簡単ですサーバー上ではなく、ビジネスの基本的なニーズを満たすために。
この実施形態の利点は、ソースIPアドレスに基づいて決定され、広い範囲を使用して、すべてのIPプロトコルを満たし;欠点がある:プロキシ多くのユーザーを介してインターネットは、複数のセッションを送信するために、セッションのように複数のユーザであろう現在の携帯電話ユーザーのために、アクセスの状況の変化があるだろう、一方で、不均一な負荷を引き起こし、サーバー、上の(例えば:4Gなどに無線LANの切り替え)、送信元アドレスがセッションを維持するために失敗し、その結果、変更されます。
4.2クッキーのセッションが残ります
秒後、ユーザが最初にクッキーが同定されていないアクセスするとき、あなたがバランスをロードできるように、この特定のセッションサーバの分布を特定するために、クッキーの識別を使用してユーザによってアクセス応答情報の増加を維持するためにクッキーセッションそれは、同じサーバーへの後続のすべてのアクセスに配布することができるので、それは、これで識別します。クッキーは、一般セッションクッキーを設定し、クッキーを使用すると、ブラウザのセッション情報をクリアするか、クッキーがクリアされたときに、ブラウザと再オープンを閉じると、セッション接続とブラウザです。その後、ブラウザを介してアクセスし、それを元のクッキー情報とはならないだろう、F5は新しいセッションであると考えられています。
この実施形態の利点は、バックエンドサーバーの圧力が比較的バランスように、より正確に、より正確にユーザのセッションを識別する能力、である;欠点は:クッキーは、HTTPプロトコル、非ためのHTTPプロトコルに属し、この方法を使用することはできません。
5.ヘルスチェック
ロードバランシングは、トラフィックのバックエンドサーバのバランスの取れた分布であるが、分布が正規のサービスを提供するためにサーバーを依頼する場合にのみ、この方法の解釈は、サーバがサービスのヘルスチェックを提供することができることです。ICMP、TCP、HTTP:F5は、ここでは約40種のみ3つの共通の健康状態をチェックする方法を提供します。
5.1 ICMP
ICMPは、最も簡単な方法は、実サーバに「ピング」コマンドを送信することです。「Pingが」IPアドレスがネットワーク上に存在する、またはホストが正常に動作している識別するために識別するために、一般的な手順です。
5.2 TCP
F5は、アプリケーションが実行されている特定のTCPポートに接続しようとします。通信は通常、可能な場合は、telnetで特定のポート接続サービスを理解することは簡単な、そうでない場合通信では、当該サービス。深さにおいて、コマンドは、特定の通信ポートの後に送信され、決意の結果を返すことができます。サーバーは、予想通りに働く状態かどうかを判断するには。
5.3 HTTP
HTTPは、HTTPサービスの状態を確認するために使用され、ユーザが定義した文字列を送信および受信することができ、文字列送信手段、例えば、サーバへ要求コマンドを送信する:HTTPサーバに「GET /」文字列。文字列を使用してサーバーの応答は、例えば、「f5.com」、文字列に設定された条件に一致しました。彼らは、サーバーが正常なサービスを提供することができない問題があるとは思わない場合。
6.ノードステータスタイプ
良好に制御するために流量を、バックエンドサーバノード動作に移行フロー、F5、三つの状態:、無効、有効オフラインを強制します。
有効6.1
対応サーバ・ノードは、サーバーは通常のサービスを提供することができたときに、通常の状態であり、ノードは、この状態では、通常のサービス・サーバ・ノードは、すべての要求を受けて、有効な状態に設定されています。
6.2無効
サーバは、その後のトラフィックは、サービスノード集合時間の状態に配信されていないという希望を維持する必要があるときに無効。サービスノードは、この接続モードを受信して、唯一の情報は、既に情報記録の流れを維持し、セッションを確立し、新たな接続セッションの記録保持を受けません。接続情報やビジネスセッションのいくつかは、長いレコード情報をままなので、この状態では、それは長い時間がまだトラフィック処理をした後かもしれません。
オフライン強制6.3
強制オフラインは、サーバが緊急メンテナンスを必要とするとき、状態はすぐに可能な限りのデバイスで組立ラインをオフに設定する必要があります。サービス・ノードは情報のみが既に接続を確立し、このモードでは、すでに進めるための接続を確立している情報を受信し、他のすべての要求は、他のサービスノードに配布されます。ない長い接続する場合は、この状態では、実質的にすぐに流れません。
7. SSLのアンインストール
SSL対応のビジネスは、セキュリティを増加したが、SSLの暗号化と復号化は、サーバーのパフォーマンスの問題を解決するのに十分な重要なコンピューティングリソース、ないを消費することができ、SSLオフロードを使用し、SSL暗号化プロトコルF5、F5にすなわちクライアント、F5で実行することができ、サーバー間での合意を表現するのhttpを実行します。これは、セキュリティを確保するために、暗号処理事業を実現するだけでなく、不十分なサーバーのSSLオフロードパフォーマンスの問題を解決するだけではなく。
7.1ウェイ認証
一方向認証のみ、サーバー上の証明書とキーを設定する必要がありますされ、クライアントが証明書を必要としません。サーバ証明書を使用して、サーバが暗号化されている間、クライアントサーバ証明書の認証サーバの正当性を獲得することもできます。F5は、SSLサーバとして、あなたはSSL暗号化を達成するためにSSLネゴシエーション同時にとの証明書とキー、F5のSSLサービスを介してクライアントアクセス、F5をインポートする必要があります。
7.2相互認証
相互認証が一方向認証に基づいており、また、交渉プロセスにおける証明書サーバーを提供し、また、クライアントの信頼性を確保するために、クライアント証明書の識別情報の妥当性を検証するためにクライアントが必要です。一方向認証に基づいて設定レベル要件におけるF5は、クライアント証明書の有効性を確認するために、ルート証明書、ルート証明書のクライアント証明書を設定します。
7.3暗号化アルゴリズム
SSLv2の、のSSLv3、TLS1.0、TLS1.1:SSLオフロードでは、F5は、SSLバージョンを含む、様々なアルゴリズムを構成するための方法を提供しながら、SSLの各バージョンの現在の要件を満たすために、様々なアルゴリズム等RSA、ECCを提供します、TLS1.2のように。現在、Appleの要件とATS SSLアルゴリズムの中国のネットワークの要件をサポートしています。
8.展開(シリアル、パラレル)
F5のデバイスは、一般に、直列及び並列の2つの配備方法において使用される柔軟な配備のさまざまなサポート。以下は簡単です。
8.1シリーズ
F5は、展開の最も基本的なシリーズです、この場合には、2つのVLAN F5上に配置され、異なるネットワークアドレスが配置され、クライアントとサーバは、二つの異なるセグメントに位置しています。この配置方法は、ネットワークシナリオの分離の使用を容易にするために、新たなネットワークまたはネットワークの出口にも適用可能です。
8.2パラレル
場合についてバランスメインサーバ負荷、及び唯一つのVLAN F5、及び同じネットワークセグメント内のVLANサーバへF5平行な、往復の一貫性を確保するためにSNAT関数F5を有効にするために必要なので、サーバが受信する要求情報であります送信元アドレスはそれほど背袋にF5の契約に直接戻ることが可能であるとき、アドレスF5に変換されます。この場合、監査またはレコードへのサーバーの必要がある場合は、クライアントの公式アドレスは、特別な処理を必要とします。このモデルは、これだけF5を通過しますトラフィックのロードバランシングを行う必要があり、そのバックエンドのビジネス需要F5のロードバランシングに適用され、他のトラフィックは再びF5を経由せず、直接ネットワーク経由で転送することができます。
8.3ソースアドレスパススルー
これは、ユーザトラフィックや監査レコードのサーバーへのクライアントの透明送信元アドレス、送信元アドレスを参照します。F5は、透明な送信元アドレスを達成するための2つの方法があり、第一:F5は、ゲートウェイサーバF5を指しながら、SNAT(送信元アドレス変換)を可能にしない;第二:HTTPヘッダにF5クライアント送信元アドレスを。
最初の方法、メインシリーズユーザモードは、ゲートウェイサーバF5を指し、F5はSNATながら閉じ。サーバーが受信したパケットのような送信元アドレスは、それが直接読み取ることができ、クライアントの送信元アドレスです。あなたはTCPプロトコルに適用することができますこの方法は、httpプロトコルを使用することもできますが、より多くのHTTPプロトコルは、第二の方法を使用します。
第二の方法:HTTPヘッダー内にF5クライアント送信元アドレス。ヘッダ内のHTTPプロトコルであり、このヘッダは、ソースアドレスが変更された後、元のクライアントのアドレスを記憶され、X-転送-ためのものであり、F5は行うことができ、送信元アドレスは、X転送元のクライアントのアドレスを保存された後-for、サーバ側に必要な時間は、あなたが直接、クライアントのアドレスを取得するには、ヘッダーを読み取ることができます。このオプションは、HTTPプロトコル、他のプロトコルがない対応する設定でのみ使用可能です。