F5 - GTM - 解决方案建议书(4)

GTM解决方案建议书

BIGIP是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。

这12种算法包括：

? 轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某

个服务器发生第二到第7层的故障，BIG/IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。

? 比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的

请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把

其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 ? 优先权（Priority）：给所有服务器分组，给每个组定义优先权，BIG/IP用户的请

求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用

户的请求）；当最高优先级中所有服务器出现故障，BIG/IP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。

? 最少的连接方式（LeastConnection）：传递新的连接给那些进行最少连接处理的

服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。

? 最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发

生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。

? 观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请

求选择服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 ? 预测模式（Predictive）：BIG/IP利用收集到的服务器当前的性能指标，进行预测

分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被big/ip进行检测) ? 动态性能分配（DynamicRatio-APM):BIG/IP收集到的应用程序和应用服务器的各项

性能参数如CPU、内存和磁盘的占用情况，动态调整流量分配。动态性能分配可通过标准SNMP或服务器端插件完成。

GTM解决方案建议书

? 动态服务器补充（DynamicServerAct.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。

? 服务质量(QoS)：按不同的优先级对数据流进行分配。

? 服务类型(ToS)：按不同的服务类型（在TypeofField中标识）对数据流进行分配。 ? 规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，BIG/IP

利用这些规则对通过的数据流实施导向控制。

当出现流量“峰值”时，如果能调配所有服务器的资源同时提供服务，所谓的“峰值堵塞”压力就会由于系统性能的大大提高而明显减弱。由于BIGIP优秀的负载均衡能力，所有流量会被均衡的转发到各个服务器，即组织所有服务器提供服务。这时，系统性能等于所有服务器性能的总和，远大于流量“峰值”。这样，即缓解了“峰值堵塞”的压力，又降低了为调整系统性能而增加的投资。

5) GTM与现有系统的融合

考虑到DNS系统变动的复杂性，GTM在与现有系统DNS服务器配合的时候可以采用两种方式。最佳的方式是将站点的所有域名解析均放置到GTM上进行解析，优点是可以充分利用GTM的动态用户引导和强大的图形化管理界面，缺点是需要变动上级注册授权域DNS服务器地址。另外一种方式是将需要进行动态指向的域名分配到GTM上进行解析，优点是对现有系统的变动较小，缺点是系统中存在多级、多台DNS服务器，不利于统一管理。两种方式分别对应不同的配置方式。

对于一个域名中的所有记录，我们可以分为动态和静态记录两种，其中静态记录是相对不变的DNS解析记录，如SOA、MX、NS等记录类型；而动态记录则为需要用户通过两条链路进行访问的域名记录，通常情况下为A记录。 a) 改变上级注册授权域DNS服务器地址

在每个域名注册的时候，均需要提供主辅DNS服务器，通常采用提供域名注册提供商的DNS服务器或者自建DNS服务器。在一个完整的域名解析中，通常包含:

SOA记录，如： @ 86400

IN SOA master.f5.com.cn. (

2004122932 10800 3600 604800 86400 )

A记录，如：

www.f5.com.cn MX记录，如： @

IN IN

A

202.106.83.177

MX 5 202.106.83.178

GTM解决方案建议书

在GTM中，可实现所有以上记录的解析。GTM上配置有完整的BIND域名服务器系统，并且支持NameSurfer图形化界面管理。可以更为方便的管理静态记录。

而对于需要做动态解析的记录，通常是系统中的A记录，在GTM中则通过WideIP配置方式实现。每个WideIP即是一个域名，并对应多位于不同链路（DataCenter）的Virtual Server IP地址。在用户访问WideIP的时候，则GTM将通过预先定义的算法给用户的LocalDNS返回相应的域名与IP对应记录。

b) 不改变上级注册授权域DNS服务器地址

当条件限制，无法改变上级域名注册授权域DNS服务器地址的时候，则需要对系统原有授权域服务器配置进行修改，将动态记录委派到GTM上进行解析。以www.f5.com.cn为例，配置方式如下：

原DNS服务器系统配置： www.f5.com.cn IN A

更改为： www IN CNAME wip wip

IN IN

NS NS A

A

202.106.83.177

www.wip.f5.com.cn.

GTM1.wip.f5.com.cn. GTM2.wip.f5.com.cn. 202.107.83.125 219.172.65.109

GTM1.f5.com.cn IN GTM2.f5..com.cn IN

同时，在GTM上配置WideIP www.wip.f5.com.cn对应不同的服务器地址。

这样，当用户LocalDNS在请求www.f5.com.cn时，则将再次发送一个请求到GTM请求www.wip.f5.com.cn对应的地址，在获得www.wip.f5.com.cn对应地址后，将www.f5.com.cn域名与www.wip.f5.com.cn对应的地址进行捆绑，返回给发起DNS请求的用户，从而实现了对用户请求的引导。

6) 系统安全性考虑

3-DNS包含众多固有的安全特性，能够有效保护您的站点免受一般攻击，并为其提供更强大的保护。3-DNS发运时缺省设置为较高级安全模式，并提供了以下特性：

? ? ?

可根据对通信源、目的地或端口的监视结果，利用数据包过滤功能限制或拒绝网站发出或接到的访问。

3-DNS控制器采用远程命令行界面进行配置；并采用安全外壳（SSH）进行加密。 3-DNS控制器非常强大，能够有效防御一般攻击： ? ? ?

Thwarts teardrop攻击

保护自己和服务器免受ICMP攻击

不运行SMTPd、FTPd、Telnetd或任何其它可被攻击的端口监控程序

GTM本身也具有强大的解析能力，在正常配置下，GTM非递归查询可每秒钟解析35000个记录。通常的攻击很难达到GTM的上限。

在实际情况中，还可以通过在路由器上设置ACL访问控制列表来进一步增强系 …… 此处隐藏：2172字，全部文档内容请下载后查看。喜欢就下载吧 ……