馬 維（云南開(kāi)放大學(xué)云南干部在線學(xué)習(xí)學(xué)院，云南昆明，650223）

?

基于F5負(fù)載均衡應(yīng)用交付網(wǎng)絡(luò)技術(shù)在干部在線的應(yīng)用

馬 維
（云南開(kāi)放大學(xué)云南干部在線學(xué)習(xí)學(xué)院，云南昆明，650223）

摘要：應(yīng)用交付網(wǎng)絡(luò)技術(shù)的理念就是把網(wǎng)絡(luò)及應(yīng)用深度結(jié)合在一起。安全、快速、高可用是應(yīng)用交付網(wǎng)絡(luò)的三大要素。應(yīng)用交付網(wǎng)絡(luò)技術(shù)由服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡、應(yīng)用安全管理、應(yīng)用加速等多種技術(shù)組成。目的是提高用戶體驗(yàn)，保證網(wǎng)絡(luò)安全的前提下解決用戶關(guān)鍵網(wǎng)絡(luò)應(yīng)用訪問(wèn)瓶頸的問(wèn)題。根據(jù)干部在線學(xué)習(xí)平臺(tái)遇到的隨機(jī)大流量、高并發(fā)、及網(wǎng)絡(luò)安全等問(wèn)題，我們就需要引入應(yīng)用交付網(wǎng)絡(luò)技術(shù)。F5是當(dāng)今業(yè)界首推的一款應(yīng)用交付網(wǎng)絡(luò)控制器。本文在介紹應(yīng)用交付網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，把F5的功能和應(yīng)用交付技術(shù)相關(guān)知識(shí)融合在一起，并且實(shí)際地應(yīng)用到干部在線平臺(tái)網(wǎng)絡(luò)架構(gòu)。解決了平臺(tái)在線人數(shù)階梯式增長(zhǎng)所帶來(lái)的問(wèn)題。讓在線學(xué)習(xí)平臺(tái)更加安全、高效、靈活、有序的運(yùn)轉(zhuǎn)。

關(guān)鍵詞：應(yīng)用交付網(wǎng)絡(luò)；負(fù)載均衡；高可用；安全

近幾年國(guó)內(nèi)互聯(lián)網(wǎng)領(lǐng)域中，在線教育發(fā)展的趨勢(shì)日漸高漲，干部在線學(xué)院自2007年成立以來(lái)，每年在線學(xué)習(xí)人數(shù)迅猛成倍增長(zhǎng)，截止到2012年，在線注冊(cè)人數(shù)高達(dá)80000人。平均每天在線學(xué)習(xí)用戶達(dá)到10000余人。干部在線平臺(tái)是7×24全開(kāi)放服務(wù)學(xué)習(xí)平臺(tái)，與日俱增的在線學(xué)習(xí)人數(shù)對(duì)系統(tǒng)平臺(tái)的響應(yīng)壓力增大、服務(wù)響應(yīng)時(shí)間延時(shí)過(guò)長(zhǎng)、從而導(dǎo)致用戶體驗(yàn)降低甚至影響干部學(xué)習(xí)進(jìn)度。同時(shí)平臺(tái)數(shù)據(jù)庫(kù)中有著全省干部敏感信息，一旦平臺(tái)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致服務(wù)中斷或干部信息泄露，后果將不堪設(shè)想。要能應(yīng)對(duì)各種客觀突發(fā)情況、客觀上要求搭建一個(gè)具有高可用、快速、安全的應(yīng)用交付網(wǎng)絡(luò)平臺(tái)。

1　F5具有應(yīng)用交付網(wǎng)絡(luò)的負(fù)載均衡

1.1應(yīng)用交付網(wǎng)絡(luò)技術(shù)

1.1.1應(yīng)用交付網(wǎng)絡(luò)概念理解

應(yīng)用交付網(wǎng)絡(luò)（Application Delivery Networking，簡(jiǎn)稱ADN），是一個(gè)高可用、快速、安全的網(wǎng)絡(luò)，它利用相應(yīng)的網(wǎng)絡(luò)優(yōu)化/加速設(shè)備，確保用戶的業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付給內(nèi)部員工和外部服務(wù)群。其目的是通過(guò)構(gòu)建在傳統(tǒng)網(wǎng)絡(luò)（L1～L3）之上，從L4（TCP Layer）到L7（ApplicationLayer）對(duì)基于網(wǎng)絡(luò)的應(yīng)用數(shù)據(jù)進(jìn)行分析，判別，導(dǎo)向，負(fù)載，加速和加密。它的解決方案所面對(duì)的不再是傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包，而是應(yīng)用在網(wǎng)絡(luò)中的傳遞和交付。關(guān)于應(yīng)用交付網(wǎng)絡(luò)的理解，其實(shí)可以照字面意思看成是將企業(yè)的關(guān)鍵應(yīng)用交付到網(wǎng)絡(luò)上，也就是通過(guò)綜合多種4～7層上的“應(yīng)用交換”技術(shù)將關(guān)鍵應(yīng)用與基礎(chǔ)設(shè)施關(guān)聯(lián)起來(lái)。這相當(dāng)于是對(duì)傳統(tǒng)優(yōu)化手段的升級(jí)——從簡(jiǎn)單的偏重于負(fù)載均衡單一方案，到如今全面的、從邊緣到核心的一系列優(yōu)化解決方案，用來(lái)改善用戶應(yīng)用體驗(yàn)，數(shù)據(jù)安全和保障應(yīng)用的可靠性。

圖1　應(yīng)用交付網(wǎng)絡(luò)各環(huán)節(jié)

1.1.2應(yīng)用發(fā)布的各個(gè)環(huán)節(jié)

應(yīng)用交付網(wǎng)絡(luò)技術(shù)體現(xiàn)在應(yīng)用發(fā)布的每一個(gè)環(huán)節(jié)，應(yīng)用發(fā)布的所有中間環(huán)節(jié)就是讓最終用戶可以存取數(shù)據(jù)。通過(guò)不同的展現(xiàn)手段，提供給終端用戶不同的內(nèi)容。見(jiàn)圖1

由圖1我們可以看到在應(yīng)用發(fā)布的整個(gè)過(guò)程中面臨以下問(wèn)題：

●服務(wù)器整合

●安全攻擊

●用戶分散加劇

●SOA（面向服務(wù)的體系結(jié)構(gòu)）建設(shè)

●應(yīng)用系統(tǒng)復(fù)雜性

●終端種類(lèi)增加

●文件存儲(chǔ)空間增長(zhǎng)

1.1.3F5基于應(yīng)用交付網(wǎng)絡(luò)在各個(gè)應(yīng)用發(fā)布環(huán)節(jié)起到的作用

針對(duì)應(yīng)用交付的各個(gè)環(huán)節(jié)中的薄弱點(diǎn)，F(xiàn)5提供了端到端的解決方案。

●服務(wù)器整合：通過(guò)使用本地負(fù)載均衡、應(yīng)用優(yōu)化設(shè)備，實(shí)現(xiàn)服務(wù)器的高可用性、高安全 性和可擴(kuò)充性。

●安全攻擊：通過(guò)網(wǎng)絡(luò)層安全防護(hù)、應(yīng)用層安全防護(hù)和傳輸通道加密技術(shù)，提高系統(tǒng)的整 體安全性。

●用戶分散加?。和ㄟ^(guò)廣域網(wǎng)用戶引導(dǎo)、多鏈路用戶引導(dǎo)等技術(shù)，引導(dǎo)用戶選擇最佳的數(shù) 據(jù)中心，通過(guò)最佳的鏈路到達(dá)應(yīng)用服務(wù)器。

●SOA（面向服務(wù)的體系結(jié)構(gòu)）建設(shè)：通過(guò)多協(xié)議、多平臺(tái)的支持，對(duì)應(yīng)用中的各種協(xié)議流量進(jìn)行分析，實(shí)現(xiàn)精確 引導(dǎo)和應(yīng)用分布。

●應(yīng)用系統(tǒng)復(fù)雜性增大：通過(guò)對(duì)應(yīng)用系統(tǒng)的深層次識(shí)別和各種應(yīng)用加速技術(shù)，提高應(yīng)用系 統(tǒng)的訪問(wèn)效率和響應(yīng)速度。

●終端種類(lèi)增加：應(yīng)用交付網(wǎng)絡(luò)通過(guò)對(duì)各種終端的識(shí)別，根據(jù)終端的類(lèi)型對(duì)用戶進(jìn)行引導(dǎo)， 并通過(guò)對(duì)各種終端接入設(shè)備的支持。增強(qiáng)系統(tǒng)的容錯(cuò)特性和安全性，優(yōu)化各類(lèi)終端的訪 問(wèn)速度和效率。

1.2F5基于應(yīng)用交付網(wǎng)絡(luò)要素的重要體現(xiàn)

●F5負(fù)載均衡工作原理及其分配策略

傳統(tǒng)的負(fù)載均衡解決方案一般是在一臺(tái)或多臺(tái)服務(wù)器相應(yīng)的操作系統(tǒng)上安裝一個(gè)或多個(gè)附加軟件來(lái)實(shí)現(xiàn)負(fù)載均衡，如 DNS LoadBalance，在DNS域服務(wù)器中新建主機(jī)，然后填寫(xiě)相同的域名名稱，只是IP地址不同，當(dāng)客戶端要求訪問(wèn)web系統(tǒng)時(shí)，DNS服務(wù)器會(huì)把請(qǐng)求分發(fā)給2臺(tái)web服務(wù)器，實(shí)現(xiàn)了系統(tǒng)的負(fù)載均衡。DNS 負(fù)載均衡的優(yōu)點(diǎn)是經(jīng)濟(jì)、簡(jiǎn)單、易行；但它不能區(qū)分服務(wù)器的差異，也不能反映服務(wù)器的當(dāng)前運(yùn)行狀態(tài)，不能做到為性能較好的服務(wù)器多分配請(qǐng)求，甚至?xí)霈F(xiàn)客戶請(qǐng)求集中在某一臺(tái)服務(wù)器上的情況。

圖2　F5負(fù)載均衡結(jié)構(gòu)圖

F5對(duì)應(yīng)用的負(fù)載均衡：F5作為一個(gè)全代理，對(duì)外提供一個(gè)虛擬的應(yīng)用服務(wù)（Virtual Server），接收所有的客戶端請(qǐng)求， 這些請(qǐng)求通過(guò)預(yù)先設(shè)定好的負(fù)載均衡算法處理，分發(fā)到后臺(tái)的多個(gè)應(yīng)用實(shí)例（Application）。于此同時(shí)F5用過(guò)自身的健康檢查，準(zhǔn)確的判斷應(yīng)用實(shí)例的工作和服務(wù)狀態(tài)，一旦發(fā)現(xiàn)應(yīng)用實(shí)例不能提供服務(wù)，則將其從負(fù)載均衡組（pool）中摘除。

F5進(jìn)行四層負(fù)載均衡的最小元素為T(mén)CP連接，所有分配策略均以TCP連接為最小單位，而在七層負(fù)載均衡中，最小的元素為每一個(gè)完整的交易數(shù)據(jù)包，如一個(gè)HTTP 請(qǐng)求，因此以為最小單位進(jìn)行分配。根據(jù)每一個(gè)連接，F(xiàn)5通過(guò)地址轉(zhuǎn)換功能，將連接分配到不同的服務(wù)器上。負(fù)載分配策略算法主要包含以下幾種：

1）靜態(tài)負(fù)載均衡算法：輪詢，比率，優(yōu)先權(quán)

2）動(dòng)態(tài)負(fù)載均衡算法: 最少連接數(shù)，最快響應(yīng)速度，觀察方法，預(yù)測(cè)法，動(dòng)態(tài)性能分配

3）可編程控制的負(fù)載均衡策略：通過(guò)編程控制應(yīng)用流量的導(dǎo)向。

●F5對(duì)鏈路的負(fù)載均衡（Link Controller）

F5將所有提供某種應(yīng)用的鏈路放在一個(gè)隊(duì)列中，把用戶通過(guò)DNS服務(wù)器得到的地址訪問(wèn)請(qǐng)求的流量導(dǎo)向該隊(duì)列中相對(duì)應(yīng)營(yíng)運(yùn)商鏈路，當(dāng)該鏈路到達(dá)連接限制或者出現(xiàn)故障時(shí)，自動(dòng)將流量導(dǎo)向另一個(gè)營(yíng)運(yùn)商可用鏈路。這種機(jī)制策略解決了鏈路單點(diǎn)故障帶來(lái)的服務(wù)中斷問(wèn)題，保證了不管屬于哪家營(yíng)運(yùn)商的用戶都能夠訪問(wèn)網(wǎng)站。

●Monitor Server 服務(wù)器健康檢查

1）基于ICMP的健康檢查Ping

F5可以定期通過(guò)ICMP包對(duì)后臺(tái)服務(wù)器的IP地址進(jìn)行檢測(cè)，如果在設(shè)定的時(shí)間內(nèi)能收到該地址的ICMP回應(yīng)，則認(rèn)為該服務(wù)器能提供服務(wù)。

2）基于TCP端口的健康檢查 Port-Connect

在基于TCP協(xié)議的應(yīng)用中，每個(gè)應(yīng)用系統(tǒng)都會(huì)綁定一個(gè)TCP端口，應(yīng)用通過(guò)偵聽(tīng)這個(gè)端口接受客戶端的請(qǐng)求。判斷這些應(yīng)用系統(tǒng)是否在工作最簡(jiǎn)單的方法就是從F5和對(duì)應(yīng)的服務(wù)器端口做一次完整的TCP握手，如果TCP握手成功，則認(rèn)為服務(wù)器正常工作，如果在超過(guò)一定的檢查次數(shù)均握手失敗的情況下，BIG-IP LTM則將失敗的服務(wù)器標(biāo)記為Down，而將新的客戶端請(qǐng)求都發(fā)送到其他仍然正常工作的服務(wù)器上。

3）可擴(kuò)展的應(yīng)用驗(yàn)證（EAV）

用于確認(rèn)運(yùn)行在某個(gè)服務(wù)器上的應(yīng)用能否對(duì)客戶請(qǐng)求做出相應(yīng)。

4）可擴(kuò)展的內(nèi)容驗(yàn)證（ECV）

除了可以通過(guò)EAV對(duì)服務(wù)進(jìn)行檢查，還可以通過(guò)ECV對(duì)服務(wù)器的相應(yīng)作進(jìn)一步分析，通過(guò)分析讀取服務(wù)器回應(yīng)中的指定內(nèi)容來(lái)判斷服務(wù)器上服務(wù)的運(yùn)行情況。

通過(guò) F5 靈活自定義方式的 ECV 健康檢查方式，用戶可以檢查常見(jiàn)的應(yīng)用如 HTTP、SMTP、POP3 等。而通過(guò) EAV 健康檢查方式，更可自行編寫(xiě)腳本，實(shí)現(xiàn)更加復(fù)雜的健康檢查方式，全面的檢測(cè)后臺(tái)服務(wù)器的運(yùn)行狀態(tài)，保證系統(tǒng)運(yùn)行的高效，可靠。

●會(huì)話保持

會(huì)話保持是F5上的一種機(jī)制，用以識(shí)別客戶與服務(wù)器可以識(shí)別做客戶與服務(wù)器之間交互過(guò)程的關(guān)連性，在作負(fù)載均衡的同時(shí)，還保證一系列相關(guān)連的訪問(wèn)請(qǐng)求會(huì)保持分配到一臺(tái)服務(wù)器上。

1）源地址會(huì)話保持

源地址會(huì)話保持是最常用到的一種會(huì)話保持，就是將一個(gè)源地址認(rèn)為是一個(gè)用戶，凡是同一個(gè)源地發(fā)送過(guò)來(lái)的連接，則認(rèn)為是同一個(gè)用戶發(fā)起的多個(gè)請(qǐng)求，根據(jù)會(huì)話保持策略，將這些連接或者請(qǐng)求都轉(zhuǎn)發(fā)到同一臺(tái)服務(wù)器。

2）Cookie的會(huì)話保持

當(dāng)客戶進(jìn)行第一次請(qǐng)求時(shí)，客戶HTTP請(qǐng)求（不帶cookie）進(jìn)入BIGIP， BIGIP根據(jù)負(fù)載平衡算法策略選擇后端一臺(tái)服務(wù)器，并將請(qǐng)求發(fā)送至該服務(wù)器，后端服務(wù)器進(jìn)行HTTP回復(fù)（不帶cookie）被發(fā)回BIGIP，然后BIGIP插入cookie，將HTTP回復(fù)返回到客戶端。當(dāng)客戶請(qǐng)求再次發(fā)生時(shí)，客戶HTTP請(qǐng)求（帶有上次BIGIP插入的cookie）進(jìn)入BIGIP，然后BIGIP讀出cookie里的會(huì)話保持?jǐn)?shù)值，將HTTP請(qǐng)求（帶有與上面同樣的cookie）發(fā)到指定的服務(wù)器，然后后端服務(wù)器進(jìn)行請(qǐng)求回復(fù)，由于服務(wù)器并不寫(xiě)入cookie，HTTP回復(fù)將不帶有cookie，回復(fù)流量再次經(jīng)過(guò)進(jìn)入BIGIP時(shí)，BIGIP再次寫(xiě)入更新后的會(huì)話保持cookie。

3）SSL ID會(huì)話保持

在用戶的SSL訪問(wèn)系統(tǒng)的環(huán)境里，當(dāng)SSL對(duì)話首次建立時(shí)，用戶與服務(wù)器進(jìn)行首次信息交換以：（1）交換安全證書(shū)，（2）商議加密和壓縮方法，（3）為每條對(duì)話建立Session ID。由于該Session ID在系統(tǒng)中是一個(gè)唯一數(shù)值，由此，BIGIP可以應(yīng)用該數(shù)值來(lái)進(jìn)行會(huì)話保持。當(dāng)用戶想與該服務(wù)器再次建立連接時(shí)，BIGIP可以通過(guò)會(huì)話中的 SSL Session ID識(shí)別該用戶并進(jìn)行會(huì)話保持。

4）可編程控制的會(huì)話保持

使用F5自身所擁有的irules可編程邏輯控制器，用TCL語(yǔ)音進(jìn)行編程控制的會(huì)話保持方式。

5）基于HTTP Header的會(huì)話保持

F5可以根據(jù)用戶HTTP訪問(wèn)里http包頭信息信息進(jìn)行會(huì)話保持，HTTP包頭里包含以下信息，BIGIP可以將用戶訪問(wèn)里這些信息通過(guò)表達(dá)式來(lái)獲得相應(yīng)的數(shù)值從而進(jìn)行會(huì)話保持。

●F5對(duì)應(yīng)用的優(yōu)化

1）HTTP靜態(tài)內(nèi)容的緩存（RamCache）

F5內(nèi)置RamCache功能，可以緩存諸如首頁(yè)元素之類(lèi)的大訪問(wèn)量請(qǐng)求.

2）HTTP動(dòng)態(tài)內(nèi)容的緩存（Web Accelerator）

通過(guò)F5的Web Accelerator模塊來(lái)實(shí)現(xiàn)動(dòng)態(tài)緩存，在Web Accelerator上可以通過(guò)配置本地的緩存有效時(shí)間，來(lái)保持頁(yè)面內(nèi)容的刷新度。比如設(shè)置Web Accelerator本地緩存2小時(shí)有效，則在每2個(gè)小時(shí)之內(nèi)，對(duì)于同樣查詢參數(shù)的請(qǐng)求，在后臺(tái)只有一次數(shù)據(jù)庫(kù)查詢動(dòng)作，從而大大的減輕了數(shù)據(jù)庫(kù)的壓力。

3）HTTP壓縮

硬件上F5通過(guò)內(nèi)置的HTTP硬件壓縮芯片來(lái)實(shí)現(xiàn)壓縮處理。軟件上F5使用工業(yè)標(biāo)準(zhǔn)的GZIP和Deflate壓縮算法來(lái)壓縮HTTP流量，降低帶寬消耗、縮短最終用戶在慢速或者低帶寬連接條件下的下載時(shí)間。在開(kāi)啟HTTP壓縮功能后，對(duì)于HTML頁(yè)面，CSS等文本類(lèi)型的數(shù)據(jù)，通?？梢匀〉?0%左右的壓縮率。

●F5（ASM）對(duì)7層應(yīng)用的安全保護(hù)

隨著網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜程度不斷升級(jí)，4層安全防護(hù)已經(jīng)遠(yuǎn)遠(yuǎn)不能保證應(yīng)用交互平臺(tái)的安全，大量的網(wǎng)絡(luò)攻擊來(lái)源于對(duì)第7層應(yīng)用層的攻擊。F5內(nèi)嵌的應(yīng)用安全管理模塊（ASM）是最靈活的web 應(yīng)用7層防火墻，可為傳統(tǒng)、虛擬和私有云環(huán)境中的web 應(yīng)用提供保護(hù)。

ASM 可為客戶端操作產(chǎn)生的所有參數(shù)提供保護(hù)并驗(yàn)證登錄參數(shù)和應(yīng)用流程以防止出現(xiàn)強(qiáng)迫瀏覽和邏輯漏洞。BIG-IP ASM可識(shí)別HTTP 參數(shù)污染（HPP）攻擊，并阻止這些請(qǐng)求，從而提供精細(xì)的攻擊保護(hù)。此外，BIG-IP ASM 還可幫助抵御OWASP 十大應(yīng)用安全風(fēng)險(xiǎn)，包括第7 層的拒絕服務(wù)（DoS）、SQL 注入、跨站腳本（XSS）、暴力及零日web 應(yīng)用攻擊。其獨(dú)特的保護(hù)能力可降低DoS對(duì)某個(gè)URL 的重壓力攻擊，防止欺詐性交易的執(zhí)行，并阻止瀏覽器內(nèi)的會(huì)話劫持。甚至，管理員還可更有效地檢測(cè)預(yù)設(shè)等級(jí)和測(cè)量度限制之下的攻擊，并幫助確定可疑請(qǐng)求和欺詐性交易轉(zhuǎn)移的來(lái)源。

2　F5在干部在線的應(yīng)用

通過(guò)上面所討論的章節(jié)，我們了解了F5基于應(yīng)用交付網(wǎng)絡(luò)特性的重要功能，接下來(lái)，就要運(yùn)用F5這些功能，具體應(yīng)用到實(shí)際的生產(chǎn)環(huán)境當(dāng)中。通過(guò)F5后臺(tái)管理系統(tǒng)監(jiān)控到的平臺(tái)業(yè)務(wù)網(wǎng)絡(luò)數(shù)據(jù)結(jié)果，進(jìn)一步證實(shí)了F5在應(yīng)用交付網(wǎng)絡(luò)中起到快速、安全、高可用的作用。

1）對(duì)Web應(yīng)用的負(fù)載均衡和加速優(yōu)化

在F5應(yīng)用交付控制器中建立服務(wù)器節(jié)點(diǎn)Node，也就是提供干部在線Web應(yīng)用的6臺(tái)服務(wù)器。接下來(lái)，新建Web服務(wù)池（Pool），這里我們新建了兩個(gè)Pool，一個(gè)表示電信的Pool，一個(gè)表示聯(lián)通的Pool。

健康檢查選項(xiàng)里，我們選擇Monitors方式為ICMP-Ping，成員選項(xiàng)里，以此添加之前新建的6個(gè)Web服務(wù)Node，因?yàn)樗接蠭P地址為局域網(wǎng)內(nèi)部，比較安全，所以每個(gè)Node服務(wù)端口號(hào)全部開(kāi)放，全為0。負(fù)載均衡的算法我們采用F5的Round Robin輪詢算法。

這里需要注意：因?yàn)楦刹吭诰€平臺(tái)用戶大部分是電信用戶，只有少部分是聯(lián)通用戶，所以之前我們?cè)陔娦臰eb服務(wù)Pool里的節(jié)點(diǎn)設(shè)置6個(gè)Node優(yōu)先級(jí)都是一樣的（都為20）。而聯(lián)通Web服務(wù)Pool里節(jié)點(diǎn)設(shè)置我們挑選了兩個(gè)Node為主要服務(wù)節(jié)點(diǎn)，優(yōu)先級(jí)為20，如果有聯(lián)通鏈路的請(qǐng)求首先是這兩個(gè)Node做主要響應(yīng)。剩下4個(gè)Node做副響應(yīng)，優(yōu)先級(jí)為則為1。

圖3　新建電信Web服務(wù)Pool

最后在F5的Virtuai Servers項(xiàng)目里新建一個(gè)VS，也就是Web應(yīng)用的虛擬服務(wù)地址，面向公網(wǎng)IP。因?yàn)槭请p鏈路提供服務(wù)，因此要?jiǎng)?chuàng)建兩個(gè)VS，一個(gè)電信鏈路VS、一個(gè)聯(lián)通鏈路VS，填寫(xiě)VS的名稱、VS的公網(wǎng)IP、Web應(yīng)用開(kāi)放的服務(wù)端口號(hào)：80，Soure全0代表了任何源地址都可以訪問(wèn)。把之前所建立的電信Web服務(wù)Pool與此VS關(guān)聯(lián)對(duì)應(yīng)。Web服務(wù)是http協(xié)議，屬于是TCP/IP協(xié)議簇，采用http Profile，因?yàn)橹挥羞x擇http Profile才能使用基于Cookies的會(huì)話保持。干部在線平臺(tái)都是以干部用戶名和密碼作為驗(yàn)證，才能登錄到平臺(tái)學(xué)習(xí)。所以我們基于Cookies的會(huì)話保持比較適合現(xiàn)實(shí)場(chǎng)景。聯(lián)通VS的配置和電信一樣。

圖4　電信Web服務(wù)Pool里添加Node

圖5　新建電信鏈路的Web應(yīng)用VS

圖6　Pool與VS關(guān)聯(lián)、基于Cookie會(huì)話保持

通過(guò)以上配置，把F5放到實(shí)際生產(chǎn)環(huán)境，通過(guò)F5后臺(tái)管理監(jiān)控系統(tǒng)我們獲取了F5對(duì)在線平臺(tái)響應(yīng)的相關(guān)數(shù)據(jù)和負(fù)載均衡效果。

當(dāng)在線人數(shù)達(dá)到6000人左右，前端6臺(tái)Web服務(wù)器平均CUP占用達(dá)到10%，內(nèi)存占用20%。對(duì)于10000余人的在線學(xué)習(xí)，毫無(wú)壓力。

在Web服務(wù)池里可以看到每個(gè)Node采用輪詢負(fù)載均衡算法后，進(jìn)出的流量和連接并發(fā)數(shù)平均分擔(dān)到了每一個(gè)節(jié)點(diǎn)，負(fù)載均衡效果非常明顯。

我們?cè)贔5后臺(tái)頁(yè)面管理系統(tǒng)里的HTTP profile或者Web Accelerator模塊中通過(guò)相應(yīng)配置，可以靈活的定義哪些內(nèi)容需要壓縮，哪些類(lèi)型不進(jìn)行壓縮，甚至可以定義到特定的URI來(lái)進(jìn)行壓縮處理。在開(kāi)啟壓縮優(yōu)化功能后進(jìn)行對(duì)干部在線平臺(tái)的網(wǎng)頁(yè)打開(kāi)時(shí)間對(duì)比，可以清晰的看到頁(yè)面的打開(kāi)時(shí)間被明顯的縮短了很多。

干部在線平臺(tái)中應(yīng)用F5壓縮優(yōu)化的功能可針對(duì)每個(gè)用戶的連接條件，以最佳方式調(diào)整每個(gè) HTTP 和 TCP 會(huì)話，為用戶保持較高的性能水平。而且使用了適應(yīng)性 TCP 優(yōu)化，融合了會(huì)話級(jí)應(yīng)用感知、速率調(diào)整、擁塞控制算法、糾錯(cuò)和優(yōu)化的 TCP 窗口。這可幫助干部在線平臺(tái)實(shí)時(shí)適應(yīng)于廣域網(wǎng)鏈路和移動(dòng)網(wǎng)絡(luò)的延遲、數(shù)據(jù)包丟失和擁塞特征，完全利用可用的帶寬并加速應(yīng)用流量。

針對(duì)于干部在線平臺(tái)目前應(yīng)用到以下的加速優(yōu)化方式。

●級(jí)聯(lián)：將內(nèi)容類(lèi)型相同的多個(gè)外部文件組合至單個(gè)文件，以減少往返次數(shù)，加快頁(yè)面加載的速度。

●內(nèi)容重排序：優(yōu)化 JavaScript 和級(jí)聯(lián)樣式表（CSS）的加載順序，加快頁(yè)面渲染的速度。

●內(nèi)容直接嵌入：通過(guò)將 JavaScript、CSS 和圖像直接嵌入至 HTML，減少請(qǐng)求的數(shù)量，無(wú)需實(shí)施更多的 GET 請(qǐng)求。該優(yōu)化有益于僅需查看一次的內(nèi)容，或高速緩存大小受限的移動(dòng)設(shè)備。

●圖像優(yōu)化：通過(guò)降低質(zhì)量，刪除不必要的元數(shù)據(jù)并轉(zhuǎn)換圖像格式（包括全新的 WebP 和JPEG-XR 格式），減小圖像尺寸。

●縮小化：從 JavaScript 和 CSS 中刪除空格和評(píng)論，減小文件的大小。

●動(dòng)態(tài)緩存：緩存看似動(dòng)態(tài)（包含查詢參數(shù)、cookies 或會(huì)話 ID），實(shí)際為靜態(tài)或以可識(shí)別方式變化的數(shù)據(jù)。通過(guò)全面檢查HTTP 請(qǐng)求的每個(gè)要素，控制緩存行為，并廢棄緩存的數(shù)據(jù)，從動(dòng)態(tài) web 應(yīng)用緩存中緩存百分比較高的數(shù)據(jù)，同時(shí)保持適當(dāng)?shù)膽?yīng)用行為。

●動(dòng)態(tài)壓縮：壓縮 web 應(yīng)用中的動(dòng)態(tài)數(shù)據(jù)，并確保只在有利于提升性能的情況下進(jìn)行壓縮。動(dòng)態(tài)壓縮與標(biāo)準(zhǔn)壓縮實(shí)施不同，因?yàn)樗邆漭^高的效率，而且能夠避免常見(jiàn)的瀏覽器壓縮問(wèn)題。

2）對(duì)雙運(yùn)營(yíng)商鏈路訪問(wèn)的負(fù)載均衡

在具備了雙聯(lián)路暢通的前提下，干部在線平臺(tái)依托F5應(yīng)用交付控制器做到了入站訪問(wèn)的鏈路智能選擇。真正的讓學(xué)員在任何網(wǎng)絡(luò)環(huán)境下都能最優(yōu)最快最穩(wěn)定的訪問(wèn)學(xué)習(xí)平臺(tái)。通過(guò)在上面創(chuàng)建的兩個(gè)運(yùn)營(yíng)商地址。能夠讓電信的用戶通過(guò)干部在線系統(tǒng)網(wǎng)絡(luò)接入的電信網(wǎng)絡(luò)進(jìn)行平臺(tái)的訪問(wèn)和學(xué)習(xí)，聯(lián)通用戶則會(huì)通過(guò)聯(lián)通線路訪問(wèn)。與此同時(shí)也做到了平臺(tái)的高可用性。

一旦電信或者聯(lián)通其中一條運(yùn)營(yíng)商線路出現(xiàn)故障的情況下。干部在線平臺(tái)可以通過(guò)F5設(shè)備講所有流量都引導(dǎo)到正常的運(yùn)營(yíng)商線路上。同時(shí)還鏡像了用戶的會(huì)話信息。保證用戶的視頻學(xué)習(xí)不會(huì)中斷，登陸狀態(tài)不會(huì)改變。這樣在線平臺(tái)的快速和高可用會(huì)24小時(shí)流暢高效的保證學(xué)員的學(xué)習(xí)。

3）干部在線應(yīng)用的安全保護(hù)

目前的國(guó)內(nèi)互聯(lián)網(wǎng)環(huán)境看似安全，但是每天針對(duì)于網(wǎng)站的攻擊卻從未停止而且層出不窮。干部在線平臺(tái)有防火墻來(lái)防護(hù)網(wǎng)絡(luò)攻擊。但是防火墻只能幫助平臺(tái)抵御來(lái)自4層的攻擊行為及4層的DDos攻擊。對(duì)于web應(yīng)用的7層安全防護(hù)，干部在線利用F5 的ASM安全模塊進(jìn)行防御。

上文已經(jīng)提到針對(duì)于7層應(yīng)用的攻擊目前才是干部在線平臺(tái)的主要威脅。干部在線平臺(tái)依托ASM安全防御模塊功能目前已經(jīng)阻擋了上千種攻擊行為，以及互聯(lián)網(wǎng)發(fā)起的DDos攻擊。ASM模塊可以根據(jù)干部在線平臺(tái)的后臺(tái)應(yīng)用組成元素信息，配比出最優(yōu)最適合后臺(tái)應(yīng)用的安全防護(hù)策略。在擁有強(qiáng)大的攻擊匹配庫(kù)的同時(shí)，也可以自動(dòng)學(xué)習(xí)攻擊類(lèi)型。

我們從其中一份日志信息來(lái)分析。F5設(shè)備幫我們定位出攻擊源的地址，在阻斷攻擊的同時(shí)。會(huì)給出詳細(xì)的攻擊行為及自身的阻斷安全策略信息。來(lái)幫助管理員更好的運(yùn)營(yíng)干部在線平臺(tái)應(yīng)用。

3　結(jié)語(yǔ)

圖7　負(fù)載均衡Node數(shù)據(jù)統(tǒng)計(jì)

圖8　F5沒(méi)有開(kāi)啟優(yōu)化功能下訪問(wèn)網(wǎng)站的打開(kāi)時(shí)間及信息

本文針對(duì)平臺(tái)在線人數(shù)突增所帶來(lái)的高并發(fā)、大流量、安全等問(wèn)題，通過(guò)對(duì)F5基于應(yīng)用交付網(wǎng)絡(luò)的重要特性功能以及此類(lèi)功能在干部在線的平臺(tái)的應(yīng)用進(jìn)行分析介紹。提出解決面臨問(wèn)題的方法，運(yùn)用F5的應(yīng)用負(fù)載均衡、鏈路負(fù)載均衡、網(wǎng)絡(luò)7層安全防護(hù)等技術(shù)，構(gòu)造了一個(gè)高可用、安全、快速的應(yīng)用交付網(wǎng)絡(luò)平臺(tái)，提高了在線學(xué)員的用戶體驗(yàn)，營(yíng)造了一個(gè)更加完善的網(wǎng)絡(luò)學(xué)習(xí)環(huán)境。

參考文獻(xiàn)

［1］ 應(yīng)用交付之BIG-IP LTM篇［EB/OL］.http：//down.51cto. com/data/1113699，2014-04-02.

［2］ 劉元峰.基于應(yīng)用交付網(wǎng)絡(luò)技術(shù)的網(wǎng)絡(luò)負(fù)載均衡研究與實(shí)現(xiàn)［D］. 吉林大學(xué)碩士學(xué)位論文，2008.

［3］ 應(yīng)用交付網(wǎng)絡(luò)f5使用總結(jié)［EB/OL］.http：//wenku.baidu. com，2014-06-07.

圖9　截取一段時(shí)間干部在線利用F5設(shè)備阻擋的攻擊

圖10　攻擊的源地址與IP所屬國(guó)家以及攻擊的類(lèi)型

圖11　攻擊行為包含的一些特征元素一覽無(wú)余的呈現(xiàn)

Based on load balancing F5 application delivery networking technology in cadres onlineplatform

Ma Wei
（Yunnan Open University，Kunming，650223，Yunnan）

Abstract：Application delivery network technology is the concept of the network and application depth together.Safe，rapid， high availability is the three elements of application delivery network. Application delivery network technology by the server load balancing，link load balancing，the application of safety management，use of a variety of techniques such as acceleration.The purpose is to improve the user experience，to guarantee the network security under the premise of solving the user key network application access bottleneck problem.Cadres according to the online learning platform of large flow， high concurrency，and the problem of network security，we need to introduce the application delivery network technology.F5 is today one of the first industry an application delivery network controller.This paper introduces the application delivery，on the basis of network technology，the function and application of the F5 delivery technology related knowledge together， and practically applied to the cadres online platform network architecture.To solve the platform online step growth brought about by the population.Make the online learning platform more secure，efficient， flexible and orderly operation.

Keywords：Application delivery network；load balancing；high availability；security