（課堂筆記）第一章：BIG-IP 產品功能和硬件介紹

（課堂筆記）第一章：BIG-IP 產品功能和硬件介紹


---應用交付網絡概述-------------
1.應用交付網絡：Application Delivery Networking（簡稱ADN）指利用相應的網絡優化/加速設備，確認用戶的業務應用能夠快速、安全、可靠地交付給內內部員工和外部客戶群。
關於應用交付網絡的理解，可以看成將企業的關鍵應用交付到網絡上，也就是通過利用L4到L7對基於網絡的應用數據進行分析、導向，負載，加速和加密以及應用健康檢查--這些”應用交換“技術將關鍵應用與基礎設施關聯起來。

2.現在企業應用面臨的問題：企業的數據大集中、以及應用web化
服務器端：
《1》應用整合導致服務器速度變慢；（一個服務器安裝了PHP\DB\WEB等）
《2》應用擴展性限制；（將復雜的應用分散到性能差的服務器上，減少采購高端服務器，保護投資）
《3》應用安全性挑戰；
《4》網絡高資源消耗；（web頁面的業務--例如app業務 和用戶數的增加）
《5》網絡和應用配合性很差；（例如視頻會議和HTPPS應用對延遲的不同）


客戶端：
《1》應用HA的需求增強；
《2》安全性受到挑戰；
《3》網絡擁擠、訪問速度受到影響；（用戶采用不同的接入地點時，跨ISP網絡也帶來用戶訪問的困難）
《4》網絡接入環境差異導致使用困難



3.應用發布流程過程

數據：硬盤、存儲作用
服務器：橋梁作用，提供API
應用系統：數據庫系統、中間件系統
門戶：ISS等web服務
ISP：用戶端和數據中心的橋梁

4.ADN在各個環節的作用
《1》服務器整合：通過使用本地負載均衡（LTM）、應用優化設備，實現服務器的高HA，高安全和可擴展性。
《2》安全攻擊：通過網絡層安全攻擊、應用層安全防護（AFM)和傳輸通道加密技術，提高系統的整體安全性。
《3》用戶分散加劇：通過廣域網用戶引導、多鏈路引導（LC）等技術，引導用戶選擇最佳的數據中心（DNS-GTM），通過最佳的鏈路到達應用服務器。
《4》應用系統復雜性增大：通過對應用系統的深層次和各種應用加速技術，提高應用系統的訪問效率和響應速度。（access加速模塊）
《5》終端種類增加：ADN通過識別終端類型，根據終端的類型對用戶進行引導，並通過對各種終端接入設備的支持。增強系統的容錯特性和安全性，優化各類終端的訪問速度和效率。（Profile）


---F5 BIG-IP產品介紹-------------

1.BIP-IP平台是應用交付控制器（ADC）技術的智能演變。在此平台上構建的解決方案是負載平衡器。而且它們還是完整代理（full proxy），可提供對通過網絡的所有流量的可視性和控制力（檢查並加密或解密）


2.網絡靠BIG-IP平台運行，BIP-IP平台靠什么運行？
《1》所有BIG-IP硬件和軟件產品都以F5專有的操作系統TMOS為基礎，該系統提供統一的智能、靈活性和可編程性。憑借其應用控制層面體系結構，TMOS使能控制應用所需的加速、安全性和可用性服務。

《2》利用TMOS的開放式API：在TMOS基礎上構建的F5產品通過開放式API提供靈活性。應用可以使用icontrol API提示基於TMOS的設備控制流量並最大限度地提高性能。
可以使用iRules（F5腳本語言）對F5設備的流量進行精確控制；
iApps模塊可以部署和管理特定應用的網絡服務。（Profile）
isession模塊用於兩個數據中心之間F5互聯。


---F5 BIG-IP產品功能-------------
https://www.f5.com./products/ways-to-deploy

1.BIGP-IP軟件模塊：
      HA------LTM、DNS（DC架構）
security------ASM\AFM\APM\安全WEB網關


《1》LTM：local traffic manager，本地流量管理器。特點：
·不僅僅負載均衡，還提供高可用性；
·一個完成整代理，可以檢測、管理和報告進出網絡的應用流量；
·BIG-IP LTM可編程，因此可以利用其提供的可視化和控制功能，並使用iRules立即采取行動。

優勢        支持功能
高可用性    傳統的負載均衡服務；廣泛、自定義和復用的健康檢查；
快速        TCP Express，HTTP 壓縮，RAM Cache緩存，SSL 卸載，和連接復用
安全         資源隱藏、DDOS防護、數據丟失防護和選擇性加密

《2》DNS：（以前叫GTM）：將用戶路由到最近或性能最佳的物理、虛擬或雲環境，來提高全局應用的性能和高可用性；
還能夠大規模部署和保護DNS基礎架構以防DDOS攻擊，並提供一個實時的DNSSEC 解決方案來抵御劫持型攻擊；

《3》APM： Access Policy Management 接入策略管理器，簡單可以理解為提供VPN接入，特點：
·提供web訪問管理和遠程訪問SSL VPN；（VPN功能）
·集中式web單點登錄和訪問控制服務（SS0）
·集成並統一實現用戶對應用的安全訪問
·默認情況下，所有BIG-IP設備上都包含一個性能不高的APM License；

《4》ASM：Application Security Manager 應用安全管理器，專做應用的防火牆(WAF),其特點：
·將web防火牆服務靈活部署在應用附近，以便隨時提供防護；
·過濾有針對性和隨機的攻擊
·提供對HTTP暴力破解和DOS攻擊的保護；

《5》AFM：Advanced firewall Manager 高級防火牆管理器，特點：
·減少DDOS攻擊
·可以在第3-4層網絡威脅到達數據中心之前對其進行防御


---F5 BIG-IP軟硬件介紹-------------

《1》TMOS軟件體系架構：主要以full-proxy為特點，這個特點主要針對的是TCP協議（UDP不涉及，udp屬於無連接，這個主要以協議特定決定），這樣就分為client端和server端。特點：
·TMOS流量控制模塊（full-proxy功能對前端后端建立連接，導致可以對流量進行分析，監控和控制）
·配有高性能轉發的微內核（TMM）
·強大的應用協議支持（基於全代理模式，支持很多協議，例如http，https）
·icontrol-利用API實現第三方監控和管理
·iRules-應用/網絡層可編程腳本語言
·一個實時的應用全代理操作系統
·IAPP-部署和管理特定應用的網絡服務


《2》TMOS全代理結構：
·全內容檢測：可針對客戶端和服務器分別進行優化；
·全內容改寫：構建了一個以Profile（配置模塊）為框架的體系結構。

《3》BIG-IP物理體系架構
switch Modules-----packet velacity ASCI-----TMM------Host Managemnt subsystem-----Mgmt processor-----Fans PSUs Etc

《4》BIG-IP多核CPU平台
HSB：high speed bridge，屬於硬件芯片
CMP：cluster muti processor，屬於工作模式

當系統中有多個CPU內核存在時，BIG-IP LTM將進入CMP的工作模式。所謂CMP，就是在BIP-IP LTM內部，使用硬件芯片HSB對進入生產端口的流量在內部進行了一次負載均衡，使流量均勻分布到每個TMM核心上。而每個TMM核心占據一個CPU內核
（簡單來說，生產流量通過HSB后均勻分布給多個TMM微內核，這個過程被稱為CMP工作模式）
CMP區別於Unix的SMP工作模式，多核運行越多，性能優勢越大。（處理器並行化Amdahl法則）


《5》BIG-IP平台
·硬件版本：BIG-IP Iseries
      VIPRION（高端盒子、刀片和機箱版本）
·軟件版本：BIG-IP VE（私有雲環境，例如vmware等）
      BIG-IP Cloud edition（雲版本，例如AWS,Windows Azure）
·服務版本：AS a service


《6》性能參數：
https://www.f5.com/pdf/products/big-ip-platforms-datasheet.pdf（性能文檔）


·BIG-IP Iseries：
硬件優勢1：F5 TurboFlex技術，以Iseries的環境下，以FPGAs（電路）為主；
同期比較CPU和ASIC如下：
ASIC：缺點--功能有限；固化，不能升級；
CPU：靈活，對軟件升級即可，就想交換機升級版本解決bug，缺點是處理速度慢

硬件優勢2：F5 ScalesN(按需擴展N種）；針對應用進行集群；提供類似ADC提供多租戶環境等

·BIG-IP VE
可以部署在KMV、Vmware、citrix Xenserver和Microsoft Hyper-V這些私有雲上，而高性能版（帶寬40G）只能部署在KMV和vmware，原因在與虛擬化可以通過降級Ring-1將虛擬化降級到最底層Ring 0，以獲得內核級別權限（就像我們虛擬機開Inter VT或AMD-V功能）


·BIG-IP Cloud editiond
一般部署在AWS、Azure、google cloud paltform這些公有雲上
專屬per-app service效果，雲版本有LTM和Web防火牆效果


影響產品選型的因素：（硬件）
·業務流量吞吐
·每秒新建會話數（4層連接、7層請求）
·硬件端口
·電源數量
·光纖模塊