第二章:LTM組網架構方案
------LTM基礎元素及概念----------
1.1 Node:節點,是指部署在一個內網的物理或者邏輯的主機;
1.2 POOL:是一個或多個pool member的邏輯分組,一個pool代表一個應用。LTM會對他進行健康狀態監測;
1.3 Virtual server:由IP地址和端口號組成而合成來監聽client的請求;通常會引導流量至后台的一個應用POOL池;
注意-多個VS可以關聯一個pool,pool member和node
1.4 Profiles(介紹配置文件):模板,主要作用關聯一個或者多個VS,處理各種例如TCP、UDP等協議的流量。
------LTM組網架構----------
1.5 SNAT:安全地址轉換,是數據包離開BIG-IP LTM的最后一個關口。當數據包在離開BIG-IP LTM的時候,BIG-IP LTM就會去匹配數據包是否符合SNAT策略,如果源IP屬於SNAT Origin原始定義的范圍,則BIG-IP LTM在把數據包發送出去的時候按照SNAT的要求進行源地址的替換)
使SNAT的兩種情況:
1.5.1 虛擬服務器的地址會采用公網地址或者一個可以對外提供服務的地址(VS),而服務器則隱藏在一個私有網段里,公共的客戶端只能訪問位於BIG-IP LTM的一個虛擬地址(VS);
1.5.2.服務器位於BIG-IP LTM之后,當它們自己作為客戶端需要主動去訪問外部網絡時,需要BIG-IP LTM進行網絡地址翻譯工作,將這些服務器的私有地址翻譯成一個公共的地址,這樣才能使服務器可以與外部網絡進行溝通;
*SNAT:拒絕所有發往SNAT地址的初始連接請求(只出不進)
NAT:一對一靜態地址翻譯,不涉及到任何源目端口;
SNAT:多對一靜態地址翻譯,而且是有狀態的,BIG-IP LTM必須維護一個地址端口對應表(SNAT表)來實現地址翻譯的過程。
(其中一個簡單的SNAT優勢,如果2個內網IP的80端口想訪問外網,但是公網地址只有1個80端口,NAT只能代理一個IP;而SNAT可以代理任意端口)
2.LTM組網模式概述
在應用負載的網絡架構中,所有的處理都至少是基於四層信息,也就是除了源IP地址和目的地址之外,還要有源端口和目的端口參與轉發判斷。這樣,就和NAT等基礎處理一樣,同一個Connection的往返數據流通常是需要都通過同一台設備。這樣,在每台BIG-IP LTM上都能看到完整的數據流(L4\L7)。另外,在進行七層處理的時候,數據流的往返通過同一台設備也是屬於必要條件之一。
3.如何部署LTM設備
物理設計:單臂、雙臂
邏輯設備:串聯、旁掛
通常會組合在一起叫,例如單臂旁掛、雙臂串聯
3.1單臂旁掛組網(組網模式一):就是指在BIG-IP LTM上只配置一個vlan,使用一個物理接口(或者trunk口)連接到網絡中,所有流量的處理均在這個vlan中進行。
3.1.1本地三角傳輸(nPath)模式:
最古老的四層負載均衡網絡接入模式,主要應用在HTTP應用網站中,上傳和下載的比例可以超過1:10.在視頻點播應用中,用戶上傳的流量很少,服務器返回的流量很大。而且流量針對非TCP的,不需要握手那種。
流量走向:外來的流量進來,交換機通過靜態或者策略路由指向BIG-IP LTM的VS IP,LTM收到后根據DSR技術,將數據包中的目的MAC地址改變,發到對應服務器上。服務器回包則直接發送到交換機上。(簡單來說,外網進來的流量NAT到BIG-IP LTM上,然后傳給主機;主機回包不回傳,直接回傳外網;而且服務器們都有同一個lo地址,於BIGP IP LTM的VS IP一致。
(DSR:asymmetric routing or direct server return,非對稱路由或直接服務器返回,服務器們配置相同的lo口,但根據mac不同在轉發到服務器上,可參考https://www.f5.com/services/resources/deployment-guides/npath-routing-direct-server-return-big-ip-v114-ltm)
優勢:保持了源目IP、端口,且回包直接返給網關而無需再給BIG-IP LTM;
缺點:必須在服務器上配置lo地址;並且由於數據報往返的路徑不一致,導致排查和管理復雜;
3.1.2 SNAT轉換模式:BIG-IP LTM上只配置一個vlan即可,要求VS IP與服務器IP為同一個網段。
源地址轉換模式常用於測試環境或者現有網絡結構無法改動的環境下,還要添加LTM設備。
流量走向:---外網---核心交換機---BIG-IP LTM----服務器---(回包路徑一致)
優勢:不改動當前網絡架構,不需要交換機做策略路由(PBR)把流量傳給BIG-IP LTM;
缺點:所有服務器看到的請求都是BIG-IP LTM的源地址,並不是真正的客戶端IP。典型就是一些審計系統和統計系統,應用會采集服務器收到連接的源IP進行記錄、審計等。
3.1.3服務器更改網關模式:BIG-IP LTM的VS IP、Self ip和服務器IP必須同一網段,服務器網關指向self ip。
流量走向:外來的流量進來,交換機通過靜態或者策略路由指向BIG-IP LTM的VS IP,LTM收到后,轉發給服務器;服務器回包丟給網關LTM,LTM通過靜態路由將該網段的流量指向交換機的真實網關地址,然后再出去
優勢:綜合了本地三角傳輸模式和SNAT轉換模式,對現有的系統結構影響最小,只需更改服務器網關和交換機靜態或PBR指向BIG-IP LTM即可。
缺點:服務器更改網關后,會導致對服務器的非負載均衡的流量直接訪問時,數據報的進出流向不一致,帶來管理和拍錯的復雜。(別的地方直接訪問服務器,服務器回包會丟給BIG-IP LTM)
3.2 串聯組網:在交換結構的BIG-IP LTM出現后的一種典型連接模式,通常在BIG-IP有較多的以太網物端口情況下,跟服務器物理直連。
設計要點:·BIG-IP LTM划分兩個vlan,external vlan用於連接上級三層交換機,internal vlan用於連接服務器。
·實際部署過程中,BIG-IP LTM的端口比較少,通常下聯二層交換機對端口進行擴充。
·服務器的默認網關均指向BIG-IP LTM的接口地址或者兩台HA設備的Floating ip地址
·如果外網需要直接訪問服務器自身IP,需要在三層交換機添加靜態路由,將去往服務器網段的路由指向BIG-IP LTM的external vlan接口地址或兩台HA設備的Floating ip地址。同時開啟BIG-IP LTM上的路由轉發功能,充當是路由器功能。
3.2.1 NAT或SNAT模式:在BIG-IP LTM上開啟NAT后,將服務器主動向外發起的請求進行源地址轉換,轉換為BIG-IP LTM的external vlan某個地址。這種處理模式無需外網路由上具備服務器的網段路由信息,在系統的外部采用互聯網地址,內部采用私有地址的結構下,通常采用這種方式處理服務器主動對外發起的請求。
3.2.2 路由模式:在BIG-IP LTM上開啟路由功能,對於服務器主動向外的請求進行路由處理。這樣,服務器向外自身發起的請求均使用服務器自身地址。這種處理模式需要在外網路由上有相應的服務器路由信息,主要再整個數據中心系統位於內部私有網絡的時候采用這種模式。再或者后者服務器是公網地址。推薦在DNS\GTM設備做SNAT,不推薦在上層防火牆級層做SNAT,因為防火牆處於主備切換時,NAT表象丟失會導致流量中斷。
由於服務器直連模式具備最強的可控性和靈活性,因此通常在新上線的系統設備中都采用這種組網,保證系統的最大安全和可靠性。
(該圖適用於路由模式或SNAT模式)
3.1.3 特殊組網涉及:
·非Gateway+SNAT結構
·針對Vmware NSX(SDN)的串聯+SNAT模式組網