Linux/Python学习论坛-京峰教育

 找回密码
 立即注册

一键登录:

搜索
热搜: 活动 交友 discuz
查看: 755|回复: 0

F5 技术认证计划之模块2:TMOS

[复制链接]

238

主题

288

帖子

1925

积分

超级版主

Rank: 8Rank: 8

积分
1925
QQ
发表于 2015-3-18 14:15:44 | 显示全部楼层 |阅读模式
F5 的 TMOS 是业界独一无二的技术平台,可以通过灵活、安全的流程解决大量的应用交付问题。 作为所有 F5 产品的基础,它能够将极致灵活性与适应性运用到任意网络。


TMOS 提供有多种安全特性。 首先,TMOS 一个默认阻止平台。 这意味着,如果流量没有经过管理员的明确许可,则不能通过 TMOS。 如此一来,客户只需部署 TMOS 设备,便可立即提升安全性。 固有的 DDos 保护是安全措施之一。 如果连接有效,它们才会被发送到后端服务器。 另外,它还可以使用 SYN cookies、动态连接限制和连接速率限制。 结合这些安全特性,在内部创建 DMZ。 此外,它也能执行服务器资源隐藏。 服务器的 HTTP Header 可以在发送到客户端之前删除。 数据泄漏保护是另一项安全措施。 诸如社保号码和账号等信息能够从请求中清除。 TMOS 可以让 BIGIP 系统执行实时错误处理。 它可以在错误消息到达客户端之前截获,重新尝试向另一台服务器发出请求。 从协议遵从角度来讲,TMOS 允许使用插件模块。 Application Security Manager 是一个基于插件架构的 Web 应用防火墙,可以确保协议遵从。 另一个基于插件的安全模块是 Protocol Security Module。 SMTP message security module 也是 TMOS 的重要特性。 它允许将入站 SMTP 连接发送到声誉良好的引擎。 Access Policy Manager 是一个插件模块,可以部署在网络中实现基于身份识别的集中化接入控制功能,从而提供安全的、具备上下文感知的网络和应用接入。


TMOS 可以增强应用性能。 有多种传输优化,例如 LAN 优化和 WAN 优化。 针对客户端连接和服务器端连接,可以设置不同的协议配置文件。 OneConnect 是 F5 的连接复用特性,可以高效管理在 BIGIP 系统和后端服务器成员之间连接,增加网络吞吐量。 启用 OneConnect 之后,多个客户端请求可以利用现有的服务器端连接。 这样可以减少服务器必须打开和响应的服务器端连接。 BIGIP 设备可以将来自多个虚拟服务器的连接聚集到池中,前提是那些虚拟服务器参考同一个 OneConnect Profile 和同一个服务器池。 SSL 卸载允许在 BIGIP 系统上使用单一 SSL 证书。 另外,也可以利用专用硬件执行一些复杂、耗时且与 SSL 处理相关的操作。 在 SSL 处理过程中,数据在发送到后端服务器之前被解密,以便执行额外的流量策略,例如数据流中的会话保持或基于内容的应用交付特性。 其它应用性能特性包括 HTTP 高速缓存、HTTP 压缩和基于插件的模块即 WebAccelerator。 WebAccelerator 允许智能操控高速缓存,提高对远程用户的 Web 应用响应速度。 WAN 数据流重复数据删除和 WAN 数据流压缩也可以增加广域网连接的数据交付性能。广域网连接存在高延迟、低带宽或连接质量欠佳等问题。


从应用可用性的角度来讲,TMOS 可以提供高可用性设备、通过高端平台实现的高级可扩展性,以及先进的流量管理。 本地会话保持特性可以消除整合复杂应用的需求,增强应用可用性。


TMOS 是所有 F5 BIGIP 产品的基础。 它可以让这些产品成为架构中的战略控制点。 通过利用共享服务,包括 iRules 和 iControl,F5 可以让客户快速部署、管理和响应其应用环境中的变化。 此外,BIGIP 系统不会强迫客户针对 F5 产品调整网络,而是它会自动适应客户的网络。 这就是 BIGIP 产品组合实现 IT 灵捷性的方式。


TMOS 可以通过 iRules 提供额外灵捷性。 该特性允许系统管理员定制他们的业务和逻辑解决方案。 iRules 是一种脚本语言,允许修改连接流中的任意组件。 这样可以为流量控制带来极致灵活性。 它可能有自定义协议、自定义特性、行为变更以及更高的安全性。 我们来看看下面这个例子。 客户端接受的事件是 TCP Profile 配置的一部分。 启动 SSL 后,会发生客户端握手(client handshake)。 然后,客户端发出 HTTP 请求。 负载均衡器选择服务器池成员。 接下来,请求到达服务器,这一连串的动作结束。 为返回到客户端,这一连串的动作首先从 HTTP 响应开始,然后按照当初向服务器传输的方式,依次完成各个动作。 通过 iRules,TMOS 可以为 F5 客户提供无与伦比的控制,让客户直接操控和管理任何 IP 应用流量。


除了 iRules,TMOS 还采用了 iControl。 这项 Web 服务允许自定义配置界面和管理 F5 设备。 基本上来讲,它是 BIGIP 设备的远程管理 API。 iControl 作为 SOAP 服务存在于各个 BIGIP 系统之上。 它作为 BIGIP 管理功能延用了相同的 AAA,它由一套 Web 服务描述语言定义。 iControl 可以访问本地流量管理器、广域流量管理器和应用安全管理器中定义的对象。
TMOS 有许多构建模块,可以实现更高的性能和先进的应用服务。 我们来回顾一些构建模块。 为了将 BIGIP 系统融入网络,你需要了解物理和数据链路层。 从 1 层开始,BIGIP 系统设备带有各种以太网端口组合。 在 BIGIP 系统内部,有一个完整的以太网聚合交换结构。 不同的 BIGIP 设备带有不同的交换和端口配置,但是它们都支持 LACP 以太网渠道、MAC 地址伪装、生成树和端口镜像。 BIGIP 系统通过 VLAN 与所有普通 2 层切换操作保持一致。 但是,BIGIP 系统也可以使用 VLAN 群组桥接 2 层域。 例如,VLAN 100 和 VLAN 200 可以位于不同的端口,但是虚拟服务器经过配置,可以使用 VALN Group 在两个 VLAN 之间转发流量。 两个 VLAN 之间的桥接可以让它们在同一个 IP 地址空间内运行。


TMOS 构建模块 — 3 层 — 路由到 Self-IP


一旦 BIGIP 系统融入网络,管理员就需要能够与 TMOS 和 LTM 交互。 这要通过 IP 地址发生。 在本例中,2 层 VLAN 上有红色子网和蓝色子网。 BIGIP 设备通常以活动/备用对的形式安装。 在本例中,顶部设备处于活动状态,底部设备处于备用状态。 每个设备在每个 VLAN 上都有一个 IP 地址,叫作“Self IP 地址”。 Self IP 地址属于 BIGIP 系统。 Self IP 地址可以被映射到 VLAN。 作为高可用性机制的一部分,每对设备在每个 VALN 上均配置了浮点 IP 地址。 浮点 IP 地址属于活动设备。 如果启用和配置了 MAC 伪装特性,那么这两个设备也可以共享同一个 MAC 地址。 MAC 伪装用于保护在远程交换机 ARP 表中发现的同一个 2 层地址。 这意味着,每个 VLAN 需要通过 3 个 IP 地址才能连接到 BIGIP 系统。 因为 Self IP 地址属于 BIGIP 系统,所以 TMOS 可以响应针对这些 IP 地址的 ARP 请求: • 向 BIGIP 系统转发的 IP 地址的目的地 • 将 Self IP 作为 IP 目的地的流量 • 将 Self IP 地址作为 IP 源的流量


TMOS 构建模块 — 3 层,处理数据包


现在,你已经创建了 Self IP 地址,我们来回顾一下如何在 3 层上处理分组数据。这可以通过 NAT 配置、SNAT 配置或虚拟服务器完成。 NAT 配置代表网络地址转换(Network Address Translation),是一对一 IP 目的地地址转换。 它可以让 BIGIP 系统响应针对定义的 NAT 的 ARP 请求。 入站和出站会话都可以通过 NAT 启动。 安全网络地址转换或 SNAT 配置可以通过端口映射更改 IP 源地址。 它也可以用于避免不对称的路由。 与 NAT 配置不同,通过 SNAT 配置只能启动出站会话。 单独依靠 SNAT 无法启动入站会话。 因此,SNAT 配置比 NAT 配置更加安全。 另外,它也是 SNAT 配置被称为安全 NAT 的缘故。 当 SNAT 是将内部地址转换为 Self IP 地址时,它叫作 AutoMap SNAT。 当流量源自 LTM 时,应当使用 SANT。 虚拟服务器可以转换 IP 目的地地址和目的地端口。 它们代理会话,响应针对虚拟服务器 IP 的 ARP 请求。 请注意,虚拟服务器的鲜明特性是其目的地地址。 Profile 可以被定义和指派给各个虚拟服务器,以便在各个虚拟服务器以独特方式处理连接,或者在多个虚拟服务器上按照相同的方式处理连接,同时不需要额外配置。


TMOS 构建块 — 3 层,路由数据包


有三种方案可以让数据包进入 TMOS。 方案一,直接将数据包路由到 Self IP。 为此,请将路径放在 BIGIP 系统内部或后面的子网中。 路由指向 Self IP。 BIGIP 系统响应 ARP 请求。 该配置要求数据包通过 BIGIP 系统,并且要求配置转发虚拟服务器,允许流量通过。 方案二,路由到虚拟服务器。 在该配置中,网络可以路由到在以虚拟服务器目的地上定义的完整 IP 地址。 BIGIP 系统响应针对虚拟服务器目的地 IP 地址的 ARP 请求。 路由到 NAT 或 SNAT 定义是让分组数据进入 TMOS 的第三个方案。 这就是将一个 IP 地址转换成另一个 IP 地址。 针对路由目的地网络定义 NAT。 BIGIP 可以响应针对 NAT 定义的 ARP 请求。 因此,BIGIP 系统将响应针对 Self 地址的 ARP 请求、针对把 IP 地址作为目的地的虚拟服务器的 ARP 请求,以及针对 NAT/SNAT 定义的 ARP 请求。


TMOS 构建模块 — 3 层和 4 层


就 BIGIP 系统而言,4 层有多个组件,包括节点、成员和服务器池。 节点是物理或逻辑服务器的 IP 地址,可以提供到一个或多个应用的访问。 节点应该配置通用健康检查,检查 IP 地址的可用情况。 成员是目的地 IP 地址与端口的组合。 因为单一服务器可以托管多个应用,所以它可能是多个服务器池的组成部分。 服务器池指的是一个支持特定应用的成员群组。 健康检查可以配置在服务器池层,而且应当专门用于服务器池支持的应用。 每个服务器池都有自己的负载均衡方法。


BIGIP 系统可以为网络提供多个虚拟服务器。 这些服务器共分为三类, 包括标准服务器、转发服务器和性能服务器。 点击各个类别,查看服务器列表。


在继续下面的课程之前,我们需要详细讲解 TMOS 的两个特性,因为它们对客户来说非常重要。 它们是 OneConnect 和 Auto Last Hop。 Gartner 将 OneConnect 称为 TCP 复用。 它是管理连接的方式,就是将大量的客户端请求聚合成更少的服务器连接。 OneConnect 维持了专用内容服务器的智能负载均衡。


Auto Last Hop 用于跟踪入站连接的源 MAC 地址。 它可以让 BIGIP 系统把返回流量从服务器池发送到传输请求的 MAC 地址,即使路径表指向不同的网络或接口。 在默认情况下,这一设置在任意 BIGIP 系统上均处于启用状态,但是如果需要,可以禁用。
TMOS 还有两个重要特性非常适用于数据中心。 首先是 Profile。 这些可以重复使用的配置对象为 F5 带来了独特的竞争优势。 TMOS 使用 Profile 汇总配置参数。 这些配置参数可以确定提供哪些服务。 Profile 允许同一功能运用到多种虚拟服务。 Profile 共分为五种类型: • 协议,以连接为导向 • 服务,以数据类型为导向 • 会话保持,以会话为导向 • SSL,基于加密 • 身份验证,以安全为导向 下面,我们来分析两个使用配置文件的案例。 第一个是 LDAPS 服务器。 使用标准虚拟服务器,指派 TCP 客户端 Profile。 然后,执行 SSL 卸载协议 Profile。 另外,也可以启用服务器侧 TCP Profile 以及服务器侧 SSL 再加密 Profile。 第二个案例是 HTTPS 服务器。 在本例中,需要使用 7 层处理。与前一个例子类似,实施 TCP 和 SSL Profile,但是还需要实施 HTTP Profile。 在服务器侧,启用 HTTP 和 TCP Profile。 在本例中,不需要重新加密 SSL。


HTTP 分类


TMOS 的另一个重要特性是 HTTP Class。 HTTP Class 的基本宗旨是它可以为管道提供过滤器。 如果请求与过滤器匹配,它会进入管道,而且可以从定义的出口发送出去。 如果没有定义的出口,可以使用默认出口。 如果没有默认出口,请求就会被放弃。 配置这些选项,可以让用户十分灵活地控制流量传输。 需要注意的是,确保 HTTP 分类不会过滤掉应当发送到出口的请求。 现在,我们来看一个 HTTP Class 的例子。 首先,用 Logout.php 和 Default.php 的服务器池和 URI 过滤器定义 HTTP Class。这会使所有与过滤器匹配的请求都被发送到 Web 服务器。 显然,这还不能访问整个 F5 网站。 在本例中,服务器托管着同一网站上的其它网页。 针对其它网页的请求不会被 HTTP Class 捡起,同时在虚拟服务器中没有配置默认服务器池,请求会被放弃。 使用主机过滤器而不是 URI 过滤器,可以确保指定主机的所有页面都可以访问,并且能够通过 HTTP Class 供应。


集群多处理


F5 成为业界的性能和技术领导者的原因之一是集群多处理或 CMP。 CMP 可以根据可用 CPU 核心的数量扩展系统性能,让 CPU 资源得到充分利用。 换句话说,TMOS 在任意既定连接上执行多个功能时,CMP 可以为 TMOS 提供最佳系统资源。 TMOS 实例可以根据硬件功能聚集在一起。 在 VIPRION 等大型平台上,这可以带来市场中最出色的灵活性和最高的性能。


感谢原著作者大力分享http://www.minunix.com/2014/08/f5-lesson-01-tmos/

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|京峰教育,只为有梦想的人 ( 京ICP备15013173号 )

GMT+8, 2020-2-25 15:07 , Processed in 0.022355 second(s), 11 queries , Redis On.

快速回复 返回顶部 返回列表