F5TMOS超越的的应用交付网络解决方案

F5白皮书TMOS：重新定义解决方案本白皮书介绍了F5TMOS架构，该架构包含多种实时特性和功能，专为用作全代理而构建和设计，能够提供当今网络基础架构所需的一切功能和性能。作者：KJ(Ken)Salchow爵士技术营销经理 目录目录2要点综述3基于数据包与基于代理之比较3什么是基于数据包的设计？3什么是基于代理的设计（全代理）？4重新定义解决方案5TMOS5进一步提高8TCPExpress8FastApplicationProxy9iRules102 白皮书TMOS：重新定义解决方案要点综述一直以来，构建应用交付网络设备有两种方式，即针对性能构建或针对智能构建。在开放市场上，客户通常会选择具备最佳性能的解决方案。因此，多数厂商会采用更快的基于数据包的设计构建设备，而非采用较慢的基于代理的架构。随着这些设备对智能的需求日益增长，厂商面临着一个危险的局面：为响应客户需求向设备添加的智能越多，设备就越类似于代理，性能便越差。F5最初也采用了基于数据包的方法，但同时也着手解决根本问题，努力开发能够®同时提供高性能的智能解决方案。该解决方案即为F5TMOS，它包含多种实时特性和功能，专为用作全代理而构建和设计，能够提供当今网络基础架构所需的一切功能和性能。基于数据包与基于代理之比较为了理解TMOS的独特性和强大功能，我们应该全面了解一下这些应用交付网络设备的历史，以及基于数据包和基于代理的解决方案中速度和智能之间的困境。什么是基于数据包的设计？采用基于数据包（或包过滤）设计的网络设备位于通信流的中间，但是通常不是这些通信的终点，数据包只是经过该网络设备。通常，以包过滤方式运行的设备对流经其的通讯协议有一定的了解，但是远远不如真正的通讯终端对协议的解析。这些设备之所以拥有较快的速度主要是因为它们无需解析整个协议堆栈，减少了流量处理所需的工作量。比如，对于TCP/IP协议，此类设备对协议的解析可能只够用来改写IP地址和TCP端口；而这只是整个协议堆栈的一部分。随着网络的复杂性和智能需求不断增加，更多基于深层数据解析设计的产品开始出®现（包括F5的BIG-IP产品）。这些设备对TCP/IP的认识使其足以理解TCP连接的建立和断开，修改TCP/IP报头，甚至向TCP数据流插入数据。由于这些系统可能需要向TCP数据流插入数据和修改数据流的内容，它们还需要能够重写客户端和服务器之间往返的数据包的TCP序列（SEQ）和确认（ACK）值。F5BIG-IP产品对TCP/IP和HTTP的理解足以使其辨认每个HTTP请求，向不同的服务器发送不同的请求，并重新使用BIG-IP设备已经打开的连接。3 白皮书TMOS：重新定义解决方案虽然这些都可以使用极为复杂的包过滤架构（BIG-IP设备是目前该类设计中最复杂的设备之一）来实现，但是它需要极为复杂的状态检测引擎来充分理解TCP/IP和HTTP协议，以便重写报头内容、插入数据和维护其与客户端和服务器之间的连接。尽管这增加了复杂性，但是基于数据包的设计的复杂程度和速度还是优于传统的基于代理的设计，因为它们所需的逻辑仅占全代理所需逻辑的一小部分。什么是基于代理的设计（全代理）？全代理设计与包过滤设计截然相反。全代理不是对设备中的通信流做最基本的了解，而是对应用协议进行全面了解，而且其本身也是协议的终点和发起点。客户端和全代理之间的连接与全代理和服务器之间的连接完全没有关联；但是在包过滤设计中，客户端和服务器之间有一个直接的通信通道（虽然中间的设备可能会控制数据包的往返传送）。由于全代理是一个实际的协议终端，它必须以客户端和服务器两种角色全面解析协议（基于数据包的设计则不需要）。这同时意味着全代理可以拥有自己的TCP连接行为，如缓冲、重新传输和改写TCP选项参数。借助全代理，每个连接都是独立处理的；每个连接都可以拥有自己的TCP连接行为。这意味着，客户端连接至全代理设备的连接行为不同于全代理用于与后端服务器通信的行为。因而，全代理能够对每条连接进行独立的优化，不受原始来源和最终目的地的限制。另外，全代理能够按OSI七层构架来理解和处理每个协议，如同真正的客户端或服务器所处理的方式。以HTTP为例，首先处理IP协议，然后是TCP，然后再是HTTP，每一层都无需了解低层的协议。4 白皮书TMOS：重新定义解决方案重新定义解决方案一般认为，基于应用协议的解决方案（至少其提供的智能）是最终解决方案。然而，包过滤设计虽然没有足够的智能，但是能够提供更优的性能。从过往来看，这对于多数企业网络而言是可接受的平衡方式。然而，随着对智能需求的增多，基于数据包的解决方案很快便遇到基于代理的解决方案一直以来所遭遇的性能限制。基于数据包的解决方案的复杂性很快也会达到基于代理的设计的复杂程度。虽然硬件和软件性能显著提升，但是包过滤设计仍然无法满足智能和性能方面的需求。直至今天，已经无法继续在二者之间（速度和智能性）进行平衡。虽然基于数据包的解决方案曾经盛行一时，但是这个时代已经过去。很明显，现在降低智能来提高性能将不再可行。真正的解决方案是构建一个基于代理的解决方案，并提供基于数据包的解决方案的性能。TMOSTMOS（TrafficManagementOS）是一个集合术语，主要用来描述F5全新构筑和定制的架构，该架构是F5耗时数年并投入大量资本为推进F5产品持续发展而开发的平台。从更高的层面来看，TMOS是：•模块集合每个模块执行一种功能。例如，网络驱动程序模块、以太网模块、ARP模块、IP模块和TCP模块等等。每个系统组件都是独立的，有利于降低系统复杂性并简化未来的开发工作。支持新协议只需添加新的模块，该设计还能够支持轻松地再利用。如果一个应用层面的新协议在TCP/IP上运行，我们将能够轻松地将模块连接到一起，以便新协议从TCP/IP访问数据，而无需理解更低层面的协议。5 •独立和自动许多人会发现，基于TMOS的设备上运行着一种Linux，当使用命令行管理设备时可能会看到此系统。应该注意到，流经TMOS的流量在任何方面都与该Linux系统没有关联。TMOS拥有其专用的CPU、内存和系统总线来访问外围设备。当基于TMOS的设备接收到数据包时，从线缆到系统总线，从网络子系统到内存管理子系统完全在TMOS内自给自足。Linux完全没有涉及或感知任何部分流量；甚至Linux内核亦是如此。Linux系统仅用于管理任务，如命令行或WebGUI。原因很简单：专用操作系统适合高速流量管理操作，但不一定适合通用操作。因此，F5使用通用操作系统来处理通用任务（如管理），使用专门设计的操作系统来管理流量—TMOS。•实时操作系统TMOS是实时操作系统，这意味着TMOS采用的不是CPU竞争调度方式。对于通用操作系统来说，非常适合在内核中采用CPU竞争调度方式，因为所有进程能够公平地分享CPU时间，而且其中许多进程本质上还能同时运行。对于高度优化的专用操作系统来说，例如TMOS，这样的调度方式并不合适，因为它会带来不必要的开销。TMOS经过专门的设计和优化，系统中的每个组件都能执行必要的操作，然后使下一个组件运行。这有助于消除中断、环境切换以及调度程序的大部分功能，从而显著降低CPU调度开销。此外，它还能够控制何时以及以何种顺序来执行处理。•硬软件一体化设计由于TMOS的设计本质上是模块化的，所以各种功能是由软件处理还是硬件处理都不重要。借助TMOS，可利用高度优化的专用模块在软件中执行所有操作；但是资源密集型操作也可以卸载至专用硬件。例如，TMOS具有自己的SSL堆栈，能够完全在软件中处理SSL，但是将加密操作卸载至专用SSLASIC可获得更快的速度。全功能软件技术几乎可支持无限的灵活性，而专门的卸载硬件则可带来经济高效的扩展能力，实现行业领先的性能。6 白皮书TMOS：重新定义解决方案•事件驱动模块化与实时处理特性的完美结合使TMOS能够根据实时发生的真实事件来调整其行为。从客户端连接初始化到有效负载处理，甚至是将流量从服务器返回至客户端，每个事件都可能会使TMOS更改其行为来满足当前的需求。该功能使TMOS成为适应性和灵活性最高的解决方案。•状态检测TMOS的核心架构基于高速全代理，后者像状态检测防火墙一样对流量执行®状态检测。虽然连接流量通过TMOS代理，但是F5iRules引擎能够对该流量进行全面解析（第2-7层），并可设置各种规则（基于流量特征、ACL或业务逻辑）。例如，iRule操作可以是对应用流进行删除、拦截、重定向、记录或转换操作。•动态数据包过滤TMOS与防火墙一样，默认情况下采用“全部拒绝”策略。TMOS有一个重要的安全优势，即其全代理能够完全庇护后端服务的网络堆栈。TMOS中的F5iRules能够动态控制应用流量，如能够根据应用（不仅限于TCP或网络协议）、请求或响应内容动态控制流量整形策略。此外，还可在同一应用层（如HTTP）或包过滤（如通过UDP、SCP或TCP）对流量执行动态过滤、重定向或拦截等操作。这些功能使得TMOS成为具备超凡性能和可适应性的解决方案。模块化设计与独立、实时的事件驱动型操作系统的结合使得TMOS具备无与伦比的功能。比如，TMOS能够使用三个完全不同的网络堆栈来满足不同的部署需求。首先是FastL4堆栈：它是一个受限的TCP/UDP堆栈或传统包过滤设计，能够处理任何高连接率流量，但是仅限部分功能（第4层及以下）需求。其次是FastHTTP堆栈：它是一个受限的TCP/HTTP堆栈，提供了非常高级的包过滤设计，能够处理高连接率流量，并且能够满足更高的HTTP（第7层）智能需求。最后是FastApplicationProxy：它是基于全代理的默认堆栈，提供了最高级的基于代理的设计。TMOS能够交替使用软件和硬件组件的特性支持将整个FastL4堆栈完全卸载至F5PacketVelocityASIC（PVA）（如果系统配备PVA硬件）。选择使用哪种方法完全取决于客户。7 上述任何一种特性都可以让TMOS完胜目前的解决方案，无论是包过滤还是基于代理的设计。此架构本身已足以震撼整个应用交付网络市场，但是即使最出色的架构，如果使用不符合标准的组件，也会带来不符合标准的解决方案。但是，TMOS采用了最佳的组件或模块，是一个绝对卓越的解决方案。进一步提高让TMOS架构如此卓越的原因在于其采用了专门为其量身定制的模块。以下是其中一些使用最广泛的重要特性：TCPExpress™、FastApplicationProxy™和iRules。TCPExpress包过滤设计无法提供如同TMOS的TCPExpress所拥有的特性集。有些公司部署了全代理，但是它只是基于UNIX的通用系统上的一个组件。它们不可能达到专为提供低延迟的一流网络性能而定制编写的实时操作系统所提供的性能。产品设计完成之后，便无法有效附加这种功能，因为这种功能要求基本的架构专为提供高性能、低延迟的网络而设计。TCPExpress是一套提升TCP效率的特性集（以互联网标准（RFC）的形式存在）以及数百个F5定制特性和优化特性（基于实际经验）。TMOS支持所有现代的TCP效率提升特性，包括：•延迟和选择性确认，（RFC2018）•显式拥塞通知ECN，（RFC3168）•限制性和快速重新传输，（RFC3042和RFC2582）•慢启动与拥塞避免，（RFC2581）•自适应初始拥塞窗口，（RFC3390）•时间戳和窗口扩展，（RFC1323）•TCP慢启动，（RFC3390）•带宽延迟控制等（Vegas、NewReno等）8 白皮书TMOS：重新定义解决方案这些特性以及上百个其他特性都是为了在每种场景中实现峰值性能。TMOS交互的每台设备都拥有不同的网络场景。如要为所有连接设备提供峰值性能，TMOS需要智能响应每台设备、每种连接的不同要求。仅支持一个或两个高级TCP优化还不够，仅对自身特性进行优化和对产品进行现场优化也不够。我们需要在实时、延迟优化型的操作系统上全部实现TCP优化、定制扩展和多种实际测试才能够达到理想性能。这些特性需要全部完成才能够获得有效的实际优势，这正是F5通过TMOS所实现的。FastApplicationProxyTMOS的FastApplicationProxy组件—全代理堆栈是另一个关键区别。它支持TMOS提供比以前的任何解决方案都优化的加速和特性。通常，检查或智能逻辑以速度为代价，这是理所当然的，因为每个连接所需的操作越多，能够处理的连接便越少。FastApplicationProxy的独特之处在于，通过尽可能透明地利用硬件，再结合自定义的高性能实时操作系统（TMOS），它能够实现无与伦比的性能，同时仍可提供真正全代理设计的所有优势。此外，FastApplicationProxy还可提供部署其他TMOS模块所需的应用流畅性，包括：•HTTP压缩•多存储高速缓存•SSL加速•快速高速缓存•内容缓冲•智能压缩•QoS/ToS•L7速率整形9 各方面特性相容。TMOS的架构支持FastApplicationProxy同时提供出色智能和卓越性能；FastApplicationProxy利用TMOS架构可智能使用多个其他模块（包括硬件和软件），从而提供更高的性能。iRulesiRules是TMOS最独特的功能之一。iRules是使用标准的工具命令语言（TCL）创建的脚本，其中包含F5定制的扩展库，支持用户创建基于TMOS事件触发的定制独特功能。虽然iRule规则本身易于客户创建和理解，但是系统模块将iRule规则转换为二进制代码，并使用二进制代码在TMOS内核中调用专门编写的高度优化的函数来执行操作，如读取和写入HTTPcookie。这两种重要技术的结合意味着，简单的TCL规则文本可以产生高性能的二进制代码，该二进制代码以TMOS本地的方式来执行实际检查和操作，从而提供更快的速度。自TMOS发布以来，F5客户已经发现了数百种方法来使用TMOS中的iRules引擎。例如：•DNS速率限制。•部署一个SMTP代理来检测和引导每条消息。•对HTTPcookie进行重新排序，以便更轻松地解析后端系统。•使用HTTPcookie上存储的证书验证用户与后端RADIUS服务器的连接。•部署简单的LDAP分析器，以检查LDAPbind()请求的参数。•有选择地针对后端服务器使用SSL再加密（仅限某些HTTPURL）。根据HTTPURL有选择地提出SSL客户端证书要求。•向HTTP请求创建并插入定制会话ID值，服务器将对响应做出回应，然后对响应进行检查并确认其与请求是否匹配。如果不匹配，将记录全部会话信息以及最新的100个请求。•CORBA/IIOP请求多路复用。世界上没有其他的设备能够通过检查特性集来部署这种高度复杂的逻辑。只有iRules能够利用TMOS无可比拟的灵活性及其事件驱动型架构。此外，虽非TMOS直接带来的，但是它却间接使得iRules的开发社区在全球范围内的成员数超过7,000人在F5DevCentral社区。10 白皮书TMOS：重新定义解决方案虽然TCPExpress、FastApplicationProxy和iRules只是TMOS上构建的其中三个独特并高度优化的组件，但是大家都知道，TMOS不只是一个突破性的架构，还包括许多领先的组件为架构增添活力。开发包过滤设计最初是因为需要提供能够使卓越性能和智能兼而有之的应用交付网络设备，虽然其智能性不如基于代理的设计。这些设备满足当今网络需求的能力已经不再，多数厂商退回原来的起点；随着当今网络的性能需求日益增加，需要提供全代理智能。结果证明，选择基于数据包的架构太过目光短浅。F5早期便已经意识到，基于代理的架构才是长期解决方案，该架构可同时提供性能和无可比拟的灵活性，帮助处理任何问题。经过长期的开发和大量的投资，F5最终推出了TMOS。TMOS是首个完全定制、模块化、独立、实时、事件驱动型的代理架构，能够透明地交替使用硬件和软件，实现最佳的性能和智能。此外，TMOS不只是一个革命性的架构，还可为每个使用的组件提供一个新的标准来构建它。TMOS是唯一一个没有重新构建的应用交付网络解决方案：它包括TCPExpress，可确保客户端和服务器以最高效的方式建立网络层连接；FastApplicationProxy，可同时提供出色智能和性能；以及iRules，可完全控制和定制所有功能以及全部可用的应用加速、加密和可用性组件。TMOS是当之无愧的完美解决方案。