负载均衡器技术Nginx和F5的优缺点对比

这是网上摘抄的文章，正好想了解一下负载均衡，看这篇文章写的比较易懂，就。。。。

对于数据流量过大的网络中，往往单一设备无法承担，需要多台设备进行数据分流，而负载均衡器就是用来将数据分流到多台设备的一个转发器。

目前有许多不同的负载均衡技术用以满足不同的应用需求，如软/硬件负载均衡、本地/全局负载均衡、更高网络层负载均衡，以及链路聚合技术。

腾讯、淘宝、新浪等大型门户及商业网站使用的是软负载均衡器Nginx，而农行用的是F5硬负载均衡器，这里就简单介绍下这两种技术：

一软件负载均衡解决方案

在一台服务器的操作系统上，安装一个附加软件来实现负载均衡，如Nginx负载均衡（我们管理系统平台使用的也是这款均衡器）。它的优点是基于特定环境、配置简单、使用灵活、成本低廉，可以满足大部分的负载均衡需求。

1什么是Nginx

Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP代理服务器。可以说Nginx是目前使用最为广泛的HTTP软负载均衡器，其将源代码以类BSD许可证的形式发布（商业友好），同时因高效的性能、稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名于业界。像腾讯、淘宝、新浪等大型门户及商业网站都采用Nginx进行HTTP网站的数据分流。

2Nginx的功能特点

a工作在网络的7层之上，可以针对http应用做一些分流的策略，比如针对域名、目录结构；

bNginx对网络的依赖比较小；

cNginx安装和配置比较简单，测试起来比较方便；

d也可以承担高的负载压力且稳定，一般能支撑超过1万次的并发；

eNginx可以通过端口检测到服务器内部的故障，比如根据服务器处理网页返回的状态码、超时等等，并且会把返回错误的请求重新提交到另一个节点，不过其中缺点就是不支持url来检测；

fNginx对请求的异步处理可以帮助节点服务器减轻负载；

gNginx能支持http和Email，这样就在适用范围上面小很多；

h不支持Session的保持、对Big request header的支持不是很好，另外默认的只有Round-robin和IP-hash两种负载均衡算法。

3Nginx的原理

Nginx采用的是反向代理技术，代理服务器来接受internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。反向代理负载均衡技术是把将来自internet上的连接请求以反向代理的方式动态地转发给内部网络上的多台服务器进行处理，从而达到负载均衡的目的。

二硬件负载均衡解决方案

直接在服务器和外部网络间安装负载均衡设备，这种设备我们通常称之为负载均衡器。由于专门的设备完成专门的任务，独立于操作系统，整体性能得到大量提高，加上多样化的负载均衡策略，智能化的流量管理，可达到最佳的负载均衡需求。一般而言，硬件负载均衡在功能、性能上优于软件方式，不过成本昂贵，比如最常见的就是F5负载均衡器。

1什么是F5 BIG-IP

F5负载均衡器是应用交付网络的全球领导者F5 Networks公司提供的一个负载均衡器专用设备，F5 BIG-IP LTM 的官方名称叫做本地流量管理器，可以做4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。

2F5 BIG-IP用作HTTP负载均衡器的主要功能

aF5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

bF5 BIG-IP可以确认应用程序能否对请求返回对应的数据。假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。这样，只要其它的服务器正常，用户的访问就不会受到影响。宕机一旦修复，F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

cF5 BIG-IP具有动态Session的会话保持功能。

dF5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

三方案优缺点对比

1基于硬件的方式(F5)

优点：能够直接通过智能交换机实现,处理能力更强，而且与系统无关，负载性能强更适用于一大堆设备、大访问量、简单应用。

缺点：成本高，除设备价格高昂，而且配置冗余，很难想象后面服务器做一个集群，但最关键的负载均衡设备却是单点配置；无法有效掌握服务器及应用状态。

硬件负载均衡，一般都不管实际系统与应用的状态，而只是从网络层来判断，所以有时候系统处理能力已经不行了，但网络可能还来 得及反应（这种情况非常典型，比如应用服务器后面内存已经占用很多，但还没有彻底不行，如果网络传输量不大就未必在网络层能反映出来）。

2基于软件的方式(Nginx)

优点：基于系统与应用的负载均衡，能够更好地根据系统与应用的状况来分配负载。这对于复杂应用是很重要的，性价比高，实际上如果几台服务器，用F5之类的硬件产品显得有些浪费，而用软件就要合算得多，因为服务器同时还可以跑应用做集群等。

缺点：负载能力受服务器本身性能的影响，性能越好，负载能力越大。

国内据说迪普和深信服做的不错，手头没有啥资料，就不介绍了。

从你的描述来看，用户名和密码的话，应该是用了session，在一个服务器上设置的session，在另外一个服务器上没有起作用，如果想做负载均衡的话，这两个tomcat服务器也需要设置。具体的方法查一下资料吧，这方面的资料还是挺多的。

url：http://101023984:18083

nginx做TCP连接的负载均衡，nginxconf 内容如下：

url：http://101023931:18084

第三个节点

url：http://101023931:18085

WAF，全称Web Application Firewall，是基于TCP/IP协议栈的第七层（应用层）的一种安全防护装置。

在TCP/IP协议栈中，IP数据包在网络中传递时，数据包可以被分成更小的片段。这些片段在到达目的地后，再重新组装。然而，在这个过程中，如果缺乏必要的检查，就可能存在漏洞。例如，利用IP报文分片后重组的重叠现象攻击服务器，可能引起服务器内核崩溃。

WAF主要处理第七层DDos攻击，它能有效识别并防御应用层的攻击。比如，当一个模仿用户和Web应用之间的交互行为的攻击出现时，WAF能增加判断的难度，阻止这类攻击对服务器的影响。在处理第七层DDos攻击时，WAF比其他防护手段更高效一些。

在集群环境中，WAF可以部署在一个Nginx反向代理服务器上。这个代理服务器会在集群中的每个节点上运行。通过这种方式，即使一个节点受到攻击，其他节点也能继续正常运行。

WAF的主要功能：

1、规则匹配和检测：WAF根据预定义的规则集对HTTP请求进行检测和匹配。这些规则通常包括对特定HTTP方法的检查（如GET、POST等），对请求内容的语法和语义的检查，以及对特定HTTP头和参数的检查。

2、入侵防御：WAF可以阻止已知的攻击模式和漏洞利用尝试。例如，它可以识别并拦截SQL注入攻击或跨站脚本攻击。

3、会话管理：WAF可以执行会话控制，防止潜在的恶意行为。例如，它可以通过限制同一IP地址的并发连接数或限制特定用户的会话数量来防止暴力破解。

4、日志记录和报告：WAF可以记录所有拦截的攻击尝试，提供详细的日志以供审查和分析。这些日志可以帮助安全团队识别潜在的安全。

-WAF