Такую же задачу много раз решал на том же оборудовании. В каждом случае использовались разные методы.
Когда нужно было управлять весами членов пула, я реализовал всю логику на самом LTM с помощью iCall.
В другом случае, со стороны сервера управления через iControl REST (rest api) подавались команды на смену весов. И да, в тот раз я наткнулся на проблему с тем, что веса не могут быть выше сотни)
Еще была история, когда веса выставлялись исключительно штатными средствами с помощью WMI или SNMP монитора, а серверы были распределены по разным Priority Group. Поэтому в работе всегда было лишь необходимое количество серверов.
Часто, даже встроенные в LTM методы балансировки Predictive и Observed показывают хорошие результаты.
Не всегда есть возможность заранее угадать какой метод окажется более приемлем. Тратить время на исследование или сразу провести эксперимент — чаще второе менее трудозатратно.
В зависимости от контекста, типа трафика и прочей специфики, разные методы показывают разную эффективность. В статье, и в самом выступлении, хорошо отображены навыки и умение использовать привычные инструменты для решения бизнес задач. Кому-то нейронные сети и pid-регуляторы — у всех разные инструментывелосипеды.
возможно, рассматривается переход с обычных серверов на custom-built железо с L2 коммутаторами, с аппаратными L4 и SSL оффлоадом.
если продукт выстрелил, то это один из очевидных этапов развития.
это лишь мой взгляд со стороны. посмотрим, что ответ вендор.
и еще пара вопросов.
ваш кластер подразумевает отказоустойчивость, подхват соединений и синхронизацию конфигов между членами кластера?
если ставить как reverse-proxy, поддерживается ли балансировка между группой серверов и health checking?
и последний вопрос)) оборудование продается под проект через партнера или заказчикам можно обращаться к вам напрямую?
тема ф5 мне достаточно близка и интересна.
хотелось бы увидеть более технические статьи с живыми примерами — с теми же айрулами, варианты защиты инфраструктуры и нестандартные внедрения.
не автор, но отвечу по теме.
1. у ф5 есть киллер фича iRule — скриптовый язык, который может обрабатывать события с трафиком.
пример.возможно, не будет всем понятен, но позволяет решить конкретную задачу, которая не решается галочкой в интерфейсе управления.
when HTTP_REQUEST {
set http_disable 0
switch [string tolower [HTTP::host]] {
«mysite.com» {
virtual mysite.com-https
if { [HTTP::uri] starts_with "/myvpn" } {
set http_disable 1
}
if { [HTTP::uri] starts_with "/isession" } {
set http_disable 1
}
}
«newsite.com» {
virtual newsite.com-https
}
}
}
when HTTP_REQUEST_SEND {
if { $http_disable != 0 } {
HTTP::disable
}
}
2. ssl терминируется на отдельной карте с гарантированными хар-ками. как я понимаю, посчитать число транзакций для рядового сервера более сложная задача.
плюс, разницу в производительности вы почувствуете, когда снимите ssl серверов и они будут способны обработать больше неSSL запросов.
В какой-то момент многие задаются вопросом доверия к самим публичным центрам сертификации.
С массовым появлением публичных CA типа Lets Encrypt, кормушка наверняка станет не такой популярной.
Скорее всего, будут появляться новые истории извлечения денег из предприятий.
На традиционной идее защиты соединения это вряд ли как-то скажется.
а не обратили внимание, чатик так и не синхронизируется между устройствами?
у нас на 10.6 куда раньше пришло сообщение (телефон или ПК), только там и отображается.
еще не подгружается история звонков, что тоже не удобно:(
вот в целом вы правильно пишите, но тоже надо понимать, что вендоры прилагают массу усилий, чтобы создать некую экосистему вокруг своих продуктов.
я по работе часто сталкиваюсь и nginx и с «аппаратными» контроллерами доставки приложений. это целый сегмент рынка.
они жутко программируемы, в них используются криптоакселераторы и всяческие аппаратные прибамбасы для ускорения и оптимизации.
и каждый вендор зомбирует своими преимуществами — организуют тренинги и обучение, проводят вебексы и презентации для заказчиков.
у таких компаний есть свои клиенты и куча заказов, потому что не везде есть годные специалисты, способные обеспечить доступность приложений на кластере nginx, а после ухода из компании не каждый новый специалист будет способен всю эту инфраструктуру поддерживать.
а с таким вот «аппаратным» контроллером вы просто посылаете человека на курсы, он читает подробную документацию, которой сопровождается оборудование и без особых проблем инфраструктура продолжает жить.
так ведь есть подобные решения на рынке — f5 networks ltm, citrix netscaler.
в том числе и для обеспечения low latency, что критично для трейдеров, но там сильно ограничены возможности анализа/модификации пэйлоада в угоду большей производительности.
ну здесь опять-таки есть gslb вендоры, которые продают виртуалки для самых разных гипервизоров.
поэтому, если не используете Amazon, можно взять другой хостинг (vmware, hyper-v, xenserver, kvm) и развернуть виртуальный gslb.
ну почему же никто не предлагает?
существуют же коммерческие gslb продукты, которые можно купить в том aws marketplace.
да, это скорее всего не подойдет для мелких проектов. но, если бюджет позволяет, почему нет?
на dns запросы gslb решение всегда будет возвращать адрес из доступной локации, плюс можно динамически добавлять адреса серверов используя api балансировщика.
Когда нужно было управлять весами членов пула, я реализовал всю логику на самом LTM с помощью iCall.
В другом случае, со стороны сервера управления через iControl REST (rest api) подавались команды на смену весов. И да, в тот раз я наткнулся на проблему с тем, что веса не могут быть выше сотни)
Еще была история, когда веса выставлялись исключительно штатными средствами с помощью WMI или SNMP монитора, а серверы были распределены по разным Priority Group. Поэтому в работе всегда было лишь необходимое количество серверов.
Часто, даже встроенные в LTM методы балансировки Predictive и Observed показывают хорошие результаты.
Не всегда есть возможность заранее угадать какой метод окажется более приемлем. Тратить время на исследование или сразу провести эксперимент — чаще второе менее трудозатратно.
В зависимости от контекста, типа трафика и прочей специфики, разные методы показывают разную эффективность. В статье, и в самом выступлении, хорошо отображены навыки и умение использовать привычные инструменты для решения бизнес задач. Кому-то нейронные сети и pid-регуляторы — у всех разные
инструментывелосипеды.если продукт выстрелил, то это один из очевидных этапов развития.
это лишь мой взгляд со стороны. посмотрим, что ответ вендор.
ваш кластер подразумевает отказоустойчивость, подхват соединений и синхронизацию конфигов между членами кластера?
если ставить как reverse-proxy, поддерживается ли балансировка между группой серверов и health checking?
и последний вопрос)) оборудование продается под проект через партнера или заказчикам можно обращаться к вам напрямую?
спасибо!
т.е. работа не как HW или VE appliance, а как плагин для уже работающего у клиента веб-сервера?
в одном. все железки в кластере синхронизируют конфиг и сертификаты в том числе.
вообще, lvs мне показался неплохим решением. надо почитать.
и health checking в нем присутствует.
хотелось бы увидеть более технические статьи с живыми примерами — с теми же айрулами, варианты защиты инфраструктуры и нестандартные внедрения.
1. у ф5 есть киллер фича iRule — скриптовый язык, который может обрабатывать события с трафиком.
set http_disable 0
switch [string tolower [HTTP::host]] {
«mysite.com» {
virtual mysite.com-https
if { [HTTP::uri] starts_with "/myvpn" } {
set http_disable 1
}
if { [HTTP::uri] starts_with "/isession" } {
set http_disable 1
}
}
«newsite.com» {
virtual newsite.com-https
}
}
}
when HTTP_REQUEST_SEND {
if { $http_disable != 0 } {
HTTP::disable
}
}
2. ssl терминируется на отдельной карте с гарантированными хар-ками. как я понимаю, посчитать число транзакций для рядового сервера более сложная задача.
плюс, разницу в производительности вы почувствуете, когда снимите ssl серверов и они будут способны обработать больше неSSL запросов.
С массовым появлением публичных CA типа Lets Encrypt, кормушка наверняка станет не такой популярной.
Скорее всего, будут появляться новые истории извлечения денег из предприятий.
На традиционной идее защиты соединения это вряд ли как-то скажется.
Кстати, есть такая классная карта CA
у нас на 10.6 куда раньше пришло сообщение (телефон или ПК), только там и отображается.
еще не подгружается история звонков, что тоже не удобно:(
2616я по работе часто сталкиваюсь и nginx и с «аппаратными» контроллерами доставки приложений. это целый сегмент рынка.
они жутко программируемы, в них используются криптоакселераторы и всяческие аппаратные прибамбасы для ускорения и оптимизации.
и каждый вендор зомбирует своими преимуществами — организуют тренинги и обучение, проводят вебексы и презентации для заказчиков.
у таких компаний есть свои клиенты и куча заказов, потому что не везде есть годные специалисты, способные обеспечить доступность приложений на кластере nginx, а после ухода из компании не каждый новый специалист будет способен всю эту инфраструктуру поддерживать.
а с таким вот «аппаратным» контроллером вы просто посылаете человека на курсы, он читает подробную документацию, которой сопровождается оборудование и без особых проблем инфраструктура продолжает жить.
чаще всего решает цена
в том числе и для обеспечения low latency, что критично для трейдеров, но там сильно ограничены возможности анализа/модификации пэйлоада в угоду большей производительности.
Лишь добавлю, что на сегодняшний день bigip имеет более ширмой список поддерживаемых гипервизоров — esxi, kvm, xenserver, community xen, hyper-v.
И триалку можно получить не только на ltm, но и на остальные модули.
поэтому, если не используете Amazon, можно взять другой хостинг (vmware, hyper-v, xenserver, kvm) и развернуть виртуальный gslb.
существуют же коммерческие gslb продукты, которые можно купить в том aws marketplace.
да, это скорее всего не подойдет для мелких проектов. но, если бюджет позволяет, почему нет?
на dns запросы gslb решение всегда будет возвращать адрес из доступной локации, плюс можно динамически добавлять адреса серверов используя api балансировщика.
в общем, решения существуют. вопрос бюджетов.
nginx, если я не путаю, помимо round robin умеет least connections. это все можно было расписать поинтереснее.
теперь этот недочет устранен.