SSL加速器内置与外挂的区别.docVIP

SSL加速器内置与外挂的区别： 部署结构： 内置SSL加速的结构： 如图：HTTPS流量到达BIGIP上的VS，由VS处理之后转换成HTTP流量直接发往服务器，服务器处理完成后返回给BIGIP，然后由BIGIP加密后返回给用户。 外挂SSL加速器的结构： 通常情况下，考虑到系统的性能和高可用性，采用SSL加速服务时时会同时使用服务器负载均衡功能，所以建议的系统结构图如下： 在外挂方式下，通常加速器直接连接在BIGIP上，这样可以节省核心交换机的端口，减少数据包的往返传输。根据实际情况的不同，也可将加速器直接连接在主干交换机上。但无论如何连接，实际的数据流程如下： 上下的两台BIGIP 3400 LTM实际为同一台设备。采用外挂方式下，HTTPS流量首先到达BIGIP 3400LTM，然后由BIGIP 3400 LTM 分配到多台BIGIP 3400 ACC上，在BIGIP 3400 ACC处理完成后，再将HTTP流量返回到BIGIP 3400 LTM，并由BIGIP 3400 LTM发往后端的服务器，再后端服务器处理处理完成后原路返回。 两种结构的优缺点比较： 比较内容 内置SSL加速（3400LTM） 外挂SSL加速（3400ACC） 执行效率 高 低 性能 高 高 管理维护 简单 复杂 是否硬件处理SSL非对称加解密 是 是 是否硬件处理SSL对称加解密 是 是 系统执行效率比较： 内置SSL加速方式：优点是效率较高，数据包不需要多次往返同一台设备，所有的SSL加解密工作均在同一台设备内一次性完成。减小了中间环节。缺点是SSL加速与负载均衡业务均在同一台设备上，当SSL加解密时会带来CPU的损耗。 外挂SSL加速方式：优点是可扩展性强，在需要时，可以几乎无限扩展SSL处理能力。缺点是数据包在同一台设备上多次往返，执行效率较低。并且配置比较复杂，不便于维护。 系统性能比较： 内置SSL加速方式：从理论上看，内置SSL处理将导致同一台设备的处理能力分摊，从而导致负载均衡处理和SSL加解密功能互相影响。但在与其他设备不同，在BIGIP 3400LTM中，采用了独立的NP来处理SSL非对称加解密和非对称加解密，这样可以基本实现零CPU占用率，将互相的影响降到最低。而通常其他设备均采用软件处理对称加密方式，所以处理SSL加速将带来巨大的CPU损耗，从而无法集成到同一设备中。 外挂SSL加速方式：外挂SSL加速方式互相之间不影响，但多台SSL加速器同时工作将在负载均衡设备上执行两次负载均衡，从而在实际上将负载均衡的处理增加了一倍。降低了负载均衡处理器的性能。 管理维护： 内置SSL加速方式：由于SSL加解密和负载均衡在同一台设备内完成，BIGIP上采用一个VS对应一个Pool配置即可完成所有工作，因此简化了系统的配置工作，结构和流程比较清晰，减小了系统的维护工作。 外置SSL加速方式：SSL加解密和负载均衡在不同设备上完成，为完成一个业务需要在不同设备上分别配置，增加了系统的维护复杂性。 系统建设建议： 在系统建设的初期，可以直接采用BIGIP内置的SSL加速能力提供用户服务。如果采用BIGIP 3400 LTM，可适当选择1000-2000TPS的License扩展。这样减少系统设计和管理维护的复杂性。在将来用户的需求上升后，再采用外挂的方式进行扩展。这样减少系统的复杂性。 F5 BIGIP 3400 LTM 与BIGIP 3400 ACC产品处理性能对比： 参数 BIGIP 3400 LTM BIGIP 3400 ACC 处理器 单2.8GHz CPU 单2.8GHz CPU 基本内存 1GB，最大可扩展至2GB 1GB，最大可扩展至2GB ASIC Packet Velocity ASIC2 Packet Velocity ASIC2 千兆位CU端口 8个 8个 千兆位光纤端口 (SFP - GBIC Mini)2个 (SFP - GBIC Mini)2个 SSL非对称加密处理性能：标准配置 100TPS 5000TPS SSL非对称加密处理性能：最大配置（License扩展） 5000TPS 5000TPS SSL对称加解密吞吐能力 1Gbps 1Gbps 七层吞吐流量 1GB/秒 1GB/秒 带宽管理模块 可选 标配 HTTP压缩处理500Mbps 可选 标配 BIGIP系列产品SSL处理能力实测结果： 非对称加密处理能力 对称加密处理能力： F5 3DNS多链路接入方案 F5 公司北京办事处