深信服应用交付技术深信服应用交付技术1一、深信服AD功能介绍一、深信服AD功能介绍2连接业务与网络的桥梁外网用户应用高可用性深度健康检查L4-L7内容处理分发会话保持机制服务器性能优化TCP复用SSL卸载动态压缩HTTP缓存应用性能监控业务安全性DoS/DDoS防护WEB漏洞扫描ACL访问控制浪涌保护智能告警数据中心终端TCP单边加速克服丢包和延迟问题提升速度30%以上广域网多站点高可用性全局负载业务永续互联网应用内网用户内部应用多链路高可用性链路负载动态监控图片转码技术优化web图片格式减少50%加载时间连接业务与网络的桥梁外网用户应用高可用性数据中心终端TCP单3多链路负载均衡提供出站、入站双向链路负载均衡入站负载:智能DNS选路出站负载:DNS透明代理链路健康检测:所有的用户引导到仍然可以对外提供服务的链路上静态、动态负载算法:链路使用率最大化入站选路静、动态负载算法ISP1ISP2出站选路动态链路探测多链路负载均衡提供出站、入站双向链路负载均衡入站选路静、动态4链路健康检查提供链路健康检查机制深信服AD设备通过多个Internet站点的可达性,来共同判断一条链路的状况内置多种协议TCP、UDP、ICMP、HTTP等支持用户自定义,基于内容的链路健康检测机制一旦链路出现问题,立即切换。
ISP1ISP2动态链路探测链路健康检查提供链路健康检查机制ISP 1ISP 2动态链路5入站流量负载实现入站访问的链路负载均衡通过在域名注册提供商处修改域名NS记录,深信服AD设备获得域名解析权静态就近性:根据LocalDNS所属运营商的地址返回IP,内置全球地址库,实时动态更新动态就近性:通过综合考虑与LocalDNS之间的网络延迟(Latency)和链路的实时负载(Load),准确计算出最佳路径ISP1ISP2LocalDNSROOTDNSUser判断LocalDNS所属运营商返回对应IP地址给LocalDNS返回NS记录入站流量负载实现入站访问的链路负载均衡ISP 1ISP 2L6出站流量负载静态、动态负载算法ISP1ISP2根据目标网络进行智能NAT实现出站访问的链路负载均衡深信服AD设备接收到内网的访问流量后,通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上静态就近性:根据目标网络进行NAT,内置全球地址库,实时动态更新动态就近性:通过综合考虑与目标网络之间的网络延迟(Latency)和链路的实时负载(Load),准确计算出最佳路径其他负载算法:轮询、加权轮询、加权最小连接、加权最小流量、Hash等。
出站流量负载静态、动态负载算法ISP 1ISP 2根据目标网7应用系统负载均衡业务稳定性保障高性能多核硬件平台动态负载均衡策略Session级会话保持应用级健康检查提供应用级的负载均衡负载算法:多种静态、动态的L4-L7负载算法,基于选择最佳计算资源进行分配应用级深度健康检查:基于应用协议和应用内容的健康检测Session级会话保持:IP、Cookie、HTTP内容、Radius、SSLSessionID减少宕机时间并扩展应用系统性能应用系统负载均衡业务稳定性保障高性能多核硬件平台动态负载均衡8服务器健康检查提供应用级服务器检查机制基于硬件运行状况的主动检查:通过PING、SNMP等方式监控服务器的运行状况基于应用类型的主动检查:TCP、UDP、HTTP、DNS、Radius等都可以通过相应的检测机制监控应用的运行状况基于观测方式的被动检查:可根据对业务流量的观测采样,辅助判断应用服务器健康状况,采样包括HTTP响应状态码,以及RST关闭连接、零窗口等异常TCP传输行为自定义内容检查机制:是通过预设自定义字符串,来判断服务器应用是否运行正常应用级健康检查服务器健康检查提供应用级服务器检查机制应用级健康检查9四层转发调度提供全面的四层调度策略深信服负载均衡接收到用户的访问流量后,分析目的IP和端口,通过预先设定负载策略将用户访问流量分配到不同的服务器节点之上。
静态算法:IP、轮询、加权轮询、优先级、首个可用动态就近性:动态反馈、最快响应其他负载算法:Hash算法、UDP强行负载156432IP:PORT四层转发调度提供全面的四层调度策略156432IP:PORT10七层内容交换提供灵活的七层内容改写和重定向策略分析HTTP请求,基于URI、Cookies、HOST、HTTP-Head进行调度将不同的HTTP请求交给不同的或多个服务器来响应以分担负载支持HTTP请求改写和应答改写,以及页面跳转和丢弃实现业务架构灵活配置和扩展index.htma.gifc.jspJSPserverGIFserverHTMLserverindex.htma.gifc.jsp七层内容交换提供灵活的七层内容改写和重定向策略index.h11会话保持机制提供丰富的会话保持策略深信服负载均衡会话保持用以识别客户与服务器之间交互过程的关联性,在作负载均衡的同时,还保证一系列相关联的访问请求会保持分配到一台服务器上,以确保应用不会出错支持的会话保持方式:基于源IP保持、Cookie(插入、被动、改写)、HTTP(Header、Body)、Radius、SSLSessionID1537642815376428会话保持机制提供丰富的会话保持策略153764281537612服务器性能优化深信服AD设备可为服务器分担任务,减去压力负载降低服务器负载减少服务器访问量集中卸载管理SSL有效提升用户访问速度TCP复用RAMCacheSSL加速HTTP压缩服务器性能优化深信服AD设备可为服务器分担任务,减去压力负载13TCP连接复用提供基于连接的TCP复用机制通过将众多客户端连接请求捆绑后,复用相对较少的服务器TCP连接。
不需要改变任何网络构造,也不需要增加组织的硬件投资成本适用与大量的连接建立/拆卸的应用HTTP1.1基于连接的TCP复用机制TCP连接复用提供基于连接的TCP复用机制HTTP 1.1基14HTTP缓存提供基于内存的HTTP缓存基于内存的反向代理Cache功能,在内存中以数据包的形式缓存网站等相关资源的页面内容;采用内存缓存和包存储结构的方式,通过动态调整缓存空间提供远比其它缓存产品更快速的响应速度;降低用户访问对后台服务器的负载压力Get/images/a.gifHTTP200a.gifGet/images/a.gifHTTP200a.gifGet/images/a.gifHTTP200a.gifHTTP缓存提供基于内存的HTTP缓存Get/images15SSL卸载CA服务器证书密文数据明文数据SSL卸载和加速功能SSL加密通道提供高级别安全加密高端平台内置有SSL卸载芯片,轻松应对数万级TPS的业务量处理完善的SSL证书验证体系支持,支持标准格式证书导入,客户端证书认证,提供加密通道卸载服务器SSL处理性能问题SSL卸载CA服务器证书密文数据明文数据SSL卸载和加速功能16实时压缩Response:20KB压缩数据:&%&YghgThkjdf*&明文数据:2234234234234234234234James23423423423423565679提供HTTP压缩功能通过标准的HTTP压缩规范自动识别客户端对Gzip或Deflate压缩算法的支持情况,并能够实现对数据动态压缩。
能在最大程度上节省组织的互联网带宽,缩短用户下载内容的等待时间,更减轻了Web服务器的压力,节省硬件投资成本,提升用户的访问体验Response:100KB实时压缩Response:20KB压缩数据:明文数据:ac17全局负载均衡提供数据中心级的负载均衡站点间调度方式:智能DNS、IP-ANYCAST多站点动态切换:全业务实时监测健康最佳用户体验:动态最优路径选择ISP1ISP2ISP1ISP2全局负载均衡提供数据中心级的负载均衡ISP 1ISP 2IS18DNS重定向方式全局调度 NS DC1_IP NS DC2_IPLDNS探测命令LDNS探测&应答LDNS探测&应答LDNS探测结果根据探测结果返回DC1或DC2的IP A aa.bb.cc.dd提供基于域名方式访问的全局调度静态就近性:根据用户LDNS的IP属于哪个运营商(或地区),为用户选择匹配相同运营商(或地区)的数据中心(或链路)动态就近性:可以根据用户使用的LocalDNS位置进行就近性计算,将最佳站点的IP地址解析给用户LDNS.comDNS服务器DC1DC2DNS重定向方式全局调度12345678910www.xxx19IP-Anycast方式全局调度OSPF提供基于IP方式访问的全局调度通过动态路由协议在多个站点发布相同的应用服务IP,利用网络中的路由信息实现用户的就近访问和站点冗余。
当多个站点同时提供服务时,用户访问应用服务会根据路由信息来选择出最近站点当某个站点出现故障时,OSPF路由会自动删除到该站点的路由,待该站点恢复以后,OSPF路由则会重新将该站点的路由加入DC1DC1IP-Anycast方式全局调度OSPF提供基于IP方式访问20服务器虚拟化环境支持n多租户模式虚拟化分区技术vAD相互隔离不受影响n与vCenter联动发挥虚拟机的灵活性应用系统配置自动同步根据业务量动态开关虚拟机发生业务故障时自我修复MailCRMWEB资源池APIVMwarevCenterSANGFORAD服务器虚拟化环境支持多租户模式MailCRMWEB资源池AP21虚拟机自动化配置与迁移vCenter ServerVMware ESXi&ESX深信服负载均衡深信服负载均衡调整VM修改配置获取VM配置信息VMConfigure自动添加简化操作n管理员在vCenter上对虚拟机进行添加或者关闭,AD设备自动获取配置n通过获取的配置,AD自动在设备节点池内对相应虚拟机进行添加或者删除n针对服务器虚拟化环境引入配置自动化功能,简化管理员的运维配置工作虚拟机自动化配置与迁移vCenter ServerVMwar22虚拟机资源动态调度Off-lineOn-linevCenter ServerVMware ESXi&ESX深信服负载均衡深信服负载均衡业务高峰期系统压力增大监控VM负载状态增补VM节点扩充系统性能VMWorkloadn业务量增加,AD通过vCenter开启更多虚拟机,并在节点池中添加相应虚拟机n业务量减少,AD通过vCenter关闭一些虚拟机,并在节点池中删除相应虚拟机n在不影响业务访问的情况下,最大限度的提升虚拟机资源的利用率虚拟机资源动态调度Off-lineOn-linevCente23虚拟机故障感知与应急处理vCenter ServerVMware ESXi&ESX深信服负载均衡深信服负载均衡VMHealthMonitor业务故障VM离线定时获取VM健康状态自动重启VM上线n虚拟机本身运行正常,而应用出现故障,Vcenter不会对VM进行处理nAD监测到应用故障,实时通知vCenter对所属虚拟机进行重启,自我修复故障n在业务出现问题后能够即时解决故障,有效减少来自来人工维护的成本虚拟机故障感知与应急处理vCenter ServerVMwa24深信服AD其他功能网络安全各种常见DDoS的攻击防护,如SYNFlood、ICMPFlood等支持ACL访问控制,ARP防护带宽管理支持带宽管理QoS,可控制发布服务的HTTP/DNS请求速率、URL下载速度、用户带宽、链路带宽支持服务器每秒新建连接和会话数限制,保证服务器分担任务不超过其负载能力系统高可用性与可靠性支持双机热备和多机集群,同步会话镜像(sessionmirror),毫秒级系统切换支持服务器温暖上线和平滑退出、链路聚合、连接排队(浪涌保护)管理方式支持全中文管理界面和HTTPS方式登录、用户角色管理支持SNMPv1/v2c/v3,标准MIB库和自定义库,满足集中网管需要支持开放的API,提供SDK工具,实现与第三方应用平台的接驳与集成深信服AD其他功能网络安全25二、深信服AD特色技术二、深信服AD特色技术26TCP单边加速加速广域网上的业务交付跨国、跨运营商、移动互联网访问存在丢包、延迟在存在丢包延迟网络,传统TCP协议效率低下,影响用户访问速度TCP单边加速改进拥塞控制算法和丢包重传机制,提升TCP协议效率服务器端单边部署,客户端零安装,对用户透明不同于缓存机制的加速技术,首次访问就会有提速效果网络传输效率提升至少30%以上建立连接转发请求接收应答建立连接发送请求转发应答单边加速代理服务器向客户端发包根据网络传输质量适时调整TCP单边加速加速广域网上的业务交付建立连接接收应答建立连接271.请求html页面1.bmp网页图片转码AD服务器2.转发请求1.bmp3.响应图片1.bmp4.将图片1.bmp转码为1.jpg5.响应图片1.jpgInternet优化广域网上的交付内容无需更改原有业务结构,自动对jpg、bmp、png等类型的图片进行转码根据客户端浏览器的信息,返回转码效果最好的图片通过优化图片格式来降低文件大小,提升Web访问速度最多可减少50%页面加载时间1.请求html页面 1.bmp网页图片转码AD服务器2.28DNS透明代理代理用户DNS请求ISP1ISP2实现最优的出站链路负载均衡内网用户使用单一运营商DNS服务器,造成带宽利用不均SANGFORAD代理用户进行DNS请求转发支持负载算法配置,轮询、加权轮询等链路带宽合理利用,避免带宽资源闲置DNS透明代理代理用户ISP 1ISP 2实现最优的出站链路29WEB漏洞扫描提升WEB应用安全性针对WEB服务器,提供负载且支持漏洞扫描漏扫规则库可自动和手动更新人性化报表,提供有效解决方案负载、漏扫二合一WEB漏洞扫描提升WEB应用安全性负载、漏扫二合一30应用性能监控监控服务器应用性能监控关键性能指标提供可视化动态界面提前预警数据库、中间件风险Oracle数据库MySQL数据库Weblogic中间件应用性能监控监控服务器应用性能Oracle数据库MySQL数31智能路由源地址?目的地址?应用协议?时间段?ISP1ISP2根据策略进行智能NAT实现第三层和第四层的定制链路使用策略深信服AD设备接收到内网的访问流量后,通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上。
基于源地址、目的地址、应用协议、时间段、目的域名等条件设置配置向导帮助轻松实现网络就绪、业务上线智能路由源地址?目的地址?应用协议?时间段?ISP 1ISP32智能告警平台健康检查邮件、短信告警Internet提供实时的告警机制SANGFORAD基于管理员预先设定的关注信息一旦网络或者业务出现故障的时候,实时地以短信、邮件告警的形式通知相关管理人员支持报警对象包括:链路、服务器、虚拟服务、双机切换、网络攻击等触发事件实时报告网络和应用故障让业务尽在掌握智能告警平台健康检查邮件、短信告警Internet提供实时的33高可用性集群Active:MailStandby:ERPOAWebActive:OAStandby:ERPWebMailActive:ERPStandby:WebOAMailActive:WebStandby:ERPOAMailn多台AD设备组成高可用性集群,支持主备、双主、多主、M+N等多种模式n与双机模式相比,集群提供更高的冗余性(N备一vs一备一)和更低的成本控制(1+Nvs2N)nAD设备之间互为备份,同步会话镜像(sessionmirror),发生切换不中断业务访问门户深信服AD设备#1访问ERP访问OA深信服AD设备#2深信服AD设备#3深信服AD设备#4同步同步同步访问邮件高可用性集群Active:MailActive:OAAc34高性能集群n支持多台AD设备组成高性能集群,即虚拟成一台逻辑设备n应对100Gbps以上业务规模的性能扩容n支持与高可用性集群同时使用,使业务扩展性更加灵活用户SANGFORAD#1用户新增用户SANGFORAD#2SANGFORAD#3SANGFORAD#4同步同步同步新增用户高性能集群支持多台AD设备组成高性能集群,即虚拟成一台逻辑设35三、深信服AD业务场景三、深信服AD业务场景36AD典型组网n应用部署路由模式旁路模式三角传输双机热备n负载调度出口链路Web服务器中间件数据库全局多站点应用服务器应用服务器数据库数据库存储存储AD典型组网应用部署应用服务器数据库存储37大并发量网站系统建设n通过专业的负载均衡硬件设备实现服务器集群,满足大并发访问的高性能需求,并通过会话保持和健康检查机制,确保用户访问的连续性和稳定性n利用多重应用优化功能,减轻后台服务器的性能压力,提升系统的稳定性和用户的访问速度n智能告警功能,在系统出现故障时及时通过邮件或短信通知管理人员进行维护,保障网站系统的业务持久性大并发量网站系统建设通过专业的负载均衡硬件设备实现服务器集群38Weblogic中间件服务器集群n双机热备模式部署,完全避免Master的单点故障。
n全面的健康检查和会话保持,提升了WebLogic集群的故障切换能力nAD设备替换集群中的Master节点,解决了性能瓶颈,便于集群性能提升n多种应用优化技术,全面提升服务器资源利用率,提高用户访问速度Weblogic中间件服务器集群双机热备模式部署,完全避免M39Oracle数据库负载均衡nAD设备作为应用服务器和Oracle数据库之间的媒介,提供了负载均衡和健康监控的服务n避免暴露出提供服务的真实服务器IP地址与端口,从而保护数据库服务器不受到诸如SYNFlood等DoS及DDoS攻击n借助AD设备实现了集中的健康监控,而不需要每台应用服务器都监控数据库服务器,从而卸载了应用服务器的负载,释放宝贵的计算资源Oracle数据库负载均衡AD设备作为应用服务器和Oracl40多站点全局负载n以唯一域名的方式将多个数据中心同时对外发布,为不同访问用户选择最佳的站点入口n多个数据中心之间形成站点冗余,保障业务的高可用性,并提升各站点的资源利用率n充分利用多条运营商链路带来的可靠性保障,提升用户访问的稳定性和持续性用户LocalDNS深信服AD设备深信服AD设备深信服AD设备多站点全局负载以唯一域名的方式将多个数据中心同时对外发布,为41应用系统安全加固深信服深信服AD设备设备(SSL安全网关)安全网关)Web服务器服务器集群集群前端前端服务器服务器负载负载访问客户端访问客户端n利用AD设备的SSL加解密和CA认证功能,当做安全网关使用n安全网关通过应用层代理将互联网请求转发至WEB服务器或应用服务区n前端服务器负载均衡负责将若干台AD设备组成SSL安全网关集群应用系统安全加固深信服AD设备Web服务器集群前端服务器负载42。