《了解网络和系统配置》由会员分享,可在线阅读,更多相关《了解网络和系统配置(8页珍藏版)》请在金锄头文库上搜索。
1、了解网络和系统配置网络概览 图 1 显示了应用的服务器群的详细网络配置,及其通过 Internet 连接的客户和服务。它可以看作由 Internet 路由器分开的两个不同部分,此处的路由器起着数据包过滤防火墙的作用。 图 1 产品服务器群(包括 Internet)的整个网络配置 路由器的左侧表示 Internet - 使用传输控制协议/Internet 协议 (TCP/IP) 作为数据通讯协议的全世界的计算机网络基础结构。目标客户和服务提供商等以同样的方式通过路由器与 Internet 服务器进行通讯。 路由器的另一侧是服务器群(作为一个单元进行管理的一组相关服务器),它们位于一个物理访问和室
2、内条件都有严格控制的封闭机房中。此外,所有网络设备和服务器都使用不间断电源系统 (UPS),以实现更高的可靠性。 首先,我们来讨论通过 Internet 与服务器群连接的 组成部分 - 防火墙以外的部分。 防火墙以外部分 这一部分在服务器群外部。通过 Internet 服务提供商 (ISP)(此处指 Microsoft 的 IT 组)提供的网络连接,服务器群以 1.5 Mbps 的速度接入 Internet。 图 2 Internet 通信量的来源 如图 2 所示,Internet 上的三种来源形成网络通信量,它们是: 客户,他们对 站点进行访问 服务提供商,他们为 提供诸如付款处理、履行和装
3、运等服务 远程监视服务器,监视站点的可靠性 此外,域名系统 (DNS) 服务器用于外部 Internet 域,“”。实际上,对于大多数 Web 站点,DNS 服务通常都由 ISP 提供和管理。 客户目标客户是公司的开发人员,他们通常能够快速访问 Internet。客户可以通过端口 80(使用 HTTP)和端口 443 连接到 Web 服务器(使用 HTTPS)。除了由已知服务提供商和监测客户程序发出的连接请求外,任何其它与服务器的连接请求或通过上述端口之外的连接都将被防火墙阻挡在外。 服务提供商我们通过 Internet 与为应用提供付款及履行处理服务的供应商服务器进行通讯。所有与服务提供商进
4、行的通讯都要通过订单处理服务器。我们将在本文稍后章节中详细介绍该服务器及其功能。有关消息队列和如何安装订单处理服务器的详细信息,请参阅文章 MSMQ。 下表列出了订单处理服务器和服务提供商之间所需的通讯。 表 1 服务提供商 服务提供商服务类型所需的网络协议CyberSource 付款过程自定义协议 - 端口 80Interact Inc.订单履行FTP - 端口 21有关付款处理和订单履行的详细信息将在以后的 文章中提供。 远程监视服务器Web 站点的一个常用方法是,在防火墙之外至少安装一台服务器来远程监视服务器和应用程序是否正常运行。监视服务器按固定间隔时间连续测试应用程序的主 URL,并
5、在服务器丢失或错误响应时向操作小组发出警报。理想情况下,可以通过不同的 ISP 连接部署多个监视服务器,这样可以预防由于个别服务器或 ISP 连接失败所产生的出错警报。此外,还有第三方监视服务,用来监视多个 Internet 位置站点性能并在站点无法响应或性能低于特定阈值时发出警报。 外部 DNS 服务器域名系统 (DNS) 服务器用于为外部 Internet 域()提供域名解析。当用户指定 Web 站点的域名时,Web 浏览器首先找到外部 DNS 服务器,获得 Web 站点服务器群集的实际 IP 地址。随后浏览器使用该 IP 地址直接与服务器进行通讯。 服务器群 如图 3 所示,我们实际使用
6、的服务器群通过由 ISP 管理的数据包过滤路由器与 Internet 连接。虽然服务器群部署在我们自己的封闭实验室中,但电子商务网站使用第三方 Internet 数据中心来托管其服务器群的情况并不罕见,一般来讲,与使用大多数公司自己的资源相比,它们能提供更胜一筹的连接性、设施和服务。当在外部部署服务器群时,远程管理变得更为重要。 图 3 实际服务器群的网络配置 注意,服务器群几乎对所有重要的服务(诸如 Web 服务器、数据库服务器和域控制器)都运用了冗余服务器。但是,该配置仍可能发生单点故障,如 Internet 路由器或局域网络 (LAN) 交换机。为了消除潜在的故障,大型电子商务站点可考虑
7、实施更为复杂的冗余网络,在并行网络设备之间进行交叉连接。 作为中型公司的实施方案,我们决定多买几台交换机,以便在发生此类故障时备用。注意,LAN 交换机发生故障的概率可能比多数其它计算机硬件要少,因为计算机硬件的移动部件(如硬盘)比交换机多。 运行队列组件 (QC) 并发送通知邮件的单个订单处理服务器也可能发生故障。如果该服务器失败,客户仍可浏览目录并下订单,因此短时间的故障并不紧要。消息队列确保队列中的邮件在订单处理服务器恢复正常后仍可提交。 现在,我们来讨论有关 实际服务器群配置方面的详细信息,它由三个网段组成。几乎所有的计算机都在这些网段中(至少两段,通常为三段),因此这些计算机都有不只
8、一个网络适配器,或者网卡 (NIC)。这三个网段包括: 前端网络 后端网络 管理网络 前端网络它是可通过 Internet 直接访问的公用网段。此网段中的所有服务器与一个 100 Mbps 的 LAN 交换机连接,它上行链接至由 ISP 管理的面向 Internet 的路由器。前端网络由以下服务器和服务组成: 四个 Web 服务器,配置为一个网络负载平衡 (NLB) 群集 一个订单处理服务器,托管 COM+ 队列组件 (QC)、付款提供服务并使用简单邮件传输协议 (SMTP) 应用程序状态监视服务器 1.5 Mbps 的 Internet 连接,在路由器中启用了 IP 过滤防火墙 网络负载平衡
9、 Web 服务器为提高 Web 站点的可靠性,并增加站点容量,我们部署了四个网络负载平衡 (NLB) Web 服务器,这是 Windows 2000 操作系统中两项群集技术中的一种。作为 Windows NT Server 4.0 企业版的 Microsoft Windows NT 负载平衡服务 (WLBS) 的后续产品,NLB 在一个负载平衡群集中可支持多达 32 个节点,并使所有节点如同一个服务器那样进行工作。 下面我们详细讨论这方面的内容。 NLB 在由多个提供 TCP/IP 服务的服务器组成的服务器组(群集)中分配传入的 IP 通信量。它对整个群集使用一个公用虚拟 IP 地址,并对群集
10、的多个服务器中透明分配客户端请求。群集中的每个服务器可以处理预设比例的负载,或者在所有服务器之间均衡分配负载(我们就用这种方法)。 群集中的某个服务器可能失败,或由于常规维修及系统升级而脱机。这种情况下,为了保证不中断对传入的客户端请求提供服务,NLB 自动把负载重新分配到其余服务器上。 如果网站通信量增加,NLB 可以方便地为 NLB 群集增加更多的 Web 服务器,以此为额外增加的负载增加容量。若要扩展 Web 服务器群,超过 32 节点,NLB 可以和其它负载平衡技术结合使用,比如 Round-Robin DNS (RRDNS)。实际上,许多组织已使用这种负载平衡组合 - NLB 和 R
11、RDNS - 来扩展其具有数百、甚至数千台服务器的 Web 群。 订单处理服务器在多数电子事务站点的工作流程中,经常有可以异步运行的操作,如下订单和履行订单。使 Web 应用程序的某些操作异步运行,可以通过降低 Web 服务器的资源争夺而使 Web 应用程序的响应更快。结果可以提高站点的使用效果、可伸缩性、可靠性和可用性。 若要支持异步操作,需使用 Windows 2000 Advanced Server 以及 Microsoft 消息队列 (MSMQ)。 SMTP 服务简单邮件传输协议 (SMTP) 是最常用的邮件传输标准,它用来通过 intranet 或 Internet 传输和接收邮件。
12、Microsoft Internet 信息服务 (IIS) 中包括了 SMTP 服务,我们用它向客户发送订单确认电子邮件。 通常,组织若要向用户外发电子邮件,并接收来自用户的电子邮件,需考虑安装全功能的邮件系统,如 Microsoft Exchange Server。但是,在其它仅需要处理外发电子邮件的情况下(比如我们这样的情况),使用 IIS 提供的 SMTP 服务就足够了,没有必要管理复杂的邮件系统,但仍能提供高性能的 Internet 邮件提交服务。 由于外发电子邮件不必实时发出,且预计仅有小部分站点访问者可能会下需要生成电子邮件的订单,因此我们决定不安装 SMTP 服务的专用服务器。而
13、是在订单处理服务器上安装该服务,在此,它与前端网络的连接允许 SMTP 服务与 Internet 上的其它 SMTP 服务器进行通讯。 状态监视服务器多数电子商务业务要求其服务器群可用性非常高,一般要达到 99.99% 甚至 99.999% 的可用性(即,每年的停机时间要少于 53 分钟,甚至少于 5 分钟)。为了达到如此高的运行标准,严密监视站点的任何应用程序故障或性能降低至关重要。 在图 3 中标为“Monitoring Server”的服务器执行该项任务。使用的监视软件有,诸如 Microsoft Cluster Sentinel(在 Windows 2000 Resource Kit
14、中提供)和 WebTrends ( http:/ ) Enterprise Suite。该监视软件按很短暂的时间间隔测试站点的重要功能,并在所选功能未在预定时间范围内响应时,向操作小组发送电子邮件或传呼警告。该服务器弥补了适才所述外部状态监视服务器的不足 - 外部状态监视服务器监视站点的总体状态,包括与 Internet 的连接,而内部状态监视服务器监视 Web 群中的所有单个服务器和应用程序的状态。 Internet 防火墙和网络安全电子商务最关心的问题之一就是网络安全。Internet 防火墙通常是抵挡网络攻击或非授权服务访问的第一道防线。有些组织可能选择专用计算机配备专用的安全软件来做防
15、火墙系统,我们和 ISP 合作使用 Internet 协议 (IP) 数据包过滤路由器来提供 Internet 与前端网络之间的筛选连接。仅允许针对特定 TCP/IP 端口的通讯请求通过路由器,发到指定的服务器。 除了安装 Internet 防火墙作为服务器群的门神外,我们还采取一系列安全措施来加强服务器,尤其是对前端连接。有关保护装有 IIS 5.0 的 Web 服务器方面的详细说明,请参阅 Microsoft TechNet 文章 Secure Internet Information Services 5 Checklist,网址为 http:/ 。有关服务器安全的其它注意事项,请参阅 TechNet 文章 Data Security and Data Availability for End Systems,网址为 http:/ 。 由于了解最新的安全事项和系统修复补丁非常重要,因此强烈建议网络管理员要经常查看网络安全 Web 站点,比如 http:/
