負(fù)載均衡技術(shù)白皮書

1、天清應(yīng)用交付平臺技術(shù)白皮書應(yīng)用交付產(chǎn)品技術(shù)白皮書目錄第一章應(yīng)用交付產(chǎn)品的概念及核心價值41.1ADN應(yīng)用交付網(wǎng)絡(luò)的概念41.2應(yīng)用交付產(chǎn)品的核心價值5第二章天清ADC應(yīng)用交付解決方案總體介紹62.1方案構(gòu)成6服務(wù)器負(fù)載均衡7全局負(fù)載均衡8鏈路負(fù)載均衡92.2部署方式11串行部署三層接入11串行透明部署11旁路部署三層接入12旁路部署透明接入12旁路部署之三角傳輸13第三章服務(wù)器負(fù)載分擔(dān)133.1服務(wù)器負(fù)載分擔(dān)133.1.1負(fù)載分擔(dān)算法143.1.2健康檢查策略153.1.3會話保持策略163.2七層內(nèi)容交換193.3HA高可靠性與設(shè)備集群203.3.1HA高可靠性203.3.2設(shè)備集群22第四

2、章應(yīng)用優(yōu)化與加速234.1SSL硬件加速和卸載244.2本地RAM Cache244.3內(nèi)容壓縮254.4TCP連接復(fù)用254.5TCP單邊加速264.6HTTP管線（Pipelining）274.7窄帶用戶應(yīng)用加速294.8重寫Rewrite29第五章鏈路負(fù)載分擔(dān)305.1出站流量負(fù)載均衡（Outbound方向）30負(fù)載分擔(dān)算法30鏈路健康檢查32出站流量會話保持和NAT325.2入站流量負(fù)載均衡(Inbound方向)33智能DNS解析流程34第六章全局負(fù)載分擔(dān)356.1全局負(fù)載分擔(dān)策略366.2動態(tài)就近性366.3靜態(tài)就近性策略396.4IP Anycast技術(shù)396.5基于HTTP重定向

3、的全局負(fù)載均衡40第七章應(yīng)用安全防護417.1應(yīng)用安全防護417.2啟明星辰應(yīng)用交付解決思路427.3主要安全功能43第一章 應(yīng)用交付產(chǎn)品的概念及核心價值1.1 ADN應(yīng)用交付網(wǎng)絡(luò)的概念I(lǐng)nternet本質(zhì)上是一種端到端（end-to-end）的技術(shù)，任何一個復(fù)雜的應(yīng)用，最終都會歸根于在Client和Server之間的數(shù)據(jù)交互，而其所經(jīng)過Internet的環(huán)節(jié)卻紛繁復(fù)雜，對于應(yīng)用的運營者來說，其中的任何一個環(huán)節(jié)處理不好，都會導(dǎo)致業(yè)務(wù)的無法正常提供或者效率低下。比如： 應(yīng)用系統(tǒng)的性能瓶頸，穩(wěn)定性，可擴展性的問題； 跨運營商訪問時因路由瓶頸而導(dǎo)致的網(wǎng)絡(luò)延遲問題； 寬帶用戶和窄帶用戶（移動終端）并存

4、時的合理分發(fā)和訪問效率問題； 應(yīng)用系統(tǒng)所面臨的網(wǎng)絡(luò)攻擊等安全性等問題； 應(yīng)用系統(tǒng)的整體運行效率和改善用戶體驗問題等等。Application Delivery Networks（ADN），正是面向于保障Client和Server之間穩(wěn)定且高效的數(shù)據(jù)交互而提出的一套技術(shù)體系，其主要是面向基于瀏覽器（Web-Based）并借助于Internet向用戶提供服務(wù)的業(yè)務(wù)模式。ADN產(chǎn)品按照國際著名資訊機構(gòu)Gartner的闡述，主要是包含廣域網(wǎng)優(yōu)化WAN Optimization Controller（WOC）和應(yīng)用交付控制器Application Delivery Controller（ADC）兩個領(lǐng)域

5、。廣域網(wǎng)優(yōu)化產(chǎn)品，主要是用于在多個數(shù)據(jù)中心，或者總部和分支機構(gòu)之間進行數(shù)據(jù)的壓縮以提升傳輸效率，節(jié)約帶寬成本。ADC產(chǎn)品是從負(fù)載分擔(dān)（Load Balance）產(chǎn)品演進而來，負(fù)載分擔(dān)產(chǎn)品通過對外提供唯一的訪問IP地址（虛擬服務(wù)VS），對內(nèi)通過地址池（Pool）關(guān)聯(lián)多個提供相同服務(wù)的節(jié)點（Server），這樣就可以把進入的流量按照事先定義好的策略分發(fā)給這些服務(wù)器，同時監(jiān)控這些服務(wù)器的狀態(tài)，當(dāng)某個節(jié)點失效時，可以把流量重新分配到其他正常的服務(wù)器上。運營者可以隨時增加或者減小這組服務(wù)器的數(shù)目，以滿足業(yè)務(wù)變化的需要。這樣就實現(xiàn)了WEB服務(wù)器側(cè)的可用性和彈性擴展。ADC除了具備負(fù)載分擔(dān)的功能外，更關(guān)注的

6、是整個應(yīng)用交付的各個環(huán)節(jié)，包括Client側(cè)，Server側(cè)及數(shù)據(jù)交互經(jīng)過網(wǎng)絡(luò)節(jié)點的整體效率。ADC可以根據(jù)用戶訪問的內(nèi)容做更精細(xì)化的流量分擔(dān)，可以根據(jù)用戶自身的信息如瀏覽器類型，Cookie等七層信息做內(nèi)容交換。ADC能夠識別出應(yīng)用，并且進行加速和優(yōu)化處理。同時，ADC設(shè)備可以對服務(wù)器的壓力進行卸載（Off-Load）-包括SSL協(xié)議，內(nèi)容壓縮，Cache，TCP鏈接等，讓服務(wù)器資源重點服務(wù)自身的業(yè)務(wù)系統(tǒng)，從而提升整個系統(tǒng)的效率。11.2 應(yīng)用交付產(chǎn)品的核心價值應(yīng)用交付產(chǎn)品關(guān)注整個應(yīng)用交付的環(huán)節(jié)，核心價值是為了保障應(yīng)用的：高性能-滿足業(yè)務(wù)發(fā)展的需要，并具備足夠的彈性擴展。高效率-服務(wù)器壓力卸

7、載，提升整個業(yè)務(wù)系統(tǒng)效率。高可用-業(yè)務(wù)的備份和冗余。保障業(yè)務(wù)的不間斷穩(wěn)定運行，并提升用戶體驗。安全性-保障業(yè)務(wù)安全，防止入侵和數(shù)據(jù)泄漏。第二章 天清ADC應(yīng)用交付解決方案總體介紹啟明星辰基于深厚的技術(shù)積累，不斷探索專業(yè)有效的ADC解決方案以保障用戶應(yīng)用連續(xù)可靠運行的同時，節(jié)約用戶的投資效率，并帶來更好的用戶體驗。2.1 方案構(gòu)成為了滿足IT應(yīng)用有效、快速、安全交付的需求，啟明星辰推出天清ADC應(yīng)用交付平臺的整體解決方案，包括：服務(wù)器負(fù)載均衡，應(yīng)用優(yōu)化與加速，鏈路負(fù)載均衡，全局負(fù)載均衡，廣域網(wǎng)優(yōu)化，安全防護等全系列產(chǎn)品。服務(wù)器負(fù)載均衡服務(wù)器負(fù)載均衡主要是對訪問服務(wù)器和服務(wù)器返回的流量進行管理，天

8、清ADC應(yīng)用交付平臺通過多種靜態(tài)和動態(tài)負(fù)載分擔(dān)算法，把訪問服務(wù)器的流量智能的分發(fā)給最佳的服務(wù)器。同時，天清ADC應(yīng)用交付平臺利用自身的多核高性能硬件平臺和VBOS軟件系統(tǒng)的優(yōu)勢，對流量進行實時壓縮，緩存，硬件加解密等處理，把原本需要耗費服務(wù)器大量性能的計算接管過來，使服務(wù)器系統(tǒng)只進行業(yè)務(wù)相關(guān)的處理，以實現(xiàn)整個業(yè)務(wù)系統(tǒng)的加速和效率提升。天清ADC服務(wù)器負(fù)載均衡方案包括：負(fù)載分擔(dān)，應(yīng)用加速，服務(wù)器卸載等幾個部分。與此同時，天清ADC應(yīng)用交付平臺還提供專業(yè)的抗拒絕服務(wù)攻擊、狀態(tài)防火墻及Web應(yīng)用防火墻功能，進一步提升應(yīng)用的安全性和可靠性。全局負(fù)載均衡全局負(fù)載均衡-GSLB（Global Server

9、 Load Balance）是通過在全球部署多個數(shù)據(jù)中心來保護業(yè)務(wù)站點不受訪問中斷的影響，并且提升整體業(yè)務(wù)系統(tǒng)響應(yīng)能力的一種解決方案。通過部署天清ADC應(yīng)用交付平臺，可以在多個數(shù)據(jù)中心之間進行流量分擔(dān)，并進行數(shù)據(jù)中心間的冗余和災(zāi)備。同時天清ADC應(yīng)用交付平臺可以根據(jù)智能算法，把某個用戶的訪問引導(dǎo)到距離他最近，延遲最小的數(shù)據(jù)中心，即實現(xiàn)了整個業(yè)務(wù)系統(tǒng)的可擴展性，也有效的提升了用戶體驗。天清ADC應(yīng)用交付平臺內(nèi)置智能DNS系統(tǒng)和IP地理位置信息庫，企業(yè)可以把ADC設(shè)備作為域名授權(quán)發(fā)布服務(wù)器，配置多個數(shù)據(jù)中心的IP地址對應(yīng)該域名DNS A記錄。當(dāng)接收到某個用戶的DNS請求時，通過判斷該用戶所處地域，

10、并結(jié)合動態(tài)探測算法或者靜態(tài)策略返回該域名對應(yīng)的最佳數(shù)據(jù)中心地址。天清ADC應(yīng)用交付平臺除了具備動態(tài)智能解析方式外，還提供靜態(tài)就近性策略，HTTP重定向和IP AnyCast技術(shù)等多種全局負(fù)載分擔(dān)解決方案。可以為企業(yè)提供最靈活的選擇方式，并能夠和其他全局負(fù)載分擔(dān)產(chǎn)品實現(xiàn)網(wǎng)絡(luò)兼容。鏈路負(fù)載均衡根據(jù)中國的運營商接入現(xiàn)狀，企業(yè)往往選擇同時租用多條運營商線路以實現(xiàn)企業(yè)接入Internet時的鏈路備份和帶寬疊加。天清ADC應(yīng)用交付平臺可以動態(tài)監(jiān)控鏈路的實時狀態(tài)，提供多種靜態(tài)和動態(tài)流量分擔(dān)方法，可以有效提升多鏈路接入的效率和整體性能。當(dāng)企業(yè)部署對外提供服務(wù)的應(yīng)用服務(wù)器時，天清ADC應(yīng)用交付平臺可以根據(jù)用戶所

11、處的運營商網(wǎng)絡(luò)，或者地域的遠(yuǎn)近，或者當(dāng)前鏈路的帶寬質(zhì)量進行智能DNS解析，幫助用戶選擇最優(yōu)的鏈路進行訪問，有效避免跨運營商訪問時造成的帶寬瓶頸和延遲增大等問題，提供最佳的用戶體驗。 Outbound出站方向訪問內(nèi)網(wǎng)用戶向外發(fā)起連接請求時，天清ADC應(yīng)用交付平臺產(chǎn)品提供多種靜態(tài)和動態(tài)鏈路分擔(dān)算法，選擇當(dāng)前最合適的鏈路分配流量。靜態(tài)算法包括：輪詢，比率，加權(quán)等。動態(tài)算法包括：最小連接，最小流量，最小延遲等等。天清ADC應(yīng)用交付平臺支持運營商路由選擇，根據(jù)用戶請求地址所出運營商來選擇和其匹配的運營商鏈路出口，這樣就避免了跨運營商訪問的效率低下問題。 Inbound入站方向訪問當(dāng)企業(yè)內(nèi)部提供對外的服務(wù)

12、的業(yè)務(wù)系統(tǒng)時，如ERP系統(tǒng)，郵件系統(tǒng)或者其他在線業(yè)務(wù)交易系統(tǒng)時，可以把天清ADC應(yīng)用交付平臺作為授權(quán)域名發(fā)布服務(wù)器，把多個運營商鏈路接入IP地址綁定到同一個域名A記錄上。這樣，結(jié)合運營商IP位置信息庫和靜態(tài)配置策略，ADC能夠智能的處理外部用戶DNS請求，返回最佳的鏈路接入地址。2.2 部署方式天清ADC應(yīng)用交付平臺支持串行接入，并行接入，三層接入，透明模式接入，DSR模式等多種接入方式，企業(yè)可以根據(jù)當(dāng)前的網(wǎng)絡(luò)運行狀況和業(yè)務(wù)規(guī)劃選擇最合適的接入方式。2.1串行部署三層接入這種模式下，天清ADC應(yīng)用交付平臺串行接入到網(wǎng)絡(luò)中，所有流量都先經(jīng)過ADC設(shè)備處理，通常情況下，ADC設(shè)備上的虛擬服務(wù)（VS

13、）配置為公網(wǎng)IP地址，內(nèi)部的服務(wù)器則配置為私有IP地址。典型的串行網(wǎng)絡(luò)結(jié)構(gòu)如下，天清ADC應(yīng)用交付平臺采用HA方式，和上下層交換機采用雙鏈路交叉連接，網(wǎng)絡(luò)結(jié)構(gòu)清晰，并且具備很強的冗余性和可靠性。串行透明部署這種部署模式可以不改變用戶的現(xiàn)有IP地址結(jié)構(gòu)，ADC設(shè)備的虛擬服務(wù)地址（VS）和服務(wù)器處在一個網(wǎng)段，當(dāng)ADC設(shè)備出現(xiàn)單點故障，或者性能無法滿足時，可以臨時采用Bypass策略繞過ADC設(shè)備。串行接入透明部署的工作原理類似于正常的串行接入。旁路部署三層接入旁路方式部署ADC產(chǎn)品，不需要對現(xiàn)有運行著網(wǎng)絡(luò)結(jié)構(gòu)進行改變，可以方便快速的把ADC部署到網(wǎng)絡(luò)中，ADC的工作模式和串行部署比較相近，ADC的

14、虛擬服務(wù)配置為公有地址，內(nèi)部服務(wù)器配置為私有IP地址。ADC設(shè)備和服務(wù)器分別屬于交換機不同的VLAN，ADC在分發(fā)數(shù)據(jù)給服務(wù)器時，進行源IP地址轉(zhuǎn)換，把發(fā)給服務(wù)器的報文源IP地址改為ADC設(shè)備自身的IP地址，以保證服務(wù)器返回的流量也經(jīng)過天清ADC應(yīng)用交付平臺。旁路部署透明接入原理類似旁路部署三層接入，不同是天清ADC和服務(wù)器劃分到一個VLAN里面，天清ADC的VS地址和服務(wù)器配置為同一個IP網(wǎng)段，這種情況下可以把服務(wù)器的網(wǎng)關(guān)地址指向ADC設(shè)備的IP地址，ADC設(shè)備使用真實的客戶端地址和服務(wù)器建立連接，而不需進行NAT源地址轉(zhuǎn)換。旁路部署之三角傳輸三角傳輸,也叫Direct Server Ret

15、urn(DSR)模式，是旁路部署的一個特例，這種模式下只有入站方向流量進入到ADC設(shè)備，由ADC設(shè)備根據(jù)預(yù)先配置好的負(fù)載分擔(dān)策略進行流量分發(fā)，而服務(wù)器返回的流量不經(jīng)過ADC設(shè)備。由于互聯(lián)網(wǎng)的流量具有典型的非對稱性，即請求方向上的流量比較小，絕大多數(shù)流量集中在服務(wù)器響應(yīng)的方向上，所以如果讓ADC設(shè)備只處理請求方向的流量，服務(wù)器返回的流量直接返回給客戶端不經(jīng)過ADC設(shè)備，就大大提升了ADC的處理能力。三角傳輸模式無法支持一些需要修改服務(wù)器返回數(shù)據(jù)的功能，如基于Cookie的會話保持，響應(yīng)重寫等七層功能。也無法實現(xiàn)緩存和內(nèi)容壓縮等功能。第三章 服務(wù)器負(fù)載分擔(dān)3.1服務(wù)器負(fù)載分擔(dān)ADC在設(shè)備上建立一個

16、或多個虛擬服務(wù)VS（IP：Port），來映射內(nèi)部的服務(wù)器組來對外提供的一種或者多種應(yīng)用。內(nèi)部服務(wù)器被加入到地址池中（Pool），當(dāng)有外部流量訪問VS時，ADC通過預(yù)先配置好的負(fù)載分擔(dān)算法，從地址池中選擇一臺可用的服務(wù)器作為應(yīng)用提供者。同時ADC實時對每個服務(wù)器節(jié)點進行健康檢查，當(dāng)某一臺出現(xiàn)故障無法正常提供服務(wù)時，把該服務(wù)器從Pool中的可用列表移出，不再向其分發(fā)流量。3.1.1負(fù)載分擔(dān)算法天清ADC應(yīng)用交付平臺支持豐富的負(fù)載分擔(dān)策略，即可以根據(jù)預(yù)先配置的靜態(tài)算法，也可以根據(jù)當(dāng)前的運行狀態(tài)進行動態(tài)算法的負(fù)載分擔(dān)。靜態(tài)算法包括： 輪詢（Round Robin）-依次按照順序把流量分配給每臺服務(wù)器。

17、 比率（Ratio）-根據(jù)服務(wù)器的性能為每個服務(wù)器指定一個權(quán)值，按照這個比率給服務(wù)器分配流量。 優(yōu)先級（Priority）-當(dāng)使用多組服務(wù)器時，為每個服務(wù)器組指定一個優(yōu)先級，默認(rèn)情況下優(yōu)先向高優(yōu)先級的服務(wù)器組分配流量，當(dāng)該組服務(wù)器失效時選擇備份服務(wù)器組。動態(tài)算法包括： 最小連接（Least Connection）-ADC優(yōu)先把流量分配給當(dāng)前連接數(shù)最少的服務(wù)器。 最快模式（Fastest）-ADC通過比對服務(wù)器返回數(shù)據(jù)包的延遲情況，選擇一個當(dāng)前響應(yīng)最快的服務(wù)器來分配流量。 SNMP監(jiān)控-設(shè)備上通過SNMP客戶端來讀取服務(wù)器的實時運行狀態(tài)，包括CPU，內(nèi)存和I/O信息，為每種實時信息配置門限值，當(dāng)

18、超過這個門限值時不再向這臺服務(wù)器分配報文。 觀察模式（Observed）-結(jié)合最小連接和最快模式兩種結(jié)果，選擇最佳平衡為依據(jù)為新的請求選擇服務(wù)器。服務(wù)器平滑接入和退出：當(dāng)有新的服務(wù)器接入或者服務(wù)器重新啟動時，ADC系統(tǒng)可以把流量逐步分配給新接入的服務(wù)器，避免服務(wù)器的某些進程還沒有加載完成而導(dǎo)致系統(tǒng)資源占用過高，或者應(yīng)用響應(yīng)緩慢的情況，實現(xiàn)服務(wù)器的平滑接入。管理員也可以手工方式操作把某臺服務(wù)器退出流量分擔(dān)機制，此時ADC系統(tǒng)不再分配新的流量給該服務(wù)器，該服務(wù)器的現(xiàn)有連接繼續(xù)保持，直至連接結(jié)束。3.1.2健康檢查策略健康檢查是指對服務(wù)器的運行狀態(tài)定期進行實時檢測，一旦發(fā)現(xiàn)服務(wù)器故障，將把該服務(wù)器移

19、出流量分擔(dān)的隊列。天清ADC應(yīng)用交付平臺提供豐富的健康檢查策略，和負(fù)載分擔(dān)算法組合到一起，就可以實現(xiàn)非常靈活的負(fù)載分擔(dān)策略。 TCP SYN-向目標(biāo)服務(wù)器發(fā)送TCP SYN報文，如果得到正確的回復(fù)表示服務(wù)器工作正常。 Ping-向目標(biāo)服務(wù)器發(fā)送ICMP請求報文，如果得到正確回復(fù)表示服務(wù)器工作正常。 HTTP/HTTPS Get-向目標(biāo)系統(tǒng)發(fā)送HTTP或HTTPS協(xié)議的Get報文，請求一個指定的URL，如果得到正確回復(fù)表示服務(wù)器工作正常。3.1.3會話保持策略會話保持是指流量一旦按照負(fù)載分擔(dān)策略分配給某個服務(wù)器后，后續(xù)的相關(guān)請求報文同樣分配給同一臺服務(wù)器，以保障業(yè)務(wù)的連續(xù)性。比如，很多電子商務(wù)相

20、關(guān)的應(yīng)用系統(tǒng)或者需要用戶身份認(rèn)證的系統(tǒng)，用戶和服務(wù)器間會進行多次的數(shù)據(jù)交互才能完成一筆交易或者身份認(rèn)證過程，必須把這個過程的交互報文分配給同一個服務(wù)器。天清ADC應(yīng)用交付平臺支持6類共8種會話保持的方法，即可以根據(jù)源IP地址，ServerID等靜態(tài)信息來做會話保持，也可以通過Cookie插入和重寫來實現(xiàn)更高級的會話保持方法。每種會話保持的效率，粒度和應(yīng)用場景有所不同，對應(yīng)用服務(wù)器的配置要求也不一樣?；谠碔P的會話保持只需要處理數(shù)據(jù)包的四層信息，所以效率最高，也不需要服務(wù)器做任何配置，但粒度比較粗。如果客戶端存在普遍的NAT轉(zhuǎn)換，或者某些IP段的業(yè)務(wù)請求量比較大，那么這些流量被保持發(fā)送給固定一

21、臺服務(wù)器，就會造成流量負(fù)載的不均衡。基于Cookie插入，Cookie重寫，ServerID等七層信息的會話保持方式，使保持策略和瀏覽器的信息相互關(guān)聯(lián)，可以做到細(xì)粒度和更均衡的流量分配，基于七層信息的會話保持方式，工作效率不如源IP會話保持。除Cookie插入方式以外，其他如serverid，sessionid, Cookie重寫等方式一般需要應(yīng)用程序做相應(yīng)的配置。天清ADC支持的會話保持方式： 基于源地址-來自同一個源IP地址的相關(guān)報文，分配給同一個服務(wù)器。 基于ServerID-記錄服務(wù)器返回的serverid信息，然后從請求報文的URL或Cookie信息中查找serverid，進行解碼得

22、到后臺服務(wù)器的信息，保證帶有固定serverid信息的請求被分別到固定的服務(wù)器。Serverid需要在web服務(wù)器上進行人工配置。ADC不需要對數(shù)據(jù)包進行修改 基于SessionID-類似于ServerID的方式，記錄從服務(wù)器返回的SessionID信息，然后從請求報文的URL或Cookie信息中查找SessionID，進行解碼得到后臺服務(wù)器的信息，保證帶有固定SessionID信息的請求被分別到固定的服務(wù)器。SessionID是服務(wù)器自動生成的，ADC產(chǎn)品不需要對數(shù)據(jù)包進行修改。 基于Cookie插入-這種方式通過修改服務(wù)器返回的報文，向其插入一個固定的Cookie信息返回給客戶的瀏覽器，客

23、戶端后續(xù)的報文請求中都攜帶了這個Cookie信息，ADC根據(jù)這個信息發(fā)送給指定的服務(wù)器。這種保持方式修改了數(shù)據(jù)包的長度，但不需要應(yīng)用服務(wù)器端做任何的配置改動就可以實現(xiàn)。 基于Cookie重寫-服務(wù)器端接收到HTTP請求后，響應(yīng)報文中會增加一個空白的Cookie返回給ADC設(shè)備，ADC在這個空白的Cookie里面寫入會話保持的數(shù)值，返回給客戶端。后續(xù)的過程和Cookie插入類似，客戶端后續(xù)的請求報文會攜帶這個重寫的Cookie，ADC根據(jù)這個信息來選擇指定的服務(wù)器。Cookie重寫和Cookie插入的區(qū)別是，Cookie重寫不需要修改報文的長度，效率會高一些。 基于自定義頭部-應(yīng)用服務(wù)自身定義了

24、一個URL Header信息，并希望ADC以此來做負(fù)載分擔(dān)。這種方式下ADC設(shè)備記錄服務(wù)器返回的Header信息，并在客戶端的后續(xù)請求中進行匹配，匹配成功則轉(zhuǎn)發(fā)給指定的服務(wù)器。這種方式允許應(yīng)用服務(wù)程序定制自己的會話保持策略。 基于SSL SessionID-當(dāng)?shù)谝淮握埱蟮絹頃r，按負(fù)載均衡算法分配一臺后臺服務(wù)器。在服務(wù)器的響應(yīng)中，按照SSL協(xié)議，取出SSL SessionID，并把SSL SessionID分配的后臺服務(wù)器信息、所配置的超時時間存在一張表中。當(dāng)后續(xù)請求到來，根據(jù)請求中的SSL SessionID在表中查找后臺服務(wù)器的信息，若找到并且時間在超時時間之內(nèi)，則取出后臺服務(wù)器信息，并更新

25、超時時間，把請求發(fā)往那臺服務(wù)器。3.2七層內(nèi)容交換四層交換主要是依賴IP和TCP/UDP層的信息進行流量的分配，而隨著應(yīng)用自身的復(fù)雜性和不斷改善用戶體驗的需求，有時候需要為不同的用戶類型返回不同的呈現(xiàn)內(nèi)容，例如： 把移動用戶的手機/pad瀏覽器請求分發(fā)給專門經(jīng)針對性過優(yōu)化的服務(wù)器。 把請求圖片，文檔，視頻等靜態(tài)內(nèi)容分發(fā)給緩存服務(wù)器。 根據(jù)瀏覽器自身的語言設(shè)置，為不同語言區(qū)域的用戶返回相應(yīng)的頁面 可以根據(jù)HTTP請求的方法實現(xiàn)讀寫分離，HTTP讀（get）請求分配給緩存服務(wù)器，HTTP寫（post）請求分配給處理動態(tài)內(nèi)容的服務(wù)器。天清ADC應(yīng)用交付平臺的七層內(nèi)容交換可以識別用戶請求報文的內(nèi)容，如

26、URL信息，應(yīng)用數(shù)據(jù)類型，Cookie信息，瀏覽器類型，HTTP方法等內(nèi)容，將流量分配給相應(yīng)的應(yīng)用服務(wù)器。天清ADC應(yīng)用交付平臺通過http-class來標(biāo)識一個業(yè)務(wù)分類，http-class根據(jù)主機地址，URI路徑，頭信息和Cookie來定義，每個http-class可以關(guān)聯(lián)一個服務(wù)器地址池，然后再虛擬服務(wù)（VS）的配置中，引用一個或者多個http-class。當(dāng)客戶端請求訪問虛擬服務(wù)時，ADC設(shè)備進行http-class匹配，匹配成功的請求被分配給對應(yīng)的地址池。3.3HA高可靠性與設(shè)備集群3.3.1 HA高可靠性天清ADC支持雙機Active-Standby（主-備）和Active-Act

27、ive（主-主）兩種工作模式，HA在運行過程中，通過專用“心跳線”來實時監(jiān)控對端設(shè)備的運行狀態(tài)，當(dāng)心跳監(jiān)控失敗，或者發(fā)生其他觸發(fā)切換的條件時，工作異常設(shè)備上的流量將被接管，以保證應(yīng)用的不間斷運行。天清ADC的HA模塊支持配置同步和連接信息同步。 主備模式：兩臺ADC設(shè)備中只有一臺處于Active狀態(tài)，另外一臺處于Standby狀態(tài)，所有流量由處于Active狀態(tài)的設(shè)備進行流量轉(zhuǎn)發(fā)。處于Standby狀態(tài)的備用設(shè)備通過”心跳線“實時監(jiān)控主設(shè)備的運行狀態(tài)，當(dāng)監(jiān)控不到正常的心跳報文時，備用設(shè)備切換為Active狀態(tài)，并通過免費ARP更新上下游設(shè)備的ARP緩存以實現(xiàn)流量接管。除了備份設(shè)備發(fā)現(xiàn)主設(shè)備心跳

28、異常時主動接管以外，當(dāng)前處于Active狀態(tài)的主設(shè)備也可以根據(jù)一些觸發(fā)條件主動退出Active狀態(tài)。觸發(fā)條件包括：設(shè)備上啟用端口狀態(tài)監(jiān)控和預(yù)置的遠(yuǎn)端IP地址是否可達。 主主模式：兩臺ADC設(shè)備同時都處于Active狀態(tài)并一起承擔(dān)流量的轉(zhuǎn)發(fā)工作，兩臺ADC設(shè)備上面運行不同的VS（虛擬服務(wù)），當(dāng)某臺ADC設(shè)備出現(xiàn)故障時，該設(shè)備上運行的所有虛擬服務(wù)流量被另外一臺設(shè)備接管。通常情況下，主主模式可以配合DNS負(fù)載分擔(dān)一起工作。當(dāng)用戶申請訪問時，首先發(fā)起DNS請求，DNS服務(wù)器上對應(yīng)主機名為這條記錄配置兩個VS對應(yīng)的IP地址，DNS會采用輪詢的方式返回這兩個IP中的一個以實現(xiàn)負(fù)載分擔(dān)。3.3.2 設(shè)備集群

29、天清ADC最多可以實現(xiàn)32臺ADC設(shè)備進行集群部署，多臺ADC設(shè)備共同承擔(dān)流量處理并且互為備份。集群中的ADC設(shè)備可以是不同的型號，具備不同的處理能力，這樣對于更新?lián)Q代的設(shè)備，也可以重新接入到集群中來。通過集群部署，企業(yè)可以實現(xiàn)最大化的業(yè)務(wù)彈性，并實現(xiàn)設(shè)備投資收益的最大化。集群部署時可以采用全工作模式，即所有設(shè)備都參加流量轉(zhuǎn)發(fā)，互為備份，當(dāng)某臺出現(xiàn)故障時，流量切換到其他設(shè)備上；也可以采用N+1模式，即N臺設(shè)備承擔(dān)流量轉(zhuǎn)發(fā)，利用一臺設(shè)備同時作為N臺設(shè)備的備份，正常情況下不備份設(shè)備不承擔(dān)流量，當(dāng)某一臺設(shè)備出現(xiàn)故障時，備份設(shè)備進行流量接管。N+1模式可以防止當(dāng)某臺設(shè)備出現(xiàn)故障時，對另外的設(shè)備造成流量

30、洪峰。第四章 應(yīng)用優(yōu)化與加速天清ADC應(yīng)用交付平臺可以把原本需要高消耗服務(wù)器計算能力的，重復(fù)計算的工作卸載到高性能的硬件平臺上，讓服務(wù)器的計算資源更多的關(guān)注自身的業(yè)務(wù)系統(tǒng)處理，以改善整個應(yīng)用系統(tǒng)的效率。天清ADC同時對TCP和Http協(xié)議進行優(yōu)化和加速，最大限度的降低網(wǎng)絡(luò)擁塞和丟包，改善移動上網(wǎng)等窄帶用戶的用戶體驗。天清ADC應(yīng)用交付平臺內(nèi)置了企業(yè)最常用的應(yīng)用模板，如BEA Weblogic，Microsoft IIS， Outlook Web Access，Radius，ERP軟件等，這些都是經(jīng)過公司應(yīng)用優(yōu)化專家通過反復(fù)的測試驗證而完成的一套解決方案，管理員不需要對應(yīng)用進行細(xì)致的了解，就可以

31、根據(jù)模板高效的完成這些應(yīng)用系統(tǒng)的優(yōu)化和加速。4.1 SSL硬件加速和卸載天清ADC應(yīng)用交付平臺通過內(nèi)置的專業(yè)級高性能硬件加速芯片，完成對SSL協(xié)議的加速和卸載，而在數(shù)據(jù)中心內(nèi)部，ADC和服務(wù)器之間通過明文進行傳輸，極大的提升服務(wù)器的業(yè)務(wù)處理能力。企業(yè)可以把應(yīng)用全部應(yīng)用實現(xiàn)SSL協(xié)議，實現(xiàn)高安全性的同時，不會給業(yè)務(wù)帶來任何的性能瓶頸。4.2 本地RAM Cache本地高速緩存（Cache），通過在ADC設(shè)備上開辟一段專用的內(nèi)存空間（RAM）來存儲服務(wù)器上的一些靜態(tài)文件，如圖片，文檔，視頻文件等，開啟本地Cache后，客戶端請求首先在本地Cache中查找，命中以后直接返回給客戶端。命中失敗才向服務(wù)

32、器端發(fā)送請求，同時對服務(wù)器返回的內(nèi)容進行本地Cache。天清ADC支持為不同的應(yīng)用提供各自的Cache空間及參數(shù)設(shè)置，這樣可以把服務(wù)器從重復(fù)的處理中解脫出來，提升整體效能。4.3 內(nèi)容壓縮通過壓縮HTTP響應(yīng)的數(shù)據(jù)，可以有效提升帶寬利用率和縮短下載時間。天清ADC應(yīng)用交付平臺提供的高性能壓縮技術(shù)，最大可以使帶寬利用率增加80%，應(yīng)用性能提升4倍以上。同時在客戶端瀏覽器和ADC設(shè)備間經(jīng)過一定的算法進行壓縮，也起到一定安全傳輸?shù)淖饔谩Ｌ烨錋DC把原本由服務(wù)器完成的壓縮過程搬到自身的高性能硬件平臺，避免了每臺服務(wù)器都執(zhí)行一次重復(fù)的壓縮過程，達到服務(wù)器卸載的效果。天清ADC支持瀏覽器最常用的GZIP和

33、DEFLATE兩種壓縮算法，提供基于七層的精細(xì)化壓縮控制策略，包括URI，Content Type等。管理員可以定義對“.txt”,“.doc”“.htlm”等文檔類型和靜態(tài)頁面數(shù)據(jù)進行壓縮，也可以排除PDF，IMG等壓縮效果不明顯的不必要操作。4.4 TCP連接復(fù)用TCP連接復(fù)用技術(shù)使多個客戶端共享一個到服務(wù)器的TCP連接，可以提升應(yīng)用服務(wù)器的整體性能，使應(yīng)用服務(wù)器從維護海量的TCP連接，并不斷的進行TCP建立和拆除維護中解脫出來，極大的提升單臺服務(wù)器的承載能力。天清ADC設(shè)備在接到一個客戶端HTTP請求后，通過負(fù)載分擔(dān)算法會選擇一臺服務(wù)器建立連接。如果接收到正常的服務(wù)器響應(yīng)，ADC設(shè)備會把

34、這個連接放入到“連接復(fù)用池”里面，當(dāng)另外一個新的客戶端發(fā)起HTTP連接請求時，ADC設(shè)備從現(xiàn)有的連接池里面選擇一個可用的連接來和服務(wù)器的進行數(shù)據(jù)交互，而不是重新創(chuàng)建一個到服務(wù)器的連接。通過這種優(yōu)化，可以把服務(wù)器負(fù)載降低到原來的1/10-50。4.5 TCP單邊加速標(biāo)準(zhǔn)TCP協(xié)議在設(shè)計時很少的考慮到高帶寬和夸Internet傳輸?shù)膯栴}，現(xiàn)在隨著高速帶寬的普及，標(biāo)準(zhǔn)的TCP協(xié)議表現(xiàn)出很多的不足，在網(wǎng)絡(luò)擁塞控制和丟包重傳機制上，往往效率比較低下，而且基本不具備根據(jù)網(wǎng)絡(luò)環(huán)境實時進行調(diào)解的能力。天清ADC應(yīng)用交付平臺提供智能單邊加速的功能，通過對標(biāo)準(zhǔn)TCP協(xié)議的慢啟動控制，擁塞避免，重傳和恢復(fù)幾個方面進

35、行優(yōu)化，來達到整體網(wǎng)絡(luò)加速的效果。同時，天清ADC設(shè)備可以根據(jù)當(dāng)前的網(wǎng)絡(luò)狀態(tài)，和承載的協(xié)議類型智能的選擇一種效率最高的算法。天清ADC應(yīng)用交付平臺的單邊加速對客戶端和服務(wù)器來說都是透明的，ADC和服務(wù)器之間仍然按照標(biāo)準(zhǔn)TCP協(xié)議運行，ADC和客戶端之間進行單邊加速，客戶端不需要做任何修改。4.6 HTTP管線（Pipelining）傳統(tǒng)的HTTP協(xié)議是當(dāng)一個請求發(fā)出，等接收到完整的響應(yīng)數(shù)據(jù)后，才進行下一個請求，這在高延遲的網(wǎng)絡(luò)環(huán)境中會導(dǎo)致整個數(shù)據(jù)交互的效率比較低。HTTP管線技術(shù)（Pipelining）可以將多個HTTP請求同時提交，而不用等待順序的請求回應(yīng)。（不帶Pipelining的HTT

36、P流程）天清ADC應(yīng)用交付平臺可以和支持Pipelining的客戶端瀏覽器智能協(xié)商開啟，ADC和服務(wù)器間還是正常的HTTP協(xié)議流程。4.7 窄帶用戶應(yīng)用加速當(dāng)客戶端通過窄帶線路比如通過ADSL撥號或者智能手機，pad移動終端上網(wǎng)時，對于應(yīng)用服務(wù)器的響應(yīng)，可能會由于客戶端側(cè)帶寬不足，或者帶寬質(zhì)量不好而導(dǎo)致報文的擁塞和丟包。這時客戶端就會發(fā)起重傳請求，如果大量的窄帶用戶同時訪問，就會出現(xiàn)應(yīng)用服務(wù)器反復(fù)處理這些重傳請求的壓力增大而降低效率。天清ADC應(yīng)用交付平臺使用TCP數(shù)據(jù)緩存技術(shù)，自動檢測客戶端對服務(wù)器響應(yīng)的處理能力，對于窄帶用戶，ADC會在自身平臺開辟出緩存空間來存儲服務(wù)器返回的數(shù)據(jù)，以客戶端

37、能夠適應(yīng)的速度完成數(shù)據(jù)交互，避免出現(xiàn)大量的重傳。服務(wù)器只要處理完成用戶的請求后，就可以釋放出來處理其他工作，不用再去處理丟包重傳的情況。4.8 重寫RewriteHttp協(xié)議的請求階段和響應(yīng)階段都可以對URI進行重寫，在請求http請求階段，可以把符合預(yù)置條件的所有http請求發(fā)送到一個指定的URL，比如是提示用戶進行登錄的頁面或者其他信息提示頁面。又或者是當(dāng)服務(wù)器某些文件已經(jīng)不存在或者目錄發(fā)生更改，而用戶通過其他網(wǎng)站或者搜索引擎的舊鏈接進行訪問時，可以把這類請求直接重定向到一個指定的錯誤信息提示頁面，減輕了服務(wù)器的負(fù)擔(dān)。部署了天清ADC應(yīng)用交付平臺以后，企業(yè)可以把原來基于http協(xié)議的應(yīng)用，

38、全部遷移到安全https協(xié)議。通過http請求重定向結(jié)合SSL卸載功能，可以實現(xiàn)企業(yè)服務(wù)器和客戶端都不需要任何更改的情況下完成http到https的無縫遷移。在http響應(yīng)階段，可以把服務(wù)器返回的404（客戶端語法錯誤）等重定向到一個指定的頁面。第五章 鏈路負(fù)載分擔(dān)天清ADC產(chǎn)品可以動態(tài)監(jiān)控鏈路的實時狀態(tài)，提供多種靜態(tài)和動態(tài)流量分擔(dān)方法，可以有效提升多鏈路接入的效率和整體性能。當(dāng)企業(yè)部署對外提供服務(wù)的應(yīng)用服務(wù)器時，天清ADC可以根據(jù)用戶所處的運營商網(wǎng)絡(luò)，或者地域的遠(yuǎn)近，或者當(dāng)前鏈路的帶寬質(zhì)量進行智能DNS解析，幫助用戶選擇最優(yōu)的鏈路進行訪問，提供最佳的用戶體驗。5.1 出站流量負(fù)載均衡（Out

39、bound方向）3455.1負(fù)載分擔(dān)算法鏈路負(fù)載分擔(dān)算法是用來計算內(nèi)網(wǎng)用戶訪問Internet時（出站流量），在多鏈路間進行流量分配的方案。鏈路負(fù)載分擔(dān)的算法和服務(wù)器負(fù)載分擔(dān)的算法有一致的地方，也存在一些差異，鏈路負(fù)載分擔(dān)算法包括： 輪詢（Round Robin）-依次按照順序把流量均勻的分配給每條鏈路。 比率（Ratio）-根據(jù)每條鏈路的帶寬，指定一個權(quán)值，按照這個比率給多條鏈路分配流量。 優(yōu)先級（Priority）-為每條鏈路指定一個優(yōu)先級，默認(rèn)情況下優(yōu)先向高優(yōu)先級的鏈路分配流量，當(dāng)該鏈路失效時選擇備份鏈路。 加權(quán)最小連接（Weight Least Connection）-首先為每條鏈路指

40、定帶寬的加權(quán)值，使連接數(shù)的分配符合權(quán)值的設(shè)定，對于新建的連接，選擇權(quán)值內(nèi)最小的鏈路分配流量。 加權(quán)最小流量（Weight Least Traffic）-首先為每條鏈路指定帶寬的加權(quán)值，使流量的分配符合權(quán)值的設(shè)定，對于新的流量，選擇權(quán)值內(nèi)最小的鏈路分配流量。 運營商路由（ISP Route）-內(nèi)置IP地址和運營商的對應(yīng)表，根據(jù)內(nèi)網(wǎng)用戶訪問的目的地址所屬運營商，選擇相應(yīng)的鏈路，避免跨運營商的訪問。 最快模式（Fastest）-ADC通過比對服務(wù)器返回數(shù)據(jù)包的延遲，跳數(shù)等情況，選擇一個當(dāng)前響應(yīng)最快的鏈路來分配流量。 主備模式（Master-Slave）-默認(rèn)情況下流量都發(fā)送給主鏈路，當(dāng)主鏈路失效時啟

41、用備份鏈路。鏈路健康檢查天清ADC鏈路負(fù)載實時對出口鏈路進行監(jiān)控和健康檢查，可以及時發(fā)現(xiàn)端口down掉情況。除此之外，天清ADC支持包括ICMP，TCP SYN，UDP，HTTP Get 等多種協(xié)議對遠(yuǎn)端地址進行監(jiān)控，即使是ISP內(nèi)部網(wǎng)絡(luò)出現(xiàn)故障，也可以及時發(fā)現(xiàn)并把流量切換到其他可用鏈路。出站流量會話保持和NAT出接口流量會話保持是指當(dāng)為某個數(shù)據(jù)流分配一個出接口鏈路以后，該種類型的后續(xù)相關(guān)流量都分配給同一條鏈路。天清ADC支持的會話保持主要是基于源地址的會話保持和基于hash的會話保持。天清ADC支持豐富的NAT轉(zhuǎn)換策略，包括源IP地址轉(zhuǎn)換，靜態(tài)地址轉(zhuǎn)換，和基于策略的地址轉(zhuǎn)換。 會話保持和NA

42、T地址轉(zhuǎn)換，可以很大程度的避免源主機和某目標(biāo)服務(wù)器通信的過程中，報文橫跨多個運營商的情況出現(xiàn)。5.2 入站流量負(fù)載均衡(Inbound方向)當(dāng)企業(yè)租用多個運營商鏈路，以便內(nèi)部的應(yīng)用服務(wù)器向外部用戶提供服務(wù)時，天清ADC可以通過在內(nèi)置的智能DNS服務(wù)器上，把企業(yè)的單一域名綁定到多運營商的各自的公網(wǎng)IP上，并作為企業(yè)域名的權(quán)威發(fā)布服務(wù)器。當(dāng)某個客戶端訪問應(yīng)用服務(wù)器時，首先會進行DNS解析，天清ADC可以根據(jù)客戶端所處的運營商網(wǎng)絡(luò)返回跟他匹配的IP地址，或者通過動態(tài)探測技術(shù)，選出到該用戶通信質(zhì)量最好鏈路，并返回對應(yīng)的IP地址。這樣可以保證每次客戶端都可以通過通信質(zhì)量最好的鏈路來訪問內(nèi)部的應(yīng)用服務(wù)器，

43、極大的改善用戶體驗，并提升整個系統(tǒng)的工作效率。5.2智能DNS解析流程假定企業(yè)通過租用聯(lián)通，電信兩條鏈路向外部網(wǎng)絡(luò)提供服務(wù)，企業(yè)的域名是, 則整個解析流程如下：1. 客戶端向本地DNS（Local DNS） 服務(wù)器發(fā)送域名為 的DNS請求。2. LDNS沒有該域名的A記錄，向最長匹配結(jié)果的服務(wù)器發(fā)送該請求，這里假設(shè)最長匹配只有根服務(wù)器。3. 根服務(wù)器沒有“”的A記錄，但是存放了“”的NS域名服務(wù)器記錄“ IN NS ”，將該NS記錄返回給LDNS。4. LDNS服務(wù)器根據(jù)該NS記錄知道了去哪可以找到“ ”的A記錄，將請求發(fā)送到天清ADC內(nèi)置的智能DNS服務(wù)器。5. ADC設(shè)備判斷LDNS的IP

44、地址隸屬于哪個運營商，此示例中LDNS隸屬于于網(wǎng)通，所以根據(jù)預(yù)先配置的規(guī)則，天清ADC返回“”的A記錄為網(wǎng)通鏈路所分配的公網(wǎng)IP地址。6. LDNS最終將剛收到的DNS響應(yīng)發(fā)送回給客戶端。7. 客戶端接下來訪問企業(yè)的網(wǎng)通鏈路公網(wǎng)地址，天清ADC上對應(yīng)的虛擬服務(wù)（VS）接收數(shù)據(jù)，進入服務(wù)器負(fù)載分擔(dān)的流程。第六章 全局負(fù)載分擔(dān)為了保護您的業(yè)務(wù)不受站點訪問中斷影響并且提高應(yīng)用的性能，部署多個數(shù)據(jù)中心是一個有效的做法。但要全面實現(xiàn)這些目標(biāo)，您的企業(yè)需要以高效的方式來監(jiān)控基礎(chǔ)架構(gòu)和應(yīng)用的狀態(tài)，并且根據(jù)業(yè)務(wù)需求來控制這個分布式基礎(chǔ)架構(gòu)。通過全局負(fù)載均衡功能，您可為用戶的每一次DNS查詢提供更安全、更智能的

45、響應(yīng)方式。天清ADC應(yīng)用交付平臺根據(jù)用戶位置、業(yè)務(wù)策略、數(shù)據(jù)中心狀況、網(wǎng)絡(luò)狀況和應(yīng)用性能來分配最終用戶的應(yīng)用請求。這樣，用戶可以全面地控制廣域流量，以確保運行在分布于各地的多個數(shù)據(jù)中心之間的應(yīng)用具有高可用性和最高性能。這樣，您將可以實現(xiàn)更高的應(yīng)用性能，更短的停機時間以及更簡化的管理。6.1 全局負(fù)載分擔(dān)策略天清ADC支持多種動態(tài)和靜態(tài)全局負(fù)載均衡算法，為用戶提供豐富的選擇方式，包括：66.16.2 動態(tài)就近性動態(tài)就近性通過從各個全局站點向LDNS進行探測，得到的動態(tài)參數(shù)可以反映LDNS和個站點間的響應(yīng)速度，根據(jù)參考的動態(tài)參數(shù)不同可分為以下幾種方式：1. RTT該算法簡單來說動態(tài)的獲得LDNS與

46、各數(shù)據(jù)中心間的響應(yīng)時間，選擇其中RTT值最小的IP對應(yīng)的A記錄返回給LDNS。RTT為Round Trip Time，記錄了從某站點發(fā)送探測包到收到探測包響應(yīng)的時間，實際運行中從不同站點的VS探測到LDNS的RTT一定程度上反映了各個VS的響應(yīng)速度。選擇RTT就近性算法后會動態(tài)生成一個LDNS就近分布表，根據(jù)該動態(tài)表，對每個客戶的訪問都會提供一個最快速的鏈路進行訪問。可以選擇多種探測方法判斷對LDNS的RTT時間, 包括: DNS_Dot: 向local DNS發(fā)起一個包含”.”的測試, 也就是向目標(biāo)請求root清單，該解析一般默認(rèn)配置的DNS服務(wù)器均提供支持。DNS_REV: 向local

47、DNS發(fā)起本機IP的PTR請求 UDP:發(fā)起一個UDP的包, 記錄響應(yīng)時間 TCP:發(fā)起一個TCP的包，記錄響應(yīng)時間 ICMP:發(fā)起一個ICMP 的ping 包, 記錄響應(yīng)時間2. HopsHops指站點到LDNS的路由跳數(shù)，與RTT相似，探測各VS到LDNS的路由跳數(shù)，選擇路由跳數(shù)最小的VS。該方法通過traceroute來實現(xiàn)。3. 全局可用性全球可用性算法主要用于災(zāi)難備份系統(tǒng)。通過健康檢查，可判斷各站點或線路的健康狀態(tài)。并在配置的時候，將同一域名所對應(yīng)的IP地址進行排序，在系統(tǒng)正常的時候，僅會有排名第一的服務(wù)器對外提供服務(wù)。只有在排名第一的服務(wù)器無法對外提供服務(wù)的時候，由排名第二的服務(wù)器

48、接管服務(wù)。如果有多線路或者多站點則依次類推。通常，我們采用全球可用性算法作為備選算法。在前兩面的方法沒有命中時，將所有的用戶定位到默認(rèn)的線路上。4. 返回備用IP用戶會配置一個IP地址，當(dāng)選擇該方法時，設(shè)備將會用該IP地址對應(yīng)的A記錄對LDNS的請求進行響應(yīng)。通常該種方法作為候選方法，將Fall Back IP設(shè)置為某個備災(zāi)數(shù)據(jù)中心的IP，首選方法調(diào)度失敗時應(yīng)用這種方法，使得LDNS最終得到一個響應(yīng)。5. 輪詢將請求依次順序循環(huán)地返回每個VS IP。當(dāng)其中某VS發(fā)生故障，就把其從順序循環(huán)隊列中拿出，不參加下一次的輪詢，直到其恢復(fù)正常。6. 加權(quán)輪詢給每個VS分配一個加權(quán)值，根椐這個權(quán)值，把用戶

49、的請求分配到每個VS。權(quán)值大的表示可以處理較多的請求，反之處理的請求相對較少。當(dāng)其中某個VS發(fā)生故障，就把其從隊列中拿出，不參加下一次的用戶請求的分配, 直到其恢復(fù)正常。7. 最小連接數(shù)傳遞新的連接給那些進行最少連接處理的VS。當(dāng)其中某個VS發(fā)生故障，就把其從隊列中拿出，不參加下一次的用戶請求的分配, 直到其恢復(fù)正常。為了避免VS因過載而崩潰，可為每個VS指定最大連接閾值來避免過載。8. 加權(quán)最小連接數(shù)該算法是最小連接算法的超集，各個VS用相應(yīng)的權(quán)值表示其處理性能。缺省權(quán)值為1，系統(tǒng)管理員可以動態(tài)地設(shè)置VS的權(quán)值。加權(quán)最小連接調(diào)度在調(diào)度新DNS請求時盡可能使VS的已建立連接數(shù)和其權(quán)值成比例。9

50、. 最小帶寬占用選擇當(dāng)前帶寬占用最小的VS。單位為kbytes/s。10. 最小流量選擇最近一段時間流量最小的VS。單位為pkts/s。6.3 靜態(tài)就近性策略當(dāng)選擇靜態(tài)就近性作為全局負(fù)載均衡的調(diào)度方式時，相當(dāng)于根據(jù)LDNS的ISP、地理位置等拓?fù)湫畔⑦x擇VS的IP。不同的VS可能分布在不同地理位置的數(shù)據(jù)中心，又或者存在于同一數(shù)據(jù)中心但分處在不同ISP的鏈路接口上。這時LDNS的ISP和地理位置和某VS的ISP、地理位置完全匹配的情況極少，對于這種情況就需要用戶進行靜態(tài)就近性的策略配置。人為的劃定LDNS所在區(qū)域和各個數(shù)據(jù)中心間的距離關(guān)系。例如：企業(yè)在北京和沈陽部署兩個數(shù)據(jù)中心，希望北京的數(shù)據(jù)中

51、心覆蓋華北區(qū)域，而沈陽的數(shù)據(jù)中心覆蓋整個東北區(qū)域。然后結(jié)合IP地址-地域信息庫，人為的把隸屬于東北三省的LDNS請求指向沈陽數(shù)據(jù)中心，把隸屬于華北地區(qū)的DNS請求指向北京的數(shù)據(jù)中心。從另外一個角度，拓?fù)湫畔熘惶峁┝薎P和地域信息之間的映射關(guān)系，需要根據(jù)靜態(tài)就近性做負(fù)載均衡，就需要得到地域信息和地域信息之間的映射關(guān)系，這種關(guān)系就是靜態(tài)就近性策略。6.4 IP Anycast技術(shù)結(jié)合動態(tài)路由協(xié)議BGP或者OSPF，天清ADC提供了一種有別于常規(guī)思路的全局負(fù)載分擔(dān)策略IP Anycast。這種技術(shù)允許部署在各個數(shù)據(jù)中心的VS使用同一個IP地址，在天清ADC應(yīng)用交付平臺上運行BGP動態(tài)路由協(xié)議，每臺

52、ADC設(shè)備上通過路由協(xié)議來選擇距離最近的數(shù)據(jù)中心。IP Anycast技術(shù)也可以作為一種抵御DDOS攻擊的有效手段，任何一點發(fā)起攻擊時，只能影響到距離攻擊點“最近”的一個數(shù)據(jù)中心，而其他數(shù)據(jù)中心則不受任何影響可以繼續(xù)為用戶提供服務(wù)。6.5 基于HTTP重定向的全局負(fù)載均衡當(dāng)用戶通過HTTP協(xié)議訪問應(yīng)用系統(tǒng)的虛擬服務(wù)（VS）地址時，如果本地ADC出現(xiàn)調(diào)度失敗的情況：如無法從地址池中選中當(dāng)前可用的Server節(jié)點，或者本地應(yīng)用系統(tǒng)壓力已經(jīng)過載等，此時本地的ADC可以利用HTTP協(xié)議的重定向功能，再次在全局范圍內(nèi)重新選擇一個可用的數(shù)據(jù)中心實現(xiàn)請求的二次調(diào)度?；贖TTP重定向的全局負(fù)載分擔(dān)技術(shù)，不依

53、賴于DNS系統(tǒng)，也不需要對現(xiàn)有DNS系統(tǒng)進行任何修改，更有利于實現(xiàn)快速部署和有效管理。第七章 應(yīng)用安全防護7.1 應(yīng)用安全防護隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)在全球經(jīng)濟中扎根發(fā)芽，對各個行業(yè)的發(fā)展起著舉足輕重的作用。隨著時間的推移，應(yīng)用安全的問題也日益嚴(yán)重。越來越多的企業(yè)內(nèi)部和外部的業(yè)務(wù)應(yīng)用采用基于Web和數(shù)據(jù)庫結(jié)合的B/S架構(gòu)。Web系統(tǒng)發(fā)揮著越來越重要的作用。與此同時，越來越多的Web系統(tǒng)也因為存在安全隱患而頻繁遭受到各種攻擊，導(dǎo)致Web系統(tǒng)敏感數(shù)據(jù)、頁面被篡改、甚至成為傳播木馬的傀儡，最終會給更多訪問者造成傷害，帶來嚴(yán)重?fù)p失。 企業(yè)針對安全威脅通常采用防火墻、入侵防御等網(wǎng)絡(luò)安全設(shè)備

54、，然而傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品主要工作在網(wǎng)絡(luò)層之下，通過對協(xié)議、地址和服務(wù)端口的識別和控制達到防范入侵的目的，可以有效的防范基于業(yè)務(wù)端口的攻擊。然而經(jīng)證實，面對安全威脅的發(fā)展趨勢，防火墻已經(jīng)顯得無能為力，它無法檢測出封裝在有效數(shù)據(jù)內(nèi)的惡意威脅與攻擊。入侵防御產(chǎn)品主要通過特征比對實現(xiàn)對網(wǎng)絡(luò)入侵的防御，但隨著Web應(yīng)用技術(shù)的深入普及，Web應(yīng)用程序漏洞發(fā)掘和攻擊速度越來越快，基于Web漏洞的攻擊更容易被利用，已經(jīng)成為黑客首選。對應(yīng)用層的SQL注入、XSS攻擊這種基于應(yīng)用層構(gòu)建的攻擊，由于這類攻擊特征不唯一性，導(dǎo)致傳統(tǒng)的入侵防御產(chǎn)品無法發(fā)現(xiàn)此類攻擊。7.2 啟明星辰應(yīng)用交付解決思路傳統(tǒng)的負(fù)載產(chǎn)品里，基本不

55、具備安全功能，或者只能具備基本的網(wǎng)絡(luò)訪問控制功能。啟明星辰的依托自身的安全因子，除了具備基礎(chǔ)的網(wǎng)絡(luò)層訪問控制外，還具備標(biāo)準(zhǔn)的防火墻的防掃描、防攻擊功能?？梢酝耆娣阑饓\行。作為一款應(yīng)用交付產(chǎn)品，啟明星辰的天清應(yīng)用交付平臺，在做應(yīng)用的分發(fā)同時，還支持對應(yīng)用層的安全檢測及訪問控制功能。天清應(yīng)用交付平臺應(yīng)用了一套HTTP會話規(guī)則集，這些規(guī)則涵蓋諸如SQL注入、以及XSS等常見的Web攻擊。同時可通過自定義規(guī)則，識別并阻止更多攻擊。解決諸如防火墻、IPS等傳統(tǒng)設(shè)備束手無策的Web系統(tǒng)安全問題。天清應(yīng)用交付始終致力于提供Web安全與應(yīng)用交付融合的解決方案，確保Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全

56、性： Web安全：依托多年安全檢測積累、持續(xù)的安全研究投入，針對WEB安全最主要的SQL/XSS攻擊，提供快速全面的Web安全檢測方案。 應(yīng)用交付：依托最新intel SandyBridge平臺、專為VBOS優(yōu)化的TCP/IP協(xié)議棧，以高速、高可用為目標(biāo)，優(yōu)化業(yè)務(wù)資源，改善訪問體驗。7.3 主要安全功能7.3.1. 網(wǎng)絡(luò)層防護控制與攻擊防護啟明星辰具備標(biāo)準(zhǔn)防火墻功能，能夠基于源、目的IP、協(xié)議、端口、時間、接口等信息做訪問控制。此外，通過分析網(wǎng)絡(luò)層報文的行為特征判斷報文是否具有攻擊性，并且對攻擊行為采取措施以保護網(wǎng)絡(luò)主機或者網(wǎng)絡(luò)設(shè)備。目前，Internet上常見的網(wǎng)絡(luò)安全威脅分為以下三類：DoS攻擊DoS攻擊是使用大量的數(shù)據(jù)包攻擊目標(biāo)系統(tǒng)，使目標(biāo)系統(tǒng)無法接受正常用戶的請求，或者使目標(biāo)主機掛起不能正常工作。主要的DoS攻擊有SYN Flood、Fraggle等。DoS攻擊和其它類型的攻擊不同之處在于，攻擊者并不是去尋找進入目標(biāo)網(wǎng)絡(luò)的入口，而是通過擾亂目標(biāo)網(wǎng)絡(luò)的正常工作來阻止合法用戶訪問網(wǎng)絡(luò)資源。掃描窺探攻擊掃描窺探攻擊利用ping掃描（包括ICMP和TCP）標(biāo)識網(wǎng)絡(luò)上存在的活動主機，從而可以準(zhǔn)確地定位潛在目標(biāo)的位置；利用TCP和UDP端口掃描檢測出目標(biāo)操作系統(tǒng)和啟用的服務(wù)類型。攻擊者通過掃描窺探就能