負(fù)載均衡技術(shù)白皮書

1、天清應(yīng)用交付平臺(tái)技術(shù)白皮書應(yīng)用交付產(chǎn)品技術(shù)白皮書目錄第一章應(yīng)用交付產(chǎn)品的概念及核心價(jià)值41.1ADN應(yīng)用交付網(wǎng)絡(luò)的概念41.2應(yīng)用交付產(chǎn)品的核心價(jià)值5第二章天清ADC應(yīng)用交付解決方案總體介紹62.1方案構(gòu)成6服務(wù)器負(fù)載均衡7全局負(fù)載均衡8鏈路負(fù)載均衡92.2部署方式11串行部署三層接入11串行透明部署11旁路部署三層接入12旁路部署透明接入12旁路部署之三角傳輸13第三章服務(wù)器負(fù)載分擔(dān)133.1服務(wù)器負(fù)載分擔(dān)133.1.1負(fù)載分擔(dān)算法143.1.2健康檢查策略153.1.3會(huì)話保持策略163.2七層內(nèi)容交換193.3HA高可靠性與設(shè)備集群203.3.1HA高可靠性203.3.2設(shè)備集群22第四

2、章應(yīng)用優(yōu)化與加速234.1SSL硬件加速和卸載244.2本地RAM Cache244.3內(nèi)容壓縮254.4TCP連接復(fù)用254.5TCP單邊加速264.6HTTP管線（Pipelining）274.7窄帶用戶應(yīng)用加速294.8重寫Rewrite29第五章鏈路負(fù)載分擔(dān)305.1出站流量負(fù)載均衡（Outbound方向）30負(fù)載分擔(dān)算法30鏈路健康檢查32出站流量會(huì)話保持和NAT325.2入站流量負(fù)載均衡(Inbound方向)33智能DNS解析流程34第六章全局負(fù)載分擔(dān)356.1全局負(fù)載分擔(dān)策略366.2動(dòng)態(tài)就近性366.3靜態(tài)就近性策略396.4IP Anycast技術(shù)396.5基于HTTP重定向

3、的全局負(fù)載均衡40第七章應(yīng)用安全防護(hù)417.1應(yīng)用安全防護(hù)417.2啟明星辰應(yīng)用交付解決思路427.3主要安全功能43第一章 應(yīng)用交付產(chǎn)品的概念及核心價(jià)值1.1 ADN應(yīng)用交付網(wǎng)絡(luò)的概念I(lǐng)nternet本質(zhì)上是一種端到端（end-to-end）的技術(shù)，任何一個(gè)復(fù)雜的應(yīng)用，最終都會(huì)歸根于在Client和Server之間的數(shù)據(jù)交互，而其所經(jīng)過Internet的環(huán)節(jié)卻紛繁復(fù)雜，對于應(yīng)用的運(yùn)營者來說，其中的任何一個(gè)環(huán)節(jié)處理不好，都會(huì)導(dǎo)致業(yè)務(wù)的無法正常提供或者效率低下。比如：  應(yīng)用系統(tǒng)的性能瓶頸，穩(wěn)定性，可擴(kuò)展性的問題；  跨運(yùn)營商訪問時(shí)因路由瓶頸而導(dǎo)致的網(wǎng)絡(luò)延遲問題； 

4、 寬帶用戶和窄帶用戶（移動(dòng)終端）并存時(shí)的合理分發(fā)和訪問效率問題；  應(yīng)用系統(tǒng)所面臨的網(wǎng)絡(luò)攻擊等安全性等問題；  應(yīng)用系統(tǒng)的整體運(yùn)行效率和改善用戶體驗(yàn)問題等等。Application Delivery Networks（ADN），正是面向于保障Client和Server之間穩(wěn)定且高效的數(shù)據(jù)交互而提出的一套技術(shù)體系，其主要是面向基于瀏覽器（Web-Based）并借助于Internet向用戶提供服務(wù)的業(yè)務(wù)模式。ADN產(chǎn)品按照國際著名資訊機(jī)構(gòu)Gartner的闡述，主要是包含廣域網(wǎng)優(yōu)化WAN Optimization Controller（WOC）和應(yīng)用交付控制器Applicatio

5、n Delivery Controller（ADC）兩個(gè)領(lǐng)域。廣域網(wǎng)優(yōu)化產(chǎn)品，主要是用于在多個(gè)數(shù)據(jù)中心，或者總部和分支機(jī)構(gòu)之間進(jìn)行數(shù)據(jù)的壓縮以提升傳輸效率，節(jié)約帶寬成本。ADC產(chǎn)品是從負(fù)載分擔(dān)（Load Balance）產(chǎn)品演進(jìn)而來，負(fù)載分擔(dān)產(chǎn)品通過對外提供唯一的訪問IP地址（虛擬服務(wù)VS），對內(nèi)通過地址池（Pool）關(guān)聯(lián)多個(gè)提供相同服務(wù)的節(jié)點(diǎn)（Server），這樣就可以把進(jìn)入的流量按照事先定義好的策略分發(fā)給這些服務(wù)器，同時(shí)監(jiān)控這些服務(wù)器的狀態(tài)，當(dāng)某個(gè)節(jié)點(diǎn)失效時(shí)，可以把流量重新分配到其他正常的服務(wù)器上。運(yùn)營者可以隨時(shí)增加或者減小這組服務(wù)器的數(shù)目，以滿足業(yè)務(wù)變化的需要。這樣就實(shí)現(xiàn)了WEB服務(wù)器側(cè)

6、的可用性和彈性擴(kuò)展。ADC除了具備負(fù)載分擔(dān)的功能外，更關(guān)注的是整個(gè)應(yīng)用交付的各個(gè)環(huán)節(jié)，包括Client側(cè)，Server側(cè)及數(shù)據(jù)交互經(jīng)過網(wǎng)絡(luò)節(jié)點(diǎn)的整體效率。ADC可以根據(jù)用戶訪問的內(nèi)容做更精細(xì)化的流量分擔(dān)，可以根據(jù)用戶自身的信息如瀏覽器類型，Cookie等七層信息做內(nèi)容交換。ADC能夠識別出應(yīng)用，并且進(jìn)行加速和優(yōu)化處理。同時(shí)，ADC設(shè)備可以對服務(wù)器的壓力進(jìn)行卸載（Off-Load）-包括SSL協(xié)議，內(nèi)容壓縮，Cache，TCP鏈接等，讓服務(wù)器資源重點(diǎn)服務(wù)自身的業(yè)務(wù)系統(tǒng)，從而提升整個(gè)系統(tǒng)的效率。11.2 應(yīng)用交付產(chǎn)品的核心價(jià)值應(yīng)用交付產(chǎn)品關(guān)注整個(gè)應(yīng)用交付的環(huán)節(jié)，核心價(jià)值是為了保障應(yīng)用的：高性能-滿

7、足業(yè)務(wù)發(fā)展的需要，并具備足夠的彈性擴(kuò)展。高效率-服務(wù)器壓力卸載，提升整個(gè)業(yè)務(wù)系統(tǒng)效率。高可用-業(yè)務(wù)的備份和冗余。保障業(yè)務(wù)的不間斷穩(wěn)定運(yùn)行，并提升用戶體驗(yàn)。安全性-保障業(yè)務(wù)安全，防止入侵和數(shù)據(jù)泄漏。第二章 天清ADC應(yīng)用交付解決方案總體介紹啟明星辰基于深厚的技術(shù)積累，不斷探索專業(yè)有效的ADC解決方案以保障用戶應(yīng)用連續(xù)可靠運(yùn)行的同時(shí)，節(jié)約用戶的投資效率，并帶來更好的用戶體驗(yàn)。2.1 方案構(gòu)成為了滿足IT應(yīng)用有效、快速、安全交付的需求，啟明星辰推出天清ADC應(yīng)用交付平臺(tái)的整體解決方案，包括：服務(wù)器負(fù)載均衡，應(yīng)用優(yōu)化與加速，鏈路負(fù)載均衡，全局負(fù)載均衡，廣域網(wǎng)優(yōu)化，安全防護(hù)等全系列產(chǎn)品。服務(wù)器負(fù)載均衡服

8、務(wù)器負(fù)載均衡主要是對訪問服務(wù)器和服務(wù)器返回的流量進(jìn)行管理，天清ADC應(yīng)用交付平臺(tái)通過多種靜態(tài)和動(dòng)態(tài)負(fù)載分擔(dān)算法，把訪問服務(wù)器的流量智能的分發(fā)給最佳的服務(wù)器。同時(shí)，天清ADC應(yīng)用交付平臺(tái)利用自身的多核高性能硬件平臺(tái)和VBOS軟件系統(tǒng)的優(yōu)勢，對流量進(jìn)行實(shí)時(shí)壓縮，緩存，硬件加解密等處理，把原本需要耗費(fèi)服務(wù)器大量性能的計(jì)算接管過來，使服務(wù)器系統(tǒng)只進(jìn)行業(yè)務(wù)相關(guān)的處理，以實(shí)現(xiàn)整個(gè)業(yè)務(wù)系統(tǒng)的加速和效率提升。天清ADC服務(wù)器負(fù)載均衡方案包括：負(fù)載分擔(dān)，應(yīng)用加速，服務(wù)器卸載等幾個(gè)部分。與此同時(shí)，天清ADC應(yīng)用交付平臺(tái)還提供專業(yè)的抗拒絕服務(wù)攻擊、狀態(tài)防火墻及Web應(yīng)用防火墻功能，進(jìn)一步提升應(yīng)用的安全性和可靠性。全

9、局負(fù)載均衡全局負(fù)載均衡-GSLB（Global Server Load Balance）是通過在全球部署多個(gè)數(shù)據(jù)中心來保護(hù)業(yè)務(wù)站點(diǎn)不受訪問中斷的影響，并且提升整體業(yè)務(wù)系統(tǒng)響應(yīng)能力的一種解決方案。通過部署天清ADC應(yīng)用交付平臺(tái)，可以在多個(gè)數(shù)據(jù)中心之間進(jìn)行流量分擔(dān)，并進(jìn)行數(shù)據(jù)中心間的冗余和災(zāi)備。同時(shí)天清ADC應(yīng)用交付平臺(tái)可以根據(jù)智能算法，把某個(gè)用戶的訪問引導(dǎo)到距離他最近，延遲最小的數(shù)據(jù)中心，即實(shí)現(xiàn)了整個(gè)業(yè)務(wù)系統(tǒng)的可擴(kuò)展性，也有效的提升了用戶體驗(yàn)。天清ADC應(yīng)用交付平臺(tái)內(nèi)置智能DNS系統(tǒng)和IP地理位置信息庫，企業(yè)可以把ADC設(shè)備作為域名授權(quán)發(fā)布服務(wù)器，配置多個(gè)數(shù)據(jù)中心的IP地址對應(yīng)該域名DNS A記

10、錄。當(dāng)接收到某個(gè)用戶的DNS請求時(shí)，通過判斷該用戶所處地域，并結(jié)合動(dòng)態(tài)探測算法或者靜態(tài)策略返回該域名對應(yīng)的最佳數(shù)據(jù)中心地址。天清ADC應(yīng)用交付平臺(tái)除了具備動(dòng)態(tài)智能解析方式外，還提供靜態(tài)就近性策略，HTTP重定向和IP AnyCast技術(shù)等多種全局負(fù)載分擔(dān)解決方案?？梢詾槠髽I(yè)提供最靈活的選擇方式，并能夠和其他全局負(fù)載分擔(dān)產(chǎn)品實(shí)現(xiàn)網(wǎng)絡(luò)兼容。鏈路負(fù)載均衡根據(jù)中國的運(yùn)營商接入現(xiàn)狀，企業(yè)往往選擇同時(shí)租用多條運(yùn)營商線路以實(shí)現(xiàn)企業(yè)接入Internet時(shí)的鏈路備份和帶寬疊加。天清ADC應(yīng)用交付平臺(tái)可以動(dòng)態(tài)監(jiān)控鏈路的實(shí)時(shí)狀態(tài)，提供多種靜態(tài)和動(dòng)態(tài)流量分擔(dān)方法，可以有效提升多鏈路接入的效率和整體性能。當(dāng)企業(yè)部署對外

11、提供服務(wù)的應(yīng)用服務(wù)器時(shí)，天清ADC應(yīng)用交付平臺(tái)可以根據(jù)用戶所處的運(yùn)營商網(wǎng)絡(luò)，或者地域的遠(yuǎn)近，或者當(dāng)前鏈路的帶寬質(zhì)量進(jìn)行智能DNS解析，幫助用戶選擇最優(yōu)的鏈路進(jìn)行訪問，有效避免跨運(yùn)營商訪問時(shí)造成的帶寬瓶頸和延遲增大等問題，提供最佳的用戶體驗(yàn)。  Outbound出站方向訪問內(nèi)網(wǎng)用戶向外發(fā)起連接請求時(shí)，天清ADC應(yīng)用交付平臺(tái)產(chǎn)品提供多種靜態(tài)和動(dòng)態(tài)鏈路分擔(dān)算法，選擇當(dāng)前最合適的鏈路分配流量。靜態(tài)算法包括：輪詢，比率，加權(quán)等。動(dòng)態(tài)算法包括：最小連接，最小流量，最小延遲等等。天清ADC應(yīng)用交付平臺(tái)支持運(yùn)營商路由選擇，根據(jù)用戶請求地址所出運(yùn)營商來選擇和其匹配的運(yùn)營商鏈路出口，這樣就避免了跨運(yùn)營商

12、訪問的效率低下問題。  Inbound入站方向訪問當(dāng)企業(yè)內(nèi)部提供對外的服務(wù)的業(yè)務(wù)系統(tǒng)時(shí)，如ERP系統(tǒng)，郵件系統(tǒng)或者其他在線業(yè)務(wù)交易系統(tǒng)時(shí)，可以把天清ADC應(yīng)用交付平臺(tái)作為授權(quán)域名發(fā)布服務(wù)器，把多個(gè)運(yùn)營商鏈路接入IP地址綁定到同一個(gè)域名A記錄上。這樣，結(jié)合運(yùn)營商IP位置信息庫和靜態(tài)配置策略，ADC能夠智能的處理外部用戶DNS請求，返回最佳的鏈路接入地址。2.2 部署方式天清ADC應(yīng)用交付平臺(tái)支持串行接入，并行接入，三層接入，透明模式接入，DSR模式等多種接入方式，企業(yè)可以根據(jù)當(dāng)前的網(wǎng)絡(luò)運(yùn)行狀況和業(yè)務(wù)規(guī)劃選擇最合適的接入方式。2.1串行部署三層接入這種模式下，天清ADC應(yīng)用交付平臺(tái)串行接

13、入到網(wǎng)絡(luò)中，所有流量都先經(jīng)過ADC設(shè)備處理，通常情況下，ADC設(shè)備上的虛擬服務(wù)（VS）配置為公網(wǎng)IP地址，內(nèi)部的服務(wù)器則配置為私有IP地址。典型的串行網(wǎng)絡(luò)結(jié)構(gòu)如下，天清ADC應(yīng)用交付平臺(tái)采用HA方式，和上下層交換機(jī)采用雙鏈路交叉連接，網(wǎng)絡(luò)結(jié)構(gòu)清晰，并且具備很強(qiáng)的冗余性和可靠性。串行透明部署這種部署模式可以不改變用戶的現(xiàn)有IP地址結(jié)構(gòu)，ADC設(shè)備的虛擬服務(wù)地址（VS）和服務(wù)器處在一個(gè)網(wǎng)段，當(dāng)ADC設(shè)備出現(xiàn)單點(diǎn)故障，或者性能無法滿足時(shí)，可以臨時(shí)采用Bypass策略繞過ADC設(shè)備。串行接入透明部署的工作原理類似于正常的串行接入。旁路部署三層接入旁路方式部署ADC產(chǎn)品，不需要對現(xiàn)有運(yùn)行著網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改

14、變，可以方便快速的把ADC部署到網(wǎng)絡(luò)中，ADC的工作模式和串行部署比較相近，ADC的虛擬服務(wù)配置為公有地址，內(nèi)部服務(wù)器配置為私有IP地址。ADC設(shè)備和服務(wù)器分別屬于交換機(jī)不同的VLAN，ADC在分發(fā)數(shù)據(jù)給服務(wù)器時(shí)，進(jìn)行源IP地址轉(zhuǎn)換，把發(fā)給服務(wù)器的報(bào)文源IP地址改為ADC設(shè)備自身的IP地址，以保證服務(wù)器返回的流量也經(jīng)過天清ADC應(yīng)用交付平臺(tái)。旁路部署透明接入原理類似旁路部署三層接入，不同是天清ADC和服務(wù)器劃分到一個(gè)VLAN里面，天清ADC的VS地址和服務(wù)器配置為同一個(gè)IP網(wǎng)段，這種情況下可以把服務(wù)器的網(wǎng)關(guān)地址指向ADC設(shè)備的IP地址，ADC設(shè)備使用真實(shí)的客戶端地址和服務(wù)器建立連接，而不需進(jìn)行

15、NAT源地址轉(zhuǎn)換。旁路部署之三角傳輸三角傳輸,也叫Direct Server Return(DSR)模式，是旁路部署的一個(gè)特例，這種模式下只有入站方向流量進(jìn)入到ADC設(shè)備，由ADC設(shè)備根據(jù)預(yù)先配置好的負(fù)載分擔(dān)策略進(jìn)行流量分發(fā)，而服務(wù)器返回的流量不經(jīng)過ADC設(shè)備。由于互聯(lián)網(wǎng)的流量具有典型的非對稱性，即請求方向上的流量比較小，絕大多數(shù)流量集中在服務(wù)器響應(yīng)的方向上，所以如果讓ADC設(shè)備只處理請求方向的流量，服務(wù)器返回的流量直接返回給客戶端不經(jīng)過ADC設(shè)備，就大大提升了ADC的處理能力。三角傳輸模式無法支持一些需要修改服務(wù)器返回?cái)?shù)據(jù)的功能，如基于Cookie的會(huì)話保持，響應(yīng)重寫等七層功能。也無法實(shí)現(xiàn)緩

16、存和內(nèi)容壓縮等功能。第三章 服務(wù)器負(fù)載分擔(dān)3.1服務(wù)器負(fù)載分擔(dān)ADC在設(shè)備上建立一個(gè)或多個(gè)虛擬服務(wù)VS（IP：Port），來映射內(nèi)部的服務(wù)器組來對外提供的一種或者多種應(yīng)用。內(nèi)部服務(wù)器被加入到地址池中（Pool），當(dāng)有外部流量訪問VS時(shí)，ADC通過預(yù)先配置好的負(fù)載分擔(dān)算法，從地址池中選擇一臺(tái)可用的服務(wù)器作為應(yīng)用提供者。同時(shí)ADC實(shí)時(shí)對每個(gè)服務(wù)器節(jié)點(diǎn)進(jìn)行健康檢查，當(dāng)某一臺(tái)出現(xiàn)故障無法正常提供服務(wù)時(shí)，把該服務(wù)器從Pool中的可用列表移出，不再向其分發(fā)流量。3.1.1負(fù)載分擔(dān)算法天清ADC應(yīng)用交付平臺(tái)支持豐富的負(fù)載分擔(dān)策略，即可以根據(jù)預(yù)先配置的靜態(tài)算法，也可以根據(jù)當(dāng)前的運(yùn)行狀態(tài)進(jìn)行動(dòng)態(tài)算法的負(fù)載分擔(dān)。

17、靜態(tài)算法包括：  輪詢（Round Robin）-依次按照順序把流量分配給每臺(tái)服務(wù)器。  比率（Ratio）-根據(jù)服務(wù)器的性能為每個(gè)服務(wù)器指定一個(gè)權(quán)值，按照這個(gè)比率給服務(wù)器分配流量。  優(yōu)先級（Priority）-當(dāng)使用多組服務(wù)器時(shí)，為每個(gè)服務(wù)器組指定一個(gè)優(yōu)先級，默認(rèn)情況下優(yōu)先向高優(yōu)先級的服務(wù)器組分配流量，當(dāng)該組服務(wù)器失效時(shí)選擇備份服務(wù)器組。動(dòng)態(tài)算法包括：  最小連接（Least Connection）-ADC優(yōu)先把流量分配給當(dāng)前連接數(shù)最少的服務(wù)器。  最快模式（Fastest）-ADC通過比對服務(wù)器返回?cái)?shù)據(jù)包的延遲情況，選擇一個(gè)當(dāng)前響應(yīng)最快的

18、服務(wù)器來分配流量。  SNMP監(jiān)控-設(shè)備上通過SNMP客戶端來讀取服務(wù)器的實(shí)時(shí)運(yùn)行狀態(tài)，包括CPU，內(nèi)存和I/O信息，為每種實(shí)時(shí)信息配置門限值，當(dāng)超過這個(gè)門限值時(shí)不再向這臺(tái)服務(wù)器分配報(bào)文。  觀察模式（Observed）-結(jié)合最小連接和最快模式兩種結(jié)果，選擇最佳平衡為依據(jù)為新的請求選擇服務(wù)器。服務(wù)器平滑接入和退出：當(dāng)有新的服務(wù)器接入或者服務(wù)器重新啟動(dòng)時(shí)，ADC系統(tǒng)可以把流量逐步分配給新接入的服務(wù)器，避免服務(wù)器的某些進(jìn)程還沒有加載完成而導(dǎo)致系統(tǒng)資源占用過高，或者應(yīng)用響應(yīng)緩慢的情況，實(shí)現(xiàn)服務(wù)器的平滑接入。管理員也可以手工方式操作把某臺(tái)服務(wù)器退出流量分擔(dān)機(jī)制，此時(shí)ADC系統(tǒng)不再分

19、配新的流量給該服務(wù)器，該服務(wù)器的現(xiàn)有連接繼續(xù)保持，直至連接結(jié)束。3.1.2健康檢查策略健康檢查是指對服務(wù)器的運(yùn)行狀態(tài)定期進(jìn)行實(shí)時(shí)檢測，一旦發(fā)現(xiàn)服務(wù)器故障，將把該服務(wù)器移出流量分擔(dān)的隊(duì)列。天清ADC應(yīng)用交付平臺(tái)提供豐富的健康檢查策略，和負(fù)載分擔(dān)算法組合到一起，就可以實(shí)現(xiàn)非常靈活的負(fù)載分擔(dān)策略。  TCP SYN-向目標(biāo)服務(wù)器發(fā)送TCP SYN報(bào)文，如果得到正確的回復(fù)表示服務(wù)器工作正常。  Ping-向目標(biāo)服務(wù)器發(fā)送ICMP請求報(bào)文，如果得到正確回復(fù)表示服務(wù)器工作正常。  HTTP/HTTPS Get-向目標(biāo)系統(tǒng)發(fā)送HTTP或HTTPS協(xié)議的Get報(bào)文，請求一個(gè)指定的

20、URL，如果得到正確回復(fù)表示服務(wù)器工作正常。3.1.3會(huì)話保持策略會(huì)話保持是指流量一旦按照負(fù)載分擔(dān)策略分配給某個(gè)服務(wù)器后，后續(xù)的相關(guān)請求報(bào)文同樣分配給同一臺(tái)服務(wù)器，以保障業(yè)務(wù)的連續(xù)性。比如，很多電子商務(wù)相關(guān)的應(yīng)用系統(tǒng)或者需要用戶身份認(rèn)證的系統(tǒng)，用戶和服務(wù)器間會(huì)進(jìn)行多次的數(shù)據(jù)交互才能完成一筆交易或者身份認(rèn)證過程，必須把這個(gè)過程的交互報(bào)文分配給同一個(gè)服務(wù)器。天清ADC應(yīng)用交付平臺(tái)支持6類共8種會(huì)話保持的方法，即可以根據(jù)源IP地址，ServerID等靜態(tài)信息來做會(huì)話保持，也可以通過Cookie插入和重寫來實(shí)現(xiàn)更高級的會(huì)話保持方法。每種會(huì)話保持的效率，粒度和應(yīng)用場景有所不同，對應(yīng)用服務(wù)器的配置要求也不

21、一樣。基于源IP的會(huì)話保持只需要處理數(shù)據(jù)包的四層信息，所以效率最高，也不需要服務(wù)器做任何配置，但粒度比較粗。如果客戶端存在普遍的NAT轉(zhuǎn)換，或者某些IP段的業(yè)務(wù)請求量比較大，那么這些流量被保持發(fā)送給固定一臺(tái)服務(wù)器，就會(huì)造成流量負(fù)載的不均衡?；贑ookie插入，Cookie重寫，ServerID等七層信息的會(huì)話保持方式，使保持策略和瀏覽器的信息相互關(guān)聯(lián)，可以做到細(xì)粒度和更均衡的流量分配，基于七層信息的會(huì)話保持方式，工作效率不如源IP會(huì)話保持。除Cookie插入方式以外，其他如serverid，sessionid, Cookie重寫等方式一般需要應(yīng)用程序做相應(yīng)的配置。天清ADC支持的會(huì)話保持方式

22、：  基于源地址-來自同一個(gè)源IP地址的相關(guān)報(bào)文，分配給同一個(gè)服務(wù)器。  基于ServerID-記錄服務(wù)器返回的serverid信息，然后從請求報(bào)文的URL或Cookie信息中查找serverid，進(jìn)行解碼得到后臺(tái)服務(wù)器的信息，保證帶有固定serverid信息的請求被分別到固定的服務(wù)器。Serverid需要在web服務(wù)器上進(jìn)行人工配置。ADC不需要對數(shù)據(jù)包進(jìn)行修改  基于SessionID-類似于ServerID的方式，記錄從服務(wù)器返回的SessionID信息，然后從請求報(bào)文的URL或Cookie信息中查找SessionID，進(jìn)行解碼得到后臺(tái)服務(wù)器的信息，保證帶有

23、固定SessionID信息的請求被分別到固定的服務(wù)器。SessionID是服務(wù)器自動(dòng)生成的，ADC產(chǎn)品不需要對數(shù)據(jù)包進(jìn)行修改。  基于Cookie插入-這種方式通過修改服務(wù)器返回的報(bào)文，向其插入一個(gè)固定的Cookie信息返回給客戶的瀏覽器，客戶端后續(xù)的報(bào)文請求中都攜帶了這個(gè)Cookie信息，ADC根據(jù)這個(gè)信息發(fā)送給指定的服務(wù)器。這種保持方式修改了數(shù)據(jù)包的長度，但不需要應(yīng)用服務(wù)器端做任何的配置改動(dòng)就可以實(shí)現(xiàn)。  基于Cookie重寫-服務(wù)器端接收到HTTP請求后，響應(yīng)報(bào)文中會(huì)增加一個(gè)空白的Cookie返回給ADC設(shè)備，ADC在這個(gè)空白的Cookie里面寫入會(huì)話保持的數(shù)值，返回

24、給客戶端。后續(xù)的過程和Cookie插入類似，客戶端后續(xù)的請求報(bào)文會(huì)攜帶這個(gè)重寫的Cookie，ADC根據(jù)這個(gè)信息來選擇指定的服務(wù)器。Cookie重寫和Cookie插入的區(qū)別是，Cookie重寫不需要修改報(bào)文的長度，效率會(huì)高一些。  基于自定義頭部-應(yīng)用服務(wù)自身定義了一個(gè)URL Header信息，并希望ADC以此來做負(fù)載分擔(dān)。這種方式下ADC設(shè)備記錄服務(wù)器返回的Header信息，并在客戶端的后續(xù)請求中進(jìn)行匹配，匹配成功則轉(zhuǎn)發(fā)給指定的服務(wù)器。這種方式允許應(yīng)用服務(wù)程序定制自己的會(huì)話保持策略。  基于SSL SessionID-當(dāng)?shù)谝淮握埱蟮絹頃r(shí)，按負(fù)載均衡算法分配一臺(tái)后臺(tái)服務(wù)器。

25、在服務(wù)器的響應(yīng)中，按照SSL協(xié)議，取出SSL SessionID，并把SSL SessionID分配的后臺(tái)服務(wù)器信息、所配置的超時(shí)時(shí)間存在一張表中。當(dāng)后續(xù)請求到來，根據(jù)請求中的SSL SessionID在表中查找后臺(tái)服務(wù)器的信息，若找到并且時(shí)間在超時(shí)時(shí)間之內(nèi)，則取出后臺(tái)服務(wù)器信息，并更新超時(shí)時(shí)間，把請求發(fā)往那臺(tái)服務(wù)器。3.2七層內(nèi)容交換四層交換主要是依賴IP和TCP/UDP層的信息進(jìn)行流量的分配，而隨著應(yīng)用自身的復(fù)雜性和不斷改善用戶體驗(yàn)的需求，有時(shí)候需要為不同的用戶類型返回不同的呈現(xiàn)內(nèi)容，例如：  把移動(dòng)用戶的手機(jī)/pad瀏覽器請求分發(fā)給專門經(jīng)針對性過優(yōu)化的服務(wù)器。  把請

26、求圖片，文檔，視頻等靜態(tài)內(nèi)容分發(fā)給緩存服務(wù)器。  根據(jù)瀏覽器自身的語言設(shè)置，為不同語言區(qū)域的用戶返回相應(yīng)的頁面  可以根據(jù)HTTP請求的方法實(shí)現(xiàn)讀寫分離，HTTP讀（get）請求分配給緩存服務(wù)器，HTTP寫（post）請求分配給處理動(dòng)態(tài)內(nèi)容的服務(wù)器。天清ADC應(yīng)用交付平臺(tái)的七層內(nèi)容交換可以識別用戶請求報(bào)文的內(nèi)容，如URL信息，應(yīng)用數(shù)據(jù)類型，Cookie信息，瀏覽器類型，HTTP方法等內(nèi)容，將流量分配給相應(yīng)的應(yīng)用服務(wù)器。天清ADC應(yīng)用交付平臺(tái)通過http-class來標(biāo)識一個(gè)業(yè)務(wù)分類，http-class根據(jù)主機(jī)地址，URI路徑，頭信息和Cookie來定義，每個(gè)http-cl

27、ass可以關(guān)聯(lián)一個(gè)服務(wù)器地址池，然后再虛擬服務(wù)（VS）的配置中，引用一個(gè)或者多個(gè)http-class。當(dāng)客戶端請求訪問虛擬服務(wù)時(shí)，ADC設(shè)備進(jìn)行http-class匹配，匹配成功的請求被分配給對應(yīng)的地址池。3.3HA高可靠性與設(shè)備集群3.3.1 HA高可靠性天清ADC支持雙機(jī)Active-Standby（主-備）和Active-Active（主-主）兩種工作模式，HA在運(yùn)行過程中，通過專用“心跳線”來實(shí)時(shí)監(jiān)控對端設(shè)備的運(yùn)行狀態(tài)，當(dāng)心跳監(jiān)控失敗，或者發(fā)生其他觸發(fā)切換的條件時(shí)，工作異常設(shè)備上的流量將被接管，以保證應(yīng)用的不間斷運(yùn)行。天清ADC的HA模塊支持配置同步和連接信息同步。  主備模

28、式：兩臺(tái)ADC設(shè)備中只有一臺(tái)處于Active狀態(tài)，另外一臺(tái)處于Standby狀態(tài)，所有流量由處于Active狀態(tài)的設(shè)備進(jìn)行流量轉(zhuǎn)發(fā)。處于Standby狀態(tài)的備用設(shè)備通過”心跳線“實(shí)時(shí)監(jiān)控主設(shè)備的運(yùn)行狀態(tài)，當(dāng)監(jiān)控不到正常的心跳報(bào)文時(shí)，備用設(shè)備切換為Active狀態(tài)，并通過免費(fèi)ARP更新上下游設(shè)備的ARP緩存以實(shí)現(xiàn)流量接管。除了備份設(shè)備發(fā)現(xiàn)主設(shè)備心跳異常時(shí)主動(dòng)接管以外，當(dāng)前處于Active狀態(tài)的主設(shè)備也可以根據(jù)一些觸發(fā)條件主動(dòng)退出Active狀態(tài)。觸發(fā)條件包括：設(shè)備上啟用端口狀態(tài)監(jiān)控和預(yù)置的遠(yuǎn)端IP地址是否可達(dá)。  主主模式：兩臺(tái)ADC設(shè)備同時(shí)都處于Active狀態(tài)并一起承擔(dān)流量的轉(zhuǎn)發(fā)工

29、作，兩臺(tái)ADC設(shè)備上面運(yùn)行不同的VS（虛擬服務(wù)），當(dāng)某臺(tái)ADC設(shè)備出現(xiàn)故障時(shí)，該設(shè)備上運(yùn)行的所有虛擬服務(wù)流量被另外一臺(tái)設(shè)備接管。通常情況下，主主模式可以配合DNS負(fù)載分擔(dān)一起工作。當(dāng)用戶申請?jiān)L問時(shí)，首先發(fā)起DNS請求，DNS服務(wù)器上對應(yīng)主機(jī)名為這條記錄配置兩個(gè)VS對應(yīng)的IP地址，DNS會(huì)采用輪詢的方式返回這兩個(gè)IP中的一個(gè)以實(shí)現(xiàn)負(fù)載分擔(dān)。3.3.2 設(shè)備集群天清ADC最多可以實(shí)現(xiàn)32臺(tái)ADC設(shè)備進(jìn)行集群部署，多臺(tái)ADC設(shè)備共同承擔(dān)流量處理并且互為備份。集群中的ADC設(shè)備可以是不同的型號，具備不同的處理能力，這樣對于更新?lián)Q代的設(shè)備，也可以重新接入到集群中來。通過集群部署，企業(yè)可以實(shí)現(xiàn)最大化的業(yè)務(wù)

30、彈性，并實(shí)現(xiàn)設(shè)備投資收益的最大化。集群部署時(shí)可以采用全工作模式，即所有設(shè)備都參加流量轉(zhuǎn)發(fā)，互為備份，當(dāng)某臺(tái)出現(xiàn)故障時(shí)，流量切換到其他設(shè)備上；也可以采用N+1模式，即N臺(tái)設(shè)備承擔(dān)流量轉(zhuǎn)發(fā)，利用一臺(tái)設(shè)備同時(shí)作為N臺(tái)設(shè)備的備份，正常情況下不備份設(shè)備不承擔(dān)流量，當(dāng)某一臺(tái)設(shè)備出現(xiàn)故障時(shí)，備份設(shè)備進(jìn)行流量接管。N+1模式可以防止當(dāng)某臺(tái)設(shè)備出現(xiàn)故障時(shí)，對另外的設(shè)備造成流量洪峰。第四章 應(yīng)用優(yōu)化與加速天清ADC應(yīng)用交付平臺(tái)可以把原本需要高消耗服務(wù)器計(jì)算能力的，重復(fù)計(jì)算的工作卸載到高性能的硬件平臺(tái)上，讓服務(wù)器的計(jì)算資源更多的關(guān)注自身的業(yè)務(wù)系統(tǒng)處理，以改善整個(gè)應(yīng)用系統(tǒng)的效率。天清ADC同時(shí)對TCP和Http協(xié)議進(jìn)

31、行優(yōu)化和加速，最大限度的降低網(wǎng)絡(luò)擁塞和丟包，改善移動(dòng)上網(wǎng)等窄帶用戶的用戶體驗(yàn)。天清ADC應(yīng)用交付平臺(tái)內(nèi)置了企業(yè)最常用的應(yīng)用模板，如BEA Weblogic，Microsoft IIS， Outlook Web Access，Radius，ERP軟件等，這些都是經(jīng)過公司應(yīng)用優(yōu)化專家通過反復(fù)的測試驗(yàn)證而完成的一套解決方案，管理員不需要對應(yīng)用進(jìn)行細(xì)致的了解，就可以根據(jù)模板高效的完成這些應(yīng)用系統(tǒng)的優(yōu)化和加速。4.1 SSL硬件加速和卸載天清ADC應(yīng)用交付平臺(tái)通過內(nèi)置的專業(yè)級高性能硬件加速芯片，完成對SSL協(xié)議的加速和卸載，而在數(shù)據(jù)中心內(nèi)部，ADC和服務(wù)器之間通過明文進(jìn)行傳輸，極大的提升服務(wù)器的業(yè)務(wù)處理

32、能力。企業(yè)可以把應(yīng)用全部應(yīng)用實(shí)現(xiàn)SSL協(xié)議，實(shí)現(xiàn)高安全性的同時(shí)，不會(huì)給業(yè)務(wù)帶來任何的性能瓶頸。4.2 本地RAM Cache本地高速緩存（Cache），通過在ADC設(shè)備上開辟一段專用的內(nèi)存空間（RAM）來存儲(chǔ)服務(wù)器上的一些靜態(tài)文件，如圖片，文檔，視頻文件等，開啟本地Cache后，客戶端請求首先在本地Cache中查找，命中以后直接返回給客戶端。命中失敗才向服務(wù)器端發(fā)送請求，同時(shí)對服務(wù)器返回的內(nèi)容進(jìn)行本地Cache。天清ADC支持為不同的應(yīng)用提供各自的Cache空間及參數(shù)設(shè)置，這樣可以把服務(wù)器從重復(fù)的處理中解脫出來，提升整體效能。4.3 內(nèi)容壓縮通過壓縮HTTP響應(yīng)的數(shù)據(jù)，可以有效提升帶寬利用率和

33、縮短下載時(shí)間。天清ADC應(yīng)用交付平臺(tái)提供的高性能壓縮技術(shù)，最大可以使帶寬利用率增加80%，應(yīng)用性能提升4倍以上。同時(shí)在客戶端瀏覽器和ADC設(shè)備間經(jīng)過一定的算法進(jìn)行壓縮，也起到一定安全傳輸?shù)淖饔?。天清ADC把原本由服務(wù)器完成的壓縮過程搬到自身的高性能硬件平臺(tái)，避免了每臺(tái)服務(wù)器都執(zhí)行一次重復(fù)的壓縮過程，達(dá)到服務(wù)器卸載的效果。天清ADC支持瀏覽器最常用的GZIP和DEFLATE兩種壓縮算法，提供基于七層的精細(xì)化壓縮控制策略，包括URI，Content Type等。管理員可以定義對“.txt”,“.doc”“.htlm”等文檔類型和靜態(tài)頁面數(shù)據(jù)進(jìn)行壓縮，也可以排除PDF，IMG等壓縮效果不明顯的不必要

34、操作。4.4 TCP連接復(fù)用TCP連接復(fù)用技術(shù)使多個(gè)客戶端共享一個(gè)到服務(wù)器的TCP連接，可以提升應(yīng)用服務(wù)器的整體性能，使應(yīng)用服務(wù)器從維護(hù)海量的TCP連接，并不斷的進(jìn)行TCP建立和拆除維護(hù)中解脫出來，極大的提升單臺(tái)服務(wù)器的承載能力。天清ADC設(shè)備在接到一個(gè)客戶端HTTP請求后，通過負(fù)載分擔(dān)算法會(huì)選擇一臺(tái)服務(wù)器建立連接。如果接收到正常的服務(wù)器響應(yīng)，ADC設(shè)備會(huì)把這個(gè)連接放入到“連接復(fù)用池”里面，當(dāng)另外一個(gè)新的客戶端發(fā)起HTTP連接請求時(shí)，ADC設(shè)備從現(xiàn)有的連接池里面選擇一個(gè)可用的連接來和服務(wù)器的進(jìn)行數(shù)據(jù)交互，而不是重新創(chuàng)建一個(gè)到服務(wù)器的連接。通過這種優(yōu)化，可以把服務(wù)器負(fù)載降低到原來的1/10-50

35、。4.5 TCP單邊加速標(biāo)準(zhǔn)TCP協(xié)議在設(shè)計(jì)時(shí)很少的考慮到高帶寬和夸Internet傳輸?shù)膯栴}，現(xiàn)在隨著高速帶寬的普及，標(biāo)準(zhǔn)的TCP協(xié)議表現(xiàn)出很多的不足，在網(wǎng)絡(luò)擁塞控制和丟包重傳機(jī)制上，往往效率比較低下，而且基本不具備根據(jù)網(wǎng)絡(luò)環(huán)境實(shí)時(shí)進(jìn)行調(diào)解的能力。天清ADC應(yīng)用交付平臺(tái)提供智能單邊加速的功能，通過對標(biāo)準(zhǔn)TCP協(xié)議的慢啟動(dòng)控制，擁塞避免，重傳和恢復(fù)幾個(gè)方面進(jìn)行優(yōu)化，來達(dá)到整體網(wǎng)絡(luò)加速的效果。同時(shí)，天清ADC設(shè)備可以根據(jù)當(dāng)前的網(wǎng)絡(luò)狀態(tài)，和承載的協(xié)議類型智能的選擇一種效率最高的算法。天清ADC應(yīng)用交付平臺(tái)的單邊加速對客戶端和服務(wù)器來說都是透明的，ADC和服務(wù)器之間仍然按照標(biāo)準(zhǔn)TCP協(xié)議運(yùn)行，ADC

36、和客戶端之間進(jìn)行單邊加速，客戶端不需要做任何修改。4.6 HTTP管線（Pipelining）傳統(tǒng)的HTTP協(xié)議是當(dāng)一個(gè)請求發(fā)出，等接收到完整的響應(yīng)數(shù)據(jù)后，才進(jìn)行下一個(gè)請求，這在高延遲的網(wǎng)絡(luò)環(huán)境中會(huì)導(dǎo)致整個(gè)數(shù)據(jù)交互的效率比較低。HTTP管線技術(shù)（Pipelining）可以將多個(gè)HTTP請求同時(shí)提交，而不用等待順序的請求回應(yīng)。（不帶Pipelining的HTTP流程）天清ADC應(yīng)用交付平臺(tái)可以和支持Pipelining的客戶端瀏覽器智能協(xié)商開啟，ADC和服務(wù)器間還是正常的HTTP協(xié)議流程。4.7 窄帶用戶應(yīng)用加速當(dāng)客戶端通過窄帶線路比如通過ADSL撥號或者智能手機(jī)，pad移動(dòng)終端上網(wǎng)時(shí)，對于應(yīng)用

37、服務(wù)器的響應(yīng)，可能會(huì)由于客戶端側(cè)帶寬不足，或者帶寬質(zhì)量不好而導(dǎo)致報(bào)文的擁塞和丟包。這時(shí)客戶端就會(huì)發(fā)起重傳請求，如果大量的窄帶用戶同時(shí)訪問，就會(huì)出現(xiàn)應(yīng)用服務(wù)器反復(fù)處理這些重傳請求的壓力增大而降低效率。天清ADC應(yīng)用交付平臺(tái)使用TCP數(shù)據(jù)緩存技術(shù)，自動(dòng)檢測客戶端對服務(wù)器響應(yīng)的處理能力，對于窄帶用戶，ADC會(huì)在自身平臺(tái)開辟出緩存空間來存儲(chǔ)服務(wù)器返回的數(shù)據(jù)，以客戶端能夠適應(yīng)的速度完成數(shù)據(jù)交互，避免出現(xiàn)大量的重傳。服務(wù)器只要處理完成用戶的請求后，就可以釋放出來處理其他工作，不用再去處理丟包重傳的情況。4.8 重寫RewriteHttp協(xié)議的請求階段和響應(yīng)階段都可以對URI進(jìn)行重寫，在請求http請求階段

38、，可以把符合預(yù)置條件的所有http請求發(fā)送到一個(gè)指定的URL，比如是提示用戶進(jìn)行登錄的頁面或者其他信息提示頁面。又或者是當(dāng)服務(wù)器某些文件已經(jīng)不存在或者目錄發(fā)生更改，而用戶通過其他網(wǎng)站或者搜索引擎的舊鏈接進(jìn)行訪問時(shí)，可以把這類請求直接重定向到一個(gè)指定的錯(cuò)誤信息提示頁面，減輕了服務(wù)器的負(fù)擔(dān)。部署了天清ADC應(yīng)用交付平臺(tái)以后，企業(yè)可以把原來基于http協(xié)議的應(yīng)用，全部遷移到安全https協(xié)議。通過http請求重定向結(jié)合SSL卸載功能，可以實(shí)現(xiàn)企業(yè)服務(wù)器和客戶端都不需要任何更改的情況下完成http到https的無縫遷移。在http響應(yīng)階段，可以把服務(wù)器返回的404（客戶端語法錯(cuò)誤）等重定向到一個(gè)指定的

39、頁面。第五章 鏈路負(fù)載分擔(dān)天清ADC產(chǎn)品可以動(dòng)態(tài)監(jiān)控鏈路的實(shí)時(shí)狀態(tài)，提供多種靜態(tài)和動(dòng)態(tài)流量分擔(dān)方法，可以有效提升多鏈路接入的效率和整體性能。當(dāng)企業(yè)部署對外提供服務(wù)的應(yīng)用服務(wù)器時(shí)，天清ADC可以根據(jù)用戶所處的運(yùn)營商網(wǎng)絡(luò)，或者地域的遠(yuǎn)近，或者當(dāng)前鏈路的帶寬質(zhì)量進(jìn)行智能DNS解析，幫助用戶選擇最優(yōu)的鏈路進(jìn)行訪問，提供最佳的用戶體驗(yàn)。5.1 出站流量負(fù)載均衡（Outbound方向）3455.1負(fù)載分擔(dān)算法鏈路負(fù)載分擔(dān)算法是用來計(jì)算內(nèi)網(wǎng)用戶訪問Internet時(shí)（出站流量），在多鏈路間進(jìn)行流量分配的方案。鏈路負(fù)載分擔(dān)的算法和服務(wù)器負(fù)載分擔(dān)的算法有一致的地方，也存在一些差異，鏈路負(fù)載分擔(dān)算法包括：

40、0; 輪詢（Round Robin）-依次按照順序把流量均勻的分配給每條鏈路。  比率（Ratio）-根據(jù)每條鏈路的帶寬，指定一個(gè)權(quán)值，按照這個(gè)比率給多條鏈路分配流量。  優(yōu)先級（Priority）-為每條鏈路指定一個(gè)優(yōu)先級，默認(rèn)情況下優(yōu)先向高優(yōu)先級的鏈路分配流量，當(dāng)該鏈路失效時(shí)選擇備份鏈路。  加權(quán)最小連接（Weight Least Connection）-首先為每條鏈路指定帶寬的加權(quán)值，使連接數(shù)的分配符合權(quán)值的設(shè)定，對于新建的連接，選擇權(quán)值內(nèi)最小的鏈路分配流量。  加權(quán)最小流量（Weight Least Traffic）-首先為每條鏈路指定帶寬的加權(quán)

41、值，使流量的分配符合權(quán)值的設(shè)定，對于新的流量，選擇權(quán)值內(nèi)最小的鏈路分配流量。  運(yùn)營商路由（ISP Route）-內(nèi)置IP地址和運(yùn)營商的對應(yīng)表，根據(jù)內(nèi)網(wǎng)用戶訪問的目的地址所屬運(yùn)營商，選擇相應(yīng)的鏈路，避免跨運(yùn)營商的訪問。  最快模式（Fastest）-ADC通過比對服務(wù)器返回?cái)?shù)據(jù)包的延遲，跳數(shù)等情況，選擇一個(gè)當(dāng)前響應(yīng)最快的鏈路來分配流量。  主備模式（Master-Slave）-默認(rèn)情況下流量都發(fā)送給主鏈路，當(dāng)主鏈路失效時(shí)啟用備份鏈路。鏈路健康檢查天清ADC鏈路負(fù)載實(shí)時(shí)對出口鏈路進(jìn)行監(jiān)控和健康檢查，可以及時(shí)發(fā)現(xiàn)端口down掉情況。除此之外，天清ADC支持包括ICMP

42、，TCP SYN，UDP，HTTP Get 等多種協(xié)議對遠(yuǎn)端地址進(jìn)行監(jiān)控，即使是ISP內(nèi)部網(wǎng)絡(luò)出現(xiàn)故障，也可以及時(shí)發(fā)現(xiàn)并把流量切換到其他可用鏈路。出站流量會(huì)話保持和NAT出接口流量會(huì)話保持是指當(dāng)為某個(gè)數(shù)據(jù)流分配一個(gè)出接口鏈路以后，該種類型的后續(xù)相關(guān)流量都分配給同一條鏈路。天清ADC支持的會(huì)話保持主要是基于源地址的會(huì)話保持和基于hash的會(huì)話保持。天清ADC支持豐富的NAT轉(zhuǎn)換策略，包括源IP地址轉(zhuǎn)換，靜態(tài)地址轉(zhuǎn)換，和基于策略的地址轉(zhuǎn)換。 會(huì)話保持和NAT地址轉(zhuǎn)換，可以很大程度的避免源主機(jī)和某目標(biāo)服務(wù)器通信的過程中，報(bào)文橫跨多個(gè)運(yùn)營商的情況出現(xiàn)。5.2 入站流量負(fù)載均衡(Inbound方向)當(dāng)企

43、業(yè)租用多個(gè)運(yùn)營商鏈路，以便內(nèi)部的應(yīng)用服務(wù)器向外部用戶提供服務(wù)時(shí)，天清ADC可以通過在內(nèi)置的智能DNS服務(wù)器上，把企業(yè)的單一域名綁定到多運(yùn)營商的各自的公網(wǎng)IP上，并作為企業(yè)域名的權(quán)威發(fā)布服務(wù)器。當(dāng)某個(gè)客戶端訪問應(yīng)用服務(wù)器時(shí)，首先會(huì)進(jìn)行DNS解析，天清ADC可以根據(jù)客戶端所處的運(yùn)營商網(wǎng)絡(luò)返回跟他匹配的IP地址，或者通過動(dòng)態(tài)探測技術(shù)，選出到該用戶通信質(zhì)量最好鏈路，并返回對應(yīng)的IP地址。這樣可以保證每次客戶端都可以通過通信質(zhì)量最好的鏈路來訪問內(nèi)部的應(yīng)用服務(wù)器，極大的改善用戶體驗(yàn)，并提升整個(gè)系統(tǒng)的工作效率。5.2智能DNS解析流程假定企業(yè)通過租用聯(lián)通，電信兩條鏈路向外部網(wǎng)絡(luò)提供服務(wù)，企業(yè)的域名是, 則整

44、個(gè)解析流程如下：1. 客戶端向本地DNS（Local DNS） 服務(wù)器發(fā)送域名為 的DNS請求。2. LDNS沒有該域名的A記錄，向最長匹配結(jié)果的服務(wù)器發(fā)送該請求，這里假設(shè)最長匹配只有根服務(wù)器。3. 根服務(wù)器沒有“”的A記錄，但是存放了“”的NS域名服務(wù)器記錄“ IN NS ”，將該NS記錄返回給LDNS。4. LDNS服務(wù)器根據(jù)該NS記錄知道了去哪可以找到“ ”的A記錄，將請求發(fā)送到天清ADC內(nèi)置的智能DNS服務(wù)器。5. ADC設(shè)備判斷LDNS的IP地址隸屬于哪個(gè)運(yùn)營商，此示例中LDNS隸屬于于網(wǎng)通，所以根據(jù)預(yù)先配置的規(guī)則，天清ADC返回“”的A記錄為網(wǎng)通鏈路所分配的公網(wǎng)IP地址。6. LD

45、NS最終將剛收到的DNS響應(yīng)發(fā)送回給客戶端。7. 客戶端接下來訪問企業(yè)的網(wǎng)通鏈路公網(wǎng)地址，天清ADC上對應(yīng)的虛擬服務(wù)（VS）接收數(shù)據(jù)，進(jìn)入服務(wù)器負(fù)載分擔(dān)的流程。第六章 全局負(fù)載分擔(dān)為了保護(hù)您的業(yè)務(wù)不受站點(diǎn)訪問中斷影響并且提高應(yīng)用的性能，部署多個(gè)數(shù)據(jù)中心是一個(gè)有效的做法。但要全面實(shí)現(xiàn)這些目標(biāo)，您的企業(yè)需要以高效的方式來監(jiān)控基礎(chǔ)架構(gòu)和應(yīng)用的狀態(tài)，并且根據(jù)業(yè)務(wù)需求來控制這個(gè)分布式基礎(chǔ)架構(gòu)。通過全局負(fù)載均衡功能，您可為用戶的每一次DNS查詢提供更安全、更智能的響應(yīng)方式。天清ADC應(yīng)用交付平臺(tái)根據(jù)用戶位置、業(yè)務(wù)策略、數(shù)據(jù)中心狀況、網(wǎng)絡(luò)狀況和應(yīng)用性能來分配最終用戶的應(yīng)用請求。這樣，用戶可以全面地控制廣域流

46、量，以確保運(yùn)行在分布于各地的多個(gè)數(shù)據(jù)中心之間的應(yīng)用具有高可用性和最高性能。這樣，您將可以實(shí)現(xiàn)更高的應(yīng)用性能，更短的停機(jī)時(shí)間以及更簡化的管理。6.1 全局負(fù)載分擔(dān)策略天清ADC支持多種動(dòng)態(tài)和靜態(tài)全局負(fù)載均衡算法，為用戶提供豐富的選擇方式，包括：66.16.2 動(dòng)態(tài)就近性動(dòng)態(tài)就近性通過從各個(gè)全局站點(diǎn)向LDNS進(jìn)行探測，得到的動(dòng)態(tài)參數(shù)可以反映LDNS和個(gè)站點(diǎn)間的響應(yīng)速度，根據(jù)參考的動(dòng)態(tài)參數(shù)不同可分為以下幾種方式：1. RTT該算法簡單來說動(dòng)態(tài)的獲得LDNS與各數(shù)據(jù)中心間的響應(yīng)時(shí)間，選擇其中RTT值最小的IP對應(yīng)的A記錄返回給LDNS。RTT為Round Trip Time，記錄了從某站點(diǎn)發(fā)送探測包到

47、收到探測包響應(yīng)的時(shí)間，實(shí)際運(yùn)行中從不同站點(diǎn)的VS探測到LDNS的RTT一定程度上反映了各個(gè)VS的響應(yīng)速度。選擇RTT就近性算法后會(huì)動(dòng)態(tài)生成一個(gè)LDNS就近分布表，根據(jù)該動(dòng)態(tài)表，對每個(gè)客戶的訪問都會(huì)提供一個(gè)最快速的鏈路進(jìn)行訪問?？梢赃x擇多種探測方法判斷對LDNS的RTT時(shí)間, 包括: DNS_Dot: 向local DNS發(fā)起一個(gè)包含”.”的測試, 也就是向目標(biāo)請求root清單，該解析一般默認(rèn)配置的DNS服務(wù)器均提供支持。DNS_REV: 向local DNS發(fā)起本機(jī)IP的PTR請求 UDP:發(fā)起一個(gè)UDP的包, 記錄響應(yīng)時(shí)間 TCP:發(fā)起一個(gè)TCP的包，記錄響應(yīng)時(shí)間 ICMP:發(fā)起一個(gè)ICMP

48、 的ping 包, 記錄響應(yīng)時(shí)間2. HopsHops指站點(diǎn)到LDNS的路由跳數(shù)，與RTT相似，探測各VS到LDNS的路由跳數(shù)，選擇路由跳數(shù)最小的VS。該方法通過traceroute來實(shí)現(xiàn)。3. 全局可用性全球可用性算法主要用于災(zāi)難備份系統(tǒng)。通過健康檢查，可判斷各站點(diǎn)或線路的健康狀態(tài)。并在配置的時(shí)候，將同一域名所對應(yīng)的IP地址進(jìn)行排序，在系統(tǒng)正常的時(shí)候，僅會(huì)有排名第一的服務(wù)器對外提供服務(wù)。只有在排名第一的服務(wù)器無法對外提供服務(wù)的時(shí)候，由排名第二的服務(wù)器接管服務(wù)。如果有多線路或者多站點(diǎn)則依次類推。通常，我們采用全球可用性算法作為備選算法。在前兩面的方法沒有命中時(shí)，將所有的用戶定位到默認(rèn)的線路上。

49、4. 返回備用IP用戶會(huì)配置一個(gè)IP地址，當(dāng)選擇該方法時(shí)，設(shè)備將會(huì)用該IP地址對應(yīng)的A記錄對LDNS的請求進(jìn)行響應(yīng)。通常該種方法作為候選方法，將Fall Back IP設(shè)置為某個(gè)備災(zāi)數(shù)據(jù)中心的IP，首選方法調(diào)度失敗時(shí)應(yīng)用這種方法，使得LDNS最終得到一個(gè)響應(yīng)。5. 輪詢將請求依次順序循環(huán)地返回每個(gè)VS IP。當(dāng)其中某VS發(fā)生故障，就把其從順序循環(huán)隊(duì)列中拿出，不參加下一次的輪詢，直到其恢復(fù)正常。6. 加權(quán)輪詢給每個(gè)VS分配一個(gè)加權(quán)值，根椐這個(gè)權(quán)值，把用戶的請求分配到每個(gè)VS。權(quán)值大的表示可以處理較多的請求，反之處理的請求相對較少。當(dāng)其中某個(gè)VS發(fā)生故障，就把其從隊(duì)列中拿出，不參加下一次的用戶請求

50、的分配, 直到其恢復(fù)正常。7. 最小連接數(shù)傳遞新的連接給那些進(jìn)行最少連接處理的VS。當(dāng)其中某個(gè)VS發(fā)生故障，就把其從隊(duì)列中拿出，不參加下一次的用戶請求的分配, 直到其恢復(fù)正常。為了避免VS因過載而崩潰，可為每個(gè)VS指定最大連接閾值來避免過載。8. 加權(quán)最小連接數(shù)該算法是最小連接算法的超集，各個(gè)VS用相應(yīng)的權(quán)值表示其處理性能。缺省權(quán)值為1，系統(tǒng)管理員可以動(dòng)態(tài)地設(shè)置VS的權(quán)值。加權(quán)最小連接調(diào)度在調(diào)度新DNS請求時(shí)盡可能使VS的已建立連接數(shù)和其權(quán)值成比例。9. 最小帶寬占用選擇當(dāng)前帶寬占用最小的VS。單位為kbytes/s。10. 最小流量選擇最近一段時(shí)間流量最小的VS。單位為pkts/s。6.3

51、靜態(tài)就近性策略當(dāng)選擇靜態(tài)就近性作為全局負(fù)載均衡的調(diào)度方式時(shí)，相當(dāng)于根據(jù)LDNS的ISP、地理位置等拓?fù)湫畔⑦x擇VS的IP。不同的VS可能分布在不同地理位置的數(shù)據(jù)中心，又或者存在于同一數(shù)據(jù)中心但分處在不同ISP的鏈路接口上。這時(shí)LDNS的ISP和地理位置和某VS的ISP、地理位置完全匹配的情況極少，對于這種情況就需要用戶進(jìn)行靜態(tài)就近性的策略配置。人為的劃定LDNS所在區(qū)域和各個(gè)數(shù)據(jù)中心間的距離關(guān)系。例如：企業(yè)在北京和沈陽部署兩個(gè)數(shù)據(jù)中心，希望北京的數(shù)據(jù)中心覆蓋華北區(qū)域，而沈陽的數(shù)據(jù)中心覆蓋整個(gè)東北區(qū)域。然后結(jié)合IP地址-地域信息庫，人為的把隸屬于東北三省的LDNS請求指向沈陽數(shù)據(jù)中心，把隸屬于華

52、北地區(qū)的DNS請求指向北京的數(shù)據(jù)中心。從另外一個(gè)角度，拓?fù)湫畔熘惶峁┝薎P和地域信息之間的映射關(guān)系，需要根據(jù)靜態(tài)就近性做負(fù)載均衡，就需要得到地域信息和地域信息之間的映射關(guān)系，這種關(guān)系就是靜態(tài)就近性策略。6.4 IP Anycast技術(shù)結(jié)合動(dòng)態(tài)路由協(xié)議BGP或者OSPF，天清ADC提供了一種有別于常規(guī)思路的全局負(fù)載分擔(dān)策略IP Anycast。這種技術(shù)允許部署在各個(gè)數(shù)據(jù)中心的VS使用同一個(gè)IP地址，在天清ADC應(yīng)用交付平臺(tái)上運(yùn)行BGP動(dòng)態(tài)路由協(xié)議，每臺(tái)ADC設(shè)備上通過路由協(xié)議來選擇距離最近的數(shù)據(jù)中心。IP Anycast技術(shù)也可以作為一種抵御DDOS攻擊的有效手段，任何一點(diǎn)發(fā)起攻擊時(shí)，只能影響

53、到距離攻擊點(diǎn)“最近”的一個(gè)數(shù)據(jù)中心，而其他數(shù)據(jù)中心則不受任何影響可以繼續(xù)為用戶提供服務(wù)。6.5 基于HTTP重定向的全局負(fù)載均衡當(dāng)用戶通過HTTP協(xié)議訪問應(yīng)用系統(tǒng)的虛擬服務(wù)（VS）地址時(shí)，如果本地ADC出現(xiàn)調(diào)度失敗的情況：如無法從地址池中選中當(dāng)前可用的Server節(jié)點(diǎn)，或者本地應(yīng)用系統(tǒng)壓力已經(jīng)過載等，此時(shí)本地的ADC可以利用HTTP協(xié)議的重定向功能，再次在全局范圍內(nèi)重新選擇一個(gè)可用的數(shù)據(jù)中心實(shí)現(xiàn)請求的二次調(diào)度。基于HTTP重定向的全局負(fù)載分擔(dān)技術(shù)，不依賴于DNS系統(tǒng)，也不需要對現(xiàn)有DNS系統(tǒng)進(jìn)行任何修改，更有利于實(shí)現(xiàn)快速部署和有效管理。第七章 應(yīng)用安全防護(hù)7.1 應(yīng)用安全防護(hù)隨著互聯(lián)網(wǎng)技術(shù)的飛

54、速發(fā)展，網(wǎng)絡(luò)應(yīng)用已經(jīng)在全球經(jīng)濟(jì)中扎根發(fā)芽，對各個(gè)行業(yè)的發(fā)展起著舉足輕重的作用。隨著時(shí)間的推移，應(yīng)用安全的問題也日益嚴(yán)重。越來越多的企業(yè)內(nèi)部和外部的業(yè)務(wù)應(yīng)用采用基于Web和數(shù)據(jù)庫結(jié)合的B/S架構(gòu)。Web系統(tǒng)發(fā)揮著越來越重要的作用。與此同時(shí)，越來越多的Web系統(tǒng)也因?yàn)榇嬖诎踩[患而頻繁遭受到各種攻擊，導(dǎo)致Web系統(tǒng)敏感數(shù)據(jù)、頁面被篡改、甚至成為傳播木馬的傀儡，最終會(huì)給更多訪問者造成傷害，帶來嚴(yán)重?fù)p失。 企業(yè)針對安全威脅通常采用防火墻、入侵防御等網(wǎng)絡(luò)安全設(shè)備，然而傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品主要工作在網(wǎng)絡(luò)層之下，通過對協(xié)議、地址和服務(wù)端口的識別和控制達(dá)到防范入侵的目的，可以有效的防范基于業(yè)務(wù)端口的攻擊。然而經(jīng)

55、證實(shí)，面對安全威脅的發(fā)展趨勢，防火墻已經(jīng)顯得無能為力，它無法檢測出封裝在有效數(shù)據(jù)內(nèi)的惡意威脅與攻擊。入侵防御產(chǎn)品主要通過特征比對實(shí)現(xiàn)對網(wǎng)絡(luò)入侵的防御，但隨著Web應(yīng)用技術(shù)的深入普及，Web應(yīng)用程序漏洞發(fā)掘和攻擊速度越來越快，基于Web漏洞的攻擊更容易被利用，已經(jīng)成為黑客首選。對應(yīng)用層的SQL注入、XSS攻擊這種基于應(yīng)用層構(gòu)建的攻擊，由于這類攻擊特征不唯一性，導(dǎo)致傳統(tǒng)的入侵防御產(chǎn)品無法發(fā)現(xiàn)此類攻擊。7.2 啟明星辰應(yīng)用交付解決思路傳統(tǒng)的負(fù)載產(chǎn)品里，基本不具備安全功能，或者只能具備基本的網(wǎng)絡(luò)訪問控制功能。啟明星辰的依托自身的安全因子，除了具備基礎(chǔ)的網(wǎng)絡(luò)層訪問控制外，還具備標(biāo)準(zhǔn)的防火墻的防掃描、防攻

56、擊功能。可以完全代替防火墻運(yùn)行。作為一款應(yīng)用交付產(chǎn)品，啟明星辰的天清應(yīng)用交付平臺(tái)，在做應(yīng)用的分發(fā)同時(shí)，還支持對應(yīng)用層的安全檢測及訪問控制功能。天清應(yīng)用交付平臺(tái)應(yīng)用了一套HTTP會(huì)話規(guī)則集，這些規(guī)則涵蓋諸如SQL注入、以及XSS等常見的Web攻擊。同時(shí)可通過自定義規(guī)則，識別并阻止更多攻擊。解決諸如防火墻、IPS等傳統(tǒng)設(shè)備束手無策的Web系統(tǒng)安全問題。天清應(yīng)用交付始終致力于提供Web安全與應(yīng)用交付融合的解決方案，確保Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性： Web安全：依托多年安全檢測積累、持續(xù)的安全研究投入，針對WEB安全最主要的SQL/XSS攻擊，提供快速全面的Web安全檢測方案。 應(yīng)用交

57、付：依托最新intel SandyBridge平臺(tái)、專為VBOS優(yōu)化的TCP/IP協(xié)議棧，以高速、高可用為目標(biāo)，優(yōu)化業(yè)務(wù)資源，改善訪問體驗(yàn)。7.3 主要安全功能7.3.1. 網(wǎng)絡(luò)層防護(hù)控制與攻擊防護(hù)啟明星辰具備標(biāo)準(zhǔn)防火墻功能，能夠基于源、目的IP、協(xié)議、端口、時(shí)間、接口等信息做訪問控制。此外，通過分析網(wǎng)絡(luò)層報(bào)文的行為特征判斷報(bào)文是否具有攻擊性，并且對攻擊行為采取措施以保護(hù)網(wǎng)絡(luò)主機(jī)或者網(wǎng)絡(luò)設(shè)備。目前，Internet上常見的網(wǎng)絡(luò)安全威脅分為以下三類：DoS攻擊DoS攻擊是使用大量的數(shù)據(jù)包攻擊目標(biāo)系統(tǒng)，使目標(biāo)系統(tǒng)無法接受正常用戶的請求，或者使目標(biāo)主機(jī)掛起不能正常工作。主要的DoS攻擊有SYN Flood、Fraggle等。DoS攻擊和其它類型的攻擊不同之處在于，攻擊者并不是去尋找進(jìn)入目標(biāo)網(wǎng)絡(luò)的入口，而是通過擾亂目標(biāo)網(wǎng)絡(luò)的正常工作來阻止合法用戶訪問網(wǎng)絡(luò)資源。 掃描窺探攻擊掃描窺探攻擊利用ping掃描（包括ICMP和TCP）標(biāo)識網(wǎng)絡(luò)上存在的活動(dòng)主機(jī)，從而可以準(zhǔn)確地定位潛在目標(biāo)的位置；利用TCP和UDP端口掃描檢測出目標(biāo)操作系統(tǒng)和啟用的服務(wù)類型。攻擊者通過掃描窺探