1、应用交付产品技术白皮书天清应用交付平台技术白皮书2 / 49北京启明星辰信息安全技术有限公司http:/目录第一章 应用交付产品的概念及核心价值 .41.1 ADN 应用交付网络的概念 .41.2 应用交付产品的核心价值 .5第二章 天清 ADC 应用交付解决方案总体介绍 .62.1 方案构成 .6服务器负载均衡 .7全局负载均衡 .8链路负载均衡 .92.2 部署方式 .11串行部署三层接入 .11串行透明部署 .11旁路部署三层接入 .12旁路部署透明接入 .12旁路部署之三角传输 .13第三章 服务器负载分担 .133.1 服务器负载分担 .133.1.1 负载分担算法 .143.1.2
2、 健康检查策略 .153.1.3 会话保持策略 .163.2 七层内容交换 .193.3HA 高可靠性与设备集群 .203.3.1 HA 高可靠性 .203.3.2 设备集群 .22第四章 应用优化与加速 .234.1 SSL 硬件加速和卸载 .244.2 本地 RAM Cache .244.3 内容压缩 .254.4 TCP 连接复用 .25天清应用交付平台技术白皮书3 / 49北京启明星辰信息安全技术有限公司http:/4.5 TCP 单边加速 .264.6 HTTP 管线(Pipelining) .274.7 窄带用户应用加速 .294.8 重写 Rewrite .29第五章 链路负载分
3、担 .305.1 出站流量负载均衡(Outbound 方向) .30负载分担算法 .30链路健康检查 .32出站流量会话保持和 NAT.325.2 入站流量负载均衡(Inbound 方向) .33智能 DNS 解析流程 .34第六章 全局负载分担 .356.1 全局负载分担策略 .366.2 动态就近性 .366.3 静态就近性策略 .396.4 IP Anycast 技术 .396.5 基于 HTTP 重定向的全局负载均衡 .40第七章 应用安全防护 .417.1 应用安全防护 .417.2 启明星辰应用交付解决思路 .427.3 主要安全功能 .43天清应用交付平台技术白皮书4 / 49北
4、京启明星辰信息安全技术有限公司http:/第一章 应用交付产品的概念及核心价值1.1 ADN 应用交付网络的概念Internet 本质上是一种端到端(end-to-end )的技术,任何一个复杂的应用,最终都会归根于在 Client 和 Server 之间的数据交互,而其所经过 Internet 的环节却纷繁复杂,对于应用的运营者来说,其中的任何一个环节处理不好,都会导致业务的无法正常提供或者效率低下。比如: 应用系统的性能瓶颈,稳定性,可扩展性的问题; 跨运营商访问时因路由瓶颈而导致的网络延迟问题; 宽带用户和窄带用户(移动终端)并存时的合理分发和访问效率问题; 应用系统所面临的网络攻击等安
5、全性等问题; 应用系统的整体运行效率和改善用户体验问题等等。Application Delivery Networks(ADN) ,正是面向于保障 Client 和 Server 之间稳定且高效的数据交互而提出的一套技术体系,其主要是面向基于浏览器(Web-Based )并借助于 Internet 向用户提供服务的业务模式。ADN 产品按照国际著名资讯机构 Gartner的阐述,主要是包含广域网优化 WAN Optimization Controller(WOC)和应用交付控天清应用交付平台技术白皮书5 / 49北京启明星辰信息安全技术有限公司http:/制器 Application Deli
6、very Controller(ADC )两个领域。广域网优化产品,主要是用于在多个数据中心,或者总部和分支机构之间进行数据的压缩以提升传输效率,节约带宽成本。ADC 产品是从负载分担(Load Balance)产品演进而来,负载分担产品通过对外提供唯一的访问 IP 地址(虚拟服务 VS) ,对内通过地址池( Pool)关联多个提供相同服务的节点(Server) ,这样就可以把进入的流量按照事先定义好的策略分发给这些服务器,同时监控这些服务器的状态,当某个节点失效时,可以把流量重新分配到其他正常的服务器上。运营者可以随时增加或者减小这组服务器的数目,以满足业务变化的需要。这样就实现了 WEB
7、服务器侧的可用性和弹性扩展。ADC 除了具备负载分担的功能外,更关注的是整个应用交付的各个环节,包括 Client侧,Server 侧及数据交互经过网络节点的整体效率。ADC 可以根据用户访问的内容做更精细化的流量分担,可以根据用户自身的信息如浏览器类型,Cookie 等七层信息做内容交换。ADC 能够识别出应用,并且进行加速和优化处理。同时,ADC 设备可以对服务器的压力进行卸载(Off-Load)- 包括 SSL 协议,内容压缩,Cache,TCP 链接等,让服务器资源重点服务自身的业务系统,从而提升整个系统的效率。应用交付产品的核心价值应用交付产品关注整个应用交付的环节,核心价值是为了保
8、障应用的:高性能-满足业务发展的需要,并具备足够的弹性扩展。高效率-服务器压力卸载,提升整个业务系统效率。高可用-业务的备份和冗余。保障业务的不间断稳定运行,并提升用户体验。天清应用交付平台技术白皮书6 / 49北京启明星辰信息安全技术有限公司http:/安全性-保障业务安全,防止入侵和数据泄漏。第二章 天清 ADC 应用交付解决方案总体介绍启明星辰基于深厚的技术积累,不断探索专业有效的 ADC 解决方案以保障用户应用连续可靠运行的同时,节约用户的投资效率,并带来更好的用户体验。2.1 方案构成为了满足 IT 应用有效、快速、安全交付的需求,启明星辰推出天清 ADC 应用交付平天清应用交付平台
9、技术白皮书7 / 49北京启明星辰信息安全技术有限公司http:/台的整体解决方案,包括:服务器负载均衡,应用优化与加速,链路负载均衡,全局负载均衡,广域网优化,安全防护等全系列产品。服务器负载均衡服务器负载均衡主要是对访问服务器和服务器返回的流量进行管理,天清 ADC 应用交付平台通过多种静态和动态负载分担算法,把访问服务器的流量智能的分发给最佳的服务器。同时,天清 ADC 应用交付平台利用自身的多核高性能硬件平台和 VBOS 软件系统的优势,对流量进行实时压缩,缓存,硬件加解密等处理,把原本需要耗费服务器大量性能的计算接管过来,使服务器系统只进行业务相关的处理,以实现整个业务系统的加速和效
10、率提升。天清 ADC 服务器负载均衡方案包括:负载分担,应用加速,服务器卸载等几个部分。天清应用交付平台技术白皮书8 / 49北京启明星辰信息安全技术有限公司http:/与此同时,天清 ADC 应用交付平台还提供专业的抗拒绝服务攻击、状态防火墙及Web 应用防火墙功能,进一步提升应用的安全性和可靠性。全局负载均衡全局负载均衡-GSLB(Global Server Load Balance)是通过在全球部署多个数据中心来保护业务站点不受访问中断的影响,并且提升整体业务系统响应能力的一种解决方案。通过部署天清 ADC 应用交付平台,可以在多个数据中心之间进行流量分担,并进行数据中心间的冗余和灾备。
11、同时天清 ADC 应用交付平台可以根据智能算法,把某个用户的访问引导到距离他最近,延迟最小的数据中心,即实现了整个业务系统的可扩展性,也有效的提升了用户体验。天清 ADC 应用交付平台内置智能 DNS 系统和 IP 地理位置信息库,企业可以把 ADC设备作为域名授权发布服务器,配置多个数据中心的 IP 地址对应该域名 DNS A 记录。当接收到某个用户的 DNS 请求时,通过判断该用户所处地域,并结合动态探测算法或者静天清应用交付平台技术白皮书9 / 49北京启明星辰信息安全技术有限公司http:/态策略返回该域名对应的最佳数据中心地址。天清 ADC 应用交付平台除了具备动态智能解析方式外,还
12、提供静态就近性策略,HTTP 重定向和 IP AnyCast 技术等多种全局负载分担解决方案。可以为企业提供最灵活的选择方式,并能够和其他全局负载分担产品实现网络兼容。链路负载均衡根据中国的运营商接入现状,企业往往选择同时租用多条运营商线路以实现企业接入Internet 时的链路备份和带宽叠加。天清 ADC 应用交付平台可以动态监控链路的实时状态,提供多种静态和动态流量分担方法,可以有效提升多链路接入的效率和整体性能。当企业部署对外提供服务的应用服务器时,天清 ADC 应用交付平台可以根据用户所处的运营商网络,或者地域的远近,或者当前链路的带宽质量进行智能 DNS 解析,帮助用户选择最优的链路
13、进行访问,有效避免跨运营商访问时造成的带宽瓶颈和延迟增大等问题,提供最佳的用户体验。天清应用交付平台技术白皮书10 / 49北京启明星辰信息安全技术有限公司http:/ Outbound 出站方向访问内网用户向外发起连接请求时,天清 ADC 应用交付平台产品提供多种静态和动态链路分担算法,选择当前最合适的链路分配流量。静态算法包括:轮询,比率,加权等。动态算法包括:最小连接,最小流量,最小延迟等等。天清 ADC 应用交付平台支持运营商路由选择,根据用户请求地址所出运营商来选择和其匹配的运营商链路出口,这样就避免了跨运营商访问的效率低下问题。 Inbound 入站方向访问当企业内部提供对外的服务的业务系统时,如 ERP 系统,邮件系统或者其他在线业务交易系统时,可以把天清 ADC 应用交付平台作为授权域名发布服务器,把多个运营商链路接入 IP 地址绑定到同一个域名 A 记录上。这样,结合运营商 IP 位置信息库和静态配置策略,ADC 能够智能的处理外部用户 DNS 请求,返回最佳的链路接入地址。
