1、第二章 网络方案1 概述以下图是整个IDC建设框架,本章将叙述网络框架建设和网络管理。网络架构运行在布线系统,供电系统等基础系统之上,同时为主机系统和应用系统提供平台。而在横向结构上,IDC网络运行离不开网络管理和运行维护。网络架构可靠,稳定,高效,安全,可扩展,可管理性将直接关系到上层主机系统和应用系统,也将直接关系到IDC业务顺利开展和运行。总而言之,网络架构是IDC建设框架中关键而又承上启下一环,网络系统设计是否完善将直接影响到IDC建设质量。IDC网络架构整体设计框架以下图所表示。IDC业务将包含接入业务,空间出租业务,托管业务,管理业务和增值业务。本章将在介绍IDC网络设计同时,叙述
2、每个设计关键点对IDC业务影响和关键性。因为上图中整个IDC建设框架最终目标是为了IDC业务开展和拓展,在这个框架每个部分全部必需贯穿为IDC业务开展服务宗旨。本章将从托管服务,网络安全,Internet连接,内容交换,内容传送,后台连接和网络管理等方面具体叙述IDC网络处理方案对IDC业务针对性设计。2 托管服务IDC基础业务包含网站托管(Web hosting)和主机托管(Co-location)两大类。其中网站托管分为共享式和独享式两种。因为其业务模式不一样,使得其在对网络设计时要求也不相同。以下分别给出基于两种不一样模式时网络全貌。2.1 基于主机托管IDC网络全貌主机托管是IDC早期
3、为其用户提供一个基础服务。网站及企业用户本身拥有若干服务器,并把它放置在IDC机房里,由用户自己进行维护。主机托管业务特点:投资降低,用户可使用已购置服务器等设备,无需再作设备投资,而且可采取IDC提供线路。该业务适合于本身有较强网络运行维护经验并在数据中心建立之前已投入人力物力建设了网站设备大型企业用户。如著名Yahoo、eBay、Amazon。com全部采取了主机托管业务。提供主机托管业务IDC向其用户提供业务关键包含和Internet网连接和提供独立安全场地,这么对于IDC而言在进行网络设计时必需考虑提升网络连接速度及可靠性,从而为用户提供高质量服务。对主机托管业务,IDC可为用户提供n
4、 x 100M或千兆独占带宽电信级专业机房租用服务,包含 随时可扩充独占带宽 UPS不间断电源保障 二十四小时实时摄像监控 电源控制系统 保安系统 消防系统和可选机柜出租: 标准电信级机柜:高2M、深1M或1。2米、宽19英寸 每台机柜提供独立电源控制 高速以太网接口 独立风扇设备基于主机托管业务IDC网络全貌以下图所表示,网络分为Internet连接层、关键层和服务器接入层。在提供主机托管服务给用户时,IDC服务提供商将负责提供Internet连接层、关键层、分布层及服务器接入层设备并保障其稳定运行。用户则需要自己负责服务器和包含防火墙等在内内部网络。相关网络各层描述,请参见后续对应章节。2
5、.2 基于网站托管IDC网络全貌网站托管是IDC经过发展后而开展一项业务。用户采取IDC提供服务器来存放数据,运行软件。总体来讲数据中心硬件设备关键包含:服务器阵列、网络设备(路由器、交换机)、机房控制设备、防火系统、备用电源、空调设施等。数据服务中心建设除了必需含有一定面积机房和相当数量服务器外,还必需对运维管理、安全系统、监控等设施、工具和专业服务进行深入考虑。提供网站托管业务IDC向其用户提供业务关键包含网络设施及网站托管,这么对于IDC而言在进行网络设计时必需考虑以下要素: 提升服务器及Web应用可访问性,这需要网络含有内容识别(Content Aware)功效 为方便租用主机用户易于
6、控制及管理其主机内容,提供对应管理平台。2.2.1 独享式网站托管IDC为用户提供专用主机,这更适合于含有复杂业务站点。专用主机能够为这些关键应用提供高质量、安全服务。对于这种业务模型,用户将其服务器包给了数据服务中心经营者,用户无须拥有计算机、网络方面技术人员而享受数据服务中心所提供全套专业服务。为了确保服务质量,取得对应高增值服务费用,IDC服务经营者通常和用户制订SLA(Service Level Agreement)。运行者遵照SLA上要求条例确保服务不间断、丢包率、网络响应时间。经营者经过提供比如:平台设计、服务监控、服务品质测试、网络安全管理和缓存等项增值服务加强市场竞争力。对中小
7、型网站而言,不管是从运行维护角度,还是对整体业务收入而言,和场地租用服务相比,独享主机服务更能吸引IDC经营者。依据用户需求不一样,我们能够定义单机,双机集群或包含数据库服务器独享主机服务包。其它作为独享主机托管服务一部分还应包含: 电信级高品质机房环境和设备 可靠供电系统 恒温恒湿控制系统 19英寸标准机架 10M/100M共享或独占接口 独立IP地址 服务器配置 服务器系统软件安装、调试 247网络系统管理维护和技术支持 二十四小时实时服务器运行状态、流量监测 具体访问统计汇报 紧急情况处理2.2.2 共享式网站托管又可称为虚拟主机业务,是指在一个Internet网站工作环境下,IDC网络
8、服务器能够容纳很多相互独立多个网站和Email系统,而且由IDC提供管理维护服务。而每一位用户能够有条件地访问和控制服务器上一小部分,从而用来构建自己网站。虚拟主机依靠于一台服务器,多个网站能够在这台服务器上共享资源(硬盘空间、处理器和内存空间),单独一台服务器上能够同时运行多个虚拟主机。虚拟主机是一个初级网络系统方案,其用途关键是容纳部分中小型企业应用和静态网页。在商业网站发展早期阶段,是系统采取关键处理方案。其业务需求前提以下: 建设网站系统需要高额硬件费用; 缺乏维护这些系统有经验教授; 网站比较简单; 交互应用程序较少; 网络带宽限制。现在Internet上很多网站全部采取虚拟主机系统
9、方案。虚拟主机业务市场将会伴随这个产业发展而不停调整和改变,不停地满足如小型企业、社会团体和其它仅需要一个简单网页系统需求。但因为这种业务模式技术难度不大,所需投资较小,竞争也比较猛烈,利润也较低。在IDC网络建设早期,虚拟主机业务为服务提供商提供了巨大市场机遇,而且它是实施其它增值服务(比如应用托管业务)基础。共享式网站托管是深受中、小企业欢迎一个价廉物美服务,内容包含: 国际、中国域名代理申请 URL域名解析 FTP访问及其密码修改 断点续传支持 CGI/Perl支持,专用CGIBIN目录 Active X/VB Script支持 JAVA Applet/Class支持 防火墙保护 服务器
10、二十四小时不间断运行 WEB设计服务 WEB Counter计数器 Banner广告条 搜索引擎 Email自动转发、回复及邮件列表支持IDC可依据用户对以上功效选择及对存放空间要求,定义成不一样等级服务包提供给最终用户。在基于网站托管业务IDC网络全貌以下图所表示,网络分为Internet连接层、关键层、分布层、服务器接入及后台管理平台。在提供网站托管业务时,IDC服务提供商需提供并管理全部各层设备,对于IDC用户是完全透明,从而用户能够专注于其业务而无需负责任何系统管理。对于网络结构中各层具体描述,请参见后续对应章节。3 网络安全众所周知,作为全球使用范围最大信息网,Internet本身协
11、议开放性极大地方便了多种计算机连网,拓宽了共享资源。不过,因为在早期网络协议设计上对安全问题忽略,和在使用和管理上无政府状态,逐步使Internet本身安全受到严重威胁,和它相关安全事故屡有发生。对网络安全威胁关键表现在:拒绝服务、非授权访问、冒充正当用户、破坏数据完整性、干扰系统正常运行、利用网络传输病毒、线路窃听等方面。这就要求我们对和Internet互连所带来安全性问题给予足够重视。 IDC以Internet技术体系作为基础,关键特点是以TCP/IP为传输协议和以浏览器/WEB为处理模式。所以我们在IDC设计中必需充足重视安全问题,尽可能降低安全漏洞。另外,我们还应该依据IDC用户需求提
12、供不一样安全服务,同时最大程度确保IDC 网络管理中心(NOC)本身安全。3.1 IDC安全需求我们把对于IDC安全需求分为三类:分别是IDC基础服务,IDC增值服务,IDC NOC。对于IDC基础服务安全需求以下: AAA服务,提供认证,授权及审计功效 防Dos 黑客攻击功效 线速ACL功效 对于IDC 增值服务安全需求以下: AAA服务,提供认证,授权及审计功效 防Dos 黑客攻击功效 线速ACL功效 防火墙及防火墙平滑切换功效 入侵检测功效 漏洞检测功效 线速NAT对于 IDC NOC安全需求以下: AAA服务,提供认证,授权及审计功效 防Dos 黑客攻击功效 线速ACL功效 防火墙及防
13、火墙平滑切换功效 入侵检测功效 漏洞检测功效 线速NAT ACL策略管理 安全元件策略管理 VPN3.1.1 AAA服务所谓AAA是(Authentication、Authorization、Accounting)缩写,即认证、授权、记帐功效,简单说:认证:用户身份确实定,确定许可哪些用户登录,对用户身份校验。授权:当用户登录后许可该用户能够干什么,实施哪些操作授权。记帐:统计用户登录后干了些什么。AAA功效实施需要两部分配合:支持AAA网络设备、AAA服务器。RADIUS/TACACS+是实施AAA常见协议,认证软件需要有完整记帐功效,而且能够将USER 信息直接导入软件用户数据库,极大方便
14、AAA服务用户管理。在使用AAA功效后用户经过网络远程登录到网络设备上基础过程以下:用户实施远程登录命令(比如:Telnet),网络设备提醒输入用户姓名、口令。用户输入口令后,网络设备向AAA服务器查询该用户是否有权登录。AAA服务器检索用户数据库,假如该用户许可登录则向网络设备返回PERMIT信息和该用户在该网络设备上可实施命令同时将用户登录时间、IP作具体统计;若不能在用户数据库中检索到该用户信息则返回DENY信息,并能够依据设置向网管工作站发送SNMP警告消息。当网络设备得到AAA应答后,能够依据应答内容作出对应操作,假如应答为DENY则关闭掉目前SESSION进程;假如为PERMIT则
15、依据AAA服务器返回用户权限为该用户开启SESSION进程,并将用户所实施操作向AAA服务器进行汇报。经过AAA实施我们能够方便控制网络设备安全性,同时结合ACL设置限制能够进行远程登录工作站数量、IP地址降低网络设备受到攻击可能性。3.1.2 防DoS黑客攻击在拒绝服务(DoS)攻击中,恶意用户向服务器发送多个认证请求,使其满负载,而且全部请求返回地址全部是伪造。当服务器企图将认证结果返回给用户时,它将无法找到这些用户。在这种情况下,服务器只好等候,有时甚至会等候1分钟才能关闭此次连接。当服务器关闭连接以后,攻击者又发送新一批虚假请求,以上过程又反复发生,直到服务器因过载而拒绝提供服务。分布
16、式拒绝服务(DDOS)把DoS又向前发展了一步。DoS攻击需要攻击者手工操作,而DDOS则将这种攻击行为自动化。和其它分布式概念类似,分布式拒绝服务能够方便地协调从多台计算机上开启进程。在这种情况下,就会有一股拒绝服务洪流冲击网络,并使其因过载而瓦解。DDOS工作基础概念图所表示。黒客(client)在不一样主机(handler)上安装大量DoS服务程序,它们等候来自中央用户端(client)命令,中央用户端随即通知全体受控服务程序(agent),并指示它们对一个特定目标发送尽可能多网络访问请求。该工具将攻击一个目标任务分配给全部可能DoS服务程序,这就是它被叫做分布式DoS原因。实际攻击并不
17、仅仅是简单地发送海量信息,而是采取DDOS变种工具,这些工具能够利用网络协议缺点使攻击力更强大或使追踪攻击者变得更困难。首先,现在DDOS工具基础上全部能够伪装源地址。它们发送原始IP包(raw IP packet),因为Internet协议本身缺点,IP包中包含源地址是能够伪装,这也是追踪DDOS攻击者很困难关键原因。其次,DDOS也能够利用协议缺点,比如,它能够经过SYN打开半开TCP连接,这是一个很老且早已为人所熟知协议缺点。为了使攻击力更强,DDOS通常会利用任何一个经过发送单独数据包就能探测到协议缺点,并利用这些缺点进行攻击。 防范攻击方法 1。 过滤进网和出网流量 网络服务提供商应
18、该实施进网流量过滤方法,目标是阻止任何伪造IP地址数据包进入网络,从而从源头阻止诸如DDOS这么分布式网络攻击发生或减弱其攻击效果。2。 采取网络入侵检测系统IDS 当系统收到来自奇怪或未知地址可疑流量时,网络入侵检测系统IDS(Intrusion Detection Systems)能够给系统管理人员发出报警信号,提醒她们立即采取应对方法,如切断连接或反向跟踪等。3。 具体方法在路由器和Web交换机上,它将丢弃下列类型数据帧: 长度太短; 帧被分段; 源地址和目标地址相同; 源地址为我们内部地址,或源地址为子网广播地址; 源地址不是单播地址; 源地址是环回地址; 目标地址是环回地址; 目标地
19、址不是有效单播或组播地址另外, 对于HTTP数据流,WEB交换机必需在HTTP流开启后16秒内接收一个有效帧,不然它将丢弃这个帧并中止这个流; 对于TCP数据流,WEB交换机必需在16秒内接收一个返回ack,不然它将终止这个TCP流; 对于任意尝试过8次以上SYN数据流,WEB交换机将终止这个流,而且停止处理一样SYN,源地址,目标地址及端口号正确数据流。在关键交换机上我们能够用线速ACL来达成上述类似帧丢弃策略,我们还能够用CAR方法对ping及SYN数据流进行带宽控制,以预防DDOS攻击。3.1.3 漏洞检测漏洞检测(Vulnerability Scanner)就是对关键计算机信息系统进行
20、检验,发觉其中可被黑客利用漏洞。漏洞检测结果实际上就是系统安全性能一个评定,它指出了哪些攻击是可能,所以成为安全方案一个关键组成部分。 安全扫描服务器能够对网络设备进行自动安全漏洞检测和分析,而且在实施过程中支持基于策略安全风险管理过程。另外,互联网扫描实施预定或事件驱动网络探测,包含对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序检测,从而去识别能被入侵者利用来进入网络漏洞。安全扫描服务器同时能进行系统扫描。系统扫描经过对企业内部操作系统安全弱点完全分析,帮助组织管理安全风险。系统扫描经过比较要求安全策略和实际主机配置来发觉潜在安全风险,包含缺乏安全补丁、词典中可猜
21、口令、不合适用户权限、不正确系统登录权限、不安全服务配置和代表攻击可疑行为。系统安全扫描还能够修复有问题系统,自动产生文件全部权和文件权限修复脚本。安全扫描服务器能提供实时入侵检测和实时报警。当收到安全性消息时,图形用户界面上对应主机状态颜色和安全性消息组图标全部应有对应改变,以帮助操作人员快速地确定报警原因和范围。3.1.4 入侵检测入侵检测(Intrude Detection)含有监视分析用户和系统行为、审计系统配置和漏洞、评定敏感系统和数据完整性、识别攻击行为、对异常行为进行统计、自动地搜集和系统相关补丁、进行审计跟踪识别违反安全法规行为、使用诱骗服务器统计黑客行为等功效,使系统管理员能
22、够较有效地监视、审计、评定自己系统。实时入侵检测系统处理方案,用于检测、汇报和终止整个网络中未经授权活动。它能够在Internet和内部网环境中操作,保护整个网络。入侵检测系统包含两个部件: Sensor和Director。Sensor不影响网络性能,它分析各个数据包内容和上下文,决定流量是否未经授权。假如一个网络数据流碰到未经授权活动,比如SATAN攻击、PING攻击或秘密研究项目代码字,Sensor能够实时检测政策违规,给Director管理控制台转发告警,并从网络删除入侵者。基于网络实时入侵检测系统,能够监控整个数据网络,需要是含有最新攻击检测功效稳健全天候监控和应答系统,能在当地、地域
23、和总部监视控制台之间指导和转发告警分布式入侵检测系统。同时需要能够许可布署大量Sensor和Director可伸缩体系结构,在大型网络环境中提供全方面覆盖面,和现有网络管理工具和实践平滑集成入侵检测系统。 入侵检测系统通常含相关键特征包含: 对正当流量/网络使用透明实时入侵检测 对未经授权活动实时应对能够阻止黑客访问网络或终止违规会话 全方面攻击署名目录能够检测广泛攻击,检测基于内容和上下文攻击 支持广泛速度和接口类型,包含10/100 Mbps以太网、令牌环网和FDDI 告警包含攻击者和目标地IP地址、目标地端口、攻击介绍和捕捉攻击前键入字符 适合特大规模分布式网络可伸缩性 3.1.5 专用
24、VLANIDC环境是一个经典多用户服务器群结构,每个托管用户从一个公共数据中心中一系列服务器上提供Web服务。这么,属于不一样用户服务器之间安全就显得至关关键。一个确保托管用户之间安全通用方法就是给每个用户分配一个VLAN和相关IP子网。经过使用VLAN,每个用户被从第2层隔离开,能够预防任何恶意行为和Ethernet信息探听。然而,这种分配每个用户单一VLAN和IP子网模型造成了巨大扩展方面局限。这些局限关键有以下几方面: VLAN限制:LAN交换机固有VLAN数目标限制 复杂STP:对于每个VLAN,一个相关Spanning-tree拓扑全部需要管理 IP地址紧缺:IP子网划分势必造成部分
25、地址浪费 路由限制:假如使用HSRP,每个子网全部需对应缺省网关配置在一个IDC中,流量流向几乎全部是在服务器和用户之间,而服务器间横向通信几乎没有。Cisco在IP地址管理方案中引入了一个新VLAN机制,服务器同在一个子网中,但服务器只能和自己缺省网关通信。这一新VLAN特征就是专用VLAN (private VLAN,pVLAN)。这种特征是Cisco企业专有技术,但尤其适适用于IDC。专用VLAN是第2层机制,在同一个2层域中有两类不一样安全等级访问端口。和服务器连接端口称作专用端口(private port),一个专用端口限定在第2层,它只能发送流量到混杂端口,也只能检测从混杂端口来流
26、量。混杂端口(promiscuous port)没有专用端口限定,它和路由器或第3层交换机接口相连。简单地说,在一个专用VLAN内,专用端口收到流量只能发往混杂端口,混杂端口收到流量能够发往全部端口(混杂端口和专用端口)。下图示出了同一专用VLAN中两类端口关系。专用VLAN应用在多用户数据中心是很有效,因为IDC网络中,服务器只需和自己缺省网关连接,一个专用VLAN不需要多个VLAN和IP子网就提供了这么安全连接。在这一模型中,全部服务器全部接入专用VLAN,从而实现了全部服务器和缺省网关连接,而和专用VLAN内其它服务器没有任何访问。现在,CiscoCatalyst Switch 6000
27、/6500系列交换机支持专用VLAN。4 Internet连接作为IDC网络和公共IP骨干网络接口,Internet连接层提供了IDC和公共IP网桥梁,它运行情况直接关系到IDC为其用户所提供服务质量,这就要求该层设备必需含有以下特点:高速路由交换能力对多种高级路由协议(如BGP等)全方面支持含有丰富接口类型完善QOS支持能力在Internet连接层配置高端路由器,使用高速连接到IP骨干网,并以全冗余方法和关键层互连。借助于这些高端路由器高性能及丰富特征,提供全冗余、高速、高性能网络关键。4.1 骨干接入作为IDC网络和公共IP骨干网络接口,Internet连接层提供了IDC和公共IP网桥梁,
28、它运行情况直接关系到IDC为其用户所提供服务质量,这就要求该层设备必需含有以下特点:高速路由交换能力对多种高级路由协议(如BGP等)全方面支持含有丰富接口类型完善QOS支持能力在Internet连接层配置高端路由器,使用高速连接到IP骨干网,并以全冗余方法和关键层互连。借助于这些高端路由器高性能及丰富特征,提供全冗余、高速、高性能网络关键。4.2 带宽管理在IDC业务中,通常针对提供不一样带宽收取不一样费用,所以带宽管理成为Internet连接中提供服务质量关键确保。 4.2.1 识别网络流量 IDC带宽管理需要支持多个协议和应用程序,而且能够依据自己需要,自行设定对应标准来区分更多类型。能够
29、经过应用、服务、协议、端口数、URL或通配符(用于Web通信)、主机名称、优先权、和IP或MAC地址对通信量进行分类。只有这么才能对用户提供完善带宽管理机制。像HTTP、FTP和Telnet这么IP协议,和像SNA、NetBIOS和AppleTalk这么非IP协议,带宽管理全部应该能自动识别,并依据用户需要进行有效处理。比如,你能够将SAP/R3通信量依据一个特定用户式特定服务器隔开,使TN3270交互式通信量和打印通信量分开,甚至把一个H。323视频会议数据信道和控制信道区分开来。4.2.2 确保应用性能 带宽管理需要确保关键和交互式应用取得其所需要带宽,同时限制一般应用对带宽需求。每种通信
30、类型映射到一项特定带宽分配政策上,确保每种通信类型得到一个合适带宽。 速率政策(Rate policies)限制或确保每个单独对话带宽,抑制那些贪婪应用通信,或保护对时延敏感流量。比如,一个HTTP cap会使Web游览避免使用她人带宽。而且取得确保音频或视频流动速率,避免出现恼人不稳定性。速率政策是为应用提供没有被使用带宽,所以,昂贵带宽从不会被浪费。 4.2.3 测量、分析和生成报表 网络管理员在制订一项带宽管理策略之前及以后必需分析其网络应用通信模式,以测量其是否成功。带宽管理将跟踪平均和高峰通信量水平,计算在重新传输上所浪费带宽百分比,突出最关键用户和应用程序,而且测量性能。网络总结和
31、特定上下文报表提供了对网络趋势轻松访问。响应时间特征许可你测量性能,设置可接收性标准,并跟踪响应质量是否坚持了标准。 4.2.4 流量控制和监视控制 IDC带宽管理是很复杂业务和技术控制,所以,需要一个简单易用进行操作管理界面。经过这一界面,网络管理员可在任何时候、任何地方,经过网络来配置、控制和监控带宽分配情况。4.2.5 轻松布署 硬件带宽管理器通常在网络瓶颈上,通常在路由器和关键交换机之间。为了网络性能考虑,带宽管理器需要和现有网络顺利集成,不需要任何新协议或重新配置路由器,也不需要修改拓朴结构和桌面。它不能是一个网络故障点,假如带宽管理器发生故障或被关掉,它需要会像一根电缆一样发挥作用
32、。用于IDC硬件带宽管理器在目前市场上关键有Alteon企业、Packeteer企业和Intel企业带宽管理器。 利用路由器和交换机特定QOS(Quality of Service)技术,也能实现带宽管理。比如Cisco企业CAR(Committed Access Rate)技术。对当地带宽管理也能够经过四层交换机来实现。Foundry,Alteon和Cisco企业四层交换机全部支持当地带宽管理。5 内容交换内容交换提供数据流负载均衡以提升IDC网络性能,尤其是服务器响应性能。内容交换同时对应用层数据提供合适控制以满足应用要求,比如对SSL(Security Socket Layer)连接控制
33、。这在本节将有具体叙述。5.1 基于IP负载均衡数据中心服务提供商除了向用户提供部分基础主机托管和网站托管服务外,还需要提供部分更高等级增值服务来吸引用户、拓展市场。作为数据中心托管用户主体,比如ICP网站、电子商务网站、企业网站等,它们托管或租用在数据中心大部分服务器全部是基于Internet TCP/IP协议应用服务器,比如WWW服务器、FTP服务器等。对于这些用户而言,怎样确保这些关键服务器高可靠性、高可用性和可扩展性是很关键。所以,假如数据中心服务提供商能够给用户提供这种高可用性服务,就能够像保险企业保险费一样,来向用户收取一定增值服务费用!而且对数据中心多种类型用户全部带来好处:对主
34、机租用用户来讲,她们服务器硬件本身全部是租用数据中心,所以自然期望数据中心能够对服务器系统可用性提出更高确保;对主机托管用户来讲,尽管服务器是本身携带,不过除了极少部分大网站有资金、有技术能力来自行处理关键服务器系统高可用性问题外,大多数网站并不含有这么条件,她们期望数据中心服务提供商能够作为她们Virtual IT部门,能够给她们提供一个完善处理方案。下面我们以数据中心中最为普遍服务WWW服务为例,来具体讲解怎样实现Internet服务高可用性,即关键服务器系统高可用性。以前作为一个网站通常采取方法是WWW服务器由一台硬件配置很高UNIX服务器来担当,尽管成本昂贵,但这么做仍然不能确保它可靠
35、性、可用性、可维护性:一是因为一台服务器仍作不到硬件级完全容错,确保不了可靠性;二是因为一台服务器网络带宽有限,确保不了可用性;三是因为当这台服务器进行硬件或软件升级时,不可避免地要中止WWW服务,确保不了可维护性。基于上述原因,大家提出了DNS轮询方案(DNSRoundRobin)试图处理WWW服务可用性问题,即多台WWW镜像主机在DNS中对应同一域名,当用户访问WWW,要求DNS服务器解析域名时,DNS服务器按DNS请求前后次序把域名依次解析成其中一台WWW主机IP地址,从而把任务平均分担到数台WWW主机上,来提升WWW服务整体性能。它优点是:实现简单、实施轻易、成本低;不过,它缺点也很显
36、著:不是真正意义上负载均衡,DNS服务器将HTTP请求平均地分配到后台WWW服务器上,而不考虑每个WWW服务器目前负载情况;假如后台WWW服务器配置和处理能力不一样,最慢WWW服务器将成为系统瓶颈,处理能力强服务器不能充足发挥作用;另外未考虑容错,假如后台某一台WWW服务器出现故障,DNS服务器仍会把DNS请求分配到这台故障服务器上,造成对用户端不能响应。而这最终一个缺点是致命,有可能造成相当一部分用户不能访问WWW服务,而且因为DNS缓存原因,造成恶劣后果要连续相当长一段时间(通常DNS刷新周期约二十四小时)。另外,还有部分基于群集(Cluster)技术软件处理方案来确保WWW服务高可用性。
37、它通用做法是经过在操作系统基础上安装操作系统厂商群集软件或第三方群集软件(绝大多数支持WWW服务群集),比如Microsoft Cluster Server、Turbo Linux、Cluster Server等,来做到应用级互为备份或负载平衡。互为备份(Active/Standby)方法下,其中一台服务器缺省处于活动状态(Active/Primary),而另一台处于睡眠状态(Standby/Backup),当主服务器系统死机或应用不能正常服务时,备份服务器会自动变成活动状态,从而接管原主服务器任务,确保应用能够继续服务。负载平衡方法下,能够有多台服务器,每一个服务器全部负担一定应用。它们之间
38、即能够互为备份,也能够有专门一台备份服务器,它在群集正常时不负担任何任务,不过当群集中某一台服务器发生故障时,它会自动激活,从而接管故障服务器任务。不过,它也存在以下缺点:安装、配置复杂,难于维护和管理;群集软件和服务器硬件平台和操作系统亲密相关,不能做到设备无关性和无缝升级;实现负载平衡算法简单,通常是依据轮询(Round Robin),有些WWW群集软件可支持设定权重(Weighting)算法,但权重(weighting)是人为设定,并不能客观反应每一台服务器HTTP请求响应能力和目前负载情况;和硬件实现方案(Layer4负载平衡交换设备)比较起来,性能较低,另外支持Web Site规模较
39、小(WWW服务器最多能够到16台);不能实现HTTPS等特殊应用负载平衡(这是因为在HTTPS应用中,用户端和服务器端要进行身份验证、交换证书和密钥,所以用户端和服务器端应一一对应,同一用户请求应由同一台服务器来处理)。当然更为关键一点是,作为数据中心托管用户,她们往往不期望数据中心服务提供商在她们服务器上安装任何软件!正因为上述处理方案存在这么或那样问题,所以,伴随Internet技术发展,出现了基于应用、甚至基于内容负载平衡设备,即我们通常所说第四层、第七层智能负载平衡设备。它们经过硬件技术或专用ASIC芯片来实现WWW等应用服务器负载均衡和高可用性处理方案。经过这种技术能够提升WWW服务
40、器整体处理能力,并提升整个服务器系统可靠性、可用性、可维护性、可扩展性,确保WWW服务质量QOS,提供基于URL、基于内容交换(当采取第七层负载平衡设备时),最终用一组低处理能力、低实现成本主机提供大规模、高性能、可扩展WWW服务。以下是相关采取第四层负载平衡设备实现WWW服务负载平衡通常介绍:在第四层负载平衡设备上设置WWW服务虚拟IP地址(Virtual IP Address),这个虚拟IP地址是DNS服务器中解析到WWW服务器IP地址,对用户端是可见。当用户访问此WWW应用时,用户端HTTP请求会先被第四层负载平衡设备接收到,它会基于第四层交换技术实时检测后台WWW服务器负载,依据设定算
41、法进行快速交换,交给目前最可用、负载最轻服务器来处理。常见算法有以下多个:轮询(Round Robin)、权重(Weighting)、最少连接(Least connection)、随机(Random)、响应时间(Response Time)等。经过这种技术可将大量、并发性用户请求分配到多个服务器来处理,从而降低单个服务器负载,避免服务器死机或响应延迟过大!另外,这种负载平衡设备还能够几乎实时地检测到后台服务器硬件、操作系统、网络甚至应用等级状态,从而避免用户请求被失效服务器处理。5.2 应用负载均衡第七层应用负载平衡设备是近一、两年才出现最新技术,它关键用于实现WWW应用负载平衡和服务质量确保
42、。它和第四层负载平衡设备比较起来:第七层负载平衡设备不仅能检验TCP/IP数据包TCP、UDP端口号(Transportation Layer),从而转发给后台某一个服务器来处理,而且它能从会话层(Session Layer)以上来分析HTTP请求URL,依据URL不一样将不一样HTTP请求交给不一样服务器来处理(能够具体到某一类文件,甚至某一个文件),甚至同一个URL请求能够让多个服务器来响应以分担负载(当用户访问某一个URL,提议HTTP请求时,它实际上要和服务器建立多个会话连接,得到多个对象Object,比如。txt/。gif/。jpg文档,当这些对象全部下载到当地后,才组成一个完整页面
43、)。5.3 跨地域负载均衡前面讲述全部是相关怎样在当地局域网实现WWW等应用服务器负载平衡,那么怎样实现应用服务器广域网上负载平衡,从而确保应用冗灾备份,和怎样有效依据用户地域分布、广域网络连通状态或延迟时间来将用户定向到她们最适合访问站点呢?这些全部包含到广域网负载平衡技术(Global Server Load Balance),常见广域网负载平衡产品全部是基于DNS重定向原理来实现,即当用户访问某一个网站时,比如www。mysite。com时,用户相关这个网站DNS域名解析请求会被这个广域网负载平衡设备来处理,而这个广域网负载平衡设备会基于用户端IP地址范围、用户端和各节点网络延迟、各节点
44、状态及负载等参数,然后依据一定算法来判定那个节点最适适用户访问,从而将这个节点IP地址或VIP地址返回给用户。常见广域网负载平衡算法有:轮询(RoundRobin)、加权轮询(Weighted RoundRobin)、随机(Random)、最少连接数(Least Connection)、最低CPU利用率(Lowest CPU Utilization)、HTTP重定向(HTTP Redirection)等。5.4 Cookie和SSL会话连接锁定为了使得一个电子商务事务成功,用户必需被锁定到指定服务器上直到事务完成。保持到一个服务器连续连接,称为“锁定”,这是任何发明利润电子商务WEB站点关键。
45、Web交换机能够读到分布在多个包中Cookie并有能力识别一个Cookie。Cookie能够由Web交换机内部产生或在服务器上产生。一旦Cookie被设定,用户浏览器就被透明地刷新。能够产生Cookie对电子商务站点基于Cookie使流量含有优先级是有益。假如进入一个请求而且提供了一个Cookie,用户优先级字段就会决定那个服务器群接收请求。假如没有提供Cookie,请求要么被送到认证服务器,要么交换机内部产生一个新Cookie。这个请求就有一个有优先级设置Cookie,这个优先级会把用户定向到适宜得服务器群。保护基于Web商务最常见方法就是使用流行SSL(Secure Socket Laye
46、r)协议。SSL是端到端加密机制,是当今Web商务加密关键方法。基于SSL会话ID维持连续性优化了电子商务商务完整性,确保了安全和性能均衡。在一个安全事务中,Web交换机维持从用户Cookie(购物)到SSL会话ID(结帐)转化。这一点很关键,因为Cookie处于为进行SSL事务而加密HTTP头部,所以维持锁定连Web交换机不能读到。用户浏览器和服务器之间开始SSL Hello消息含有一个空会话ID字段(假如要建立一个新SSL会话)或上一次用户使用得SSL会话。不过,这并不是下面电子事务使用SSL会话ID。作为用户Hello消息响应,服务器挑选一个新会话ID并把自己带有会话IDHello发回到
47、用户端。CSS交换机在服务器Hello中检测到这个新SSL会话ID并把请求路由到这一时刻最适宜服务器。后续有这个会话ID请求全部将被转到同一台服务器。为了优化资源,当一个会话在一个定义时间段处于休止状态后,Web服务器会终止这个会话。当几分钟没有操作后,服务器会做超时处理,释放这个会话ID。当用户发送一个新请求时,服务器把它作为一个新用户处理,会建立一个新会话。假如用户填了一个很长表格,比如抵押申请或信用证实,那么全部刚填写信息全部会丢失,必需重新来过。Web交换机处理方案为加密会话提供锁定连接,不仅提升了效率和用户满意度,也显著地降低了服务器上应用压力。因为建立会话握手会包含交换公钥,会产生计算资源最大消耗。经过截取会话ID并透明地重建失败会话,Web交换机除去了一个连接失败后为建立新会话而做处理复杂谈判任务。6 内容传送6.1 网络加速Web Cache技术是把大多数常常被访问内容存放距用户更近从而提升了Web访问速度。Web cache能够在企业Internet接入处配置,在接入设备和ISP POP中骨干链路之间,或在ISP网络之间边缘。有很多Web cache实现方法,包含代理、透明和反向代理cache。每一个技术区分在于在Web服务器访问路径什么地方配置和需要进行配置多少。Cache
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100