负载均衡技术白皮书.doc

天清应用交付平台技术白皮书应用交付产品技术白皮书目录第一章应用交付产品的概念及核心价值41.1ADN应用交付网络的概念41.2应用交付产品的核心价值5第二章天清ADC应用交付解决方案总体介绍62.1方案构成6服务器负载均衡7全局负载均衡8链路负载均衡92.2部署方式11串行部署三层接入11串行透明部署11旁路部署三层接入12旁路部署透明接入12旁路部署之三角传输13第三章服务器负载分担133.1服务器负载分担133.1.1负载分担算法143.1.2健康检查策略153.1.3会话保持策略163.2七层内容交换193.3HA高可靠性与设备集群203.3.1HA高可靠性203.3.2设备集群22第四章应用优化与加速234.1SSL硬件加速和卸载244.2本地RAM Cache244.3内容压缩254.4TCP连接复用254.5TCP单边加速264.6HTTP管线（Pipelining）274.7窄带用户应用加速294.8重写Rewrite29第五章链路负载分担305.1出站流量负载均衡（Outbound方向）30负载分担算法30链路健康检查32出站流量会话保持和NAT325.2入站流量负载均衡(Inbound方向)33智能DNS解析流程34第六章全局负载分担356.1全局负载分担策略366.2动态就近性366.3静态就近性策略396.4IP Anycast技术396.5基于HTTP重定向的全局负载均衡40第七章应用安全防护417.1应用安全防护417.2启明星辰应用交付解决思路427.3主要安全功能43第一章 应用交付产品的概念及核心价值1.1 ADN应用交付网络的概念Internet本质上是一种端到端（end-to-end）的技术，任何一个复杂的应用，最终都会归根于在Client和Server之间的数据交互，而其所经过Internet的环节却纷繁复杂，对于应用的运营者来说，其中的任何一个环节处理不好，都会导致业务的无法正常提供或者效率低下。比如： 应用系统的性能瓶颈，稳定性，可扩展性的问题； 跨运营商访问时因路由瓶颈而导致的网络延迟问题； 宽带用户和窄带用户（移动终端）并存时的合理分发和访问效率问题； 应用系统所面临的网络攻击等安全性等问题； 应用系统的整体运行效率和改善用户体验问题等等。Application Delivery Networks（ADN），正是面向于保障Client和Server之间稳定且高效的数据交互而提出的一套技术体系，其主要是面向基于浏览器（Web-Based）并借助于Internet向用户提供服务的业务模式。ADN产品按照国际著名资讯机构Gartner的阐述，主要是包含广域网优化WAN Optimization Controller（WOC）和应用交付控制器Application Delivery Controller（ADC）两个领域。广域网优化产品，主要是用于在多个数据中心，或者总部和分支机构之间进行数据的压缩以提升传输效率，节约带宽成本。ADC产品是从负载分担（Load Balance）产品演进而来，负载分担产品通过对外提供唯一的访问IP地址（虚拟服务VS），对内通过地址池（Pool）关联多个提供相同服务的节点（Server），这样就可以把进入的流量按照事先定义好的策略分发给这些服务器，同时监控这些服务器的状态，当某个节点失效时，可以把流量重新分配到其他正常的服务器上。运营者可以随时增加或者减小这组服务器的数目，以满足业务变化的需要。这样就实现了WEB服务器侧的可用性和弹性扩展。ADC除了具备负载分担的功能外，更关注的是整个应用交付的各个环节，包括Client侧，Server侧及数据交互经过网络节点的整体效率。ADC可以根据用户访问的内容做更精细化的流量分担，可以根据用户自身的信息如浏览器类型，Cookie等七层信息做内容交换。ADC能够识别出应用，并且进行加速和优化处理。同时，ADC设备可以对服务器的压力进行卸载（Off-Load）-包括SSL协议，内容压缩，Cache，TCP链接等，让服务器资源重点服务自身的业务系统，从而提升整个系统的效率。11.2 应用交付产品的核心价值应用交付产品关注整个应用交付的环节，核心价值是为了保障应用的：高性能-满足业务发展的需要，并具备足够的弹性扩展。高效率-服务器压力卸载，提升整个业务系统效率。高可用-业务的备份和冗余。保障业务的不间断稳定运行，并提升用户体验。安全性-保障业务安全，防止入侵和数据泄漏。第二章 天清ADC应用交付解决方案总体介绍启明星辰基于深厚的技术积累，不断探索专业有效的ADC解决方案以保障用户应用连续可靠运行的同时，节约用户的投资效率，并带来更好的用户体验。2.1 方案构成为了满足IT应用有效、快速、安全交付的需求，启明星辰推出天清ADC应用交付平台的整体解决方案，包括：服务器负载均衡，应用优化与加速，链路负载均衡，全局负载均衡，广域网优化，安全防护等全系列产品。服务器负载均衡服务器负载均衡主要是对访问服务器和服务器返回的流量进行管理，天清ADC应用交付平台通过多种静态和动态负载分担算法，把访问服务器的流量智能的分发给最佳的服务器。同时，天清ADC应用交付平台利用自身的多核高性能硬件平台和VBOS软件系统的优势，对流量进行实时压缩，缓存，硬件加解密等处理，把原本需要耗费服务器大量性能的计算接管过来，使服务器系统只进行业务相关的处理，以实现整个业务系统的加速和效率提升。天清ADC服务器负载均衡方案包括：负载分担，应用加速，服务器卸载等几个部分。与此同时，天清ADC应用交付平台还提供专业的抗拒绝服务攻击、状态防火墙及Web应用防火墙功能，进一步提升应用的安全性和可靠性。全局负载均衡全局负载均衡-GSLB（Global Server Load Balance）是通过在全球部署多个数据中心来保护业务站点不受访问中断的影响，并且提升整体业务系统响应能力的一种解决方案。通过部署天清ADC应用交付平台，可以在多个数据中心之间进行流量分担，并进行数据中心间的冗余和灾备。同时天清ADC应用交付平台可以根据智能算法，把某个用户的访问引导到距离他最近，延迟最小的数据中心，即实现了整个业务系统的可扩展性，也有效的提升了用户体验。天清ADC应用交付平台内置智能DNS系统和IP地理位置信息库，企业可以把ADC设备作为域名授权发布服务器，配置多个数据中心的IP地址对应该域名DNS A记录。当接收到某个用户的DNS请求时，通过判断该用户所处地域，并结合动态探测算法或者静态策略返回该域名对应的最佳数据中心地址。天清ADC应用交付平台除了具备动态智能解析方式外，还提供静态就近性策略，HTTP重定向和IP AnyCast技术等多种全局负载分担解决方案。可以为企业提供最灵活的选择方式，并能够和其他全局负载分担产品实现网络兼容。链路负载均衡根据中国的运营商接入现状，企业往往选择同时租用多条运营商线路以实现企业接入Internet时的链路备份和带宽叠加。天清ADC应用交付平台可以动态监控链路的实时状态，提供多种静态和动态流量分担方法，可以有效提升多链路接入的效率和整体性能。当企业部署对外提供服务的应用服务器时，天清ADC应用交付平台可以根据用户所处的运营商网络，或者地域的远近，或者当前链路的带宽质量进行智能DNS解析，帮助用户选择最优的链路进行访问，有效避免跨运营商访问时造成的带宽瓶颈和延迟增大等问题，提供最佳的用户体验。 Outbound出站方向访问内网用户向外发起连接请求时，天清ADC应用交付平台产品提供多种静态和动态链路分担算法，选择当前最合适的链路分配流量。静态算法包括：轮询，比率，加权等。动态算法包括：最小连接，最小流量，最小延迟等等。天清ADC应用交付平台支持运营商路由选择，根据用户请求地址所出运营商来选择和其匹配的运营商链路出口，这样就避免了跨运营商访问的效率低下问题。 Inbound入站方向访问当企业内部提供对外的服务的业务系统时，如ERP系统，邮件系统或者其他在线业务交易系统时，可以把天清ADC应用交付平台作为授权域名发布服务器，把多个运营商链路接入IP地址绑定到同一个域名A记录上。这样，结合运营商IP位置信息库和静态配置策略，ADC能够智能的处理外部用户DNS请求，返回最佳的链路接入地址。2.2 部署方式天清ADC应用交付平台支持串行接入，并行接入，三层接入，透明模式接入，DSR模式等多种接入方式，企业可以根据当前的网络运行状况和业务规划选择最合适的接入方式。2.1串行部署三层接入这种模式下，天清ADC应用交付平台串行接入到网络中，所有流量都先经过ADC设备处理，通常情况下，ADC设备上的虚拟服务（VS）配置为公网IP地址，内部的服务器则配置为私有IP地址。典型的串行网络结构如下，天清ADC应用交付平台采用HA方式，和上下层交换机采用双链路交叉连接，网络结构清晰，并且具备很强的冗余性和可靠性。串行透明部署这种部署模式可以不改变用户的现有IP地址结构，ADC设备的虚拟服务地址（VS）和服务器处在一个网段，当ADC设备出现单点故障，或者性能无法满足时，可以临时采用Bypass策略绕过ADC设备。串行接入透明部署的工作原理类似于正常的串行接入。旁路部署三层接入旁路方式部署ADC产品，不需要对现有运行着网络结构进行改变，可以方便快速的把ADC部署到网络中，ADC的工作模式和串行部署比较相近，ADC的虚拟服务配置为公有地址，内部服务器配置为私有IP地址。ADC设备和服务器分别属于交换机不同的VLAN，ADC在分发数据给服务器时，进行源IP地址转换，把发给服务器的报文源IP地址改为ADC设备自身的IP地址，以保证服务器返回的流量也经过天清ADC应用交付平台。旁路部署透明接入原理类似旁路部署三层接入，不同是天清ADC和服务器划分到一个VLAN里面，天清ADC的VS地址和服务器配置为同一个IP网段，这种情况下可以把服务器的网关地址指向ADC设备的IP地址，ADC设备使用真实的客户端地址和服务器建立连接，而不需进行NAT源地址转换。旁路部署之三角传输三角传输,也叫Direct Server Return(DSR)模式，是旁路部署的一个特例，这种模式下只有入站方向流量进入到ADC设备，由ADC设备根据预先配置好的负载分担策略进行流量分发，而服务器返回的流量不经过ADC设备。由于互联网的流量具有典型的非对称性，即请求方向上的流量比较小，绝大多数流量集中在服务器响应的方向上，所以如果让ADC设备只处理请求方向的流量，服务器返回的流量直接返回给客户端不经过ADC设备，就大大提升了ADC的处理能力。三角传输模式无法支持一些需要修改服务器返回数据的功能，如基于Cookie的会话保持，响应重写等七层功能。也无法实现缓存和内容压缩等功能。第三章 服务器负载分担3.1服务器负载分担ADC在设备上建立一个或多个虚拟服务VS（IP：Port），来映射内部的服务器组来对外提供的一种或者多种应用。内部服务器被加入到地址池中（Pool），当有外部流量访问VS时，ADC通过预先配置好的负载分担算法，从地址池中选择一台可用的服务器作为应用提供者。同时ADC实时对每个服务器节点进行健康检查，当某一台出现故障无法正常提供服务时，把该服务器从Pool中的可用列表移出，不再向其分发流量。3.1.1负载分担算法天清ADC应用交付平台支持丰富的负载分担策略，即可以根据预先配置的静态算法，也可以根据当前的运行状态进行动态算法的负载分担。静态算法包括： 轮询（Round Robin）-依次按照顺序把流量分配给每台服务器。 比率（Ratio）-根据服务器的性能为每个服务器指定一个权值，按照这个比率给服务器分配流量。 优先级（Priority）-当使用多组服务器时，为每个服务器组指定一个优先级，默认情况下优先向高优先级的服务器组分配流量，当该组服务器失效时选择备份服务器组。动态算法包括： 最小连接（Least Connection）-ADC优先把流量分配给当前连接数最少的服务器。 最快模式（Fastest）-ADC通过比对服务器返回数据包的延迟情况，选择一个当前响应最快的服务器来分配流量。 SNMP监控-设备上通过SNMP客户端来读取服务器的实时运行状态，包括CPU，内存和I/O信息，为每种实时信息配置门限值，当超过这个门限值时不再向这台服务器分配报文。 观察模式（Observed）-结合最小连接和最快模式两种结果，选择最佳平衡为依据为新的请求选择服务器。服务器平滑接入和退出：当有新的服务器接入或者服务器重新启动时，ADC系统可以把流量逐步分配给新接入的服务器，避免服务器的某些进程还没有加载完成而导致系统资源占用过高，或者应用响应缓慢的情况，实现服务器的平滑接入。管理员也可以手工方式操作把某台服务器退出流量分担机制，此时ADC系统不再分配新的流量给该服务器，该服务器的现有连接继续保持，直至连接结束。3.1.2健康检查策略健康检查是指对服务器的运行状态定期进行实时检测，一旦发现服务器故障，将把该服务器移出流量分担的队列。天清ADC应用交付平台提供丰富的健康检查策略，和负载分担算法组合到一起，就可以实现非常灵活的负载分担策略。 TCP SYN-向目标服务器发送TCP SYN报文，如果得到正确的回复表示服务器工作正常。 Ping-向目标服务器发送ICMP请求报文，如果得到正确回复表示服务器工作正常。 HTTP/HTTPS Get-向目标系统发送HTTP或HTTPS协议的Get报文，请求一个指定的URL，如果得到正确回复表示服务器工作正常。3.1.3会话保持策略会话保持是指流量一旦按照负载分担策略分配给某个服务器后，后续的相关请求报文同样分配给同一台服务器，以保障业务的连续性。比如，很多电子商务相关的应用系统或者需要用户身份认证的系统，用户和服务器间会进行多次的数据交互才能完成一笔交易或者身份认证过程，必须把这个过程的交互报文分配给同一个服务器。天清ADC应用交付平台支持6类共8种会话保持的方法，即可以根据源IP地址，ServerID等静态信息来做会话保持，也可以通过Cookie插入和重写来实现更高级的会话保持方法。每种会话保持的效率，粒度和应用场景有所不同，对应用服务器的配置要求也不一样。基于源IP的会话保持只需要处理数据包的四层信息，所以效率最高，也不需要服务器做任何配置，但粒度比较粗。如果客户端存在普遍的NAT转换，或者某些IP段的业务请求量比较大，那么这些流量被保持发送给固定一台服务器，就会造成流量负载的不均衡。基于Cookie插入，Cookie重写，ServerID等七层信息的会话保持方式，使保持策略和浏览器的信息相互关联，可以做到细粒度和更均衡的流量分配，基于七层信息的会话保持方式，工作效率不如源IP会话保持。除Cookie插入方式以外，其他如serverid，sessionid, Cookie重写等方式一般需要应用程序做相应的配置。天清ADC支持的会话保持方式： 基于源地址-来自同一个源IP地址的相关报文，分配给同一个服务器。 基于ServerID-记录服务器返回的serverid信息，然后从请求报文的URL或Cookie信息中查找serverid，进行解码得到后台服务器的信息，保证带有固定serverid信息的请求被分别到固定的服务器。Serverid需要在web服务器上进行人工配置。ADC不需要对数据包进行修改 基于SessionID-类似于ServerID的方式，记录从服务器返回的SessionID信息，然后从请求报文的URL或Cookie信息中查找SessionID，进行解码得到后台服务器的信息，保证带有固定SessionID信息的请求被分别到固定的服务器。SessionID是服务器自动生成的，ADC产品不需要对数据包进行修改。 基于Cookie插入-这种方式通过修改服务器返回的报文，向其插入一个固定的Cookie信息返回给客户的浏览器，客户端后续的报文请求中都携带了这个Cookie信息，ADC根据这个信息发送给指定的服务器。这种保持方式修改了数据包的长度，但不需要应用服务器端做任何的配置改动就可以实现。 基于Cookie重写-服务器端接收到HTTP请求后，响应报文中会增加一个空白的Cookie返回给ADC设备，ADC在这个空白的Cookie里面写入会话保持的数值，返回给客户端。后续的过程和Cookie插入类似，客户端后续的请求报文会携带这个重写的Cookie，ADC根据这个信息来选择指定的服务器。Cookie重写和Cookie插入的区别是，Cookie重写不需要修改报文的长度，效率会高一些。 基于自定义头部-应用服务自身定义了一个URL Header信息，并希望ADC以此来做负载分担。这种方式下ADC设备记录服务器返回的Header信息，并在客户端的后续请求中进行匹配，匹配成功则转发给指定的服务器。这种方式允许应用服务程序定制自己的会话保持策略。 基于SSL SessionID-当第一次请求到来时，按负载均衡算法分配一台后台服务器。在服务器的响应中，按照SSL协议，取出SSL SessionID，并把SSL SessionID分配的后台服务器信息、所配置的超时时间存在一张表中。当后续请求到来，根据请求中的SSL SessionID在表中查找后台服务器的信息，若找到并且时间在超时时间之内，则取出后台服务器信息，并更新超时时间，把请求发往那台服务器。3.2七层内容交换四层交换主要是依赖IP和TCP/UDP层的信息进行流量的分配，而随着应用自身的复杂性和不断改善用户体验的需求，有时候需要为不同的用户类型返回不同的呈现内容，例如： 把移动用户的手机/pad浏览器请求分发给专门经针对性过优化的服务器。 把请求图片，文档，视频等静态内容分发给缓存服务器。 根据浏览器自身的语言设置，为不同语言区域的用户返回相应的页面 可以根据HTTP请求的方法实现读写分离，HTTP读（get）请求分配给缓存服务器，HTTP写（post）请求分配给处理动态内容的服务器。天清ADC应用交付平台的七层内容交换可以识别用户请求报文的内容，如URL信息，应用数据类型，Cookie信息，浏览器类型，HTTP方法等内容，将流量分配给相应的应用服务器。天清ADC应用交付平台通过http-class来标识一个业务分类，http-class根据主机地址，URI路径，头信息和Cookie来定义，每个http-class可以关联一个服务器地址池，然后再虚拟服务（VS）的配置中，引用一个或者多个http-class。当客户端请求访问虚拟服务时，ADC设备进行http-class匹配，匹配成功的请求被分配给对应的地址池。3.3HA高可靠性与设备集群3.3.1 HA高可靠性天清ADC支持双机Active-Standby（主-备）和Active-Active（主-主）两种工作模式，HA在运行过程中，通过专用“心跳线”来实时监控对端设备的运行状态，当心跳监控失败，或者发生其他触发切换的条件时，工作异常设备上的流量将被接管，以保证应用的不间断运行。天清ADC的HA模块支持配置同步和连接信息同步。 主备模式：两台ADC设备中只有一台处于Active状态，另外一台处于Standby状态，所有流量由处于Active状态的设备进行流量转发。处于Standby状态的备用设备通过”心跳线“实时监控主设备的运行状态，当监控不到正常的心跳报文时，备用设备切换为Active状态，并通过免费ARP更新上下游设备的ARP缓存以实现流量接管。除了备份设备发现主设备心跳异常时主动接管以外，当前处于Active状态的主设备也可以根据一些触发条件主动退出Active状态。触发条件包括：设备上启用端口状态监控和预置的远端IP地址是否可达。 主主模式：两台ADC设备同时都处于Active状态并一起承担流量的转发工作，两台ADC设备上面运行不同的VS（虚拟服务），当某台ADC设备出现故障时，该设备上运行的所有虚拟服务流量被另外一台设备接管。通常情况下，主主模式可以配合DNS负载分担一起工作。当用户申请访问时，首先发起DNS请求，DNS服务器上对应主机名为这条记录配置两个VS对应的IP地址，DNS会采用轮询的方式返回这两个IP中的一个以实现负载分担。3.3.2 设备集群天清ADC最多可以实现32台ADC设备进行集群部署，多台ADC设备共同承担流量处理并且互为备份。集群中的ADC设备可以是不同的型号，具备不同的处理能力，这样对于更新换代的设备，也可以重新接入到集群中来。通过集群部署，企业可以实现最大化的业务弹性，并实现设备投资收益的最大化。集群部署时可以采用全工作模式，即所有设备都参加流量转发，互为备份，当某台出现故障时，流量切换到其他设备上；也可以采用N+1模式，即N台设备承担流量转发，利用一台设备同时作为N台设备的备份，正常情况下不备份设备不承担流量，当某一台设备出现故障时，备份设备进行流量接管。N+1模式可以防止当某台设备出现故障时，对另外的设备造成流量洪峰。第四章 应用优化与加速天清ADC应用交付平台可以把原本需要高消耗服务器计算能力的，重复计算的工作卸载到高性能的硬件平台上，让服务器的计算资源更多的关注自身的业务系统处理，以改善整个应用系统的效率。天清ADC同时对TCP和Http协议进行优化和加速，最大限度的降低网络拥塞和丢包，改善移动上网等窄带用户的用户体验。天清ADC应用交付平台内置了企业最常用的应用模板，如BEA Weblogic，Microsoft IIS， Outlook Web Access，Radius，ERP软件等，这些都是经过公司应用优化专家通过反复的测试验证而完成的一套解决方案，管理员不需要对应用进行细致的了解，就可以根据模板高效的完成这些应用系统的优化和加速。4.1 SSL硬件加速和卸载天清ADC应用交付平台通过内置的专业级高性能硬件加速芯片，完成对SSL协议的加速和卸载，而在数据中心内部，ADC和服务器之间通过明文进行传输，极大的提升服务器的业务处理能力。企业可以把应用全部应用实现SSL协议，实现高安全性的同时，不会给业务带来任何的性能瓶颈。4.2 本地RAM Cache本地高速缓存（Cache），通过在ADC设备上开辟一段专用的内存空间（RAM）来存储服务器上的一些静态文件，如图片，文档，视频文件等，开启本地Cache后，客户端请求首先在本地Cache中查找，命中以后直接返回给客户端。命中失败才向服务器端发送请求，同时对服务器返回的内容进行本地Cache。天清ADC支持为不同的应用提供各自的Cache空间及参数设置，这样可以把服务器从重复的处理中解脱出来，提升整体效能。4.3 内容压缩通过压缩HTTP响应的数据，可以有效提升带宽利用率和缩短下载时间。天清ADC应用交付平台提供的高性能压缩技术，最大可以使带宽利用率增加80%，应用性能提升4倍以上。同时在客户端浏览器和ADC设备间经过一定的算法进行压缩，也起到一定安全传输的作用。天清ADC把原本由服务器完成的压缩过程搬到自身的高性能硬件平台，避免了每台服务器都执行一次重复的压缩过程，达到服务器卸载的效果。天清ADC支持浏览器最常用的GZIP和DEFLATE两种压缩算法，提供基于七层的精细化压缩控制策略，包括URI，Content Type等。管理员可以定义对“.txt”,“.doc”“.htlm”等文档类型和静态页面数据进行压缩，也可以排除PDF，IMG等压缩效果不明显的不必要操作。4.4 TCP连接复用TCP连接复用技术使多个客户端共享一个到服务器的TCP连接，可以提升应用服务器的整体性能，使应用服务器从维护海量的TCP连接，并不断的进行TCP建立和拆除维护中解脱出来，极大的提升单台服务器的承载能力。天清ADC设备在接到一个客户端HTTP请求后，通过负载分担算法会选择一台服务器建立连接。如果接收到正常的服务器响应，ADC设备会把这个连接放入到“连接复用池”里面，当另外一个新的客户端发起HTTP连接请求时，ADC设备从现有的连接池里面选择一个可用的连接来和服务器的进行数据交互，而不是重新创建一个到服务器的连接。通过这种优化，可以把服务器负载降低到原来的1/10-50。4.5 TCP单边加速标准TCP协议在设计时很少的考虑到高带宽和夸Internet传输的问题，现在随着高速带宽的普及，标准的TCP协议表现出很多的不足，在网络拥塞控制和丢包重传机制上，往往效率比较低下，而且基本不具备根据网络环境实时进行调解的能力。天清ADC应用交付平台提供智能单边加速的功能，通过对标准TCP协议的慢启动控制，拥塞避免，重传和恢复几个方面进行优化，来达到整体网络加速的效果。同时，天清ADC设备可以根据当前的网络状态，和承载的协议类型智能的选择一种效率最高的算法。天清ADC应用交付平台的单边加速对客户端和服务器来说都是透明的，ADC和服务器之间仍然按照标准TCP协议运行，ADC和客户端之间进行单边加速，客户端不需要做任何修改。4.6 HTTP管线（Pipelining）传统的HTTP协议是当一个请求发出，等接收到完整的响应数据后，才进行下一个请求，这在高延迟的网络环境中会导致整个数据交互的效率比较低。HTTP管线技术（Pipelining）可以将多个HTTP请求同时提交，而不用等待顺序的请求回应。（不带Pipelining的HTTP流程）天清ADC应用交付平台可以和支持Pipelining的客户端浏览器智能协商开启，ADC和服务器间还是正常的HTTP协议流程。4.7 窄带用户应用加速当客户端通过窄带线路比如通过ADSL拨号或者智能手机，pad移动终端上网时，对于应用服务器的响应，可能会由于客户端侧带宽不足，或者带宽质量不好而导致报文的拥塞和丢包。这时客户端就会发起重传请求，如果大量的窄带用户同时访问，就会出现应用服务器反复处理这些重传请求的压力增大而降低效率。天清ADC应用交付平台使用TCP数据缓存技术，自动检测客户端对服务器响应的处理能力，对于窄带用户，ADC会在自身平台开辟出缓存空间来存储服务器返回的数据，以客户端能够适应的速度完成数据交互，避免出现大量的重传。服务器只要处理完成用户的请求后，就可以释放出来处理其他工作，不用再去处理丢包重传的情况。4.8 重写RewriteHttp协议的请求阶段和响应阶段都可以对URI进行重写，在请求http请求阶段，可以把符合预置条件的所有http请求发送到一个指定的URL，比如是提示用户进行登录的页面或者其他信息提示页面。又或者是当服务器某些文件已经不存在或者目录发生更改，而用户通过其他网站或者搜索引擎的旧链接进行访问时，可以把这类请求直接重定向到一个指定的错误信息提示页面，减轻了服务器的负担。部署了天清ADC应用交付平台以后，企业可以把原来基于http协议的应用，全部迁移到安全https协议。通过http请求重定向结合SSL卸载功能，可以实现企业服务器和客户端都不需要任何更改的情况下完成http到https的无缝迁移。在http响应阶段，可以把服务器返回的404（客户端语法错误）等重定向到一个指定的页面。第五章 链路负载分担天清ADC产品可以动态监控链路的实时状态，提供多种静态和动态流量分担方法，可以有效提升多链路接入的效率和整体性能。当企业部署对外提供服务的应用服务器时，天清ADC可以根据用户所处的运营商网络，或者地域的远近，或者当前链路的带宽质量进行智能DNS解析，帮助用户选择最优的链路进行访问，提供最佳的用户体验。5.1 出站流量负载均衡（Outbound方向）3455.1负载分担算法链路负载分担算法是用来计算内网用户访问Internet时（出站流量），在多链路间进行流量分配的方案。链路负载分担的算法和服务器负载分担的算法有一致的地方，也存在一些差异，链路负载分担算法包括： 轮询（Round Robin）-依次按照顺序把流量均匀的分配给每条链路。 比率（Ratio）-根据每条链路的带宽，指定一个权值，按照这个比率给多条链路分配流量。 优先级（Priority）-为每条链路指定一个优先级，默认情况下优先向高优先级的链路分配流量，当该链路失效时选择备份链路。 加权最小连接（Weight Least Connection）-首先为每条链路指定带宽的加权值，使连接数的分配符合权值的设定，对于新建的连接，选择权值内最小的链路分配流量。 加权最小流量（Weight Least Traffic）-首先为每条链路指定带宽的加权值，使流量的分配符合权值的设定，对于新的流量，选择权值内最小的链路分配流量。 运营商路由（ISP Route）-内置IP地址和运营商的对应表，根据内网用户访问的目的地址所属运营商，选择相应的链路，避免跨运营商的访问。 最快模式（Fastest）-ADC通过比对服务器返回数据包的延迟，跳数等情况，选择一个当前响应最快的链路来分配流量。 主备模式（Master-Slave）-默认情况下流量都发送给主链路，当主链路失效时启用备份链路。链路健康检查天清ADC链路负载实时对出口链路进行监控和健康检查，可以及时发现端口down掉情况。除此之外，天清ADC支持包括ICMP，TCP SYN，UDP，HTTP Get 等多种协议对远端地址进行监控，即使是ISP内部网络出现故障，也可以及时发现并把流量切换到其他可用链路。出站流量会话保持和NAT出接口流量会话保持是指当为某个数据流分配一个出接口链路以后，该种类型的后续相关流量都分配给同一条链路。天清ADC支持的会话保持主要是基于源地址的会话保持和基于hash的会话保持。天清ADC支持丰富的NAT转换策略，包括源IP地址转换，静态地址转换，和基于策略的地址转换。 会话保持和NAT地址转换，可以很大程度的避免源主机和某目标服务器通信的过程中，报文横跨多个运营商的情况出现。5.2 入站流量负载均衡(Inbound方向)当企业租用多个运营商链路，以便内部的应用服务器向外部用户提供服务时，天清ADC可以通过在内置的智能DNS服务器上，把企业的单一域名绑定到多运营商的各自的公网IP上，并作为企业域名的权威发布服务器。当某个客户端访问应用服务器时，首先会进行DNS解析，天清ADC可以根据客户端所处的运营商网络返回跟他匹配的IP地址，或者通过动态探测技术，选出到该用户通信质量最好链路，并返回对应的IP地址。这样可以保证每次客户端都可以通过通信质量最好的链路来访问内部的应用服务器，极大的改善用户体验，并提升整个系统的工作效率。5.2智能DNS解析流程假定企业通过租用联通，电信两条链路向外部网络提供服务，企业的域名是, 则整个解析流程如下：1. 客户端向本地DNS（Local DNS） 服务器发送域名为 的DNS请求。2. LDNS没有该域名的A记录，向最长匹配结果的服务器发送该请求，这里假设最长匹配只有根服务器。3. 根服务器没有“”的A记录，但是存放了“”的NS域名服务器记录“ IN NS ”，将该NS记录返回给LDNS。4. LDNS服务器根据该NS记录知道了去哪可以找到“ ”的A记录，将请求发送到天清ADC内置的智能DNS服务器。5. ADC设备判断LDNS的IP地址隶属于哪个运营商，此示例中LDNS隶属于于网通，所以根据预先配置的规则，天清ADC返回“”的A记录为网通链路所分配的公网IP地址。6. LDNS最终将刚收到的DNS响应发送回给客户端。7. 客户端接下来访问企业的网通链路公网地址，天清ADC上对应的虚拟服务（VS）接收数据，进入服务器负载分担的流程。第六章 全局负载分担为了保护您的业务不受站点访问中断影响并且提高应用的性能，部署多个数据中心是一个有效的做法。但要全面实现这些目标，您的企业需要以高效的方式来监控基础架构和应用的状态，并且根据业务需求来控制这个分布式基础架构。通过全局负载均衡功能，您可为用户的每一次DNS查询提供更安全、更智能的响应方式。天清ADC应用交付平台根据用户位置、业务策略、数据中心状况、网络状况和应用性能来分配最终用户的应用请求。这样，用户可以全面地控制广域流量，以确保运行在分布于各地的多个数据中心之间的应用具有高可用性和最高性能。这样，您将可以实现更高的应用性能，更短的停机时间以及更简化的管理。6.1 全局负载分担策略天清ADC支持多种动态和静态全局负载均衡算法，为用户提供丰富的选择方式，包括：66.16.2 动态就近性动态就近性通过从各个全局站点向LDNS进行探测，得到的动态参数可以反映LDNS和个站点间的响应速度，根据参考的动态参数不同可分为以下几种方式：1. RTT该算法简单来说动态的获得LDNS与各数据中心间的响应时间，选择其中RTT值最小的IP对应的A记录返回给LDNS。RTT为Round Trip Time，记录了从某站点发送探测包到收到探测包响应的时间，实际运行中从不同站点的VS探测到LDNS的RTT一定程度上反映了各个VS的响应速度。选择RTT就近性算法后会动态生成一个LDNS就近分布表，根据该动态表，对每个客户的访问都会提供一个最快速的链路进行访问。可以选择多种探测方法判断对LDNS的RTT时间, 包括: DNS_Dot: 向local DNS发起一个包含”.”的测试, 也就是向目标请求root清单，该解析一般默认配置的DNS服务器均提供支持。DNS_REV: 向local DNS发起本机IP的PTR请求 UDP:发起一个UDP的包, 记录响应时间 TCP:发起一个TCP的包，记录响应时间 ICMP:发起一个ICMP 的ping 包, 记录响应时间2. HopsHops指站点到LDNS的路由跳数，与RTT相似，探测各VS到LDNS的路由跳数，选择路由跳数最小的VS。该方法通过traceroute来实现。3. 全局可用性全球可用性算法主要用于灾难备份系统。通过健康检查，可判断各站点或线路的健康状态。并在配置的时候，将同一域名所对应的IP地址进行排序，在系统正常的时候，仅会有排名第一的服务器对外提供服务。只有在排名第一的服务器无法对外提供服务的时候，由排名第二的服务器接管服务。如果有多线路或者多站点则依次类推。通常，我们采用全球可用性算法作为备选算法。在前两面的方法没有命中时，将所有的用户定位到默认的线路上。4. 返回备用IP用户会配置一个IP地址，当选择该方法时，设备将会用该IP地址对应的A记录对LDNS的请求进行响应。通常该种方法作为候选方法，将Fall Back IP设置为某个备灾数据中心的IP，首选方法调度失败时应用这种方法，使得LDNS最终得到一个响应。5. 轮询将请求依次顺序循环地返回每个VS IP。当其中某VS发生故障，就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。6. 加权轮询给每个VS分配一个加权值，根椐这个权值，把用户的请求分配到每个VS。权值大的表示可以处理较多的请求，反之处理的请求相对较少。当其中某个VS发生故障，就把其从队列中拿出，不参加下一次的用户请求的分配, 直到其恢复正常。7. 最小连接数传递新的连接给那些进行最少连接处理的VS。当其中某个VS发生故障，就把其从队列中拿出，不参加下一次的用户请求的分配, 直到其恢复正常。为了避免VS因过载而崩溃，可为每个VS指定最大连接阈值来避免过载。8. 加权最小连接数该算法是最小连接算法的超集，各个VS用相应的权值表示其处理性能。缺省权值为1，系统管理员可以动态地设置VS的权值。加权最小连接调度在调度新DNS请求时尽可能使VS的已建立连接数和其权值成比例。9. 最小带宽占用选择当前带宽占用最小的VS。单位为kbytes/s。10. 最小流量选择最近一段时间流量最小的VS。单位为pkts/s。6.3 静态就近性策略当选择静态就近性作为全局负载均衡的调度方式时，相当于根据LDNS的ISP、地理位置等拓扑信息选择VS的IP。不同的VS可能分布在不同地理位置的数据中心，又或者存在于同一数据中心但分处在不同ISP的链路接口上。这时LDNS的ISP和地理位置和某VS的ISP、地理位置完全匹配的情况极少，对于这种情况就需要用户进行静态就近性的策略配置。人为的划定LDNS所在区域和各个数据中心间的距离关系。例如：企业在北京和沈阳部署两个数据中心，希望北京的数据中心覆盖华北区域，而沈阳的数据中心覆盖整个东北区域。然后结合IP地址-地域信息库，人为的把隶属于东北三省的LDNS请求指向沈阳数据中心，把隶属于华北地区的DNS请求指向北京的数据中心。从另外一个角度，拓扑信息库只提供了IP和地域信息之间的映射关系，需要根据静态就近性做负载均衡，就需要得到地域信息和地域信息之间的映射关系，这种关系就是静态就近性策略。6.4 IP Anycast技术结合动态路由协议BGP或者OSPF，天清ADC提供了一种有别于常规思路的全局负载分担策略IP Anycast。这种技术允许部署在各个数据中心的VS使用同一个IP地址，在天清ADC应用交付平台上运行BGP动态路由协议，每台ADC设备上通过路由协议来选择距离最近的数据中心。IP Anycast技术也可以作为一种抵御DDOS攻击的有效手段，任何一点发起攻击时，只能影响到距离攻击点“最近”的一个数据中心，而其他数据中心则不受任何影响可以继续为用户提供服务。6.5 基于HTTP重定向的全局负载均衡当用户通过HTTP协议访问应用系统的虚拟服务（VS）地址时，如果本地ADC出现调度失败的情况：如无法从地址池中选中当前可用的Server节点，或者本地应用系统压力已经过载等，此时本地的ADC可以利用HTTP协议的重定向功能，再次在全局范围内重新选择一个可用的数据中心实现请求的二次调度。基于HTTP重定向的全局负载分担技术，不依赖于DNS系统，也不需要对现有DNS系统进行任何修改，更有利于实现快速部署和有效管理。第七章 应用安全防护7.1 应用安全防护随着互联网技术的飞速发展，网络应用已经在全球经济中扎根发芽，对各个行业的发展起着举足轻重的作用。随着时间的推移，应用安全的问题也日益严重。越来越多的企业内部和外部的业务应用采用基于Web和数据库结合的B/S架构。Web系统发挥着越来越重要的作用。与此同时，越来越多的Web系统也因为存在安全隐患而频繁遭受到各种攻击，导致Web系统敏感数据、页面被篡改、甚至成为传播木马的傀儡，最终会给更多访问者造成伤害，带来严重损失。 企业针对安全威胁通常采用防火墙、入侵防御等网络安全设备，然而传统的网络安全产品主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。然而经证实，面对安全威胁的发展趋势，防火墙已经显得无能为力，它无法检测出封装在有效数据内的恶意威胁与攻击。入侵防御产品主要通过特征比对实现对网络入侵的防御，但随着Web应用技术的深入普及，Web应用程序漏洞发掘和攻击速度越来越快，基于Web漏洞的攻击更容易被利用，已经成为黑客首选。对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击，由于这类攻击特征不唯一性，导致传统的入侵防御产品无法发现此类攻击。7.2 启明星辰应用交付解决思路传统的负载产品里，基本不具备安全功能，或者只能具备基本的网络访问控制功能。启明星辰的依托自身的安全因子，除了具备基础的网络层访问控制外，还具备标准的防火墙的防扫描、防攻击功能。可以完全代替防火墙运行。作为一款应用交付产品，启明星辰的天清应用交付平台，在做应用的分发同时，还支持对应用层的安全检测及访问控制功能。天清应用交付平台应用了一套HTTP会话规则集，这些规则涵盖诸如SQL注入、以及XSS等常见的Web攻击。同时可通过自定义规则，识别并阻止更多攻击。解决诸如防火墙、IPS等传统设备束手无策的Web系统安全问题。天清应用交付始终致力于提供Web安全与应用交付融合的解决方案，确保Web或网络协议应用的可用性、性能和安全性： Web安全：依托多年安全检测积累、持续的安全研究投入，针对WEB安全最主要的SQL/XSS攻击，提供快速全面的Web安全检测方案。 应用交付：依托最新intel SandyBridge平台、专为VBOS优化的TCP/IP协议栈，以高速、高可用为目标，优化业务资源，改善访问体验。7.3 主要安全功能7.3.1. 网络层防护控制与攻击防护启明星辰具备标准防火墙功能，能够基于源、目的IP、协议、端口、时间、接口等信息做访问控制。此外，通过分析网络层报文的行为特征判断报文是否具有攻击性，并且对攻击行为采取措施以保护网络主机或者网络设备。目前，Internet上常见的网络安全威胁分为以下三类：DoS攻击DoS攻击是使用大量的数据包攻击目标系统，使目标系统无法接受正常用户的请求，或者使目标主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。DoS攻击和其它类型的攻击不同之处在于，攻击者并不是去寻找进入目标网络的入口，而是通过扰乱目标网络的正常工作来阻止合法用户访问网络资源。扫描窥探攻击扫描窥探攻击利用ping扫描（包括ICMP和TCP）标识网络上存在的活动主机，从而可以准确地定位潜在目标的位置；利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。