服务器负载均衡整体解决方案.doc

信安世纪科技有限公司 1 XX 项目项目 负载均衡解决方案负载均衡解决方案 信安世纪科技有限公司 2011 06 信安世纪科技有限公司 2 目录 目录 2 一 前言 3 二 公司介绍 5 三 负载均衡当前业务分析 6 四 问题分析及解决方案 7 4 1 服务器负载均衡问题 7 4 2 服务器负载均衡解决方法 7 4 2 1NSAE 的服务器负载均衡算法 7 4 2 2NSAE 的服务器负载均衡策略 10 4 2 3NSAE 的服务器负载均衡支持的健康检查类型 11 4 2 4NSAE 的服务器负载均衡的特点 12 五 NSAE 负载均衡整体解决方案功能介绍 13 5 1 高可用性 13 5 2 全面的链路 后台服务监控能力 13 5 3 全路径健康检查 14 5 4 策略路由 14 5 5 NSAE 性能优化功能与提高应用性能功能 15 5 5 1Http 压缩功能 15 5 5 2NSAE HTTP 压缩过程 15 5 5 3Cache 功能 15 5 5 4Connection Multiplexing 连接复用 技术 16 5 5 5Connection Pooling 连接池 技术 16 5 5 6信安世纪 Infosec OS 技术 17 5 5 7安全防护功能 17 5 5 8Cluster 技术 18 5 5 9NSAE 配置管理 19 信安世纪科技有限公司 3 一 前言一 前言 当前 无论在政府网 金融网 企业网 校园网还是在广域网 如 Internet 上 业务量的发展都超出了过去最乐观的估计 用户大 量的信息请求 不断更新的应用需求以及对业务不间断的持续访问 成为应用服务商解决互联网服务 获得用户认可的关键因素 即使 按照当时最优条件配置建设的网络 面对不间断 快速的用户增长 服务器也会无法承担 原有链路也会因为用户量的不断增大导致用 户访问速度过慢 链路拥塞 网络故障频繁 尤其是各个网络的核 心部分 其数据流量和计算强度之大 使得单一设备根本无法承担 而如何在完成同样功能的多个链路及网络设备之间实现合理的业务 量分配 使之不致于出现一台设备过忙 而别的设备却未充分发挥 处理能力的情况 就成为信息提供商及应用服务商必须克服的问题 负载均衡机制也因此应运而生 负载均衡建立在现有网络结构之上 它提供了一种廉价有效的 方法扩展服务器带宽和增加吞吐量 加强网络数据处理能力 提高 网络的灵活性和可用性 它主要完成以下任务 解决网络拥塞问题 服务就近提供 实现地理位置无关性 多条链路接入 根据链路响 应速度 提供最快的访问方式 针对故障链路进行智能自动切换 保证客户不间断访问 为用户提供更好的访问质量 提高服务器响 应速度 提高服务器及其他资源的利用效率 避免了网络关键部位 出现单点失故障导致所有服务停止 针对负载均衡的运行机制及应用策略方面 根据负载均衡的工 信安世纪科技有限公司 4 作原理可以分为链路负载均衡 服务器负载均衡 广域网负载均衡 三种负载均衡方式 三种负载均衡机制 根据用户针对不同环境及 应用的负载均衡要求进行服务 满足用户对各个应用层面及网络层 次的负载均衡需求 总之 负载均衡是一种策略 它能让多条链路或多台服务器共 同承担一些繁重的计算或 I O 任务 从而以较低成本消除网络瓶颈 提高网络的灵活性和可用性 针对当前形势 信安世纪公司分析各行业多种应用的请求 自 主研发了适用于广域网 内部网 独立子网的负载均衡设备 NSAE 解决客户针对链路 服务器 广域网负载均衡的各种需求 信安世纪推出的 NSAE 系列产品 采取了 ALL IN ONE 的设计策 略 把服务器负载均衡 链路负载均衡 广域网负载均衡三种产品 集成在一个设备中 真正实现了链路 服务器 广域网负载均衡三 种服务的无缝接入 在最低成本的控制下满足了客户多方面的应用 需求 并且在无需改变现有网络的情况下 即可进行负载均衡设备 的部署及升级 在应用及网络层次增加了客户系统的安全性及稳定 性 二 公司介绍二 公司介绍 信安世纪科技有限公司成立于 1998 年 是中国领先的应用安 全产品和解决方案供应商 主要为金融 电信等行业和政府机构提 供应用安全的产品 解决方案和服务 信安世纪作为业内资深的应用安全厂商 有多年的应用安全领域 信安世纪科技有限公司 5 的经验积累和强大的管理和研发团队 不仅有成熟的安全产品为客 户提供方便 快速的安全实现 同时针对大量的应用安全需求 提 供优质的咨询服务 客户化开发和安全系统维护监控服务 信安公 司现有一支由应用安全领域专业开发人员和资深金融行业专家组成 的强大的研发队伍 保证提供先进 可靠 高效的产品 另外还有 专业 尽职的技术服务队伍 负责项目实施和售后技术服务 为客 户提供专业的技术服务 信安世纪迄今已经为包括中国工商银行总行 中国农业银行总 行 中国交通银行总行 上海浦东发展银行 北京银行在内的二十 多家银行提供了用户的通讯安全 交易安全保护 中国证券登记结 算有限责任公司等金融机构建立了基于 PKI 体系的证书系统 为业 务系统提供了身份认证 加密传输的安全保护 随着电子商务和电 子政务的兴起 我公司为国家烟草总局 中国石油 鞍山钢铁公司 沈阳一汽财务公司 上海汽车集团 上海移动通信和首都钢铁集团 等多家著名企业提供了保证资金结算 网上交易安全的解决方案 信安世纪与众多著名企业 优质客户建立了长期 稳定的战略 伙伴关系 在技术合作 市场推广和行业发展上开展了卓有成效的 工作 在未来的发展中 公司将加强对客户需求的了解 为客户提 供具有创新价值的应用解决方案 更好地为客户提供优质的服务 公司还将致力于与合作伙伴共同发展 加强新技术交流 促进应用 安全行业的蓬勃发展 在新产品 NSAE 的应用及实施方面 信安公司已经在北京银行 北京农村 信安世纪科技有限公司 6 商业银行 华夏银行 中国烟草总局 中国石化 国家电网通过了严格的性能 压力及应用测试 设备测试结果达到了国际国内先进水平 完全满足客户的需 求 并且成功的部署在多个行业各个应用服务 及核心生产环境中 完全解决 了客户针对链路 服务器负载均衡方面的问题 全方面提高了客户的行业竞争 力 保证了生产环境设备及链路接入的稳定不间断运行 三 负载均衡当前业务分析三 负载均衡当前业务分析 对于企业 ERP 应用而言 访问时延和服务器的可靠性是非常重 要的问题 而随着业务的增长 对拥有多台 ERP 服务器的大型企业 来说 不是全部服务器都发挥了其应有的效力 NASE 的负载均衡 服务 使每台服务器的处理能力都能得到充分的发挥 NSAE 负载 均衡服务可以实现如下的功能 提供真正面向应用层的 WWW DNS FTP 以及基于固定 端口的 TCP UDP 等应用的负载均衡 无需改动网络拓扑结构 即可实现功能 功能强大 支持路由功能 根据实际响应时间的负载平衡算 法来实现真正的合理的流量分配 NSAE 系列负载均衡产品建立在现有网络结构之上 针对后台 应用服务它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐 量 充分利用每台服务器的应用处理能力 加强了整个服务器组数 据处理能力 提高服务器响应速度 提高服务器及其他资源的利用 效率 避免了由于单台服务器出现问题而导致所有服务停止 四 问题分析及解决方案四 问题分析及解决方案 信安世纪科技有限公司 7 4 1 服务器负载均衡问题服务器负载均衡问题 如何在完成同样功能的多个后台服务器之间实现合理的业务量分 配 使之不致于出现一台设备过忙 而别的设备却未充分发挥处理 能力的情况 成为信息提供商及应用服务商必须克服的问题 4 2 服务器负载均衡解决方法服务器负载均衡解决方法 信安世纪 NSAE 提供的负载均衡服务 SLB 使每台服务器的 处理能力都能得到充分的发挥 SLB 可以实现如下的功能 提供真正面向应用层的 WWW DNS FTP 以及基于固定 端口的 TCP UDP 等应用的负载均衡 无需改动网络拓扑结构 即可实现功能 功能强大 支持路由功能 根据实际响应时间的负载平衡算 法来实现真正的合理的流量分配 使用特有的连接复用技术和连接池技术 有效减少后台服务 器的负载 保护企业的投资成本 4 2 1 NSAE 的服务器负载均衡算法的服务器负载均衡算法 信安世纪 NSAE 支持多种服务器负载均衡算法 持续性的 和非持续性的 包括轮循算法 最少连接算法 响应时间算法 散列算法 最少连接失误算法 链路带宽算法等等 此外实际 服务器可以被分配不同的加权值来调整被分配的流量 可以使 性能高的大型服务器支持更多的负载 为了避免服务器因过载 而崩溃 可为实际服务器指定最大连接阈值来避免该服务器过 载 任何服务器可被指定为另一台服务器的备份服务器或溢出 信安世纪科技有限公司 8 服务器 从而进一步保证了应用可用性 1 非持续性算法 非持续性算法 Non Persistent 一个客户端的不同的 请求可能被分配到一个实服务组中的不同的实服务器上进行处 理 主要有 轮循算法 最少连接算法 响应速度算法等 轮循算法 Round Robin 每一次来自网络的请求轮流分 配给内部中的每台服务器 从 1 至 N 然后重新开始 此种均 衡算法适合于服务器组中的所有服务器都有相同的软硬件配 置并且平均服务请求相对均衡的情况 最少连接算法 Least Connection 客户端的每一次请求 服务在服务器停留的时间都可能会有较大的差异 随着工作 时间的加长 如果采用简单的轮循或随机均衡算法 每一台 服务器上的连接进程可能会产生极大的不同 这样的结果并 不会达到真正的负载均衡 最少连接数均衡算法对内部中有 负载的每一台服务器都有一个数据记录 记录的内容是当前 该服务器正在处理的连接数量 当有新的服务连接请求时 将把当前请求分配给连接数最少的服务器 使均衡更加符合 实际情况 负载更加均衡 此种均衡算法适合长时间处理的 请求服务 最短响应时间算法 Response Time 负载均衡设备对内 部各服务器发出一个探测请求 例如 Ping 然后根据内部 中各服务器对探测请求的最快响应时间来决定哪一台服务器 来响应客户端的服务请求 此种均衡算法能较好地反映服务 信安世纪科技有限公司 9 器的当前运行状态 但最快响应时间仅仅指的是负载均衡设 备与服务器间的最快响应时间 而不是客户端与服务器间的 最快响应时间 2 持续性算法 持续性算法 Persistent 从一个特定的客户端发出的 请求都被分配到一个实服务组中的同一个实服务器上进行处 理 主要包括 A 基于 IP 的算法 Persistent IP pi 基于用户 IP 地址来选择服务器 Hash IP hi 基于用户 IP 地址的 HASH 值 来 选择服务器 Consistent Hash IP chi B 基于报头 请求的算法 Hash Header hh 基于用户请求报中 HTTP 报头 来选择服务器 Persistent Hostname ph 基于用户请求报中 HTTP 报头的 Hostname 的 HASH 值 来选择服务器 Persistent URL pu 基于对 URI Tag 和值的静 态对应关系来选择服务器 SSL Session ID sslsid 基于 SSL 会话 ID 来选择服务器 C 基于 Cookie 的算法 Persistent Cookie pc 选择服务器基于用户请 信安世纪科技有限公司 10 求包用 Cookie Name Value 的静态对应关系 Hash Cookie hc 选择服务器基于用户请求包 用 Cookie Name Value 的 Hash 值对应关系 Insert Cookie ic 选择服务器基于信安世纪 向 服务器响应包中插入 Cookie Re write Cookie rc 选择服务器基于信安世纪 向服务器响应包中重写 Cookie 值 必须为重写指定 Cookie 值的偏移量 4 2 2 NSAE 的服务器负载均衡策略的服务器负载均衡策略 SLB 的负载均衡策略主要有三大类 基础性策略 保持性策略 QOS 策略 1 基础性策略 Static Default Backup 2 保持性策略 Persistent URL Persistent Cookie Rewrite Cookie Insert Cookie Header 3 QOS 策略 信安世纪科技有限公司 11 QOS Cookie QOS Hostname QOS URL QOS Network Regular Expression Header 4 2 3 NSAE 的服务器负载均衡支持的健康检查类型的服务器负载均衡支持的健康检查类型 信安世纪 NSAE 通过对服务器的实时健康检查 保证数据 流量会自动绕过故障服务器或不可用服务器 当信安世纪的健 康检测机制 检测到服务器重新恢复正常以后 将使该服务器 可以自动回到服务器群之中 所有这些服务器故障的处理 对 进行操作的用户是完全透明的 信安世纪 NSAE 对服务器的健康检查 可采用四种方式 ICMP 检查 利用 ICMP 可检查服务器的网络工作是否正常 TCP 检查 信安世纪 NSAE 可与服务器之间 利用服务器 的服务端口建立 TCP 连接 检查服务器的服务是否正常 HTTP 检查 信安世纪 NSAE 采用 HTTP 的检查 来验证服 务器提供的服务是否正常 UDP 检查 信安世纪 NSAE 针对 DNS 服务进行检查 可及 时判断 DNS 服务是否正常 通过这四种机制 确保服务器为用户提供正确可靠的服务 信安世纪科技有限公司 12 4 2 4 NSAE 的服务器负载均衡的特点的服务器负载均衡的特点 实时监控服务器应用系统的状态 并智能屏蔽故障应用系统 实现多台服务器的负载均衡 提升系统的可靠性 可以监控和同步服务器提供的内容 确保客户获取到准确可 靠的内容 提供服务器在线维护和调试的手段 信安世纪 NSAE 产品采用 ALL IN ONE 设计理念 用户按需购 买所需功能 减少了用户的初期投资 并节省了日后扩展功能所需 的硬件投资 信安世纪 NSAE 一个产品提供用户所需诸多功能 GSLB SLB Cache HTTP Compress Webwall 配置简单 管理方便 降低了客户的管理成本 信安世纪科技有限公司 13 五 五 NSAE 负载均衡整体解决方案功能介绍负载均衡整体解决方案功能介绍 5 1 高可用性高可用性 NSAE 可检测到整个链路及后台服务中出现的错误 从而能够 提供可靠的端到端 WAN 连接 它可以监视每个连接的运行状态和 可用性 实时检测链路或 ISP 的损耗情况 一旦出现故障 流量将 被动态地传递给其它可用链路 从而确保用户及外部客户继续保持 连接 5 2 全面的链路 后台服务监控能力全面的链路 后台服务监控能力 如何有效地确定链路 服务器 应用 内容的状态 是提高系 统可靠性的关键 NSAE 利用其独到的 高效的 健康检测 手段 识别链路 服务器 应用 内容的状态 它们包括 ICMP 检查 利用 ICMP 可检查服务器的网络工作是否正常 TCP 检查 信安世纪 NSAE 可与服务器之间 利用服务器的 服务端口建立 TCP 连接 检查服务器的服务是否正常 HTTP 检查 信安世纪 NSAE 采用 HTTP 的检查 来验证服务 器提供的服务是否正常 UDP 检查 信安世纪 NSAE 针对 DNS 服务进行检查 可及时 判断 DNS 服务是否正常 Script 检查 定制一些特殊应用的检查脚本来检查应用的健康状 态 Keyword 检查 信安世纪 NSAE 针对应用对该服务检查作出响 信安世纪科技有限公司 14 应并返回对应的数据进行检查 通过这几种机制 确保服务器为用户提供正确可靠的服务 5 3 全路径健康检查全路径健康检查 访问 Internet 的可靠性不仅仅是由 ISP 路由器提供的链路状况 决定的 而是由整个数据流经的路径决定 例如用户可以设置透过 某 ISP 的路由器同时去检查 sina 等各类企业的 web 网站 只有当 所有这些网站都无法检测通过时 NSAE 才会认为该链路已经 DOWN 掉 然后 NSAE 可以重新为流量选择路径 传递到其它可用 链路 从而继续保持客户连接 避免出现停机影响 5 4 策略路由策略路由 NSAE 可以设置基于用户数据包源 IP Port 目标 IP Port 的策 略路由 通过该功能可以帮助学习人为的对特殊的流入流出流量进 行规划 比如某个应用系统需要比较高的数据传输带宽 而多条 Internet 链路的带宽存在不均衡性 管理员可以选择一条带宽更高的 链路承载这个应用的数据流量 5 5 NSAE 性能优化功能与提高应用性能功能性能优化功能与提高应用性能功能 5 5 1 Http 压缩功能压缩功能 窄带访问应用的访问速度和服务质量的保证一直是网站推广和 扩大用户访问所急待解决的问题 通过 NSAE 系列产品中 HTTP 压 缩功能的应用 能够提高网站访问的通信质量 在向窄带宽用户提 供很高的通信质量的同时 还能够极大的节约网站互联网接入带宽 消耗 信安世纪科技有限公司 15 5 5 2 NSAE HTTP 压缩过程压缩过程 采用信安世纪 HTTP 压缩的优势 节省带宽 缩短用户下载内容的时间 在 Web Server 上不需要压缩功能 减轻了 Web Server 的负担 5 5 3 Cache 功能功能 基于内存的反向代理 Cache 功能 通过 Cache 功能的应用 NSAE 系列产品能够在内存中以数据包的形式 Cache 住网站页面中 所有可以被 Cache 住的内容 当用户访问请求发送到 NSAE 时 如 果 Cache 中的内容能够匹配用户的访问请求则直接由 NSAE 来响应 用户的访问 从而避免了对后台服务器的负载压力 在减小了后台 服务器负载的同时 提高了对用户的响应速度和整体网站的处理能 力 5 5 4 Connection Multiplexing 连接复用 技术 连接复用 技术 主要作用是为了改善现有系统的总体性能 其技术原理是自动实 现 HTTP 1 0 到 HTTP 1 1 的转换 TCP IP 协议栈在处理长连接时 具有更好的性能 将 Web 流量的多个短连接合并为一个长连接 信安世纪 Connection Multiplexing 连接复用 技术的实现过程 信安世纪科技有限公司 16 5 5 5 Connection Pooling 连接池 技术 连接池 技术 信安世纪采用 Connection Pooling 连接池 技术 其优点在于 1 加快了与后台服务器之间的 TCP UDP 连接处理速度 信安世纪 NSAE 预先与后台服务器之间建立多个连接 并保持住它们 每个服务器最多预先建立 20 个连接 如果有客户端的请求 根据负载分担算法被分配到某个后 台服务器上 信安世纪 NSAE 从预先建立的该服务器的 连接池中选择一个连接 在此连接上发送客户端的请求 一个连接可以被用来传送多个请求 每个连接最多可以同 时处理 90 个请求 显著的减少了后台服务器需要处理的用户端连接数 减少 量可能达 90 2 改善了服务器的性能 服务器不需要花费更多的时间处理 TCP UDP 连接建立和拆除的 工作 服务器不需要耗费更多的资源保持多个客户端连接 5 5 6 信安世纪信安世纪 Infosec OS 技术技术 信安世纪 NSAE 正是基于 Infosec OS 核心技术来构建其产品 信安世纪科技有限公司 17 的 信安世纪的 Infosec OS 技术由三部分组成 一个 TCP IP 栈 HTTP 分析器和一个代理引擎 这种独特的架构让信安世纪及第三 方的开发人员可以在数据流的多个环节来实现垂直应用程序与 Infosec OS 的关联 Infosec OS 技术可以让你在保持高性能的基础上关联更多的垂 直功能 四层或七层的 SLB 反向代理缓存 全局服务器负载均 衡 SSL 加速 压缩 等等 而这一切都得益于消除了不必要的重 复工作 在信安世纪解决方案中 TCP IP 栈在数据包进入系统时首 先对其进行处理 TCP IP 栈通过高效的包处理来实现高性能 在处 理流程的初期及时检测出有害或已损坏的数据包并将它们丢弃 TCP IP 栈的工作完成后 数据包就被交给了 HTTP 分析器 它以独 特的方式对 HTTP 包头进行分解 使其它组件不必再重复相同的工 作 分析引擎本身已经进行了优化 能够完成精确的 HTTP 处理 性能出色 5 5 7 安全防护功能安全防护功能 信安世纪的解决方案具备内在的安全特性 这些特性是专门为 避免遭受攻击和为服务器和网络设备提供保护而特别设计的 信安世纪 WebWall 防火墙能有效地保护服务器和应用的安全 采用 Full Proxy 技术的 SLB 使来自客户端的任何请求都不能直 接到达服务器 有效保护后台服务器 强大的连接性能 每秒支持 1 000 000 并发连接 及基于 HTTP 的过滤机制 可有效抵御 DOS SYNC Flood 等恶意攻击 信安世纪科技有限公司 18 GSLB 广域网负载均衡 提供的灵活配置 使整个系统具有 灾难恢复功能 信安世纪 NSAE 内建基于状态检测的