Radware苏宁电器应用前端负载均衡解决方案.docx
《Radware苏宁电器应用前端负载均衡解决方案.docx》由会员分享,可在线阅读,更多相关《Radware苏宁电器应用前端负载均衡解决方案.docx(14页珍藏版)》请在冰豆网上搜索。
Radware苏宁电器应用前端负载均衡解决方案
苏宁电器股份有限公司
应用前端负载均衡
解
决
方
案
RadwareChina
2018年7月5日
目录
1.需求分析3
1.1现状概述3
1.2应用负载均衡需求分析3
2.解决方案设计4
2.1设计原则5
2.2组网设计6
2.2.1.应用负载均衡组网设计6
2.3RadwareAPSolute应用前端解决方案9
方案拓扑图10
AppDirector-实现服务器负载均衡和应用加速11
健康状况检查11
交易完整性的可靠保证11
完全的容错与冗余11
通过正常退出服务保证稳定运行12
智能的服务器服务恢复12
通过负载均衡优化服务器资源12
SSL加速12
集中处理多设备应用程序和SSL协议管理13
TCP优化13
多路HTTP/s协议14
高速缓存14
http压缩14
数据压缩14
应用交换14
URL交换15
内容交换15
Qos解决方案15
端到端应用安全解决方案15
AppDirector-按需扩展的硬件平台OnDemandSwitch16
3.方案的优点16
1.需求分析
苏宁电器股份有限公司(以下简称“苏宁”)在多年的信息化建设过程中,已经具备了基础的信息化规模,但随着业务的快速发展,对IT基础架构提出了更高的要求。
企业信息网络是否高效、畅通、安全,在很大程度上影响到企业的生产、销售、管理等各个环节。
对于苏宁来说,建立一个高效、可靠的企业信息网络就显得尤为迫切。
1.1现状概述
随着苏宁从小到大的发展过程,苏宁各种类型的应用逐步增加,而且,为了对各类应用及不同用户提供快速的服务响应,在后台架设了各种类型的服务器。
目前,苏宁在后台部署了各种类型的应用。
这些应用主要用于:
●苏宁对外的网上公共信息发布—门户网站;
●为分支机构及远程移动用户提供苏宁内部网络和业务应用的接入(OA等);
●为各地市营业网点提供统一应用;
●为外部合作伙伴,如供应商、第三方合作商提供苏宁业务应用的接入?
总体来说,苏宁应用前端的主要需求为解决各种类型的应用负载均衡
以下我们就这部分的具体需求做详细分析。
1.2应用负载均衡需求分析
随着Internet的日益普及,用户与业务量呈现出指数性增长,用户对于基于Internet的各种关键业务的依赖性也越来越强烈,而采用传统的服务器布署架构并不能真正解决用户的性能、可扩展性、安全性等问题。
当用户面临单点故障,服务器性能瓶颈时,通常会采用以下两个方法解决:
第一种途径是通过用处理能力更强的服务器替换现有的服务器,提高性能;并采用双机冗余的方式提高可用性。
第二种是通过增加服务器来构建服务器群。
这两种方法都具有局限性。
第一种解决方案比较昂贵,并且不具有很好的扩展性,在进行维护与升级时需要中断服务,替换服务器的费用不仅包括新服务器的费用,而且原有的服务器虽然处于功能完好的运行状态也不能再发挥作用产生效益了。
第二种解决方案是一个可以接受的相对廉价的解决方案,通过增加新的服务器来提高网站的处理能力,并且与原有的服务器共同工作,在升级时不会中断服务,其不足之处在于每一个服务器都有一个唯一的IP地址,用户需要记住多个IP地址以更好地访问该站点,由此也造成流量不能有效地在多个服务器之间进行分配。
基于以上原因,用户需要一种解决方案能够真正的实现对关键业务提供7*24的高可靠性保障,性能的提升以及安全防范。
因此,采用基于硬件的专用负载均衡设备的解决方案成为了用户的首选。
负载均衡设备则是用于管理本地流量,解决上述问题的解决方案。
图1:
传统扩展方案与负载均衡解决方案
如图1所示,负载均衡设备在进行流量管理时,被分配一个虚拟的IP地址即VIP,用户只需通过访问VIP,负载均衡设备会根据当时的服务器的工作状态、负载情况,按照一定的分配算法将流量分配到服务器群中的一个服务器,对于用户来说服务器群是透明的,用户并不知道服务器群的存在,VIP即是该站点的接入地址。
相对于第一种方案,负载均衡设备进一步地提高了网站的可靠性,这是由于当服务器群中的某一个服务器发生故障,会有另外的服务器接替其工作,并且负载均衡设备会确保流量不会分配到工作不正常、关机或处理能力已饱和的服务器。
2.解决方案设计
2.1设计原则
鉴于各类应用在苏宁业务中的重要作用,负载均衡的方案设计必须既适应当前应用,又面向未来信息化发展的需求。
在设计技术方案时,遵循以下设计原则:
实用性和先进性:
采用当前最先进的计算机、通信、网络和安全技术,切实保证系统结构和性能的先进性、技术的领先性,采用成熟的技术满足当前的业务需求,兼顾其他相关的业务需求,并具有良好的发展潜力,以适应未来业务的发展和技术升级的需要。
安全可靠性:
为保证将来的业务应用,系统必须具有高可靠性。
在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段、事故监控和网络安全保密等技术措施提高网络系统的安全可靠性。
灵活性与可扩展性:
网络系统是一个不断发展的系统,所以必须具有良好的扩展性。
该系统应与原有系统有机结合,并进一步成为公司的整个计算机系统改造、扩展的有效基础,能够根据将来信息化建设不断深入发展的需要,扩大网络容量和提高网络各层次节点的功能,提供技术升级、设备更新的灵活性。
开放性/互连性:
具备与多种协议计算机通信网络互连互通的特性,确保网络系统基础设施的作用可以充分发挥。
在结构上真正实现开放,基于国际开放式标准,坚持全国统一规范的原则,从而为未来的业务发展奠定基础。
经济性/投资保护:
应以较高的性能价格比构建安全系统,使资金的产出投入比达到最大值。
能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。
尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。
可管理性:
由于系统本身具有一定复杂性,随着业务的不断发展,安全管理的任务必定会日益繁重。
所以在网络的设计中,必须建立一个全面的网络安全管理解决方案。
安全设备必须采用智能化、可管理的设备,同时采用先进的管理软件,实现先进的分布式管理。
最终能够监控、监测整个网络的运行状况,合理分配网络资源、动态配置网络负载、迅速确定网络故障等。
必须保证对业务系统、网络设备、安全系统、应用系统和注册用户进行统一管理,维护和管理的操作要简单方便,并且能够从中收集到客户、业务等有关信息,为公司提供内部控制机制和经营决策支持。
高效性:
系统应是一个统一的整体,采取必要的措施提高系统的响应速度。
易用性:
系统在使用上应尽量简便。
2.2组网设计
1.
2.
2.1.
2.2.
2.2.1.应用负载均衡组网设计
苏宁应用负载负载均衡有两种组网方案:
双机旁挂主备模式(AB模式)和双机旁挂主主模式(AA模式)。
●方案一:
AppDirector4008双机旁挂(AB模式)
⏹将应用负载均衡设备AppDirector4008(以下简称AD4008)旁挂至核心层交换机上,所有应用都通过负载均衡设备进行转发,实现所有应用的负载均衡,如图2所示;
图2:
应用负载均衡组网方案一——双机旁挂主备模式
⏹从两台核心层交换机上分别旁挂两台AD4008;
⏹在每台RadwareAD4008设备上设置2个独立的千兆端口以端口绑定的方式与核心交换机的2个千兆端口连接;
⏹去往内部的访问,通过核心交换机转发到RadwareAD4008设备(主)上,负载均衡设备通过负载运算选择最佳响应的服务器IP地址,并将访问转发到该服务器的内网IP地址;
⏹两台RadwareAD4008设备之间通过VRRP实现主备冗余。
●方案二:
AppDirector2008双机旁挂主主模式(AA模式,也称双A模式)
⏹将应用负载均衡设备AppDirector2008(以下简称AD2008)旁挂至核心层交换机上,所有应用都通过负载均衡设备进行转发,实现所有应用的负载均衡,如图3所示;
图3:
应用负载均衡组网方案一——双机旁挂双A模式
⏹组网方式与双机旁挂主备方案相同,每台RadwareAD2008设备上设置2个独立的千兆端口以端口绑定的方式与核心交换机的2个千兆端口连接,
⏹去往内部的访问,通过核心交换机转发到两台RadwareAD2008设备上,负载均衡设备通过负载运算选择最佳响应的服务器IP地址,并将访问转发到该服务器的内网IP地址;
⏹两台RadwareAD4008设备之间通过VRRP实现主主冗余(双A)。
●方案对比
案
方
项
比
对
双机旁挂主备
双机旁挂主主
负载效果
一台设备承担所有应用的负载分担,另一台设备为Backup状态,只有在主设备出现故障时,备设备才会接管。
两台设备分别对不同的应用进行负载分担,在任何一台设备出现故障时,所有的应用将集中到一台设备中。
端口要求
交换机上需要2个以上千兆端口,两台AD设备上各需要2个以上千兆端口
交换机上需要2个以上千兆端口,两台AD设备上各需要2个以上千兆端口
冗余备份
双机之间以Active/Backup的主备方式实现冗余备份
双机之间以Active/Active的主主方式实现冗余备份
管理维护
配置简单,管理维护工作量小
配置较为复杂,占用IP地址数量较多,管理维护工作量较大
从以上对比可以看出,采用双机旁挂主主模式的方案在设备压力分担上,最大化保护投资上优于双机旁挂主备模式的方案;但在管理维护、IP地址分配上,双机旁挂主备模式优于双机旁挂主主模式的方案,因此,需结合苏宁现网的实际情况选择合适的组网方式和负载均衡设备。
2.3RadwareAPSolute应用前端解决方案
Radware的APSolute应用前端解决方案能够使数据中心应用最优化,使应用服务器得到更高的可用性、性能、以及更加经济和无懈可击的安全性,以便令客户获得更快的响应时间。
APSolute应用前端解决方案支持Radware下一代APSoluteOS软件体系结构的全部功能,彻底解决了网络可用性、性能和安全问题,使数据中心应用灵敏并具有自适应性。
配合Radware的高速度、高容量ASIC芯片+NP处理器的专用硬件应用交换设备,可有效保障网络应用的高可用性、提升网络性能,加强安全性,全面提升IT服务器等网络基础设施的升值潜力。
结合Radware多年来在智能应用流量管理领域的经验,以及对用户实际需求的分析,我们认为负载均衡器应具备如下功能:
以唯一的IP地址作为所有提供相同服务的服务器的逻辑入口点。
负载均衡交换机具有灵活的流量分配算法与机制,以确保用户总能访问可以为其提供最优服务的服务器。
通过部署高性能的负载均衡产品,能够及时发现所负载均衡的各服务器的健康状况,当某台服务器出现故障时,保证把后续用户的访问导向到正常运行的服务器上去。
针对基于会话的业务,可以提供多种会话保持机制,确保用户在处理业务时的连续性。
应具备安全过虑及防DOS/DDOS的功能,为服务器提供多一层安全保障
应具备带宽管理功能,在流量拥塞的情况下,保障优先等级最高的业务具有相应的带宽资源。
为提高服务器的处理性能,并提高业务响应时间,应可以配合应用优化的专用设备,提供SSL加速、WEB压缩、Caching等功能。
具有很好的升级与可扩展性,能够适应特定的和不断变化的业务需求。
方案拓扑图
RadwarewAPSolute应用前端解决方案包含AppDirector系列产品:
AppDirector数据中心的智能应用控制器
•使用先进的4-7层策略和粒状控制应用智能,实现对大范围企业应用(包括VoIP、流媒体、Citrix、和安全的LDAP应用等)的流量进行端到端的应用感知优化。
•全面集成的流量分级和数据流管理、健康检测和故障隔离、流量重定向、带宽管理、入侵防范和DoS防护,让您的网络更好地适应和响应动态应用和业务需要。
AppDirector智能应用加速
•为启用了网络和基于SSL的应用的所有类型的客户端(如桌上电脑、PDA和智能电话等)提供端到端的应用感知性能调节。
•应用加速技术的综合系列,包括压缩、缓存、TCP优化、SSL卸载和无线TCP加速,实现对服务器资源进行经济、明晰的测量以及提供最快的应用和处理响应次数。
通过AppDirector与AppDirector的结合,使我们用一个综合解决方案就能解决应用可用性和连续性、加速应用性能、保障服务水平、应用安全、IT服务器基础架构的整合和扩展性。
AppDirector-实现服务器负载均衡和应用加速
在流量管理方面,AppDirector主要在网络中实现以下功能:
健康状况检查
AppDirector可靠的健康状况检查可以保证用户获得最佳的服务。
AppDirector可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。
如果发现故障,用户即被透明地重定向到正常工作的服务器上。
这可以保证用户始终能够获得他们所期望的信息。
为了确保服务正常运行,AppDirector监控从Web服务器、中间件服务器到后端数据库服务器的整个路径上工作状态,确保整个数据路径上的服务器都处于正常状态。
如果存在一个故障服务器,AppDirector则不会将用户分配到这个发生故障路径的服务器,从而保证为用户提供透明的数据完整性保障。
交易完整性的可靠保证
为了保证用户在访问具有会话连续性业务时不会被负载均衡器分配到不同的服务器上,AppDirector在提供本地负载均衡的同时,还可以具备基于cookie,sessionID,SIP,SSLID,sourceIP等方式将用户的请求定位在相同的服务器上。
完全的容错与冗余
AppDirector的配置提供设备间的完全容错,以确保网络最大的可用性。
两台AppDirector设备工作在冗余模式下,通过网络相互检查各自的工作状态,为其所管理的应用保障完全的网络可用性。
它们可工作于“主用-备用”模式或“主用-主用”模式,在“主用-主用”模式下,因为两个设备都处于工作状态,从而最大限度地保护了投资。
并且所有的信息都可在设备间进行镜像,从而提供透明的冗余和完全的容错,确保在任何时候用户都可以获得从点击到内容的最佳服务。
通过正常退出服务保证稳定运行
当需要进行服务器升级或系统维护时,AppDirector保证稳定的服务器退出服务以避免服务中断。
当选定某台服务器要从服务器退出服务后,AppDirector将不会将任何新的用户分配到该服务器。
但是,它可以要退出服务的服务器上完成对当前用户的服务。
从而保证了无中断的优质服务,以及服务器组的简易管理能力。
智能的服务器服务恢复
将重新启动的服务器应用到服务中时,避免新服务器因突然出现的流量冲击导致系统故障是非常重要的。
所以,在将新服务器引入服务器组时,AppDirector将逐渐地增加分配到该服务器的流量,直至达到其完全的处理能力。
从而不仅保证用户在服务器退出服务时,同时还保证服务器在启动期间以及应用程序开始时,均能获得不间断服务。
通过负载均衡优化服务器资源
AppDirector执行复杂的负载均衡算法,在多个本地和远程服务器间动态分配负载。
这些算法包括循环、最少用户数、最小流量、NativeWindowsNT以及定制代理支持。
除了这些算法,AppDirector还可以为每个服务器分配一个可以配置的性能加权,从而提高服务器组的性能。
SSL加速
Radware的AppDirector能够在不降低网络性能的情况下为用户提供快速的SSL交易。
AppDirectorSSL加密/解密功能与Radware的流量管理解决方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。
通常情况下,AppDirector进行服务器的负载均衡的同时还能进行SSL的加速等优化操作。
HTTPS的流量通过AppDirector,AppDirector把HTTPS流量解密成HTTP流量后,再由AppDirector负载均衡到后端的HTTP服务器。
我们采用了AppDirector的解决方案,即由AppDirector来实现SSL的加速。
如下图所示:
集中处理多设备应用程序和SSL协议管理
SSL是把双刃剑。
SSL加密技术既可保护合法数据流免受蓄意的窥探,也可使网络安全设备无法找出和屏蔽恶意内容。
AppDirector可以将加密过程从出/入站的SSL数据流中剥离出来,为网络安全设备提供一个清晰的副本,以便它们在实时追踪的过程能发现并阻止其中的黑客或泄密程序。
TCP优化
AppDirector提供的TCP优化技术执行TCP协议的RFCs:
-1323(性能扩展)-2018,2883(选择性ACK)-2414,3390(WTCP)-2581,2582(防堵塞)-2861(拥塞窗口检验)-RFC3042(限速传送)-还包括:
提前确认技术(FACK),可设置最大传输单位(MTU)和TCP记录器等技术,以充分利用可用带宽。
这样,AppDirector能够实时适应广域网链路的延迟、数据包丢失及阻塞特征,并从根本上加速所有应用流量,加速用户的访问速度。
多路HTTP/s协议
“HTTP/S多路HTTP协议”是一种提高Web服务器性能的技术。
它可以将入站的HTTP/S请求汇总,从而减少服务器的连接次数,以达到提高整体系统的性能的目的。
高速缓存
AppDirector基于内存方式的快速缓存功能,可以从后台基础设施中卸载对内容的重复请求,从而提高应用和服务器的性能,这种性能改善是以逐个应用为基础,智能进行的。
快速缓存提供出色的灵活性和控制能力,确保组织机构实现更大的卸载量,为他们的客户基群提供更快捷的服务。
http压缩
支持Gzip、deflate方式的压缩功能。
当含有“Accept-Encoding:
gzip”或“Accept-Encoding:
deflate”HTTP报头(表明浏览器支持压缩功能)的GET请求抵达AppDirector时,AppDirector对作出该请求的客户端的所有响应都将使用数据压缩。
从而可以在不增加额外的网络带宽的情况下加快用户的响应速度,提高整体系统的性能。
数据压缩
AppDirector的数据压缩功能,可以自动发现并使用客户浏览器压缩,支持:
Xml、HTML、Java、XLS、DCO、PDF等,图片压缩比率1000%。
支持可选的硬件压缩卡。
应用交换
AppDirector根据IP地址、应用类型和内容类决定流量分配。
这样,管理员就可以为不同类型的应用程序分配不同的服务器资源。
应用交换支持不同协议上的各种应用,包括TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动FTP、HTTP、e-mail、DNS、VOIP等等。
Radware还为运行于动态端口并要求同步的应用设计了特殊支持功能。
URL交换
AppDirector完全支持URL交换,根据URL和HTTP信息分配流量。
每个URL都可以重定向到某服务器,或在多个服务器之间进行负载均衡,从而提供优化的Web交换性能。
根据URL文本中包含的信息,AppDirector可以保持客户持续性,从而保证内容的个性化。
内容交换
内容交换使管理员可以根据交易的内容来分配服务器资源。
例如,CGI脚本可以位于一个单独的服务器组,当发生对该内容的请求时,会话就被重定向到其中某个服务器。
AppDirector的内容交换能力可以广泛支持SSLID和SessionID,保持客户持续性,保证最佳流量管理和应用内容个性化。
Qos解决方案
带宽管理软件模块是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。
它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。
在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。
端到端应用安全解决方案
应用安全软件模块包含的一组功能集使Radware的产品能够保护敏感的网络资源不受到各种安全问题的影响。
此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet资源中隐藏起来。
同时还能够为使用SynApps流量管理的敏感资源提供高级的安全性,这包括检测并预防1500多个恶意攻击信息,包括特洛伊木马、后门、DoS和DdoS攻击。
此模块能够处理以下攻击:
⏹拒绝服务(DOS/DDOS)攻击
⏹缓冲区溢出/超限
⏹利用已知的Bugs,误配置和默认的安装问题来进行攻击
⏹在攻击前探测流量
⏹未授权的网络流量
⏹后门/特洛伊木马
⏹端口扫描(Connect&Stealth)
AppDirector-按需扩展的硬件平台OnDemandSwitch
目前,AppDirector部署在Radware下一代新型硬件平台OnDemandSwitch™上,为用户提供了突破性的效能表现和卓越的高可扩展性,有效应对因流量激增带来的网络和业务需求。
OnDemandSwitch专门为需要电信级高可靠性设备的企业和运营商而设计,以帮助用户积极应对动态的、不断变化的复杂网络环境和应用需求。
OnDemandSwitch为AppDirector提供了500Mbps-16Gbps的吞吐量,具备高扩展性、高可用性和高性能。
借助OnDemandSwitch,用户无需改变现有网络架构,无需新增硬件设备,即可额外定制应用感知服务,以满足新增的或变化的业务需求。
通过License升级吞吐量使得OnDemandSwitch可为用户提供短期的、长期的固定资产成本投入和运营成本投入的投资保护。
同时,OnDemandSwitch使您无需进行硬件设备的重新设计、测试和安装、排错等操作,大幅降低了系统升级所需的高额成本和时间。
借助其吞吐量和服务的高度可扩展性,OnDemandSwitch延长了硬件平台的使用寿命。
通过改变吞吐量的可扩展性,您的基础设施投资得到有效保护,您只需为当前所需要的性能付费,当需要性能升级时即可轻松升级,这将大大帮助您降低了企业的整体拥有成本(TCO)。
OnDemandSwitch的可靠性、定制性和嵌入式组件提供了极高的平均无故障时间(MTBF),还提供可信赖的双交/直流电源。
OnDemandSwitch的推出代表着应用交付市场发展的一个深刻变革,自此确立了一个新型、极具成本效益和可轻松升级的新标准。
3.方案的优点
AppDirector使我们用一个综合解决方案就能解决应用可用性和连续性、加速应用性能、保障服务水平、应用安全、IT服务器基础架构的整合和扩展性。
Radware的解决方案具有几大优点:
按需扩展的硬件平台:
按需扩展的特性使用户能“用多少买多少”,后期根据扩展需求再购买相应的License进行设备吞吐量的升级,有效地保护了用户的IT投资。
高可用性、高性能的完美体现:
AppDirector使用先进的4-7层策略和粒状控制智能应用,以便将服务器基础设施操作和应用前端要求结合在一起,从而消除流量拥塞、服务器瓶颈和故障时间以实现数据中心的业务连续性。
AppDirector能够对网络通