Radware苏宁电器应用前端负载均衡解决方案.docx

1、Radware苏宁电器应用前端负载均衡解决方案苏宁电器股份有限公司应用前端负载均衡解决方案Radware China2018年7月5日 目 录 1. 需求分析 31.1现状概述 31.2应用负载均衡需求分析 32. 解决方案设计 42.1设计原则 52.2组网设计 62.2.1. 应用负载均衡组网设计 62.3 Radware APSolute应用前端解决方案 9方案拓扑图 10AppDirector-实现服务器负载均衡和应用加速 11健康状况检查 11交易完整性的可靠保证 11完全的容错与冗余 11通过正常退出服务保证稳定运行 12智能的服务器服务恢复 12通过负载均衡优化服务器资源 12S

2、SL加速 12集中处理多设备应用程序和SSL协议管理 13TCP 优化 13多路HTTP/s协议 14高速缓存 14http压缩 14数据压缩 14应用交换 14URL交换 15内容交换 15Qos解决方案 15端到端应用安全解决方案 15AppDirector-按需扩展的硬件平台OnDemandSwitch 163. 方案的优点 161. 需求分析苏宁电器股份有限公司（以下简称“苏宁”）在多年的信息化建设过程中，已经具备了基础的信息化规模，但随着业务的快速发展，对IT基础架构提出了更高的要求。企业信息网络是否高效、畅通、安全，在很大程度上影响到企业的生产、销售、管理等各个环节。对于苏宁来说，

3、建立一个高效、可靠的企业信息网络就显得尤为迫切。1.1现状概述随着苏宁从小到大的发展过程，苏宁各种类型的应用逐步增加，而且，为了对各类应用及不同用户提供快速的服务响应，在后台架设了各种类型的服务器。目前，苏宁在后台部署了各种类型的应用。这些应用主要用于： 苏宁对外的网上公共信息发布门户网站； 为分支机构及远程移动用户提供苏宁内部网络和业务应用的接入（OA等）； 为各地市营业网点提供统一应用； 为外部合作伙伴，如供应商、第三方合作商提供苏宁业务应用的接入？总体来说，苏宁应用前端的主要需求为解决各种类型的应用负载均衡以下我们就这部分的具体需求做详细分析。1.2应用负载均衡需求分析随着Interne

4、t的日益普及，用户与业务量呈现出指数性增长，用户对于基于Internet的各种关键业务的依赖性也越来越强烈，而采用传统的服务器布署架构并不能真正解决用户的性能、可扩展性、安全性等问题。当用户面临单点故障，服务器性能瓶颈时，通常会采用以下两个方法解决：第一种途径是通过用处理能力更强的服务器替换现有的服务器，提高性能；并采用双机冗余的方式提高可用性。第二种是通过增加服务器来构建服务器群。这两种方法都具有局限性。第一种解决方案比较昂贵，并且不具有很好的扩展性，在进行维护与升级时需要中断服务，替换服务器的费用不仅包括新服务器的费用，而且原有的服务器虽然处于功能完好的运行状态也不能再发挥作用产生效益了。

5、第二种解决方案是一个可以接受的相对廉价的解决方案，通过增加新的服务器来提高网站的处理能力，并且与原有的服务器共同工作，在升级时不会中断服务，其不足之处在于每一个服务器都有一个唯一的IP地址，用户需要记住多个IP地址以更好地访问该站点，由此也造成流量不能有效地在多个服务器之间进行分配。基于以上原因，用户需要一种解决方案能够真正的实现对关键业务提供7*24的高可靠性保障，性能的提升以及安全防范。 因此，采用基于硬件的专用负载均衡设备的解决方案成为了用户的首选。负载均衡设备则是用于管理本地流量，解决上述问题的解决方案。图1：传统扩展方案与负载均衡解决方案如图1所示，负载均衡设备在进行流量管理时，被分

6、配一个虚拟的IP地址即VIP，用户只需通过访问VIP，负载均衡设备会根据当时的服务器的工作状态、负载情况，按照一定的分配算法将流量分配到服务器群中的一个服务器，对于用户来说服务器群是透明的，用户并不知道服务器群的存在，VIP即是该站点的接入地址。相对于第一种方案，负载均衡设备进一步地提高了网站的可靠性，这是由于当服务器群中的某一个服务器发生故障，会有另外的服务器接替其工作，并且负载均衡设备会确保流量不会分配到工作不正常、关机或处理能力已饱和的服务器。2. 解决方案设计2.1设计原则鉴于各类应用在苏宁业务中的重要作用，负载均衡的方案设计必须既适应当前应用，又面向未来信息化发展的需求。在设计技术方

7、案时，遵循以下设计原则： 实用性和先进性：采用当前最先进的计算机、通信、网络和安全技术，切实保证系统结构和性能的先进性、技术的领先性，采用成熟的技术满足当前的业务需求，兼顾其他相关的业务需求，并具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。安全可靠性：为保证将来的业务应用，系统必须具有高可靠性。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段、事故监控和网络安全保密等技术措施提高网络系统的安全可靠性。灵活性与可扩展性：网络系统是一个不断发展的系统，所以必须具有良好的扩展性。该系统应与原有系统有机结合，并进一步成为公司的整个计算机系统改造、扩展

8、的有效基础，能够根据将来信息化建设不断深入发展的需要，扩大网络容量和提高网络各层次节点的功能，提供技术升级、设备更新的灵活性。开放性/互连性：具备与多种协议计算机通信网络互连互通的特性，确保网络系统基础设施的作用可以充分发挥。在结构上真正实现开放，基于国际开放式标准，坚持全国统一规范的原则，从而为未来的业务发展奠定基础。经济性/投资保护：应以较高的性能价格比构建安全系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留并延长已有系统的投资，充分利用以往在资金与技术方面的投入。可管理性：由于系统本身具有一定复杂性，随着业务的不断发展，安全

9、管理的任务必定会日益繁重。所以在网络的设计中，必须建立一个全面的网络安全管理解决方案。安全设备必须采用智能化、可管理的设备，同时采用先进的管理软件，实现先进的分布式管理。最终能够监控、监测整个网络的运行状况，合理分配网络资源、动态配置网络负载、迅速确定网络故障等。必须保证对业务系统、网络设备、安全系统、应用系统和注册用户进行统一管理，维护和管理的操作要简单方便，并且能够从中收集到客户、业务等有关信息，为公司提供内部控制机制和经营决策支持。 高效性: 系统应是一个统一的整体，采取必要的措施提高系统的响应速度。 易用性: 系统在使用上应尽量简便。2.2组网设计1. 2. 2.1. 2.2. 2.2

10、.1. 应用负载均衡组网设计苏宁应用负载负载均衡有两种组网方案：双机旁挂主备模式（AB模式）和双机旁挂主主模式（AA模式）。 方案一：AppDirector 4008双机旁挂（AB模式） 将应用负载均衡设备AppDirector 4008(以下简称AD4008)旁挂至核心层交换机上，所有应用都通过负载均衡设备进行转发，实现所有应用的负载均衡，如图2所示；图2：应用负载均衡组网方案一双机旁挂主备模式 从两台核心层交换机上分别旁挂两台AD4008； 在每台Radware AD 4008设备上设置2个独立的千兆端口以端口绑定的方式与核心交换机的2个千兆端口连接； 去往内部的访问，通过核心交换机转发到

11、Radware AD 4008设备（主）上，负载均衡设备通过负载运算选择最佳响应的服务器IP地址，并将访问转发到该服务器的内网IP地址； 两台Radware AD 4008设备之间通过VRRP实现主备冗余。 方案二：AppDirector 2008双机旁挂主主模式（AA模式，也称双A模式） 将应用负载均衡设备AppDirector 2008(以下简称AD2008)旁挂至核心层交换机上，所有应用都通过负载均衡设备进行转发，实现所有应用的负载均衡，如图3所示；图3：应用负载均衡组网方案一双机旁挂双A模式 组网方式与双机旁挂主备方案相同，每台Radware AD 2008设备上设置2个独立的千兆端口

12、以端口绑定的方式与核心交换机的2个千兆端口连接， 去往内部的访问，通过核心交换机转发到两台Radware AD 2008设备上，负载均衡设备通过负载运算选择最佳响应的服务器IP地址，并将访问转发到该服务器的内网IP地址； 两台Radware AD 4008设备之间通过VRRP实现主主冗余(双A)。 方案对比案方项比对双机旁挂主备双机旁挂主主负载效果一台设备承担所有应用的负载分担，另一台设备为Backup状态，只有在主设备出现故障时，备设备才会接管。两台设备分别对不同的应用进行负载分担，在任何一台设备出现故障时，所有的应用将集中到一台设备中。端口要求交换机上需要2个以上千兆端口，两台AD设备上各

13、需要2个以上千兆端口交换机上需要2个以上千兆端口，两台AD设备上各需要2个以上千兆端口冗余备份双机之间以Active/Backup的主备方式实现冗余备份双机之间以Active/Active的主主方式实现冗余备份管理维护配置简单，管理维护工作量小配置较为复杂，占用IP地址数量较多，管理维护工作量较大从以上对比可以看出，采用双机旁挂主主模式的方案在设备压力分担上，最大化保护投资上优于双机旁挂主备模式的方案；但在管理维护、IP地址分配上，双机旁挂主备模式优于双机旁挂主主模式的方案，因此，需结合苏宁现网的实际情况选择合适的组网方式和负载均衡设备。2.3 Radware APSolute应用前端解决方案

14、Radware 的APSolute 应用前端解决方案能够使数据中心应用最优化，使应用服务器得到更高的可用性、性能、以及更加经济和无懈可击的安全性，以便令客户获得更快的响应时间。APSolute 应用前端解决方案支持 Radware 下一代 APSolute OS 软件体系结构的全部功能，彻底解决了网络可用性、性能和安全问题，使数据中心应用灵敏并具有自适应性。配合Radware 的高速度、高容量 ASIC芯片+NP处理器的专用硬件应用交换设备，可有效保障网络应用的高可用性、提升网络性能，加强安全性，全面提升IT服务器等网络基础设施的升值潜力。结合Radware多年来在智能应用流量管理领域的经验，

15、以及对用户实际需求的分析，我们认为负载均衡器应具备如下功能：以唯一的IP地址作为所有提供相同服务的服务器的逻辑入口点。负载均衡交换机具有灵活的流量分配算法与机制，以确保用户总能访问可以为其提供最优服务的服务器。通过部署高性能的负载均衡产品，能够及时发现所负载均衡的各服务器的健康状况，当某台服务器出现故障时，保证把后续用户的访问导向到正常运行的服务器上去。针对基于会话的业务，可以提供多种会话保持机制，确保用户在处理业务时的连续性。应具备安全过虑及防DOS/DDOS的功能，为服务器提供多一层安全保障应具备带宽管理功能，在流量拥塞的情况下，保障优先等级最高的业务具有相应的带宽资源。为提高服务器的处理

16、性能，并提高业务响应时间，应可以配合应用优化的专用设备，提供SSL加速、WEB压缩、Caching等功能。具有很好的升级与可扩展性，能够适应特定的和不断变化的业务需求。方案拓扑图 Radwarew APSolute 应用前端解决方案包含AppDirector系列产品:AppDirector 数据中心的智能应用控制器 使用先进的 4-7 层策略和粒状控制应用智能，实现对大范围企业应用(包括 VoIP、流媒体、Citrix、和安全的LDAP 应用等)的流量进行端到端的应用感知优化。 全面集成的流量分级和数据流管理、健康检测和故障隔离、流量重定向、带宽管理、入侵防范和 DoS 防护，让您的网络更好地

17、适应和响应动态应用和业务需要。AppDirector 智能应用加速 为启用了网络和基于 SSL 的应用的所有类型的客户端(如桌上电脑、PDA 和智能电话等)提供端到端的应用感知性能调节。 应用加速技术的综合系列，包括压缩、缓存、TCP 优化、SSL 卸载和无线 TCP 加速，实现对服务器资源进行经济、明晰的测量以及提供最快的应用和处理响应次数。通过AppDirector 与 AppDirector 的结合，使我们用一个综合解决方案就能解决应用可用性和连续性、加速应用性能、保障服务水平、应用安全、IT 服务器基础架构的整合和扩展性。AppDirector-实现服务器负载均衡和应用加速在流量管理方

18、面，AppDirector主要在网络中实现以下功能：健康状况检查AppDirector可靠的健康状况检查可以保证用户获得最佳的服务。AppDirector可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障，用户即被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。为了确保服务正常运行，AppDirector监控从 Web 服务器、中间件服务器到后端数据库服务器的整个路径上工作状态，确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器，AppDirector则不会将用户分配到这个发生故障路径的服务器，从而保证为用户提供透

19、明的数据完整性保障。交易完整性的可靠保证为了保证用户在访问具有会话连续性业务时不会被负载均衡器分配到不同的服务器上，AppDirector在提供本地负载均衡的同时，还可以具备基于cookie,session ID,SIP,SSL ID,source IP等方式将用户的请求定位在相同的服务器上。完全的容错与冗余AppDirector的配置提供设备间的完全容错，以确保网络最大的可用性。两台AppDirector设备工作在冗余模式下，通过网络相互检查各自的工作状态，为其所管理的应用保障完全的网络可用性。它们可工作于“主用-备用”模式或“主用-主用”模式，在“主用-主用”模式下，因为两个设备都处于工作

20、状态，从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像，从而提供透明的冗余和完全的容错，确保在任何时候用户都可以获得从点击到内容的最佳服务。通过正常退出服务保证稳定运行当需要进行服务器升级或系统维护时，AppDirector保证稳定的服务器退出服务以避免服务中断。当选定某台服务器要从服务器退出服务后，AppDirector将不会将任何新的用户分配到该服务器。但是，它可以要退出服务的服务器上完成对当前用户的服务。从而保证了无中断的优质服务，以及服务器组的简易管理能力。智能的服务器服务恢复将重新启动的服务器应用到服务中时，避免新服务器因突然出现的流量冲击导致系统故障是非常重要的。所以，

21、在将新服务器引入服务器组时，AppDirector将逐渐地增加分配到该服务器的流量，直至达到其完全的处理能力。从而不仅保证用户在服务器退出服务时，同时还保证服务器在启动期间以及应用程序开始时，均能获得不间断服务。通过负载均衡优化服务器资源AppDirector执行复杂的负载均衡算法，在多个本地和远程服务器间动态分配负载。这些算法包括循环、最少用户数、最小流量、Native Windows NT 以及定制代理支持。除了这些算法，AppDirector还可以为每个服务器分配一个可以配置的性能加权，从而提高服务器组的性能。SSL加速Radware的AppDirector能够在不降低网络性能的情况下为

22、用户提供快速的SSL交易。AppDirector SSL加密/解密功能与Radware的流量管理解决方案相结合，在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。通常情况下， AppDirector进行服务器的负载均衡的同时还能进行SSL的加速等优化操作。HTTPS的流量通过AppDirector，AppDirector把HTTPS流量解密成HTTP流量后，再由AppDirector负载均衡到后端的HTTP服务器。我们采用了AppDirector 的解决方案，即由AppDirector来实现SSL的加速。如下图所示:集中处理多设备应用程序和SSL协议管理SSL是把双刃剑。SS

23、L加密技术既可保护合法数据流免受蓄意的窥探，也可使网络安全设备无法找出和屏蔽恶意内容。AppDirector可以将加密过程从出/入站的SSL数据流中剥离出来，为网络安全设备提供一个清晰的副本，以便它们在实时追踪的过程能发现并阻止其中的黑客或泄密程序。TCP 优化AppDirector提供的 TCP 优化技术执行TCP协议的 RFCs:- 1323（性能扩展）- 2018，2883（选择性ACK）- 2414, 3390 (WTCP)- 2581，2582（防堵塞）- 2861（拥塞窗口检验）- RFC 3042 （限速传送）- 还包括：提前确认技术(FACK), 可设置最大传输单位（MTU）和

24、TCP 记录器等技术，以充分利用可用带宽。这样，AppDirector能够实时适应广域网链路的延迟、数据包丢失及阻塞特征，并从根本上加速所有应用流量，加速用户的访问速度。多路HTTP/s协议“HTTP/S 多路HTTP协议”是一种提高 Web 服务器性能的技术。它可以将入站的 HTTP/S 请求汇总，从而减少服务器的连接次数，以达到提高整体系统的性能的目的。高速缓存AppDirector基于内存方式的快速缓存功能，可以从后台基础设施中卸载对内容的重复请求，从而提高应用和服务器的性能，这种性能改善是以逐个应用为基础，智能进行的。快速缓存提供出色的灵活性和控制能力，确保组织机构实现更大的卸载量，为

25、他们的客户基群提供更快捷的服务。http压缩支持 Gzip、deflate方式的压缩功能。当含有“Accept-Encoding: gzip”或“Accept-Encoding: deflate”HTTP 报头（表明浏览器支持压缩功能）的 GET 请求抵达 AppDirector时，AppDirector 对作出该请求的客户端的所有响应都将使用数据压缩。从而可以在不增加额外的网络带宽的情况下加快用户的响应速度，提高整体系统的性能。数据压缩AppDirector的数据压缩功能，可以自动发现并使用客户浏览器压缩，支持：Xml、 HTML、Java、XLS、DCO、PDF等,图片压缩比率1000%。

26、支持可选的硬件压缩卡。应用交换AppDirector根据 IP 地址、应用类型和内容类决定流量分配。这样，管理员就可以为不同类型的应用程序分配不同的服务器资源。应用交换支持不同协议上的各种应用，包括 TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动 FTP、HTTP、e-mail、DNS、VOIP 等等。Radware 还为运行于动态端口并要求同步的应用设计了特殊支持功能。URL交换AppDirector完全支持 URL 交换，根据 URL 和 HTTP 信息分配流量。每个 URL 都可以重定向到某服务器，或在多个服务器之间进行负载均衡，从而提供优化的 Web 交换性能。根

27、据 URL 文本中包含的信息，AppDirector可以保持客户持续性，从而保证内容的个性化。内容交换内容交换使管理员可以根据交易的内容来分配服务器资源。例如，CGI 脚本可以位于一个单独的服务器组，当发生对该内容的请求时，会话就被重定向到其中某个服务器。AppDirector的内容交换能力可以广泛支持 SSL ID 和 Session ID， 保持客户持续性，保证最佳流量管理和应用内容个性化。 Qos解决方案 带宽管理软件模块是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量，然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。它允许网络管理者完全而有效的控制他们可用的带宽，

28、使用这些功能可以按照一系列标准，指定应用程序的优先次序，同时还考虑了每个应用程序已使用的带宽。在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。端到端应用安全解决方案应用安全软件模块包含的一组功能集使Radware 的产品能够保护敏感的网络资源不受到各种安全问题的影响。此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet 资源中隐藏起来。同时还能够为使用SynApps 流量管理的敏感资源提供高级的安全性，这包括检测并预防1500多个恶意攻击信息，包括特洛伊木马、后门、DoS 和DdoS 攻击。此模块能够处理以下攻击

29、： 拒绝服务 (DOS/DDOS) 攻击 缓冲区溢出/超限 利用已知的 Bugs，误配置和默认的安装问题来进行攻击 在攻击前探测流量 未授权的网络流量 后门/特洛伊木马 端口扫描 (Connect & Stealth)AppDirector-按需扩展的硬件平台OnDemandSwitch目前，AppDirector部署在Radware下一代新型硬件平台OnDemand Switch上,为用户提供了突破性的效能表现和卓越的高可扩展性，有效应对因流量激增带来的网络和业务需求。OnDemandSwitch 专门为需要电信级高可靠性设备的企业和运营商而设计，以帮助用户积极应对动态的、不断变化的复杂网络

30、环境和应用需求。OnDemand Switch 为AppDirector提供了500Mbps-16Gbps 的吞吐量，具备高扩展性、高可用性和高性能。借助OnDemand Switch，用户无需改变现有网络架构，无需新增硬件设备，即可额外定制应用感知服务，以满足新增的或变化的业务需求。通过License升级吞吐量使得OnDemand Switch 可为用户提供短期的、长期的固定资产成本投入和运营成本投入的投资保护。同时，OnDemand Switch 使您无需进行硬件设备的重新设计、测试和安装、排错等操作，大幅降低了系统升级所需的高额成本和时间。借助其吞吐量和服务的高度可扩展性，OnDeman

31、d Switch 延长了硬件平台的使用寿命。通过改变吞吐量的可扩展性，您的基础设施投资得到有效保护，您只需为当前所需要的性能付费，当需要性能升级时即可轻松升级，这将大大帮助您降低了企业的整体拥有成本(TCO)。OnDemand Switch的可靠性、定制性和嵌入式组件提供了极高的平均无故障时间（MTBF），还提供可信赖的双交/ 直流电源。OnDemand Switch的推出代表着应用交付市场发展的一个深刻变革，自此确立了一个新型、极具成本效益和可轻松升级的新标准。3. 方案的优点AppDirector使我们用一个综合解决方案就能解决应用可用性和连续性、加速应用性能、保障服务水平、应用安全、IT服务器基础架构的整合和扩展性。Radware 的解决方案具有几大优点：按需扩展的硬件平台：按需扩展的特性使用户能“用多少买多少”，后期根据扩展需求再购买相应的License进行设备吞吐量的升级，有效地保护了用户的IT投资。高可用性、高性能的完美体现：AppDirector 使用先进的 4-7 层策略和粒状控制智能应用，以便将服务器基础设施操作和应用前端要求结合在一起，从而消除流量拥塞、服务器瓶颈和故障时间以实现数据中心的业务连续性。AppDirector 能够对网络通