互联网企业网络架构优化实践.pptx

《互联网企业网络架构优化实践.pptx》由会员分享，可在线阅读，更多相关《互联网企业网络架构优化实践.pptx（37页珍藏版）》请在三一办公上搜索。

1、互联网企业网络架构优化实践从应用交付到云计算,迷土F5 Networks,Agenda,应用交付网络架构设计从应用交付到云计算案例分析,应用交付网络架构设计,基于应用交付平台的动态数据中心架构,4,应用服务层,统一应用交付层,运维高可用,站点高可用,性能高可用,服务高可用,网络卸载,服务器卸载,应用卸载,主动安全,被动安全,协议层安全,网络层安全,应用级管理,开放管理,配置模板,Finance,SaaS,E-Commerce,Cloud Computing,Portal,BI,CRM,MBO,UC,ERP,Network,应用监控系统自动化资源配置管理,大型网站的高可用应用交付平台建设,服务高

2、可用,性能高可用,站点高可用,运维高可用,通过基于应用层面的健康检查，判断服务的工作状态，避免通过进程检查方式无法准确判断真实服务状态的问题,通过对提供同样应用的服务实例进行负载均衡处理，实现对外统一服务，对内将请求分发到多个应用实例上，提高系统的处理能力，减小应用响应时间,通过站点间动态客户调度系统，实现多数据中心灾备模式、多主模式的运行，实现站点高可用,通过本地负载均衡和广域网负载均衡处理，屏蔽用户端对真实服务的感知，使系统运维可以实时、在线进行,负载均衡系统是高可用的根本,BIGIP LTM对外提供一个虚拟的应用服务器，接收所有的客户端请求BIGIP LTM通过负载均衡算法处理，将客户端

3、请求转发到后台的多个应用实例BIGIP LTM内置可编程控制接口，可以对流量进行编程控制处理BIGIP LTM通过应用健康检查，准确的判断应用程序的工作和服务状态，一旦发现应用不能提供服务，则将其从负载均衡组中摘除,Virtual Server,Network,Application,Application,负载均衡处理可编程控制应用健康检查,BIG-IP LTM,Domain,Server 1,Server 2,负载均衡中的URL Switching,这么多功能都在一台/组服务器上无法支撑,/products/,/platform/,/service-training/,/customers

4、/,URL Switching iRule,Cache/Web Servers,负载均衡中的可编程控制,集中交易保证:正向错误处理,rule redirect_error_code when HTTP_REQUEST set my_uri HTTP:uri when HTTP_RESPONSE if HTTP:status=500 HTTP:redirect http:/192.168.33.131$my_uri,when HTTP_REQUEST#www.A.com-domain=A.com,company=A regexp.(w+).com HTTP:host domain company

5、 If ne$company#look for the second string in the data group set mapping findclass$company$:valid_company_mappings if ne$mapping HTTP:redirect http:/www.my_,Host到URI对应:通过重定向快速存取数据,rule protect_content when HTTP_RESPONSE_DATA set payload HTTP:payload HTTP:payload length#Find and replace SSN numbers.#r

6、egsub-all d3-d2-d4$payload xxx-xx-xxxx new_response#Replace only if necessary.#if$new_response!=0 HTTP:payload replace 0 HTTP:payload length$new_response,集中数据保护:重写，删除，阻止或者Log关键内容,统一应用交付平台下的数据中心,Data Center&Link Pool Virtualization,Web Server Pool Virtualization,Application Server Pool Virtualization

7、,File Storage Pool Virtualization,Mobile,Remote,Office,Data Center#1,Data Center#2,Cloud Provider,Web Servers,Web Servers,Web Servers,App Servers,App Servers,App Servers,Windows FileStorage,NetApp,EMC,大型网站应用优化设计,应用层卸载,服务器卸载,网络层卸载,通过动态Cache减小应用服务器和数据库计算压力，通过Muti Connect提高浏览器并行处理能力，,通过静态Cache减小服务器数据输出

8、压力，连接聚合减小服务器对TCP连接建立和撤销的压力，带宽控制和链接数限制防止服务器过载，硬件SSL和压缩卸载使服务器更加关注于应用逻辑处理,通过HTTP压缩对明文数据进行压缩处理，减小带宽占用,HTTP压缩实现网络层卸载,11,压缩数据：&%&YghgThkjdf*&,明文数据：2234234234234234234234James2342342342342356567983738627,客户端,Web Server,F5 BIG-IP LTM采用业界标准gzip、deflate压缩算法高端平台内置有硬件压缩芯片，可达到上Gbps的实时数据压缩处理通常情况下对文本型内容可实现80%以上的压缩

9、率通过即可快速检查您的站点首页压缩比,Response:100KB,Response:20KB,RamCache实现服务器卸载,12,HTTP 内存高速缓存/images/a.gif,客户端,客户端,TMOS,服务器,Get/images/a.gif,HTTP 200 a.gif,客户端,Get/images/a.gif,HTTP 200 a.gif,Get/images/a.gif,HTTP 200 a.gif,Get/images/a.gif,HTTP 200 a.gif,BIG-IP LTM内置RamCache功能，可以将BIG-IP的内存使用为高速缓存空间RamCache特别针对诸如首

10、页元素之类的大访问量请求当Web Container合EJB Container采用同一台物理服务器的时候特别有效使服务器更加专注于处理应用逻辑和客户端展现,客户端,Get/images/a.gif,HTTP 200 a.gif,连接聚合降低服务器压力,13,HTTP 1.1,客户端,客户端,客户端,客户端,HTTP 1.1,HTTP 1.1,HTTP 1.1,HTTP 1.1,Application,Server,BIG-IP LTM,F5 BIG-IP LTM 强大的应用层交换引擎，可以对多个客户端的TCP连接进行合并，通过少量的长连接与后台应用通讯适合于大并发量的系统使用，尤其对于基于J

11、VM的应用系统，可以有效的降低系统在频繁建立和关闭TCP连接时所带来的巨大开销完全兼容HTTP 1.1标准协议，对后台应用透明,大型网游系统中的服务器SSL卸载,Network,Application,Application,BIG-IP LTM,Domain,Server 1,Server 2,CRLDP Auth,OCSP Auth,SSL加密通道提供高级别安全加密支持百万级客户端同时接入完善的SSL 证书验证体系支持卸载服务器SSL处理性能问题,大型网站系统的应用安全设计,网络层安全防范基本的网络层攻击,协议层安全完整的协议符合性检查,被动安全模式通过可动态更新的特征判断,主动安全模式定

12、义数据流程的允许访问策略,防止Syn、ACK、RST等网络层DDOS攻击模式,对HTTP、SMTP、FTP等协议在协议层面上进行严格检查，对于不符合协议规范的请求一律拒绝访问。通过速率限制防止应用层DDOS攻击,内置动态可更新的攻击特征代码，对请求内容进行分析，防止通用型攻击手段,通过应用访问流程制定、用户提交信息分析等策略，只放过在安全策略定义范围内的客户端请求，对不认识的请求一律拒绝,攻击危险程度,安全防护级别,网络层安全-前端七层工作模式,16,ClientSideTCPStack,ServerSideTCPStack,客户端,客户端,客户端,客户端,Virtual ServersPoo

13、lsProfilesiRulesTMOS,服务器,服务器,服务器,服务器,传输数据,TCP连接,TCP连接,TCP连接,TCP连接,TCP连接,TCP连接,TCP连接,TCP连接,黑客,SYN Flood,ACK Flood,RST Flood,Full Proxy 模式下，绝大部分的网络层攻击无法穿越BIG-IP LTM,协议层安全-强制协议规范符合,17,被动安全模式-动态更新攻击代码特征库,18,主动安全模式-基于应用流程防护,19,?,Should this be a violation?The user may have bookmarked the page!Unnecessari

14、ly enforcing flow can lead to false positives.,This part of the site is a financial transaction that requires authentication;we should enforce strict flow and parameter validation,From Acc.,Transfer,$Amount,To Acc.,Password,Username,系统运维管理,F5的系统运维管理,监控 F5 BIG-IP LTM收集LTM上的数据和配置变化在数据达到阀值或健康检查变化的时候提供警

15、告提供对数据的报表提供远程代理程序支持数据收集,Zone,Zone,Zone,Zone,F5 iControlWeb Services,系统监控节点Up/Down 监控自动资源规划动态调配资源,门户,从应用交付网络架构到云计算,Virtualized Services,什么是云计算?,云计算不是革命，而是进化。（F5某牛人）,云计算提供了那些虚拟化服务?,IaaS-Infrastructure as a Service(Virtualization)SaaS-Software as a Service(App Hosting)PaaS-Platform as a Service(Lifecyc

16、le)SaaS Storage as a ServiceSaaS Security as a ServiceAaaS Acceleration as a ServiceFrom Wikipedia-,真实的云计算平台,云计算的核心是什么？,NAS STORAGE,从应用交付网络架构平台到云计算,Windows file storage,WEB SERVERS,APPLICATION SERVERS,App Delivery Controller(ADC),Data Delivery Controller(DDC),File StoragePool Virtualization,Router/S

17、witch,Router/Switch,Web/Application Server Pool Virtualization,DC/Link Pool Virtualization+Secure Access,DC#2 in Building B,DC#1 in Building A,ADC and DDC-Enable Consolidation of Storage,Server,Network and Datacenter.,从应用交付网络架构到云计算,28,Cloud Data Centre,Storage as a Service(ARX),SalesForceSoftlayerGo

18、GridJoyentBluelockMicrosoftAT&T SynapticAmazon EC2,S3,29,案例分析,大型网站DNS系统设计,顶级域名解析,二级域名解析,大型网游系统集中认证,Virtual Server,Network,认证服务器,认证服务器,负载均衡处理可编程控制应用健康检查,Viprion,高速Cache集群Election Hash,Virtual Server,Network,Ram Cache,RamCache,负载均衡处理可编程控制应用健康检查,Viprion,/abc/cde,/efg/hij,多数据中心并行,客户端浏览器,客户端浏览器,Internet,BIGIP LTM,WEB,WEB,WEB,BIGIP LTM,APP,APP,APP,DBActive,主中心,Router,Router,GTM,GTM,第二中心,BIGIP LTM,WEB,WEB,WEB,请求转发,BIGIP LTM,APP,APP,APP,DBBackup,数据同步,更多讨论在,开源软件组成的系统,LVSHAProxyNginx,集中管理,监控告警,服务配置,负载分析,