一、传统网络和应用面临的挑战
1、传统路由器的负载均衡方式
》传统的边界路由器的运营商链路负载方式只有通过ECMP或策略路由的方式来实现。
》路由器ECMP链路负载方式:配置多条等价默认路由分别指向不同的ISP,通过路由选路将内网用户上网数据量HASH到ISP链路上实现链路负载。
缺点:无法根据链路带宽进行区分调度,经常出现跨运营商转发情况。如访问电信的服务器被转发到联通ISP,配置NAT映射会出现来回路径不一致访问不通的情况,资源利用率低。
补充:
ECMP:等价多径路由,是一种逐跳的基于流的负载均衡策略。
ECMP的路径选择策略有多种方法:
1.哈希,例如根据源IP地址的哈希为流选择路径。
2.轮询,各个流在多条路径之间轮询传输。
3.基于路径权重,根据路径的权重分配流,权重大的路径分配的流数量更多。
》路由器策略路由链路负载方式:对内网网段进行划分,配置策略路由指定某网段的用户强制走指定的ISP链路,其余流量通过匹配默认路由转发。
缺点:无法根据链路带宽进行区分调度,还是会出现跨运营商转发情况,调度策略不灵活,资源利用率低。
如上图所示:配置策略路由指定1,2用户网段强制走ISP1链路转发,3、4用户网段强制走ISP2,其他用户流量默认走ISP3。
》多台服务器对外提供同样的服务:传统路由器对内网多服务器的负载只能通过配置多NAT映射结合外网DNS来实现服务器负载。
缺点:网络建设成本高,维护复杂,服务器负载不均匀,资源利用率低,业务可靠性低。
2、网络面临的挑战:
访问体验差、线路故障频发、应用带宽抢占、跨运营商互访体验差、上网访问终中断、 线路调度不均
3、应用面临的挑战:
稳定性差:出现访问不可达,导致组织业务效率低下、用户流失,直接影响收入
安全性差:会导致服务无法正常交付,严重时甚至会造成重要信息被监听和窃取;同时也会影响组织声誉
高效性差:应用访问慢直接影响用户体验,导致用户大量流失,直接影响收益
4、影响网络和应用高质量交付的因素
在应用高质量交付过程中,从前端客户端,到用户数据中心应用,涉及到链路、服务器、数据库等关键因素;任何一个环节出现问题,都会给应用造成不稳定安全性,影响到正常业务交付;
二、网络和应用建设建议
1、可以提升网络访问体验的要点?
灵活多变的算法:保证流量合理均匀调度,避免线路分配不均的问题。
全面的地址库:保障用户的访问可以根据地址库选择最优的运营商线路,避免跨运营商访问。
灵敏准确的探测方式:保障即使出现故障也能够及时切换,避免访问中断。
智能的应用选路:保障重要应用带宽得到保障,提升访问的体验。
2、可以提升应用访问稳定性的要点?
精确灵敏的探测方式:应用级健康检查,准确发现异常故障;
合理的调度机制:多种算法适应多种不同的应用场景,即使某服务器故障也能通过调度机制在其他服务器合理分配,做到用户无感知。
灵活的会话保持:多种灵活的会话保持机制,保证在不同场景下用户访问的连贯性;
3、可以提升应用访问高效性的要点?
灵活的算法:通过各种灵活的算法保障在大流量、高并发的场景下也能合理分配,提升访问的高效性。
TCP连接复用:加快了客户端与后台服务器之间的连接处理速度,提高应用系统的处理能力。
HTTP压缩:缩短用户下载内容的等待时间,减轻Web服务器的压力,提升用户的访问体验。
4、可以提升应用访问安全性的要点?
SSL加密和SSL卸载:支持SSL加密技术,能够通过加密算法实现端到端的加密,同时通过SSL卸载减轻后端服务器压力。
国密算法:支持国际通用密码算法(RSA算法),支持国家商用密码算法SM1-SM4, 并拥有国家密码管理局批准的《商用密码产品型号证书》。
多种加密套件:支持设置限制加密套件强度,可手动调整不同加密套件优先级,可指定客户端证书最小秘钥长度,可拒绝加密强度低的不安全算法。
证书透传:支持证书字段的信息透传与过滤(HTTP Header、Cookie、URL等方式),保持认证一致性。
三、深信服应用交付介绍
1、应用交付介绍:
》负载均衡LB:是一种服务器或网络设备的集群技术。
负载均衡将特定的业务(网络服务、网络流量等)分担给多个服务器或网络设备,从而提高了业务处理能力,保证了业务的高可用性。
》应用交付AD:与负载均衡相比,在强调稳定性的基础上,增加了智能和优化方面的功能特性,以帮助用户应对来自于复杂应用环境中部署并交付服务的挑战。
2、应用交付基本功能:
AD设备网关部署,接有多条公网链路。
》入站链路负载(全局负载):
外网用户访问AD内网的服务器时,可通过最优的链路接入(入站链路负载)。
访问时必须用域名,AD设备可根据客户端所属的运营商把域名解析成对应运营商的IP地址。
》服务器负载(应用负载):
AD设备把外网访问的连接智能调度到服务器群中最优的服务器(服务器负载)
内网有多台提供相同服务的服务器,用户通过AD设备访问时,可将用户的请求智能调度(多种可选调度算法)到不同服务器。
》出站链路负载(智能路由):
AD设备内网的用户上网时,也可根据策略实现智能选路(出站链路负载)。
一般根据目的IP来选择线路,如目的IP是电信IP,则使用AD的电信线路进行访问。
3、入站链路负载——单站点:
解决方案:
(1)智能DNS:帮助选择最优的接入线路;
(2)灵活的算法调度和故障切换机制,保证能够快速进行调度或切换;
(3)灵活应对突发业务,当一某条线路故障时,可通过健康检查及调度策略,及时发现并将流量调度到其他可用线路;
4、服务器负载:
解决方案:
(1)智能选路:按运营商选路,访问电信地址走电信,反之亦然;全网地址库更新,保证选路准确性;访问非电信联通地址,按照动态探测结果选路,哪条线路快就走哪条线路;
(2)DNS透明代理:拦截用户的DNS请求,重新按策略分发给各个线路的运营商DNS服务器;
(3)应用选路:按应用进行选路,游戏、网银走电信(质量好),视频、下载走移动(带宽足);
(4)动态选路:其他访问由电信和移动线路承载,动态探测响应速度,哪条线路快就走哪条线路;
(5)链路状态可视:通过首页的大屏显示直观展示各个链路应用分配情况;
(6)高可用:实时探测链路状态,故障自动引流;双机部署+会话镜像,保障自身高可用,故障切换不中断访问;
(7)国外网站专线访问:启用内置的国外域名库匹配,所有访问国外域名的流量,都走专线;
5、服务器负载:
解决方案:
(1)应用级健康监控,准确发现业务状态;
(2)L3/L4/L7负载均衡,构建高可用可扩展的业务架构;
(3)性能优化技术,减少服务器压力,提升访问速度;
(4)iPro可编程接口,提供定制化的流量处理方式;
(5)多种调度算法,满足应用快速访问;
6、服务器负载——SSL卸载:
(1)支持国密1.1、TLS 1.0、TLS 1.1 、TLS1.2等协议 ;
(2)支持国密SSL算法的单向和双向认证,支持RSA和国密SM2、SM3、SM4算法
(3)支持SNI拓展特性,可在单个应用上启用多张证书,并可对请求Host校验,防止非法访问;
(4)支持LDAP、HTTP、FTP等方式同步CRL证书吊销列表,单个CRL吊销列表文件最大支持2G。
7、双活/多活数据中心——入站链路负载—多站点:
》解决方案:
(1)智能DNS:帮助用户选择最优的接入数据中心和最优的接入线路;
(2)跨数据中心会话保持:保证业务访问的连续性;
(3)灵活的算法调度和故障切换机制,保证能够快速进行跨数据中心的调度或切换;
(4)灵活应对突发业务,当一个数据中心资源不足时,可通过调度使用另一个数据中心资源;
