Bluecoat_SP_HTTP反向代理和CDN技術(shù)方案建議_jun

知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 戶 反向代理 和 術(shù) 方案建議書 2007 年 7 月 17 日 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 目 錄 1 前言 . 4 2 用戶需求分析 . 5 3 方案設(shè)計(jì)原則 . 6 4 技術(shù)方案建議 . 7 向代理網(wǎng)絡(luò)的總體設(shè)計(jì) . 7 同一數(shù)據(jù) 中心部署反向代理節(jié)點(diǎn) . 7 地部署反向代理節(jié)點(diǎn) . 9 務(wù)（動(dòng)態(tài)和靜態(tài)網(wǎng)頁同時(shí)加速業(yè)務(wù)） . 10 計(jì)概述 . 10 態(tài)網(wǎng)頁加速流程 . 11 備選型 . 13 密動(dòng)態(tài)網(wǎng) 頁加速業(yè)務(wù) . 14 P(用戶 址傳送 ) . 17 留用戶原有域名 . 17 務(wù)特點(diǎn) . 18 服務(wù)器卸載 . 19 縮 . 19 線程下載 . 20 型 略設(shè)置 . 20 絡(luò)安全設(shè)計(jì) . 20 擊和 . 20 作系統(tǒng) . 21 議檢測(cè) . 22 止反向代理服務(wù)器成為 . 22 理員訪問限制和安全 . 23 戶行為分析和統(tǒng)計(jì)及錯(cuò)誤定位用戶的追蹤 . 23 局網(wǎng)絡(luò)管理 . 24 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 來擴(kuò)展 . 25 5 存技術(shù)特點(diǎn) . 27 速的內(nèi)容抓取 . 27 適應(yīng)的刷新：快速、新鮮的內(nèi)容 . 28 適應(yīng)的刷新：對(duì)帶寬消耗的影響 . 30 鮮度測(cè)量和報(bào)告 . 31 儲(chǔ)子系統(tǒng) . 32 略控制引擎 . 33 視化策略管理器 . 34 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 1 前言 本文是 戶 向代理 工程的技術(shù)方案建議。 我們期待著和 戶 進(jìn)行進(jìn)一步的深入交流。 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 2 用戶需求分析 戶 目前的網(wǎng)站站點(diǎn)設(shè)計(jì)有 務(wù)器， 主要服務(wù)的內(nèi)容是大量新聞和圖片及一些 頻類的節(jié)目。 采用 務(wù)器帶來的主要 挑戰(zhàn) 有 三 方面，一方面 系統(tǒng)運(yùn)行在通用操作系統(tǒng)上，網(wǎng)站安全性存在風(fēng)險(xiǎn)。 另一方面 務(wù)器的性能受限，通常一臺(tái)服務(wù)器只能處理 3000并發(fā) 戶連接。性能上存在瓶頸。 最后還有在后臺(tái)存儲(chǔ) 戶使用基于 磁盤陣列。當(dāng)為了提升網(wǎng)站性能而增加前面的 務(wù)器時(shí)，后臺(tái)存儲(chǔ)的共享也成為了一個(gè)復(fù)雜的技術(shù)問題。 為了解決上述的一些實(shí)際問題。 戶需要在 端增加硬件反向代理服務(wù)器，利用其安全和高性能的特性來降低 務(wù)器的負(fù)載 和被黑客攻擊的風(fēng)險(xiǎn) 。 同時(shí)由于主要的負(fù)載都被反向代理服務(wù)器所承擔(dān)，源服務(wù)器只需要 保持一個(gè)基本的 務(wù)器就可以，也無需涉及復(fù)雜的 享問題。 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 3 方案設(shè)計(jì)原則 考慮 戶 的實(shí)際情況，在方案設(shè)計(jì)時(shí)需要遵循如下原則： 1 標(biāo)準(zhǔn)性 現(xiàn)在構(gòu)建的 向代理 網(wǎng)絡(luò)應(yīng)當(dāng)符合網(wǎng)絡(luò)業(yè)界的主流標(biāo)準(zhǔn)，保證系統(tǒng)和已有的 兼容性 。 2 合理的性能價(jià)格比 在滿足當(dāng)前的業(yè)務(wù)需求的同時(shí)，還考慮到今后業(yè)務(wù)發(fā)展的需求，確保在未來擴(kuò)容時(shí)能夠擴(kuò)展到更多的 性能和 容量支持。同時(shí) 盡量選擇經(jīng)濟(jì)的設(shè)備，做到最優(yōu)的性價(jià)比。 3高可靠性 在確保系統(tǒng)可靠工作和數(shù)據(jù)的可靠性的原 則基礎(chǔ)上，盡可能的 做到高起點(diǎn)，選用先進(jìn)的技術(shù)和設(shè)備，使構(gòu)建的 反向代理 系統(tǒng)有較高的 可靠性 ，以適應(yīng)今后的發(fā)展。 4可管理性和可維護(hù)性 反向代理 設(shè)備可以通過多種技術(shù)和方式實(shí)現(xiàn)了高可靠性，同時(shí)也增加了系統(tǒng)的復(fù)雜性，從而容易導(dǎo)致維護(hù)和管理的復(fù)雜性。因此在方案設(shè)計(jì)中在提供高可靠性的同時(shí)，也要注重提供 反向代理 系統(tǒng)的可管理性和可維護(hù)性。 整個(gè)系統(tǒng)應(yīng)該能夠采用基于 界面對(duì)存儲(chǔ)設(shè)備進(jìn)行配置管理。系統(tǒng)配置工作應(yīng)該簡(jiǎn)單明了，流程清晰。系統(tǒng)應(yīng)該能夠提供遠(yuǎn)程告警。 5. 高性能 整個(gè) 反向代理 系統(tǒng)應(yīng)該提供較高的 能， 能夠滿足 大量用戶同時(shí)使用時(shí)的性能要求 。 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 4 技術(shù)方案建議 向代理 網(wǎng)絡(luò) 的總體設(shè)計(jì) 使用 G 設(shè)備作為反向代理的 方式對(duì)源服務(wù)器進(jìn)行加速，利用備的安全性和強(qiáng)大的性能來實(shí)現(xiàn)對(duì)源服務(wù)器的卸載和安全防護(hù)。 同時(shí)可以部署多臺(tái) G 設(shè)備在前端，實(shí)現(xiàn)高速性能負(fù)載均衡和系統(tǒng)高可用性。并且會(huì) 降低后臺(tái)源服務(wù)器的部署數(shù)量，解決存儲(chǔ)共享的問題。 同一數(shù)據(jù)中心部署反向代理節(jié)點(diǎn) 在同一數(shù)據(jù)中心的條件下，部署反向代理的結(jié)構(gòu)如下圖所示： 四層交換機(jī) G 網(wǎng) 服務(wù)器 用戶 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 際部署在源服務(wù)器的前端，緩存用戶訪問的內(nèi)容，因此大部分的服務(wù)壓力都會(huì)被 承擔(dān)，而不需要源服務(wù)器具有高性能的處理能力。同時(shí)由于 部私網(wǎng)地址的連接，這樣保證了內(nèi)部的源服務(wù)器是絕對(duì)安全的，因?yàn)闆]有黑客能夠從公網(wǎng)上訪問到源服務(wù)器。 后臺(tái)的源服務(wù)器還可以使用多臺(tái) 實(shí)現(xiàn)冗余和可靠性。 在方案中，后臺(tái)的源服務(wù)器組并不需要使用四 /七層交換機(jī)來實(shí)施負(fù)載均衡，因?yàn)?備本身可以具有負(fù)載均衡能力。在從 源服務(wù)器請(qǐng)求未命中的內(nèi)容時(shí) 會(huì)根據(jù)幾種不同的算法進(jìn) 行負(fù)責(zé)均衡，包括： 最少連接，用戶源地址關(guān)聯(lián)，根據(jù)用戶被加速設(shè)備設(shè)置的 聯(lián)等。 G 設(shè)備還可以對(duì)后臺(tái)的源服務(wù)器實(shí)施健康檢查，檢查的方法包括四層協(xié)議和 議等。如果發(fā)現(xiàn)某一臺(tái)源服務(wù)器出現(xiàn)故障， 會(huì)自動(dòng)將流量切換到別的服務(wù)器上。 G 也提供了性能上的顯著提升，通常的 有二方面的性能瓶頸： 發(fā)連接數(shù)， 吐量。盡管可以給這些服務(wù)器配置較大的內(nèi)存和更新的 是其性能依然無法令人滿意。而作為對(duì)比， 以支持 12000 個(gè)客戶端的并發(fā) 接，并且在典型環(huán)境下支持 150 200反向 理吞吐量。 因此同樣的性能要求條件下，會(huì)使用數(shù)量很少的 備就可以滿足用戶的性能要求，并由此節(jié)省了大量的機(jī)房空間，電源消耗和空調(diào)消耗等相關(guān)資源。從維護(hù)成本的角度上來考慮，是更為節(jié)省的一個(gè)方案。 在反向代理的方案中，對(duì)于靜態(tài)網(wǎng)頁的性能提升效果是非常明顯的。因?yàn)榇蟛糠值撵o態(tài)網(wǎng)頁會(huì)緩存在本地。而對(duì)于動(dòng)態(tài)網(wǎng)頁而言，由于不能緩存在代理服務(wù)器內(nèi)部，所以必須代理回源服務(wù)器 ， 此時(shí)對(duì)源服務(wù)器的服務(wù)并沒有性能卸載的能力。對(duì)于這種動(dòng)態(tài)網(wǎng)頁的加速，可以參考后續(xù)章節(jié)的 方案， 供了一種獨(dú)到的 速方案來對(duì)動(dòng)態(tài)網(wǎng)頁進(jìn)行加速。這一方案的范圍已經(jīng)超出了反向代理的概念，而是和 方案融合在一起。 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 地部署反向代理節(jié)點(diǎn) 整個(gè) 反向代理 網(wǎng)絡(luò)組件包括： 備， 存設(shè)備， 服務(wù)器等 。 這種部署實(shí)際上已經(jīng)成為了 部署。 下圖表示了整體的網(wǎng)絡(luò)架構(gòu)： 在新建 反向代理 節(jié)點(diǎn)中部署 4 臺(tái) 存設(shè)備，其 中 2 臺(tái)主要用于加速流媒體業(yè)務(wù)， 1 臺(tái)主要用于加速靜態(tài)網(wǎng)頁 和 頻 的業(yè)務(wù)， 1 臺(tái)主要用于加速動(dòng)態(tài)網(wǎng)頁的業(yè)務(wù)。考慮到業(yè)務(wù)安全的需要， 2 臺(tái)加速 頁的 存設(shè)備可以通過 備進(jìn)行負(fù)載均衡。 2 臺(tái)加速流媒體業(yè)務(wù)的 存設(shè)備通過 備進(jìn)行負(fù)載均衡。 這里假定緩存設(shè)備中已經(jīng)存有用戶需要訪問的內(nèi)容（用戶訪問命中的情況），其中第 1 步是 析，用戶解析過一次后就可以把 錄緩存在本機(jī)據(jù)中心 加速動(dòng)態(tài)網(wǎng)頁 G 加速動(dòng)態(tài)網(wǎng)頁 速靜態(tài)網(wǎng)頁 速流媒體 速流媒體 鏡像服務(wù)器 內(nèi)容分發(fā) 字節(jié)緩存比較 源服務(wù)器 數(shù)據(jù)中心 新建 動(dòng)態(tài)網(wǎng)頁源服務(wù)器 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 上，下次可以不用再去 備進(jìn)行解析。如果用戶訪問的內(nèi)容未命中，則會(huì)由 源服務(wù)器抓取。 對(duì)于較簡(jiǎn)單 的單個(gè)節(jié)點(diǎn)異地反向代理方案，可以不使用 備，只使用析到反向代理服務(wù)器即可。 務(wù)（動(dòng)態(tài)和靜態(tài)網(wǎng)頁同時(shí)加速業(yè)務(wù)） 計(jì)概述 在中心和邊緣節(jié)點(diǎn)部署的 存設(shè)備和網(wǎng)絡(luò)的總體架構(gòu)如下圖所示： 考慮到冗余的設(shè)計(jì)要求。在中心節(jié)點(diǎn)放置二臺(tái) 速設(shè)備，這二臺(tái)加速設(shè)備并不需要一定連接在 備之后來實(shí)施負(fù)載均衡。因?yàn)?備 靜態(tài)對(duì)象（ 源服務(wù)器 中心節(jié)點(diǎn) (全國和北京 ) 邊緣 動(dòng)態(tài)網(wǎng)頁源服務(wù)器 速動(dòng)態(tài) /靜態(tài)網(wǎng)頁 速動(dòng)態(tài) /靜態(tài)網(wǎng)頁 據(jù)中心 加速動(dòng)態(tài)網(wǎng)頁 內(nèi)容分發(fā) 字 節(jié)緩存比較 內(nèi)容分發(fā) 據(jù)中心 加速動(dòng)態(tài)網(wǎng)頁 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 速方案里提供了不需要 中心點(diǎn)負(fù)載均衡。因此只需要給這二臺(tái)設(shè)備各一個(gè)公網(wǎng) 址就可以。二臺(tái)中心點(diǎn)的設(shè)備會(huì)設(shè)置 由表，自動(dòng)把源服務(wù)器的網(wǎng)段地址廣播給所有的邊緣的 備。 在邊緣節(jié)點(diǎn)，如果有多臺(tái) 備的話，則可以放置在 載均衡設(shè)備后面，使用私網(wǎng)地址，然后在 映射為公網(wǎng)的 時(shí) 載均衡設(shè)備的算法建議使用基于用戶源地址 ，來保證每個(gè)用戶的連接都達(dá)到同一臺(tái) 樣加速效果更好。邊緣節(jié)點(diǎn)的 備和中心節(jié)點(diǎn)的 備之間會(huì)形成 系，并建立 道進(jìn)行加速。二者的字節(jié)緩存是完全同步的。邊緣節(jié)點(diǎn)的 根據(jù)目的地網(wǎng)段的 由進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)選擇。如果發(fā)現(xiàn)去往目的地的網(wǎng)段有多臺(tái) 可以通達(dá)，則會(huì)根據(jù)自己的設(shè)備 用方式自動(dòng)選擇一個(gè) 為下一跳。由于邊緣節(jié)點(diǎn)有眾多 備，因此最終會(huì)使得流量較為平均的轉(zhuǎn)到中心節(jié)點(diǎn)的 2 臺(tái) 備上。如果中心節(jié)點(diǎn)有一臺(tái) 備故障，則邊緣節(jié)點(diǎn)的 備會(huì)自動(dòng)切換到另外一臺(tái)中心節(jié)點(diǎn) 。 發(fā)設(shè)備需要一個(gè)獨(dú)立的公網(wǎng) 址來管理所有的 備。為了管理的目的，每個(gè)邊緣節(jié)點(diǎn)的 用 議管 理 備。 備也可以被配置為冗余的來保證可靠性。 態(tài)網(wǎng)頁加速流程 下圖表示了用戶訪問動(dòng)態(tài)網(wǎng)頁時(shí)的數(shù)據(jù)包流程： 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 這些流程可以分步驟解釋如下： 1） 用戶請(qǐng)求內(nèi)容 ，用戶的 析請(qǐng)求會(huì)達(dá)到 備。 2） 備作出就近性判斷把用戶的請(qǐng)求重定向到離用戶最近的 點(diǎn) (邊緣節(jié)點(diǎn) )的 備上 3） 邊緣節(jié)點(diǎn) 用戶請(qǐng)求 。 4） 備根據(jù)自己的加速策略判斷需要進(jìn)行 速，把用戶的請(qǐng)求通過 G 設(shè)備（中心節(jié)點(diǎn)）。這一請(qǐng)求過程本身也會(huì)被加速，因?yàn)橥ǔＲ粋€(gè) 據(jù)包在幾百個(gè)字節(jié)，如果加速后，則可能只傳送12 個(gè)字節(jié)，因此大大縮短了在廣域網(wǎng)上的傳送 延時(shí)。 5） 心節(jié)點(diǎn)收到數(shù)據(jù)包后，向動(dòng)態(tài)網(wǎng)頁的源服務(wù)器發(fā)起請(qǐng)求 6） 動(dòng)態(tài)網(wǎng)頁的源服務(wù)器響應(yīng)給 心節(jié)點(diǎn)真正的用戶數(shù)據(jù)，如數(shù)據(jù)庫表單查詢或網(wǎng)上購物明細(xì)等頁面。 國數(shù)據(jù)中心 加速動(dòng)態(tài)網(wǎng)頁 G 加速動(dòng)態(tài) /靜態(tài)網(wǎng)頁 內(nèi)容分發(fā) 字節(jié)緩存比較 源服務(wù)器 邊緣 動(dòng)態(tài)網(wǎng)頁源服務(wù)器 1 2 3 4 5 6 7 8 速動(dòng)態(tài) /靜態(tài)網(wǎng)頁 中心節(jié)點(diǎn) (全國和北京 ) 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 7） 心節(jié)點(diǎn)收到響應(yīng)后和自己的字節(jié)緩存數(shù)據(jù)庫進(jìn)行比對(duì)，將差量數(shù)據(jù)傳送到對(duì)端的邊緣節(jié)點(diǎn) 一傳送過程的速度會(huì)較未加速前大大加快。 8） 緣節(jié)點(diǎn)收到響應(yīng)后，根據(jù)自己的字節(jié)緩存，把源服務(wù)器的響應(yīng)還原并發(fā)送給用戶。 上述流程就是一個(gè)完整的用戶請(qǐng)求動(dòng)態(tài)網(wǎng)頁加速的流程。如果用戶請(qǐng)求的一個(gè)域名下的內(nèi)容是既有動(dòng)態(tài)網(wǎng)頁，又有靜態(tài)網(wǎng)頁。則 速的流程如下： 1） 斷是否是可緩存的頁面，如果是，則檢查 a) 是否已經(jīng)在本地的 象緩存中且未過期，如果是則直接給用戶服務(wù) b) 如果已經(jīng)在本地的 象緩存中但對(duì)象已經(jīng)過期，則向源服務(wù)器發(fā)送求要求最新的對(duì)象。這一請(qǐng)求過程同樣會(huì)經(jīng)過 速。 c) 如果不在本地的 象緩存中，則向源服務(wù)器發(fā)送內(nèi)容請(qǐng)求。這一請(qǐng)求過程同樣會(huì)經(jīng)過 速。 2） 斷此網(wǎng)頁為不可緩存，則會(huì)直接把請(qǐng)求發(fā)給源服務(wù)器并且這一請(qǐng)求過程會(huì)經(jīng)過 速。 備選型 這里給出了不同設(shè)備型號(hào)之間的硬件參數(shù)對(duì)比： 盤 65K 4存 4絡(luò)接口 2個(gè) 擴(kuò)展到 6個(gè) 個(gè) 配，可擴(kuò)展到 6 個(gè) 個(gè) 配，可擴(kuò)展到 6 個(gè) 個(gè) 配，可擴(kuò)展到 6 個(gè)識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 密 動(dòng)態(tài)網(wǎng)頁加速業(yè)務(wù) 在實(shí)際的網(wǎng)站類型的客戶中，很多網(wǎng)站是使用 行加密的業(yè)務(wù)處理。而且這些 頁面往往是個(gè)性化的動(dòng)態(tài)的頁面。這就要求 務(wù)能夠提供針 對(duì) 動(dòng)態(tài)網(wǎng)頁加速能力。而傳統(tǒng)的 速方案是無法直接加速業(yè)務(wù)的。這一問題的原因在于 字典壓縮算法對(duì)于加密的數(shù)據(jù)流是沒有顯著效果的。 決方案提供了一個(gè)完整的解決方案可以對(duì) 型的動(dòng)態(tài)網(wǎng)頁進(jìn)行加速。從而擴(kuò)展 速的適應(yīng) 范圍。它的工作原理是利用 截取 流量并對(duì)未加密的頁面進(jìn)行字典壓縮，然后再把壓縮后的流量進(jìn)行 密傳送到 端設(shè)備。這里也分為二種情況： 1） 源服務(wù)器使用了 密，用戶也 使用 議請(qǐng)求內(nèi)容。 2） 用戶使用 議請(qǐng)求內(nèi)容，但是源服務(wù)器只使用普通的未加密 緣節(jié)點(diǎn)到源服務(wù)器之間使用加密的數(shù)據(jù)傳送。 第一種情況的工作原理如下圖所示： 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 邊緣節(jié)點(diǎn)的 直接向 服務(wù)器發(fā)送請(qǐng)求，并得到源服務(wù)器頒發(fā)的證書。邊緣節(jié)點(diǎn)的 中心節(jié)點(diǎn)的 間會(huì)形成一個(gè)聯(lián)合工作的 之為 緣節(jié)點(diǎn)的 把證書傳遞給中心節(jié)點(diǎn)，由中心節(jié)點(diǎn)作為客戶端 和 服務(wù)器進(jìn)行直接通訊，并形成一個(gè)完整的接。中心節(jié)點(diǎn)的 得到 容后可以解密，從而得到了解密后的容，能夠直接對(duì)這些不加密的內(nèi)容實(shí)施高效的字典壓縮。而在邊緣節(jié)點(diǎn)和中心節(jié)點(diǎn)之間，二者使用自己預(yù)裝的有效證書進(jìn)行認(rèn)證和傳輸加密。這保證了數(shù)據(jù)傳輸?shù)陌踩?。在邊緣?jié)點(diǎn)的 自動(dòng)根據(jù)源服務(wù)器頒發(fā)證書的信息仿真一個(gè)新的證書頒發(fā)給客戶端。 對(duì)于 戶 來說，這樣的技術(shù)方案帶來的優(yōu)勢(shì)是，由于在 戶 個(gè)源服務(wù)器頒發(fā)的證書都是不同知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 的。而 采用了證書仿真和 術(shù)后，整個(gè) 絡(luò)的管理會(huì)變得異常簡(jiǎn)單。 G 設(shè)備會(huì)自動(dòng)為每個(gè)源服務(wù)器創(chuàng)建一個(gè)新的用于用戶端的證書。這種技術(shù)可以大大節(jié)省 戶 的維護(hù)成本。 第二種情況的工作原理如下圖所示： 在這個(gè)部署方式下，邊緣節(jié)點(diǎn)的 裝了已經(jīng)簽過的數(shù)字證書。當(dāng)用戶訪問 容時(shí)，邊緣節(jié)點(diǎn)的 把預(yù)裝的數(shù)字證書發(fā)給用戶。然后邊緣節(jié)點(diǎn)以把用戶的解密內(nèi)容進(jìn)行字典壓縮，并通過加密 道傳送給對(duì)端的中心節(jié)點(diǎn)設(shè)備。中心節(jié)點(diǎn)設(shè)備會(huì)以 方式和源服務(wù)器進(jìn)行通信。這種方式源服務(wù)器不需要支持 以節(jié)省大量源服務(wù)器的計(jì)算資源。這種方式實(shí)際上是對(duì)源服務(wù)器的 載。 上面的二種部署方案可以共存在邊緣節(jié)點(diǎn) ， 備可以根據(jù)用戶的訪問條件，如域名， 徑， 多種信息來定義，定義部分用戶請(qǐng)求需要是全程使用 密，部分是需要做 載的。 服務(wù)器 動(dòng)態(tài)網(wǎng)頁 建立 求 在 求 字典壓縮，并且可以使用 頒發(fā)證書（預(yù)裝） 請(qǐng)求 返回 在 字典壓縮， 并且可以使用 返回 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 P(用戶 址傳送 ) 如果有網(wǎng)站客戶需要統(tǒng)計(jì)用戶的源 址， 或者有特別的認(rèn)證需求是基于源 址的。此時(shí)需要把用戶的源地址發(fā)送給源服務(wù)器。 心節(jié)點(diǎn)的備此時(shí)需要打開 P 選項(xiàng)，并使用用戶真正的源地址連接到源服務(wù)器來請(qǐng)求內(nèi)容。 但這里需要注意的是，需要增加四層交換機(jī)或設(shè)置路由器上的 量把源服務(wù)器送回的流量重定向到中心節(jié)點(diǎn)的 。否則會(huì)無法建立完整的 接。 留用戶原有域名 在實(shí)際的 營中，會(huì)有客戶提出這樣的需求，他們的原有網(wǎng)站已經(jīng)申請(qǐng)了域名，不想放棄，同時(shí)又想通過 方案部署新的服務(wù)，并使 用全新的域名。此時(shí) 時(shí)用戶原有網(wǎng)站的域名和內(nèi)容都不需要更改。這里舉例如下： 用戶原有的域名和網(wǎng)站 ： , 希望通過 戶 的 署為 , 實(shí)際客戶訪問到，然后再作反向代理，其源服務(wù)器是 。這樣 戶 給其用戶的網(wǎng)站提供了 務(wù)。而用戶原有的 ，用于 測(cè)試或繼續(xù)服務(wù)的目的。 這里面需要注意的一個(gè)技術(shù)問題是在原有的 ，都是基于 名的鏈接。如果對(duì)這樣的網(wǎng)頁實(shí)施 速，用戶點(diǎn)擊其中 速頁面的鏈接時(shí)會(huì)直接訪問 樣會(huì)繞過 絡(luò)而直接訪問源服務(wù)器。為了避免這個(gè)問題，通常是需要源網(wǎng)站改寫其中的頁面，這樣的工作量是相當(dāng)大的。 識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 存設(shè)備提供了一個(gè)功能叫做 RL 以解決這個(gè)問題，它可以自動(dòng)改寫網(wǎng)頁內(nèi)部嵌入的鏈接，如果源網(wǎng)站中頁面嵌入的鏈接為, 則 備在接受到源服務(wù)器響應(yīng)后，把頁面中的這個(gè)鏈接自動(dòng)的改寫為：。是一個(gè)提高用戶滿意度的非常好的功能。 這里面需要注意的是 G 的 RL 能目前不能對(duì)網(wǎng)頁中的 件中的鏈 接進(jìn)行改寫。如果用戶的網(wǎng)站大量使用了件則此功能目前還無法實(shí)施。 務(wù)特點(diǎn) 存是 整個(gè) 反向代理 的基礎(chǔ)業(yè)務(wù)。 供了非常豐富的 務(wù)服務(wù)功能，包括： 非常靈活的 略設(shè)置 支持認(rèn)證，授權(quán)， 靈活的對(duì)象刷新機(jī)制 支持 縮 支持多線程下載 速 和緩存 帶寬管理 內(nèi)容安全的保證 對(duì)用戶上傳內(nèi)容進(jìn)行病毒掃描 這里需要指出的是， 縮功能也是免費(fèi)提供的。下 面就其中的一些具體業(yè)務(wù)進(jìn)行詳細(xì)描述： 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 服務(wù)器卸載 使用 G 設(shè)備作為反向代理的方式對(duì)源服務(wù)器進(jìn)行加速，可利用備的安全性和強(qiáng)大的性能來實(shí)現(xiàn)對(duì)源服務(wù)器的卸載和安全防護(hù)。如果直接在源服務(wù)器上部署 業(yè)務(wù)，則會(huì)給源服務(wù)器帶來很大的壓力和資源開銷。如果一個(gè)基于軟件的 務(wù)器上實(shí)施 務(wù)，其性能通常只有4 吐量，并且能夠處理的每秒請(qǐng)求數(shù)量也是非常有限的。 而如果在 服務(wù)器前端部署 G 設(shè)備，則可以利用 件加速卡實(shí)現(xiàn)對(duì) 服務(wù)器的 速功能，從而使得源服務(wù)器專注于 務(wù)，而將 密的任務(wù)交給 備來處理。 在 G 設(shè)備上，可以通過二種方式裝入數(shù)字證書用于頒發(fā)給用戶的訪問。一種是在 備上自己簽發(fā)的證書，這種證書不需要去互聯(lián)網(wǎng)上的證書發(fā)放機(jī)構(gòu)進(jìn)行簽署，但是用戶的瀏覽器可能沒有直接設(shè)置為信任發(fā)的證書并彈出一個(gè)提升窗口讓用戶確認(rèn)是否信任這個(gè)證書。另一種方式是裝入經(jīng)過互聯(lián) 網(wǎng)上證書發(fā)放機(jī)構(gòu)發(fā)放的標(biāo)準(zhǔn)數(shù)字證書，如 公司簽發(fā)的數(shù)字證書，這些證書通常是被用戶客戶端所信任的。 縮 G 設(shè)備支持標(biāo)準(zhǔn)的 縮，可以支持的 縮算法是 于 G 來說，如果源服務(wù)器沒有使用 縮，而 請(qǐng)求壓縮對(duì)象，則可以把未壓縮的 象壓縮后緩存在本地，對(duì)于后續(xù)的 問則直接提供壓縮后的 對(duì)象進(jìn)行服務(wù)，不需要再去源服務(wù)器拿去內(nèi)容和重新壓縮。 縮功能是可以根據(jù)策略設(shè)定來啟用的，例如，可以根據(jù)用戶訪問 不同 來確定是否啟用 縮。另外如果用戶請(qǐng)求的是非壓縮的對(duì)象，則 缺省給用戶非壓縮的對(duì)象。 對(duì)于一些不能壓縮的對(duì)象，知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 如 像文件和 像文件，此時(shí)盡管 略設(shè)定壓縮這些對(duì)象，但是備也會(huì)自動(dòng)忽略這些請(qǐng)求而給用戶服務(wù)非壓縮的對(duì)象。 線程下載 G 設(shè)備支持標(biāo)準(zhǔn)的 頭，可以被多線程下載程序如 于多線程下載。 因此利用 備可以支持常見的多線程下載程序。但是目前 備還不能限制 單個(gè)用戶同時(shí)使用的 多線程下載的 線程 個(gè)數(shù) 。 型 略設(shè)置 略引擎提供了非常豐富的 略控制功能，常見的應(yīng)用案例包括： 1） 去除用戶請(qǐng)求的 保證源服務(wù)器的安全。 2） 根據(jù)用戶的 判斷用戶的瀏覽器版本和類型來判斷用戶是否能夠得到理想的頁面效果 3） 進(jìn)行 定向來實(shí)現(xiàn)用戶訪問轉(zhuǎn)向 4） 強(qiáng)制緩存指定的內(nèi)容 5） 對(duì) 服務(wù)器的錯(cuò)誤代碼 響應(yīng)提供定制的出錯(cuò)提示頁面 6） 拒絕某些指定用戶對(duì)內(nèi)容的訪問 絡(luò)安全設(shè)計(jì) 擊 和 供了完整的抗 擊能力，包括如下的技術(shù)特性： 以限制單個(gè)客戶地址的 接數(shù)量，并且對(duì)超過了連接數(shù)量限制的客戶連接請(qǐng)求進(jìn)行拒絕和復(fù)位。對(duì)于被限制訪問的客戶，可以設(shè)定限制 訪問知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 的 時(shí)間 間隔， 時(shí)間到期后恢復(fù)這些客戶的訪問權(quán)限。 這一防護(hù)能力是針對(duì) 對(duì)于常見的 底層 擊 如 以 進(jìn)行安全防護(hù) 并且不會(huì)因此而消耗系統(tǒng)資源。 對(duì)于 設(shè)備可以實(shí)施限速，保證不會(huì)因?yàn)榇罅康?應(yīng)而導(dǎo)致系統(tǒng)資源過載。對(duì)于 以對(duì)不完整的 接不分配資源，從而不會(huì)導(dǎo)致系統(tǒng)資源過載。 對(duì)于端口掃描的攻擊，缺省 備不會(huì) 打開任何端口。只有提供 0 端口和 理端口。對(duì)于這些提供服務(wù)的端口還可以實(shí)施訪問控制，只有信任的客戶才可以訪問這些端口。 作系統(tǒng) 作 系統(tǒng) 通過了國際著名的安全認(rèn)證： 全認(rèn)證。表示這個(gè)操作系統(tǒng)是一個(gè)非常安全和沒有后門的操作系統(tǒng)。 黑客 不會(huì)知道真正的源服務(wù)器地址，也 無法通過 反向代理設(shè)備而去篡改源網(wǎng)站的內(nèi)容 和攻擊源服務(wù)器 。 而作為對(duì)比，一個(gè)運(yùn)行在通用操作系統(tǒng)上的 序，它的安全性是受限于操作系統(tǒng)的安全性的。在 站上，可以搜索到成千上萬的關(guān)于 作系統(tǒng)的安全漏洞。運(yùn)行在這樣的操作系統(tǒng)之上的網(wǎng)站是非常不安全的。如果把這個(gè) 務(wù)器直接暴露在 實(shí)際是一個(gè)很危險(xiǎn)的部署方式。 在對(duì)象存儲(chǔ)方面， 用的是按照對(duì)象 生高速索引的存儲(chǔ)機(jī)制，在硬盤上沒有文件系統(tǒng)。即使黑客獲取了 理服務(wù)器的硬盤，由知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 于其不了解 專有存儲(chǔ)格式， 也無法讀出其中存儲(chǔ)的數(shù)據(jù)內(nèi)容，更不用說篡改其中的內(nèi)容。 美國軍方的很多網(wǎng)站都采用 設(shè)備作為反向代理作為安全設(shè)備部署在網(wǎng)站的前面，避免其網(wǎng)站遭到黑客的攻擊和篡改。 議檢測(cè) G 可以檢測(cè)到 80 或 443 端口訪問的流量是否為真正的 量 。 只有真正的 量才會(huì)被 行處理，轉(zhuǎn)發(fā)回源服務(wù)器或在本地命中。 這種技術(shù)可以防止黑客利用 80 和 443 端口對(duì)反向代理設(shè)備或源服務(wù)器進(jìn)行攻擊。 對(duì)于 標(biāo)準(zhǔn) 議來說，客戶機(jī)會(huì)使用 連接服務(wù)器，通過對(duì)這些方法的檢測(cè)， G 設(shè)備可以清楚地感知是否是真正的戶端在使用 443 端口還是偽裝的 量。 止反向代理服務(wù)器成為 向代理設(shè)備可以被同時(shí)用作正向代理設(shè)備 ，因此當(dāng) 部署在公網(wǎng)上的時(shí)候，需要增加相應(yīng)的安全策略保證 備不會(huì)被作為一個(gè)公用的代理服務(wù)器來被其他非法用戶用于訪問 的內(nèi)容。 典型的配置包括： 1） 在反向代理服務(wù)器上不要配置 務(wù)器。這樣非法設(shè)定 代理服務(wù)器的客戶將無法訪問 的內(nèi)容。 2） 在反向代理服務(wù)器上配置 制策 略。檢查用戶請(qǐng)求的 否匹配正在加速的域名，匹配的進(jìn)行處理，不匹配的則拒絕其訪問。 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 通過上述的二個(gè)反向代理上的配置可以保證沒有用戶或黑客使用代理服務(wù)器訪問 的內(nèi)容。 理員訪問限制和安全 為了防止在公網(wǎng)上的黑客掃描 管理端口和進(jìn)行破壞，在 備上可以設(shè)置管理員訪問控制列表，限制只能有特定的工作站才能訪問 G 的管理端口。 同時(shí)為了保證設(shè)備管理的安全， G 設(shè)備使用的是 行管理。并且可以定義使用一個(gè) 專用的 口而非標(biāo)準(zhǔn)的 443 端口。 戶行為分析和統(tǒng)計(jì)及錯(cuò)誤定位用戶的追蹤 供了多種方式的系統(tǒng)訪問日志信息，包括： 。 系統(tǒng)訪問日志可以被集中的送往 務(wù)器進(jìn)行存儲(chǔ)，也可以以實(shí)時(shí)的方式輸出到一個(gè)獨(dú)立的 務(wù)器上進(jìn)行實(shí)時(shí)監(jiān)控。為了確保 志的安全性， 可以把日志信息進(jìn)行數(shù)字簽名，確保 日志不會(huì)被黑客 攻擊。典型的式為 標(biāo)準(zhǔn)格式。 同時(shí) 具可以位于一個(gè)數(shù)據(jù)中心，集中地分析 反向代理 網(wǎng)絡(luò)中所有的 息，也可以在每個(gè)省網(wǎng)部署一個(gè) 具。 對(duì)于 戶 來說， 由于 實(shí)際運(yùn)營商網(wǎng)絡(luò)條件 的限制，如果由于錯(cuò)誤配置或設(shè)備故障引起的 電信 用戶跨網(wǎng)訪問 戶 地址 內(nèi)容的情況出現(xiàn)，則會(huì)給 用戶的訪問效果 來很大的影響，甚至影響 后續(xù) 業(yè)務(wù)的 發(fā)展 。為了避免這個(gè)情況的出現(xiàn)，知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 需要 反向代理 的管理員能夠具有追蹤和定位能力，把錯(cuò)誤定 位用戶 的 址迅速定位。 避免 這種跨運(yùn)營商訪問的情況出現(xiàn) 。 供了基于策略的 力?？梢援a(chǎn)生一個(gè)獨(dú)立的 件，把符合條件的錯(cuò)誤定位的用戶記錄在這個(gè) ，供 反向代理 系統(tǒng)管理員來進(jìn)行追蹤和分析。例如：假定 電信 的 用戶 址為 6 網(wǎng)段， 戶 的用戶 址為 6 網(wǎng)段， 為電信用戶提供服務(wù)的 為 戶 用戶提供服務(wù) 的 址是 如果 電信 的用戶錯(cuò)誤定位到了 為 戶 用戶服務(wù)的 址 ，則 則會(huì)產(chǎn)生出用戶訪問記錄， 記錄 務(wù) 址。 這樣對(duì)于 反向代理 管理員來說，只需要察看這個(gè) 文件就能追查到任何錯(cuò)誤定位的用戶訪問。 局網(wǎng)絡(luò)管理 供了 備 用于 用設(shè)備的功能強(qiáng)大的集中配置管理、更新管理、策略管理平臺(tái)。 一個(gè)專用的硬件可以支持集中管理和內(nèi)容分發(fā)。 中管理設(shè)備實(shí)現(xiàn)對(duì) 列專用設(shè)備的可伸展的更新管理、配置管理和策略管理。 產(chǎn)品的設(shè)計(jì)基于可擴(kuò)充的管理專用設(shè)備， 少了管理成本和復(fù)雜性。它為管理員提供了強(qiáng)大的平臺(tái)，來對(duì)分布的、遠(yuǎn)程的 列專用設(shè)備進(jìn)行中心化的集中管理。配置信息和安全策略都可通過任何一臺(tái) 工作站上，通過瀏覽器在一個(gè)易于使用的界面來生成和管理。 現(xiàn)在，企業(yè)能夠采用管理成百上千的設(shè)備所必須的工具，在他們的整個(gè)網(wǎng)絡(luò)的全球分支機(jī)構(gòu)內(nèi)部署 用設(shè)備，對(duì)地理位置分布的遠(yuǎn)程 系統(tǒng)進(jìn)行安裝配置和策略更新和耗時(shí)且成本很高的工作。 中管理設(shè)備使這個(gè)改變過程自動(dòng)化，通過為企業(yè)提供快速地實(shí)施配置、資源和策略修改所必須的實(shí)質(zhì)性的工具來有效地管理 G 系列專用設(shè)備。 中管理設(shè)備使企業(yè)能夠： o 中心化的、全企業(yè)范圍內(nèi)的、基于策略的管理 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 o 軟件升級(jí)自動(dòng)化 o 備份配置，并在災(zāi)難時(shí)恢復(fù) o 強(qiáng)大的自動(dòng)化任務(wù)定時(shí)安排 o 管理專用設(shè)備，簡(jiǎn)化安裝和日常維護(hù)的難度 o 通過安全的 行遠(yuǎn)程管理 o 中心化管理策略，進(jìn)行全局 策略分發(fā) o 可從任何帶有 覽器的 工作站上啟動(dòng)管理 下圖表述了 理的方式： 來擴(kuò)展 目前 戶 的一期工程只考慮了二個(gè)節(jié)點(diǎn)，未來可以考慮 隨著業(yè)務(wù)的發(fā)展擴(kuò)展為更大規(guī)模的 反向代理 和 具體的擴(kuò)展方式非常 簡(jiǎn)單。在每個(gè)地方 的新建 ，然后增加 備，再根據(jù)用戶的業(yè)務(wù)量增加緩存設(shè)備和廣域網(wǎng)加速設(shè)備。 知識(shí)水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 廣域網(wǎng)加速設(shè)備在擴(kuò)展時(shí)，通常只需要擴(kuò)展 點(diǎn)設(shè)備就可以了，因?yàn)閺V域網(wǎng)加速設(shè)備中心節(jié)點(diǎn)設(shè)備可以和