門戶網(wǎng)站W(wǎng)eb及應(yīng)用服務(wù)器加速及負載均衡方案

1、門戶網(wǎng)站W(wǎng)eb及應(yīng)用服務(wù)器加速及負載均衡方案門戶網(wǎng)站結(jié)構(gòu)的改造目前，比較流行的門戶網(wǎng)站結(jié)構(gòu)一般分為3層，第一層是WWW服務(wù)器或反向代理服務(wù)器，負責處理靜態(tài)內(nèi)容；第二層是應(yīng)用服務(wù)器，負責處理后臺程序；第三層是數(shù)據(jù)庫，負責存放網(wǎng)站數(shù)據(jù)。通常，一個較大的門戶網(wǎng)站用戶人群都在幾百萬以上。根據(jù)總結(jié)出的經(jīng)驗值，同時在線的用戶一般最多為5%，同一時刻更新頁面的用戶最多為1%，每個頁面請求20個文件，則一個用戶人群是300萬的網(wǎng)站，同一時刻最大的http請求數(shù)為：300萬5%1%20=30000次。我們知道，一臺用apache做web服務(wù)的PC Server一般同一時刻能承受約2500次的http請求，因此，

2、一個用戶人群是300萬的網(wǎng)站需要的web 服務(wù)器的數(shù)量為：30000/2500=12臺。除了第一層的web 服務(wù)器，為了提高后臺程序的工作效率，網(wǎng)站還使用專門的應(yīng)用服務(wù)器提供應(yīng)用程序服務(wù)以及頁面發(fā)布服務(wù)，使用專門的數(shù)據(jù)庫服務(wù)器，實現(xiàn)后臺應(yīng)用的數(shù)據(jù)庫驅(qū)動并提供統(tǒng)一用戶認證服務(wù)。同樣，各種應(yīng)用服務(wù)器也將根據(jù)實際的應(yīng)用處理能力需要配置多臺且能夠同時提供應(yīng)用服務(wù)。要讓多臺web 服務(wù)器和應(yīng)用服務(wù)器負載均衡地同時對外提供服務(wù)，最好的解決方案就是采用4/7層交換設(shè)備，而優(yōu)勢網(wǎng)絡(luò)（Asce Networks）公司的InChorus應(yīng)用前端交換機就是門戶網(wǎng)站的最佳選擇。優(yōu)勢網(wǎng)絡(luò)(Asce Networks)

3、的InChorus的核心是技術(shù)十分成熟的Web交換機（第四到第七層交換），它是在單一集成式業(yè)務(wù)平臺上提供高可用性和安全性的新一代網(wǎng)絡(luò)應(yīng)用交換機。當傳統(tǒng)的4/7 交換器還在做所謂的服務(wù)器負載均衡時，Asce Networks 卻已經(jīng)看到了客戶目前已經(jīng)快速發(fā)展和變化的應(yīng)用需求，甚至客戶不斷發(fā)展的未來的需要。InChorus強調(diào)的不只是服務(wù)器負載平衡，它優(yōu)異的功能包括智能內(nèi)容交換、應(yīng)用加速、數(shù)據(jù)壓縮、TCP offload、SSL性能加速、N+M設(shè)備自身負載均衡等。InChorus 特性及功能概述InChorus負載均衡交換機產(chǎn)品是最先進的應(yīng)用層交換產(chǎn)品，它易于安裝、配置和使用。優(yōu)勢網(wǎng)絡(luò)在隱藏其復(fù)雜

4、性方面做出了優(yōu)秀的工作，這使得InChorus負載均衡交換機產(chǎn)品的使用極其合理。虛擬服務(wù)器InChorus產(chǎn)品架構(gòu) 以虛擬服務(wù)器為核心InChorus產(chǎn)品的核心是其關(guān)于“虛擬服務(wù)器”的概念。它是服務(wù)器應(yīng)用或服務(wù)的高效前端，管理所有特定端口和協(xié)議的流量。典型的設(shè)置是定義多個虛擬服務(wù)器，各自控制的不僅是不同的流量，還針對不同的環(huán)境基于智能的策略以不同的方法管理流量。例如，他可以應(yīng)用策略來決定哪個服務(wù)器池來處理特定的用戶請求。根據(jù)支持的協(xié)議，可以包括范圍極廣的TCP和UDP協(xié)議，包括 HTTP1.0/1.1，HTTPS，SSL/任何SSL封包的協(xié)議（SSL 會話可以在虛擬服務(wù)器上解密），F(xiàn)TP (a

5、ctive & passive)，telnet，SMTP，POP，IMAP，DNS，LDAP，RADIUS，NNTP，SOAP，XML-RPC，SQL等等.可以對虛擬服務(wù)器進行以下進一步管理：1. 可以使用TrafficSmart智能流量管理語言編輯的規(guī)則來檢查進入的連接請求，然后選擇合適的操作。這些規(guī)則可以分為多個層次并且可以按照需求以任意的順序進行創(chuàng)建。每條規(guī)則都可以檢查連接請求，或者可以改變它，然后可能執(zhí)行以下三種操作中的一種：選擇一個服務(wù)器池來處理請求關(guān)閉連接請求無動作，連接請求轉(zhuǎn)由規(guī)則列表中的下一條規(guī)則來處理在每個虛擬服務(wù)器后端可能有一個或多個服務(wù)器池，包括預(yù)先定義的一個缺省服務(wù)器池

6、，如果沒有規(guī)則來確定具體的數(shù)據(jù)路由，連接請求將發(fā)送到該服務(wù)器池來處理。2. SSL加速和解密InChorus設(shè)備中，虛擬服務(wù)器可以解密SSL流量，而不是簡單地將該流量推送到應(yīng)用服務(wù)器去處理。有兩點原因說明這樣做是非常有用的，原因之一，在解密后，訪問規(guī)則可以分析訪問請求的包頭和內(nèi)容，以確定數(shù)據(jù)流的路由。如果不解密則得不到數(shù)據(jù)包的幾乎任何信息。原因之二，解密請求需要非常強大的處理能力支持，因此，InChorus在數(shù)據(jù)包發(fā)送到后端服務(wù)器前就先行解密，可以大大降低后端服務(wù)器的負載壓力。當然，如果解密數(shù)據(jù)包僅僅是向應(yīng)用訪問規(guī)則，也可以在應(yīng)用規(guī)則之后重新將數(shù)據(jù)包加密并發(fā)送給后端服務(wù)器，這樣在網(wǎng)絡(luò)中就不存在

7、任何的安全問題。3. 服務(wù)保護越來越多的數(shù)據(jù)和服務(wù)受到各種各樣外界因素的威脅和攻擊，特別是DoS和DDoS (Denial of Service-拒絕服務(wù)和Distributed Denial of Service-分布式拒絕服務(wù))攻擊。因此，InChorus在進行流量管理的同時可以有另外一個角色，就是可以建立一系列的服務(wù)保護規(guī)則來保護服務(wù)免受這些惡意攻擊。設(shè)置選項包括能夠配置禁止和受信的IP地址，這樣來自相應(yīng)IP地址的訪問請求將總是被禁止（或允許）。另外，用戶也可以限制來自某一臺機器或一組機器的連接數(shù)量，可以限制來自任一IP地址的連接rate，或者限制HTTP請求，例如是否必須嚴格遵循RFC

8、2396標準。通過和TrafficSmart智能流量管理語言編制的訪問規(guī)則進行結(jié)合，用戶還可以搜索或阻止其他一些干擾服務(wù)的因素，例如已經(jīng)被感染的數(shù)據(jù)包中的病毒特征數(shù)據(jù)。這樣，InChorus不僅僅是一臺能夠進行流量管理和性能加速的設(shè)備，它還為用戶的數(shù)據(jù)和服務(wù)提供了強大的安全性保障。4. 訪問日志：可記錄訪問虛擬服務(wù)器的詳細日志，可定義每個日志條目的文件名和文件格式；可記錄源地址，被訪問的服務(wù)器池和服務(wù)器節(jié)點以及發(fā)送和接收的字節(jié)數(shù)；可記錄HTTP的特定選項，例如被請求的URL，特定包頭的值以及HTTP的方法，等。5. SmartCompress內(nèi)容壓縮另外一個提升客戶端到服務(wù)器（特別是基于因特網(wǎng)

9、或廣域網(wǎng)連接的）性能的方法就是進行數(shù)據(jù)壓縮。在將響應(yīng)信息發(fā)送到客戶端時，InChorus可以壓縮HTTP數(shù)據(jù)，不僅可以降低帶寬的使用，還可以使基于低速連接傳送大型WEB頁面的性能得到提高。不是所有的瀏覽器都可以接收壓縮內(nèi)容，這一點在HTTP請求包的包頭信息中就能夠體現(xiàn)，InChorus可以智能地進行判斷，僅是對可以接收壓縮內(nèi)容的瀏覽器發(fā)送壓縮內(nèi)容。6.OptimalConnection 連接管理InChorus除了具有上述特性外，還有一系列用于優(yōu)化HTTP，F(xiàn)TP和UDP協(xié)議的連接管理選項，以及一些對于超時和內(nèi)存使用的設(shè)置項。所有這些都可以應(yīng)用到每一個虛擬服務(wù)器來管理每一種特定的協(xié)議。通常缺省

10、設(shè)置已經(jīng)足夠了，但為了使應(yīng)用更加靈活您可以設(shè)置這些選項。服務(wù)器池服務(wù)器池用來將后端服務(wù)器定義為一個邏輯組，每個后端服務(wù)器由服務(wù)器名和端口兩個部分組成，例如:80。一旦被定義，虛擬服務(wù)器將把連接請求指定給一個服務(wù)器池來處理，各個服務(wù)器節(jié)點將會負載均衡地處理連接請求。服務(wù)器池中的每一臺服務(wù)器必須能夠使用虛擬服務(wù)器指定的協(xié)議，通過指定端口來接收連接請求。除了實現(xiàn)負載均衡，每個服務(wù)器池還可以各自設(shè)置相應(yīng)的會話保持或SSL加密方式。服務(wù)器池的設(shè)置選項非常靈活，例如，在服務(wù)器池中可以設(shè)置一個優(yōu)先級列表，這樣用戶就可以按照優(yōu)先級來將服務(wù)器進行分組，可以在任何時候指定最小數(shù)量的服務(wù)器來接收連接請求。比如，用戶

11、有5臺服務(wù)器，至少需要有2臺服務(wù)器來同時處理連接請求，那么用戶可以指定服務(wù)器1-3來接收日常流量，服務(wù)器4-5作為備用，平常不接收連接請求。當服務(wù)器1發(fā)生故障時，用戶還有兩臺服務(wù)器來負載均衡地處理連接請求，如果此時服務(wù)器2也發(fā)生故障，這時就會只有一臺服務(wù)器能夠工作。此時，InChorus就會將備用服務(wù)器池中的一臺切換到主服務(wù)器池中接收連接請求，保證至少有2臺服務(wù)器來同時處理連接請求，直到主服務(wù)器池中的服務(wù)器恢復(fù)正常。可以對虛擬服務(wù)器進行以下進一步管理：1. 選擇負載均衡算法：所有服務(wù)器池管理的基本原則就是其負載均衡的概念要將負載智能地分布到所有的服務(wù)器。InChorus提供輪循、加權(quán)輪循、感知

12、、最小連接數(shù)、最快響應(yīng)時間、隨機等多種負載均衡算法。對于真實環(huán)境中的復(fù)雜流量，最適當?shù)呢撦d均衡算法應(yīng)該是“感知”算法；對于流量較小的環(huán)境，用戶可以選擇“最快響應(yīng)時間”算法；而選擇最傳統(tǒng)的“輪循”算法則可以讓連接平均分布。精密的算法（感知，最小連接數(shù)，最快響應(yīng)時間）都會考慮服務(wù)器緩存。后端服務(wù)器會將經(jīng)常被訪問的頁面放入其緩存，如果一個新的請求來訪問這一頁面，InChorus 可以將請求發(fā)送到最近時間緩存這一頁面的后端服務(wù)器，從而提高訪問效率。2. 會話保持對于許多基于WEB的客戶-服務(wù)器會話而言，保持從客戶端到服務(wù)器的會話始終采用特定的路徑是非常重要的這通常被稱為“粘性”連接。為此InChoru

13、s提供了會話保持功能，可以保證來自同一客戶端所有請求的會話將被發(fā)送到同一臺后端的服務(wù)器進行處理，無論是采用哪種TCP協(xié)議。提供靜態(tài)WEB內(nèi)容服務(wù)的服務(wù)器池一般沒有會話保持的要求，即使每個頁面或圖象從不同的機器發(fā)送給客戶也不會有什么問題。但是，對于類似在線購物的站點，就非常有必要提供會話保持來確保用戶請求始終發(fā)送到那臺保留有其購物筐詳細信息的服務(wù)器。InChorus提供了多種方法來鑒別來自同一會話的不同請求，會話保持可以使用多種多樣的不同的cookies，可以基于訪問規(guī)則，或者按照用戶的IP地址來實現(xiàn)。如果進入的流量是經(jīng)過SSL加密的，可以使用SSL會話標識來實現(xiàn)會話保持。但是當產(chǎn)生無效的會話內(nèi)

14、容或保留會話的服務(wù)器發(fā)生故障時又會有新的問題，在這種情況下，用戶可以選擇關(guān)閉連接，將請求發(fā)送到另外一臺服務(wù)器，或者將用戶請求重定向到一個特定的URL，例如出錯頁面。InChorus還具有一種“全局會話保持”功能，使用腳本控制語言編制的訪問規(guī)則可以萃取每個連接的所有獨特的會話數(shù)據(jù)（源IP地址，用戶代理，用戶名，i-Mode標識等），并基于上述信息重新生成會話。3. Draining Nodes這也是InChorus的一項十分引人入勝的特性。很多時候，用戶都可能有各種各樣的原因需要服務(wù)器池中的正在工作的一臺或多臺服務(wù)器離線，如打軟件補丁，應(yīng)用升級，等等，如果希望或者必須在正常工作時間來做這些工作，

15、特別是對于那些需要服務(wù)器24x7x365持續(xù)工作的情況，這些工作將會帶來一些問題，那就是，如果簡單地讓服務(wù)器立刻離線，那么該服務(wù)器正在處理的用戶連接將全部丟失，對于某些應(yīng)用或服務(wù)而言特別是從用戶的角度去看，這是不可接受的！正因如此，InChorus允許您將一臺或多臺服務(wù)器進行“drain”操作，這時這些服務(wù)器將不再接受新的連接請求，等到現(xiàn)有連接關(guān)閉或會話超時之后再自動離線，此時，所有的用戶請求將被發(fā)送到服務(wù)器池中的其他服務(wù)器去處理。在這種情況下，沒有任何連接被丟失，這是一個的非常周全的解決方案。4. 健康狀況監(jiān)控為了能夠檢查后端網(wǎng)絡(luò)各種元素的健康狀況，InChorus 中包含了一系列的健康狀況

16、監(jiān)控工具，這些工具可以被任何一個服務(wù)器池選擇調(diào)用，每個工具執(zhí)行一項特定的測試，從簡單的向服務(wù)器發(fā)PING包，也可以復(fù)雜到檢測服務(wù)器特定的端口是否打開，是否能夠提供特定的數(shù)據(jù)服務(wù)，例如打開一個特定的頁面。監(jiān)控工具可以只對一臺服務(wù)器，也可以應(yīng)用于整個服務(wù)器池，而且對于一臺設(shè)備的健康檢測往往就會反映出整個服務(wù)器池的健康狀況。例如，一個郵件服務(wù)器池可能將其數(shù)據(jù)保存在一臺后端服務(wù)器均可以訪問的網(wǎng)絡(luò)文件服務(wù)器上，一個應(yīng)用于整個服務(wù)器池的監(jiān)控工具可以測試這臺服務(wù)器，如果這臺服務(wù)器發(fā)生故障，那么所有后端服務(wù)器就無法從它上面取得數(shù)據(jù)，這時整個服務(wù)器池也被認為失效。這種模式不僅非常有效，同時立即切斷了所有多余的網(wǎng)

17、絡(luò)管理流量。TrafficSmart智能流量管理語言TrafficSmart智能流量管理語言是InChorus的精髓所在，為使之成為真正靈活的工具，我們創(chuàng)建了流量控制腳本語言并用它來編輯訪問規(guī)則。這些規(guī)則能夠檢測訪問請求的所有方面，包括源/目的端口，源/目的IP地址，甚至流量的類型和實際的內(nèi)容。流量控制腳本可以進行本地Xpath查詢，并可以結(jié)合支持DTD和XSLT的XML流量控制，這些通?？捎糜诨赟OAP協(xié)議的WEB服務(wù)，可以使復(fù)雜的數(shù)據(jù)進行自動轉(zhuǎn)換和理解而無需用戶干預(yù)。InChorus在圖形用戶界面中提供了規(guī)則生成工具來指導(dǎo)用戶生成流量控制腳本，當規(guī)則被創(chuàng)建后將被放置在規(guī)則目錄中，任何虛擬

18、服務(wù)器都可以任意調(diào)用規(guī)則目錄中的任何規(guī)則。這樣，用戶就逐漸建立了一個規(guī)則庫，可以在任何需要的時候進行調(diào)用。因為InChorus可以無限制地進行內(nèi)容檢查，也就是可以閱讀整個請求的內(nèi)容并且可以利用請求信息中的任意一個參數(shù)來進行流量管理，隨著規(guī)則庫中的規(guī)則越來越多，使得InChorus成為一個十分強大的應(yīng)用流量管理引擎。目錄InChorus定義了一系列的目錄。這些目錄就是用于流量管理的對象的集中式的數(shù)據(jù)庫。例如，一個目錄中存放的是所有用戶設(shè)置的訪問規(guī)則，另一個目錄中存放的是所有的健康監(jiān)控工具。還有大量的目錄是和SSL設(shè)置相關(guān)的（例如，服務(wù)器和客戶端證書，認證許可以及認證撤消列表等）。這些目錄都是可以

19、被單獨編輯，并可隨時應(yīng)用到任意一個虛擬服務(wù)器或服務(wù)器池。如果您編輯了目錄中的一個條目，其設(shè)置的改變可以將被自動應(yīng)用到所有使用這個條目的服務(wù)，這大大降低了人為因素帶來的問題，保證所有的配置是最新的而且是同步的。應(yīng)用加速和進程卸載InChorus的關(guān)鍵不僅是對于流量的管理，還包括性能優(yōu)化。方法之一就是采用一種通用的模式，既從服務(wù)器上卸載大量的TCP請求，轉(zhuǎn)而由InChorus來處理。類似地，對于單獨的應(yīng)用，采用一種非介入的方式盡可能地增強已有方案的性能，這只需要一點點或完全不需要進行應(yīng)用的整合。InChorus無限的容錯能力和可擴展性為保證用戶可以獲得接近100%的持續(xù)在線時間，優(yōu)勢網(wǎng)絡(luò)推出了多種

20、自身設(shè)備的容錯選擇，遠遠超越了當前眾多的同類產(chǎn)品。尤其是其獨有的ClusterNG設(shè)備自身高可用技術(shù)，可以讓用戶獲得近乎無限的冗余和可擴展性，它可以讓用戶建立一個設(shè)備數(shù)量多達64臺的InChorus集群，而且可以將集群中的任意多臺設(shè)備配置成在線的（Active）；另外任意多臺設(shè)備配置成備份的（Standby）或二級（secondly）設(shè)備。相比于那些只能提供簡單的主備模式（active-standby）或雙活模式（active-active）的對手來說，在競爭中處于極其優(yōu)勢的地位。此外，在InChorus集群中增加新的InChorus設(shè)備非常簡單，因為新的InChorus設(shè)備可以被已有的集群自動檢測到，同時配置可以自動復(fù)制到該設(shè)備。這種獨有的特性使用戶可以用極低的成本構(gòu)建和擴展系統(tǒng)（每次只需購買滿足當時所需性能的InChorus即可，擴展的設(shè)備可以和原有設(shè)備同時工作，在保護原