1、应用交付产品技术白皮书天清应用交付平台技术白皮书2 / 49北京启明星辰信息安全技术有限公司http:/目录第一章 应用交付产品的概念及核心价值 .41.1 ADN 应用交付网络的概念 41.2 应用交付产品的核心价值 5第二章 天清 ADC 应用交付解决方案总体介绍 62.1 方案构成 6服务器负载均衡 .7全局负载均衡 .8链路负载均衡 .92.2 部署方式 11串行部署三层接入 .11串行透明部署 .11旁路部署三层接入 .12旁路部署透明接入 .12旁路部署之三角传输 .13第三章 服务器负载分担 133.1 服务器负载分担 .133.1.1 负载分担算法 143.1.2 健康检查策略
2、 153.1.3 会话保持策略 163.2 七层内容交换 .193.3HA 高可靠性与设备集群 203.3.1 HA 高可靠性 .203.3.2 设备集群 22第四章 应用优化与加速 234.1 SSL 硬件加速和卸载 244.2 本地 RAM Cache 244.3 内容压缩 254.4 TCP 连接复用 .25天清应用交付平台技术白皮书3 / 49北京启明星辰信息安全技术有限公司http:/4.5 TCP 单边加速 .264.6 HTTP 管线(Pipelining) .274.7 窄带用户应用加速 294.8 重写 Rewrite 29第五章 链路负载分担 305.1 出站流量负载均衡(
3、Outbound 方向) .30负载分担算法 .30链路健康检查 .32出站流量会话保持和 NAT325.2 入站流量负载均衡(Inbound 方向) .33智能 DNS 解析流程 34第六章 全局负载分担 356.1 全局负载分担策略 366.2 动态就近性 366.3 静态就近性策略 396.4 IP Anycast 技术 396.5 基于 HTTP 重定向的全局负载均衡 40第七章 应用安全防护 417.1 应用安全防护 417.2 启明星辰应用交付解决思路 427.3 主要安全功能 43天清应用交付平台技术白皮书4 / 49北京启明星辰信息安全技术有限公司http:/第一章 应用交付产
4、品的概念及核心价值1.1 ADN 应用交付网络的概念Internet 本质上是一种端到端(end-to-end )的技术,任何一个复杂的应用,最终都会归根于在 Client 和 Server 之间的数据交互,而其所经过 Internet 的环节却纷繁复杂,对于应用的运营者来说,其中的任何一个环节处理不好,都会导致业务的无法正常提供或者效率低下。比如: 应用系统的性能瓶颈,稳定性,可扩展性的问题; 跨运营商访问时因路由瓶颈而导致的网络延迟问题; 宽带用户和窄带用户(移动终端)并存时的合理分发和访问效率问题; 应用系统所面临的网络攻击等安全性等问题; 应用系统的整体运行效率和改善用户体验问题等等。
5、Application Delivery Networks(ADN) ,正是面向于保障 Client 和 Server 之间稳定且高效的数据交互而提出的一套技术体系,其主要是面向基于浏览器(Web-Based )并借助于 Internet 向用户提供服务的业务模式。ADN 产品按照国际著名资讯机构 Gartner的阐述,主要是包含广域网优化 WAN Optimization Controller(WOC)和应用交付控天清应用交付平台技术白皮书5 / 49北京启明星辰信息安全技术有限公司http:/制器 Application Delivery Controller(ADC )两个领域。广域网优
6、化产品,主要是用于在多个数据中心,或者总部和分支机构之间进行数据的压缩以提升传输效率,节约带宽成本。ADC 产品是从负载分担(Load Balance)产品演进而来,负载分担产品通过对外提供唯一的访问 IP 地址(虚拟服务 VS) ,对内通过地址池( Pool)关联多个提供相同服务的节点(Server) ,这样就可以把进入的流量按照事先定义好的策略分发给这些服务器,同时监控这些服务器的状态,当某个节点失效时,可以把流量重新分配到其他正常的服务器上。运营者可以随时增加或者减小这组服务器的数目,以满足业务变化的需要。这样就实现了 WEB 服务器侧的可用性和弹性扩展。ADC 除了具备负载分担的功能外
7、,更关注的是整个应用交付的各个环节,包括 Client侧,Server 侧及数据交互经过网络节点的整体效率。ADC 可以根据用户访问的内容做更精细化的流量分担,可以根据用户自身的信息如浏览器类型,Cookie 等七层信息做内容交换。ADC 能够识别出应用,并且进行加速和优化处理。同时,ADC 设备可以对服务器的压力进行卸载(Off-Load)- 包括 SSL 协议,内容压缩,Cache,TCP 链接等,让服务器资源重点服务自身的业务系统,从而提升整个系统的效率。应用交付产品的核心价值应用交付产品关注整个应用交付的环节,核心价值是为了保障应用的:高性能-满足业务发展的需要,并具备足够的弹性扩展。
8、高效率-服务器压力卸载,提升整个业务系统效率。高可用-业务的备份和冗余。保障业务的不间断稳定运行,并提升用户体验。天清应用交付平台技术白皮书6 / 49北京启明星辰信息安全技术有限公司http:/安全性-保障业务安全,防止入侵和数据泄漏。第二章 天清 ADC 应用交付解决方案总体介绍启明星辰基于深厚的技术积累,不断探索专业有效的 ADC 解决方案以保障用户应用连续可靠运行的同时,节约用户的投资效率,并带来更好的用户体验。2.1 方案构成为了满足 IT 应用有效、快速、安全交付的需求,启明星辰推出天清 ADC 应用交付平天清应用交付平台技术白皮书7 / 49北京启明星辰信息安全技术有限公司htt
9、p:/台的整体解决方案,包括:服务器负载均衡,应用优化与加速,链路负载均衡,全局负载均衡,广域网优化,安全防护等全系列产品。服务器负载均衡服务器负载均衡主要是对访问服务器和服务器返回的流量进行管理,天清 ADC 应用交付平台通过多种静态和动态负载分担算法,把访问服务器的流量智能的分发给最佳的服务器。同时,天清 ADC 应用交付平台利用自身的多核高性能硬件平台和 VBOS 软件系统的优势,对流量进行实时压缩,缓存,硬件加解密等处理,把原本需要耗费服务器大量性能的计算接管过来,使服务器系统只进行业务相关的处理,以实现整个业务系统的加速和效率提升。天清 ADC 服务器负载均衡方案包括:负载分担,应用
10、加速,服务器卸载等几个部分。天清应用交付平台技术白皮书8 / 49北京启明星辰信息安全技术有限公司http:/与此同时,天清 ADC 应用交付平台还提供专业的抗拒绝服务攻击、状态防火墙及Web 应用防火墙功能,进一步提升应用的安全性和可靠性。全局负载均衡全局负载均衡-GSLB(Global Server Load Balance)是通过在全球部署多个数据中心来保护业务站点不受访问中断的影响,并且提升整体业务系统响应能力的一种解决方案。通过部署天清 ADC 应用交付平台,可以在多个数据中心之间进行流量分担,并进行数据中心间的冗余和灾备。同时天清 ADC 应用交付平台可以根据智能算法,把某个用户的
11、访问引导到距离他最近,延迟最小的数据中心,即实现了整个业务系统的可扩展性,也有效的提升了用户体验。天清 ADC 应用交付平台内置智能 DNS 系统和 IP 地理位置信息库,企业可以把 ADC设备作为域名授权发布服务器,配置多个数据中心的 IP 地址对应该域名 DNS A 记录。当接收到某个用户的 DNS 请求时,通过判断该用户所处地域,并结合动态探测算法或者静天清应用交付平台技术白皮书9 / 49北京启明星辰信息安全技术有限公司http:/态策略返回该域名对应的最佳数据中心地址。天清 ADC 应用交付平台除了具备动态智能解析方式外,还提供静态就近性策略,HTTP 重定向和 IP AnyCast
12、 技术等多种全局负载分担解决方案。可以为企业提供最灵活的选择方式,并能够和其他全局负载分担产品实现网络兼容。链路负载均衡根据中国的运营商接入现状,企业往往选择同时租用多条运营商线路以实现企业接入Internet 时的链路备份和带宽叠加。天清 ADC 应用交付平台可以动态监控链路的实时状态,提供多种静态和动态流量分担方法,可以有效提升多链路接入的效率和整体性能。当企业部署对外提供服务的应用服务器时,天清 ADC 应用交付平台可以根据用户所处的运营商网络,或者地域的远近,或者当前链路的带宽质量进行智能 DNS 解析,帮助用户选择最优的链路进行访问,有效避免跨运营商访问时造成的带宽瓶颈和延迟增大等问
13、题,提供最佳的用户体验。天清应用交付平台技术白皮书10 / 49北京启明星辰信息安全技术有限公司http:/ Outbound 出站方向访问内网用户向外发起连接请求时,天清 ADC 应用交付平台产品提供多种静态和动态链路分担算法,选择当前最合适的链路分配流量。静态算法包括:轮询,比率,加权等。动态算法包括:最小连接,最小流量,最小延迟等等。天清 ADC 应用交付平台支持运营商路由选择,根据用户请求地址所出运营商来选择和其匹配的运营商链路出口,这样就避免了跨运营商访问的效率低下问题。 Inbound 入站方向访问当企业内部提供对外的服务的业务系统时,如 ERP 系统,邮件系统或者其他在线业务交易
14、系统时,可以把天清 ADC 应用交付平台作为授权域名发布服务器,把多个运营商链路接入 IP 地址绑定到同一个域名 A 记录上。这样,结合运营商 IP 位置信息库和静态配置策略,ADC 能够智能的处理外部用户 DNS 请求,返回最佳的链路接入地址。天清应用交付平台技术白皮书11 / 49北京启明星辰信息安全技术有限公司http:/2.2 部署方式天清 ADC 应用交付平台支持串行接入,并行接入,三层接入,透明模式接入,DSR模式等多种接入方式,企业可以根据当前的网络运行状况和业务规划选择最合适的接入方式。串行部署三层接入这种模式下,天清 ADC 应用交付平台串行接入到网络中,所有流量都先经过 A
15、DC 设备处理,通常情况下,ADC 设备上的虚拟服务(VS)配置为公网 IP 地址,内部的服务器则配置为私有 IP 地址。典型的串行网络结构如下,天清 ADC 应用交付平台采用 HA 方式,和上下层交换机采用双链路交叉连接,网络结构清晰,并且具备很强的冗余性和可靠性。串行透明部署这种部署模式可以不改变用户的现有 IP 地址结构,ADC 设备的虚拟服务地址(VS )天清应用交付平台技术白皮书12 / 49北京启明星辰信息安全技术有限公司http:/和服务器处在一个网段,当 ADC 设备出现单点故障,或者性能无法满足时,可以临时采用 Bypass 策略绕过 ADC 设备。串行接入透明部署的工作原理
16、类似于正常的串行接入。旁路部署三层接入旁路方式部署 ADC 产品,不需要对现有运行着网络结构进行改变,可以方便快速的把 ADC 部署到网络中,ADC 的工作模式和串行部署比较相近,ADC 的虚拟服务配置为公有地址,内部服务器配置为私有 IP 地址。ADC 设备和服务器分别属于交换机不同的VLAN, ADC 在分发数据给服务器时,进行源 IP 地址转换,把发给服务器的报文源 IP 地址改为 ADC 设备自身的 IP 地址,以保证服务器返回的流量也经过天清 ADC 应用交付平台。旁路部署透明接入原理类似旁路部署三层接入,不同是天清 ADC 和服务器划分到一个 VLAN 里面,天清 ADC 的 VS
17、 地址和服务器配置为同一个 IP 网段,这种情况下可以把服务器的网关地址天清应用交付平台技术白皮书13 / 49北京启明星辰信息安全技术有限公司http:/指向 ADC 设备的 IP 地址,ADC 设备使用真实的客户端地址和服务器建立连接,而不需进行 NAT 源地址转换。旁路部署之三角传输三角传输,也叫 Direct Server Return(DSR)模式,是旁路部署的一个特例,这种模式下只有入站方向流量进入到 ADC 设备,由 ADC 设备根据预先配置好的负载分担策略进行流量分发,而服务器返回的流量不经过 ADC 设备。由于互联网的流量具有典型的非对称性,即请求方向上的流量比较小,绝大多数
18、流量集中在服务器响应的方向上,所以如果让ADC 设备只处理请求方向的流量,服务器返回的流量直接返回给客户端不经过 ADC 设备,就大大提升了 ADC 的处理能力。三角传输模式无法支持一些需要修改服务器返回数据的功能,如基于 Cookie 的会话保持,响应重写等七层功能。也无法实现缓存和内容压缩等功能。天清应用交付平台技术白皮书14 / 49北京启明星辰信息安全技术有限公司http:/第三章 服务器负载分担3.1 服务器负载分担ADC 在设备上建立一个或多个虚拟服务 VS(IP:Port ) ,来映射内部的服务器组来对外提供的一种或者多种应用。内部服务器被加入到地址池中(Pool) ,当有外部流
19、量访问VS 时, ADC 通过预先配置好的负载分担算法,从地址池中选择一台可用的服务器作为应用提供者。同时 ADC 实时对每个服务器节点进行健康检查,当某一台出现故障无法正常提供服务时,把该服务器从 Pool 中的可用列表移出,不再向其分发流量。3.1.1 负载分担算法天清 ADC 应用交付平台支持丰富的负载分担策略,即可以根据预先配置的静态算法,也可以根据当前的运行状态进行动态算法的负载分担。静态算法包括: 轮询(Round Robin)- 依次按照顺序把流量分配给每台服务器。 比率(Ratio)-根据服务器的性能为每个服务器指定一个权值,按照这个比天清应用交付平台技术白皮书15 / 49北
20、京启明星辰信息安全技术有限公司http:/率给服务器分配流量。 优先级(Priority)-当使用多组服务器时,为每个服务器组指定一个优先级,默认情况下优先向高优先级的服务器组分配流量,当该组服务器失效时选择备份服务器组。动态算法包括: 最小连接(Least Connection)-ADC 优先把流量分配给当前连接数最少的服务器。 最快模式(Fastest)-ADC 通过比对服务器返回数据包的延迟情况,选择一个当前响应最快的服务器来分配流量。 SNMP 监控-设备上通过 SNMP 客户端来读取服务器的实时运行状态,包括CPU,内存和 I/O 信息,为每种实时信息配置门限值,当超过这个门限值时不
21、再向这台服务器分配报文。 观察模式(Observed ) -结合最小连接和最快模式两种结果,选择最佳平衡为依据为新的请求选择服务器。服务器平滑接入和退出:当有新的服务器接入或者服务器重新启动时,ADC 系统可以把流量逐步分配给新接入的服务器,避免服务器的某些进程还没有加载完成而导致系统资源占用过高,或者应用响应缓慢的情况,实现服务器的平滑接入。管理员也可以手工方式操作把某台服务器退出流量分担机制,此时 ADC 系统不再分配新的流量给该服务器,该服务器的现有连接继续保持,直至连接结束。天清应用交付平台技术白皮书16 / 49北京启明星辰信息安全技术有限公司http:/3.1.2 健康检查策略健康
22、检查是指对服务器的运行状态定期进行实时检测,一旦发现服务器故障,将把该服务器移出流量分担的队列。天清 ADC 应用交付平台提供丰富的健康检查策略,和负载分担算法组合到一起,就可以实现非常灵活的负载分担策略。 TCP SYN-向目标服务器发送 TCP SYN 报文,如果得到正确的回复表示服务器工作正常。 Ping-向目标服务器发送 ICMP 请求报文,如果得到正确回复表示服务器工作正常。 HTTP/HTTPS Get-向目标系统发送 HTTP 或 HTTPS 协议的 Get 报文,请求一个指定的 URL,如果得到正确回复表示服务器工作正常。3.1.3 会话保持策略会话保持是指流量一旦按照负载分担
23、策略分配给某个服务器后,后续的相关请求报文同样分配给同一台服务器,以保障业务的连续性。比如,很多电子商务相关的应用系统或者需要用户身份认证的系统,用户和服务器间会进行多次的数据交互才能完成一笔交易或者身份认证过程,必须把这个过程的交互报文分配给同一个服务器。天清 ADC 应用交付平台支持 6 类共 8 种会话保持的方法,即可以根据源 IP 地址,ServerID 等静态信息来做会话保持,也可以通过 Cookie 插入和重写来实现更高级的会话保持方法。每种会话保持的效率,粒度和应用场景有所不同,对应用服务器的配置要求也不一样。基于源 IP 的会话保持只需要处理数据包的四层信息,所以效率最高,也不
24、需要服务器做任何配置,但粒度比较粗。如果客户端存在普遍的 NAT 转换,或者某些 IP 段的业天清应用交付平台技术白皮书17 / 49北京启明星辰信息安全技术有限公司http:/务请求量比较大,那么这些流量被保持发送给固定一台服务器,就会造成流量负载的不均衡。基于 Cookie 插入,Cookie 重写,ServerID 等七层信息的会话保持方式,使保持策略和浏览器的信息相互关联,可以做到细粒度和更均衡的流量分配,基于七层信息的会话保持方式,工作效率不如源 IP 会话保持。除 Cookie 插入方式以外,其他如serverid,sessionid, Cookie 重写等方式一般需要应用程序做相
25、应的配置。天清 ADC 支持的会话保持方式: 基于源地址-来自同一个源 IP 地址的相关报文,分配给同一个服务器。 基于 ServerID-记录服务器返回的 serverid 信息,然后从请求报文的 URL 或Cookie 信息中查找 serverid,进行解码得到后台服务器的信息,保证带有固定serverid 信息的请求被分别到固定的服务器。 Serverid 需要在 web 服务器上进行人工配置。ADC 不需要对数据包进行修改 基于 SessionID-类似于 ServerID 的方式,记录从服务器返回的 SessionID 信息,然后从请求报文的 URL 或 Cookie 信息中查找 S
26、essionID,进行解码得到后台服务器的信息,保证带有固定 SessionID 信息的请求被分别到固定的服务器。SessionID 是服务器自动生成的,ADC 产品不需要对数据包进行修改。 基于 Cookie 插入-这种方式通过修改服务器返回的报文,向其插入一个固定的Cookie 信息返回给客户的浏览器,客户端后续的报文请求中都携带了这个Cookie 信息,ADC 根据这个信息发送给指定的服务器。这种保持方式修改了数据包的长度,但不需要应用服务器端做任何的配置改动就可以实现。天清应用交付平台技术白皮书18 / 49北京启明星辰信息安全技术有限公司http:/ 基于 Cookie 重写-服务器
27、端接收到 HTTP 请求后,响应报文中会增加一个空白的Cookie 返回给 ADC 设备, ADC 在这个空白的 Cookie 里面写入会话保持的数值,返回给客户端。后续的过程和 Cookie 插入类似,客户端后续的请求报文会携带这个重写的 Cookie,ADC 根据这个信息来选择指定的服务器。Cookie 重写和Cookie 插入的区别是,Cookie 重写不需要修改报文的长度,效率会高一些。天清应用交付平台技术白皮书19 / 49北京启明星辰信息安全技术有限公司http:/ 基于自定义头部-应用服务自身定义了一个 URL Header 信息,并希望 ADC 以此来做负载分担。这种方式下 A
28、DC 设备记录服务器返回的 Header 信息,并在客户端的后续请求中进行匹配,匹配成功则转发给指定的服务器。这种方式允许应用服务程序定制自己的会话保持策略。 基于 SSL SessionID-当第一次请求到来时,按负载均衡算法分配一台后台服务器。在服务器的响应中,按照 SSL 协议,取出 SSL SessionID,并把 SSL SessionID 分配的后台服务器信息、所配置的超时时间存在一张表中。当后续请求到来,根据请求中的 SSL SessionID 在表中查找后台服务器的信息,若找到并且时间在超时时间之内,则取出后台服务器信息,并更新超时时间,把请求发往那台服务器。天清应用交付平台技
29、术白皮书20 / 49北京启明星辰信息安全技术有限公司http:/3.2 七层内容交换四层交换主要是依赖 IP 和 TCP/UDP 层的信息进行流量的分配,而随着应用自身的复杂性和不断改善用户体验的需求,有时候需要为不同的用户类型返回不同的呈现内容,例如: 把移动用户的手机/pad 浏览器请求分发给专门经针对性过优化的服务器。 把请求图片,文档,视频等静态内容分发给缓存服务器。 根据浏览器自身的语言设置,为不同语言区域的用户返回相应的页面 可以根据 HTTP 请求的方法实现读写分离, HTTP 读( get)请求分配给缓存服务器,HTTP 写(post)请求分配给处理动态内容的服务器。天清 A
30、DC 应用交付平台的七层内容交换可以识别用户请求报文的内容,如 URL信息,应用数据类型,Cookie 信息,浏览器类型,HTTP 方法等内容,将流量分配给相应的应用服务器。天清 ADC 应用交付平台通过 http-class 来标识一个业务分类,http-class 根据主机地址,URI 路径,头信息和 Cookie 来定义,每个 http-class 可以关联一个服务器地址池,天清应用交付平台技术白皮书21 / 49北京启明星辰信息安全技术有限公司http:/然后再虚拟服务(VS)的配置中,引用一个或者多个 http-class。当客户端请求访问虚拟服务时,ADC 设备进行 http-cl
31、ass 匹配,匹配成功的请求被分配给对应的地址池。3.3HA 高可靠性与设备集群3.3.1 HA 高可靠性天清 ADC 支持双机 Active-Standby(主- 备)和 Active-Active(主- 主)两种工作模式,HA 在运行过程中,通过专用“心跳线”来实时监控对端设备的运行状态,当心跳监控失败,或者发生其他触发切换的条件时,工作异常设备上的流量将被接管,以保证应用的不间断运行。天清 ADC 的 HA 模块支持配置同步和连接信息同步。 主备模式:两台 ADC 设备中只有一台处于 Active 状态,另外一台处于 Standby 状态,所有流量由处于 Active 状态的设备进行流量
32、转发。处于 Standby 状态的备用设备通过”心跳线“实时监控主设备的运行状态,当监控不到正常的心跳报文时,备用设备切换为 Active 状态,并通过免费 ARP 更新上下游设备的 ARP 缓存以实现流量接管。天清应用交付平台技术白皮书22 / 49北京启明星辰信息安全技术有限公司http:/除了备份设备发现主设备心跳异常时主动接管以外,当前处于 Active 状态的主设备也可以根据一些触发条件主动退出 Active 状态。触发条件包括:设备上启用端口状态监控和预置的远端 IP 地址是否可达。 主主模式:两台 ADC 设备同时都处于 Active 状态并一起承担流量的转发工作,两台ADC 设
33、备上面运行不同的 VS(虚拟服务) ,当某台 ADC 设备出现故障时,该设备上运行的所有虚拟服务流量被另外一台设备接管。通常情况下,主主模式可以配合 DNS负载分担一起工作。天清应用交付平台技术白皮书23 / 49北京启明星辰信息安全技术有限公司http:/当用户申请访问 时,首先发起 DNS 请求,DNS 服务器上对应主机名为 这条记录配置两个 VS 对应的 IP 地址,DNS 会采用轮询的方式返回这两个 IP 中的一个以实现负载分担。3.3.2 设备集群天清 ADC 最多可以实现 32 台 ADC 设备进行集群部署,多台 ADC 设备共同承担流量处理并且互为备份。集群中的 ADC 设备
34、可以是不同的型号,具备不同的处理能力,这样对于更新换代的设备,也可以重新接入到集群中来。通过集群部署,企业可以实现最大化的业务弹性,并实现设备投资收益的最大化。集群部署时可以采用全工作模式,即所有设备都参加流量转发,互为备份,当某台出现故障时,流量切换到其他设备上;也可以采用 N+1 模式,即 N 台设备承担流量转发,天清应用交付平台技术白皮书24 / 49北京启明星辰信息安全技术有限公司http:/利用一台设备同时作为 N 台设备的备份,正常情况下不备份设备不承担流量,当某一台设备出现故障时,备份设备进行流量接管。N+1 模式可以防止当某台设备出现故障时,对另外的设备造成流量洪峰。第四章 应
35、用优化与加速天清 ADC 应用交付平台可以把原本需要高消耗服务器计算能力的,重复计算的工作卸载到高性能的硬件平台上,让服务器的计算资源更多的关注自身的业务系统处理,以改善整个应用系统的效率。天清 ADC 同时对 TCP 和 Http 协议进行优化和加速,最大限度的降低网络拥塞和丢包,改善移动上网等窄带用户的用户体验。天清应用交付平台技术白皮书25 / 49北京启明星辰信息安全技术有限公司http:/天清 ADC 应用交付平台内置了企业最常用的应用模板,如 BEA Weblogic,Microsoft IIS, Outlook Web Access,Radius,ERP 软件等,这些都是经过公司
36、应用优化专家通过反复的测试验证而完成的一套解决方案,管理员不需要对应用进行细致的了解,就可以根据模板高效的完成这些应用系统的优化和加速。4.1 SSL 硬件加速和卸载天清 ADC 应用交付平台通过内置的专业级高性能硬件加速芯片,完成对 SSL 协议的加速和卸载,而在数据中心内部,ADC 和服务器之间通过明文进行传输,极大的提升服务器的业务处理能力。企业可以把应用全部应用实现 SSL 协议,实现高安全性的同时,不会给业务带来任何的性能瓶颈。4.2 本地 RAM Cache本地高速缓存(Cache) ,通过在 ADC 设备上开辟一段专用的内存空间(RAM)来存天清应用交付平台技术白皮书26 / 4
37、9北京启明星辰信息安全技术有限公司http:/储服务器上的一些静态文件,如图片,文档,视频文件等,开启本地 Cache 后,客户端请求首先在本地 Cache 中查找,命中以后直接返回给客户端。命中失败才向服务器端发送请求,同时对服务器返回的内容进行本地 Cache。天清 ADC 支持为不同的应用提供各自的Cache 空间及参数设置,这样可以把服务器从重复的处理中解脱出来,提升整体效能。4.3 内容压缩通过压缩 HTTP 响应的数据,可以有效提升带宽利用率和缩短下载时间。天清 ADC应用交付平台提供的高性能压缩技术,最大可以使带宽利用率增加 80%,应用性能提升 4倍以上。同时在客户端浏览器和
38、ADC 设备间经过一定的算法进行压缩,也起到一定安全传输的作用。天清 ADC 把原本由服务器完成的压缩过程搬到自身的高性能硬件平台,避免了每台服务器都执行一次重复的压缩过程,达到服务器卸载的效果。天清 ADC 支持浏览器最常用的 GZIP 和 DEFLATE 两种压缩算法,提供基于七层的精细化压缩控制策略,包括 URI,Content Type 等。管理员可以定义对 “.txt”,“.doc”“.htlm”等文档类型和静态页面数据进行压缩,也可以排除 PDF,IMG 等压缩效果不明显的不必要操作。4.4 TCP 连接复用TCP 连接复用技术使多个客户端共享一个到服务器的 TCP 连接,可以提升
39、应用服务器的整体性能,使应用服务器从维护海量的 TCP 连接,并不断的进行 TCP 建立和拆除维护中解脱出来,极大的提升单台服务器的承载能力。天清应用交付平台技术白皮书27 / 49北京启明星辰信息安全技术有限公司http:/天清 ADC 设备在接到一个客户端 HTTP 请求后,通过负载分担算法会选择一台服务器建立连接。如果接收到正常的服务器响应,ADC 设备会把这个连接放入到“连接复用池”里面,当另外一个新的客户端发起 HTTP 连接请求时,ADC 设备从现有的连接池里面选择一个可用的连接来和服务器的进行数据交互,而不是重新创建一个到服务器的连接。通过这种优化,可以把服务器负载降低到原来的
40、1/10-50。4.5 TCP 单边加速标准 TCP 协议在设计时很少的考虑到高带宽和夸 Internet 传输的问题,现在随着高速带宽的普及,标准的 TCP 协议表现出很多的不足,在网络拥塞控制和丢包重传机制上,往往效率比较低下,而且基本不具备根据网络环境实时进行调解的能力。天清ADC 应用交付平台提供智能单边加速的功能,通过对标准 TCP 协议的慢启动控制,拥塞避免,重传和恢复几个方面进行优化,来达到整体网络加速的效果。同时,天清天清应用交付平台技术白皮书28 / 49北京启明星辰信息安全技术有限公司http:/ADC 设备可以根据当前的网络状态,和承载的协议类型智能的选择一种效率最高的算
41、法。天清 ADC 应用交付平台的单边加速对客户端和服务器来说都是透明的,ADC 和服务器之间仍然按照标准 TCP 协议运行,ADC 和客户端之间进行单边加速,客户端不需要做任何修改。4.6 HTTP 管线(Pipelining)传统的 HTTP 协议是当一个请求发出,等接收到完整的响应数据后,才进行下一个请求,这在高延迟的网络环境中会导致整个数据交互的效率比较低。HTTP 管线技术(Pipelining)可以将多个 HTTP 请求同时提交,而不用等待顺序的请求回应。天清应用交付平台技术白皮书29 / 49北京启明星辰信息安全技术有限公司http:/(不带 Pipelining 的 HTTP 流
42、程)天清 ADC 应用交付平台可以和支持 Pipelining 的客户端浏览器智能协商开启,ADC和服务器间还是正常的 HTTP 协议流程。天清应用交付平台技术白皮书30 / 49北京启明星辰信息安全技术有限公司http:/4.7 窄带用户应用加速当客户端通过窄带线路比如通过 ADSL 拨号或者智能手机, pad 移动终端上网时,对于应用服务器的响应,可能会由于客户端侧带宽不足,或者带宽质量不好而导致报文的拥塞和丢包。这时客户端就会发起重传请求,如果大量的窄带用户同时访问,就会出现应用服务器反复处理这些重传请求的压力增大而降低效率。天清 ADC 应用交付平台使用 TCP 数据缓存技术,自动检测
43、客户端对服务器响应的处理能力,对于窄带用户,ADC 会在自身平台开辟出缓存空间来存储服务器返回的数据,以客户端能够适应的速度完成数据交互,避免出现大量的重传。服务器只要处理完成用户的请求后,就可以释放出来处理其他工作,不用再去处理丢包重传的情况。4.8 重写 RewriteHttp 协议的请求阶段和响应阶段都可以对 URI 进行重写,在请求 http 请求阶段,可以把符合预置条件的所有 http 请求发送到一个指定的 URL,比如是提示用户进行登录的页面或者其他信息提示页面。又或者是当服务器某些文件已经不存在或者目录发生更改,而用户通过其他网站或者搜索引擎的旧链接进行访问时,可以把这类请求直接重定向到一个指定的错误信息提示页面,减轻了服务器的负担。部署了天清 ADC 应用交付平台以后,企业可以把原来基于 http 协议的应用,全部迁移到安全 https 协议。通过 http 请求重定向结合 SSL 卸载功能,可以实现企业服务器和客户端都不需要任何更改的情况下完成 http 到 https 的无缝迁移。在 http 响应阶段,可以把服务器返回的 404(客户端语法错误)等重定向到一个指定的页面。
