项目背景:
梭子鱼网络有限公司作为全球领先的应用安全和交付方案提供商一直致力于为用户提供优秀的企业网络应用解决方案,在多年的服务经验中“如何让用户以更少的成本达到更高的IT目标”这一直是梭子鱼思考的问题,梭子鱼在过去几年陆续为用户推出了邮件安全和归档解决方案、WEB应用安全防护解决方案、分布式网络云备份服务等来为用户简化IT,提供高效应用。
如今梭子鱼又遇到了新的任务,许多企业客户如国内某知名保险公司的信息中心就向梭子鱼提出企业负载均衡解决方案的需求:
1、 单台服务器已经无法承载他们的应用,需要进行负载均衡;
2、 购买负载均衡器价格过高,软件负载均衡稳定性不足;
3、 5台服务器以内的应用购买负载均衡器将浪费大量设备性能;
4、 负载均衡技术过于复杂,现有网络管理人员难以胜任;
项目概况:
· 应用梭子鱼安全负载均衡机为该公司所有的网络应用和业务系统提供应用负载功能
· 集团内部包括有超过150个应用系统,应用系统之间有各种不同关联,需要在应用层处理上满足各种关联的处理流程。
· 公司内部的应用系统架设在不同的应用平台上,包括有Windows、Linux,Weblogic、Websphare等,需要在跨平台的支持上满足各种灵活的处理方式
· 其网上业务系统对关键应用,因此要求要对通信进行较高的加密处理和严格的证书处理
典型网络结构:
客户需求:
· 需要满足针对各种应用平台的深层次应用处理和健康检查,包括有Weblogic和Websphare,以及微软的AppCenter
· 需要支持各种形式的SSL加密处理,以及SSL应用加速处理
· 需要满足针对应用的细节选择处理,包括根据不同的应用条件选择相应的应用服务器进行数据处理
· 需要满足各种会话保持要求,特别是根据应用条件的会话保持以及根据Cookie信息的会话保持处理
· 要保证高可用性,包括在发生应用切换时候的会话处理能力
· 要能支持高性能,支持数百万级的并发连接处理和十万级的新建会话处理。
· 要有高扩展性,能灵活增加新的处理设备
· 要满足无缝整合,能在任何时候部署新的设备,不影响应用的持续性
· 方案在将来有很好的扩展性,还可以灵活增加新的应用系统而不涉及内部改动
· 要能实现分布式部署,并且能进行统一规划,统一管理
· 要求方案设计简单,容易部署。
梭子鱼负载均衡解决方案:
· 使用多台梭子鱼LB640来实现应用负载均衡,分别处理不同层面的应用系统
· 使用LB640内建的用户自定义规则系统来进行细节应用处理,凡是满足某种应用条件的数据包,都根据要求分配到相应的应用服务器进行相关处理
· 使用高级应用健康检查机制来与各种内部应用平台沟通,真正保证应用健康检查的准确性
· 使用LB640内部的SSL硬件加速卡来提供对基于SSL加密通道通信的高性能处理
· 使用基于Cooike信息的会话保持机制,来保证应用访问的完整性
· 通过独特的优化算法实现连接优化,提升服务器的处理能力
为什么选择梭子鱼:
· 高效灵活的应用处理能力,通过自定义规则,可以根据应用的各种细节需求进行动静态的处理
· 稳定可靠的会话保持机制,通过基于Cookie信息的会话保持方式,能保证即使从同一台应用代理发出的多种应用访问,也能进行区分并实现应用会话自此至终在同一台应用服务器上完成
· 准确的高级应用健康检查,梭子鱼可以模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态,并且可以对服务器进行多层步骤、复杂的健康检查,从而准确定位服务器的工作状态
· 强大的SSL处理能力和全面的证书处理能力,可以通过梭子鱼LB640内部的高性能SSL加解密芯片,来处理从客户端发送过来的大量SSL请求,将这些请求进行解密后,再以HTTP方式发送到后台的服务器,以节省服务器的CPU资源
· 高可用性的保证,梭子鱼采用自行设计的高速切换方式,现在最短的已经可以达到数百毫秒的切换速度。并且在两台设备之间对数据流的状态信息进行复制,保证在切换后用户端和服务器端感觉不到切换,从而保证应用的持续运行。
关键技术阐述:
· 通过梭子鱼负载均衡机的自定义规则系统来进行深层应用的灵活处理。
· 通过SSL加速芯片来进行加密通信处理:由于网络通讯的安全性和保密性的要求,许多关键业务必须通过HTTPS方式进行访问,将明文方式传输的HTTP请求和回应包含在SSL通道中。同时,通过证书体系或动态口令方式对服务器和客户端进行唯一性验证。由于SSL在带来应用安全性的同时,将会给服务器带来巨大的负担,因此在这类应用中,梭子鱼将会启用设备本身的SSL加速功能,通过硬件SSL处理芯片对SSL通信进行加解密处理,从而卸载服务器的处理消耗,保证应用的安全,稳定运行。
· 基于Cookie信息的会话保持机制
Cookie持续性利用客户机存储的cookie信息来把客户机连接到合适的服务器上。梭子鱼提供重写模式、插入模式两种不同的Cookie持续性模式以适应各种应用的要求。
· 健康检查方法
梭子鱼支持采用ICMP,TCP/UDP,等各种协议;HTTP,SMTP,Simple HTTPS,SNMP等多种方法对服务器或应用状态进行健康检查。