门户网站Web及应用服务器加速及负载均衡方案
门户网站结构的改造
目前,比较流行的门户网站结构一般分为3层,第一层是WWW服务器或反向代理服务器,负责处理静态内容;第二层是应用服务器,负责处理后台程序;第三层是数据库,负责存放网站数据。
通常,一个较大的门户网站用户人群都在几百万以上。根据总结出的经验值,同时在线的用户一般最多为5%,同一时刻更新页面的用户最多为1%,每个页面请求20个文件,则一个用户人群是300万的网站,同一时刻最大的http请求数为:300万×5%×1%×20=30000次。我们知道,一台用apache做web服务的PC Server一般同一时刻能承受约2500次的http请求,因此,一个用户人群是300万的网站需要的web 服务器的数量为:30000/2500=12台。
除了第一层的web 服务器,为了提高后台程序的工作效率,网站还使用专门的应用服务器提供应用程序服务以及页面发布服务,使用专门的数据库服务器,实现后台应用的数据库驱动并提供统一用户认证服务。同样,各种应用服务器也将根据实际的应用处理能力需要配置多台且能够同时提供应用服务。
要让多台web 服务器和应用服务器负载均衡地同时对外提供服务,最好的解决方案就是采用4/7层交换设备,而优势网络(Asce Networks)公司的InChorus应用前端交换机就是门户网站的最佳选择。
优势网络(Asce Networks) 的InChorus的核心是技术十分成熟的Web交换机(第四到第七层交换),它是在单一集成式业务平台上提供高可用性和安全性的新一代网络应用交换机。当传统的4/7 交换器还在做所谓的服务器负载均衡时,Asce Networks 却已经看到了客户目前已经快速发展和变化的应用需求,甚至客户不断发展的未来的需要。InChorus强调的不只是服务器负载平衡,它优异的功能包括智能内容交换、应用加速、数据压缩、TCP offload、SSL性能加速、N+M设备自身负载均衡等。
InChorus – 特性及功能概述
InChorus负载均衡交换机产品是最先进的应用层交换产品,它易于安装、配置和使用。优势网络在隐藏其复杂性方面做出了优秀的工作,这使得InChorus负载均衡交换机产品的使用极其合理。
虚拟服务器
InChorus产品架构– 以虚拟服务器为核心
InChorus产品的核心是其关于“虚拟服务器”的概念。它是服务器应用或服务的高效前端,管理所有特定端口和协议的流量。典型的设置是定义多个虚拟服务器,各自控制的不仅是不同的流量,还针对不同的环境基于智能的策略以不同的方法管理流量。例如,他可以应用策略来决定哪个服务器池来处理特定的用户请求。根据支持的协议,可以包括范围极广的TCP和UDP协议,包括 HTTP1.0/1.1,HTTPS,SSL/任何SSL封包的协议(SSL 会话可以在虚拟服务器上解密),FTP (active & passive),telnet,SMTP,POP,IMAP,DNS,LDAP,RADIUS,NNTP,SOAP,XML-RPC,SQL…等等.
可以对虚拟服务器进行以下进一步管理:
1. 可以使用TrafficSmart智能流量管理语言编辑的规则来检查进入的连接请求,然后选择合适的操作。这些规则可以分为多个层次并且可以按照需求以任意的顺序进行创建。
每条规则都可以检查连接请求,或者可以改变它,然后可能执行以下三种操作中的一种:
选择一个服务器池来处理请求
关闭连接请求
无动作,连接请求转由规则列表中的下一条规则来处理
在每个虚拟服务器后端可能有一个或多个服务器池,包括预先定义的一个缺省服务器池,如果没有规则来确定具体的数据路由,连接请求将发送到该服务器池来处理。
2. SSL加速和解密
InChorus设备中,虚拟服务器可以解密SSL流量,而不是简单地将该流量推送到应用服务器去处理。有两点原因说明这样做是非常有用的,原因之一,在解密后,访问规则可以分析访问请求的包头和内容,以确定数据流的路由。如果不解密则得不到数据包的几乎任何信息。原因之二,解密请求需要非常强大的处理能力支持,因此,InChorus在数据包发送到后端服务器前就先行解密,可以大大降低后端服务器的负载压力。当然,如果解密数据包仅仅是向应用访问规则,也可以在应用规则之后重新将数据包加密并发送给后端服务器,这样在网络中就不存在任何的安全问题。
3. 服务保护
越来越多的数据和服务受到各种各样外界因素的威胁和攻击,特别是DoS和DDoS (Denial of Service-拒绝服务和Distributed Denial of Service-分布式拒绝服务)攻击。因此,InChorus在进行流量管理的同时可以有另外一个角色,就是可以建立一系列的服务保护规则来保护服务免受这些恶意攻击。设置选项包括能够配置禁止和受信的IP地址,这样来自相应IP地址的访问请求将总是被禁止(或允许)。另外,用户也可以限制来自某一台机器或一组机器的连接数量,可以限制来自任一IP地址的连接rate,或者限制HTTP请求,例如是否必须严格遵循RFC2396标准。
通过和TrafficSmart智能流量管理语言编制的访问规则进行