一、客户(项目)背景
XXX证券作为本土最大的证券公司,公司深深根植于中国本土市场,深刻理解国家宏观经济及行业发展趋势以及中国公司向市场化转变的特殊文化背景。在金融、电力、交通运输、石油天然气、石化、钢铁等重要领域,公司中国最优秀的企业建立了包括股票、债券发行与承销、企业并购等综合金融服务的业务关系,协助客户实现其战略发展的目标。公司坚持规范、稳健的经营理念,深刻理解金融企业的风险属性,始终坚持“正视风险,分析和控制风险,对风险做到可测、可查、可控和可承受”;建立MD体制管理体系,以人为本,培养和吸引了大量优秀人才;积极开展业务创新,为客户提供一流的服务;努力改善公司收入结构,增强竞争实力,为股东创造更大的价值。
由于股票市场的复苏,今年以来网上交易和行情查询的数据量迅猛发展,面对爆炸式的行情,单纯的增加后台服务器的数量,并不能很好的解决客户的访问问题。
1. 每增加的一台行情或者交易服务器,都需要增加一个IP给用户访问,这样用户的前台应用使用的时候会感觉非常麻烦;
2. 由于后台的服务器数量虽然众多,但是无法很好的将用户访问进行分担,导致某些服务器长期负载过高,某些服务器长期空闲;
3. 由于后台大量的服务器需要管理,缺乏一个直观的对后台服务器应用的健康状况的检查方案。
针对这些问题, XXX证券正在寻求一种安全, 可靠, 稳定的解决方案来彻底地解决和改善目前的应用环境.
二、客户需求
1. 高可用性和热备功能
能够在通过对多台服务器进行负载均衡的同时, 不会因为一台服务器的宕机而导致整个系统的瘫痪. 负载均衡本身也可实现冗余, 达到多层冗余, 多层热备.
2. 可扩展性
能够在不改变网路环境的情况下, 简单的添加和移除应用服务器, 不影响整体应用的性能, 做到透明部署
3. 安全性
具备IDS/IPS等安全防护措施, 能够防范诸如DOS, DDOS等攻击, 确保后台服务不会因为黑客攻击等事件导致整个系统的瘫痪, 影响业务流程
4. 可管理性
丰富的日志, 报表功能, 简易高效的操作平台, 高效集中的管理模式, 省去了管理众多后台服务器而消耗的无谓时间以及人力资源
5. 高配置的硬件设备
千兆带宽, 多端口交换功能, 高容量的内存和缓存. 能够实现在主干网络上的拓扑, 不造成单点瓶颈
6. 灵活的负载均衡算法
灵活丰富的负载均衡算法能够确保在不同地应用环境中, 有效地分配网络流量, 充分利用服务器资源
7. 高带宽, 高并发连接能力
能够实现100,000 – 300,000 用户的同时在线, 千兆端口
三、梭子鱼解决方案
本方案中,考虑到证券行业目前的特殊性, 梭子鱼向XX证券公司提供两套解决方案, 以供根据实际应用和网络环境实现更合理化, 人性化的配置.
方案1:
▲
使用梭子鱼负载均衡440两台, 以服务器直接返回模式(DSR)将负载均衡设备接入网络
优势:
1. DSR模式为梭子鱼独有负载均衡工作模式, 是专门针对如证券行业此种对高并发连接数有严格要求的行业开发的模式.
2. 简单快速的网络搭建, 实现网络拓扑零改动
方案2:
▲
使用梭子鱼负载均衡机640两台, 以路由模式搭建
优势:
1. 640属于梭子鱼负载均衡设备运营商级别的高端型号, 拥有10个千兆端口, SSL加速, 支持150,000新建连接数, 15,000,000并发连接数, 无需交换机就可以实现高带宽的链路
2. 除增加IP网段, 无需改动网络结构
梭子鱼负载均衡机是提供本地的服务器群负载均衡和容错的产品,在充分利用现有资源以及对IT基础设施进行最小变动的前提下有效地进行流量的分配,从而提高服务器的处理性能。对客户端而言,这一切都是透明的。
两台梭子鱼负载均衡机做为一组, 对后台服务器提供负载均衡服务, 并且互为备份,采用“心跳”技术实时监控伙伴设备的同时, 也实现了负载均衡设备的负载均衡.能够避免SPOF和单点瓶颈的问题. 最大限度的发挥负载均衡的能力.
方案整体拓朴示意图如下:
方案1
方案总体设计
1. 将负载均衡机直接接入分布交换机, 在分布层进行负载均衡
2. 针对不同的服务分别架设两台的负载均衡设备以在负载均衡的同时
3. 在LB中建立虚拟IP,并将后台服务器与之绑定,形成虚拟服务.
方案2
方案总体设计
1. 在核心交换机和接入交换机之间架设负载均衡机, 在分布层进行负载均衡
2. 针对不同的服务分别架设两台的负载均衡设备以在负载均衡的同时, 实现双机热备, 提高整体性能和可用性
3. 在LB中建立虚拟IP,并将后台服务器与之绑定,形成虚拟服务。
四、梭子鱼解决方案的优势
1. IP及Cookie的会话保持
梭子鱼负载均衡机针对Windows终端服务提供了定制的负载均衡技术,可以选择采用IP或Cookie保持的方式,充分保证终端客户端的会话一致性,为电子商务等提供可靠的会话持续性。
2. 完全冗余镜像/“心跳”技术实时监控
梭子鱼负载均衡机的冗余配置非常简单的,它们之间不需要任何的特殊电缆相连,只要可以IP寻址到即可。物理拓朴为简单易行的路由模式。当一台梭子鱼负载均衡机由于检修或故障的原因停机后,这时另一台梭子鱼负载均衡机会以最快的速度接管其工作。
梭子鱼负载机秒级故障切换技术,确保了终端服务系统的不间断运行。
3. 先进的服务器管理技术
梭子鱼负载均衡机可以对不同性能的服务器进行加权计算,对性能好的服务器可以多分担一些流量。对有用户数限制的服务器,梭子鱼负载均衡机通过连接数限制技术,从而保证服务器连接不会超过限制,同时也保证了性能一般的服务器不会因为连接太多而宕机。
梭子鱼负载均衡主要有两种调度类型,三种动态权重调度方式。
加权轮巡策略(WRR)
轮巡是指将来自客户端的请求依次分配给服务器进行响应。但是由于服务器的性能并不完全相同,有的性能高,处理能力强;有的性能低,处理能力弱。因此简单的轮循对服务器不能做到“因材施用”,这就需要引入权重的概念。权重高的服务器将优先响应连接。
加权最小连接数策略(WLC)
最小连接数策略是指负载均衡机总是选择当前连接数最小的服务器响应客户端的请求。同样这种方式也没有考虑到不同服务器间性能的差异,而且没有考虑服务器当前的工作状态,因此无法做到“动态均衡”。
权重调度的方式(Adaptive Scheduling):
1 自定义方式。管理员根据服务器的性能,指定相应服务器的权重。
2 通过SNMP_CPU自动调整服务器权重。梭子鱼通过探测服务器CPU的负载自动调整权重,负载越低,权重约大。
3 通过LOAD_URL自动调整服务器权重,梭子鱼通过测试服务器打开LOAD_URL页面,根据该页面返回值(0-100)来自动调整权重。
4. 多层实时的服务器健康检查
梭子鱼负载均衡机会实时地对后台服务器进行健康检查,并决定在真实服务器不可用情况下服务如何处理。梭子鱼负载均衡机服务监控机制可以通过3/4层上(PING, PORT 等),以及7层 (DNS, HTTP, SMTP 等)来实现。
5. 扩充能力灵活
梭子鱼负载均衡机与任何品牌、使用界面、操作系统的网络服务器均兼容,在安装时完全不须改变企业原有的网路架构。当您为业务扩充而更新网络服务器,新设备只要与梭子鱼负载均衡机连接,您不须费时集成新旧设备、或统合协定机制。因此梭子鱼负载均衡机使您对网络服务器的投资更为灵活,随时依企业需求而弹性更新网络架构;若您的企业将扩张至全球,梭子鱼负载均衡机灵活的扩充能力,帮助您轻松添加全球服务的行列。
6. 集成IPS功能
梭子鱼负载均衡机装备了一个实时更新的入侵检测系统,通过梭子鱼动态更新机制即时获攻击规则库,可以保护被负载均衡的服务器抵御任何最新的基于连接的攻击,包括以下类型:
病毒扩散: 如NIMDA与红色代码这样的网络传播病毒
缓存区溢出: 一种常见的获取控制权的恶意攻击方式
协议相关:针对一些特定协议如SMTP、DNS或者LDAP的攻击.
应用相关:针对一些特定应用的攻击如IIS、Websphere、Cold Fusion或者 Exchange.
操作系统相关:针对已知的不同操作系统弱点的攻击,如微软Windows系统
7. SSL Offloading
SSL Offloading的加入能够将电子商务, 电子政务, 电子税务等网站的SSL密钥计算在负载均衡设备上完成, 有效地减少了应用服务器因为SSL计算而产生地负载, 更大程度地提升了整体应用性能.