网络安全 频道

梭子鱼负载均衡机在中间件系统中的应用

  一、客户(项目)背景

  随着中国加入WTO,国内电信市场的竞争日益加剧。为了能够提供更多的服务与开展各种增值业务,降低经营成本,用新技术改造传统业务模式,提高企业效益和市场竞争能力,XXX电信启动了电子商务平台建设工程,这是目前国内最大的电子商务工程项目之一。IBM的websphere系列产品经过激烈竞标,成为XXX电信电子商务平台的基础架构软件。

  XXX电信是国内业务种类最为齐全的大型电信运营服务商,拥有大量的移动用户通信,有着完善的基础网络设施,有覆盖全国的传输网和基于传输平台的ATM数据网以及建设中的移动数据网,所有这些都为电子商务的开展提供了有利的条件。

  XXX电信电子商务平台包括CA认证系统、支付网关、业务平台、应用系统等,将在总部和遍布全国的分公司分期开展建设。XXX电信电子商务主要提供的业务包括:

  ·网上营业厅

  ·网上购物

  ·手机小额支付

  ·安全应用

  ·证券交易系统

  IBM中间件以其独特的安全机制、简便快速的编程风格、卓越不凡的稳定性、可扩展性和跨平台性,以及强大的事务处理能力和消息通讯能力,成为业界市场占有率最高的消息中间件产品。充分利用和整合现有的软硬件资源,基于IBM WebSphere应用服务器,建设一个统一的应用支撑平台(基于J2EE规范实现),提供一个高性能、可用、可靠、可扩展和可管理的业务系统平台。同时由于整个电子商务平台系统中, 牵涉到了大量的web应用服务器, WAS应用服务器以及数据库服务器, 负载均衡设备显得尤为重要.

  二、客户需求

  1. 高可用性和热备功能

  能够在通过对分层的应用服务器进行负载均衡的同时, 不会因为一台服务器的宕机而导致整个系统的瘫痪. 负载均衡本身也可实现冗余, 达到多层冗余, 多层热备.

  2. 可扩展性

  能够在不改变网路环境的情况下, 简单的添加和移除应用服务器, 不影响整体应用的性能, 做到透明部署

  3. 安全性

  具备IDS/IPS等安全防护措施, 能够防范诸如DOS, DDOS等攻击, 确保后台服务不会因为黑客攻击等事件导致整个系统的瘫痪, 影响业务流程

  4. 可管理性

  丰富的日志, 报表功能, 简易高效的操作平台, 高效集中的管理模式, 省去了管理众多后台服务器而消耗的无谓时间以及人力资源

  5. 高配置的硬件设备

  千兆带宽, 多端口交换功能, 高容量的内存和缓存. 能够实现在主干网络上的拓扑, 不造成单点瓶颈

  6. 灵活的负载均衡算法

  灵活丰富的负载均衡算法能够确保在不同地应用环境中, 有效地分配网络流量, 充分利用服务器资源

  7. 实现SSL加速功能, 提高电子商务运作效率

  三、梭子鱼解决方案

  本方案中,考虑到整个电子商务平台是以中间件为基础架构搭建起来的, 实现分层业务控制, 梭子鱼建议XXX电信采用多台负载均衡设备组合, 对每一层的应用服务器进行负载均衡.

  使用梭子鱼负载均衡440两台, 以服务器直接返回模式(DSR)将负载均衡设备接入网络

  优势:

  1. DSR模式为梭子鱼独有负载均衡工作模式, 是专门针对如证券行业此种对高并发连接数有严格要求的行业开发的模式.

  2. 简单快速的网络搭建, 实现网络拓扑零改动

  梭子鱼负载均衡机是提供本地的服务器群负载均衡和容错的产品,在充分利用现有资源以及对IT基础设施进行最小变动的前提下有效地进行流量的分配,从而提高服务器的处理性能。对客户端而言,这一切都是透明的。

  两台梭子鱼负载均衡机做为一组, 对应用服务器提供负载均衡服务, 并且互为备份,采用“心跳”技术实时监控伙伴设备的同时, 也实现了负载均衡设备的负载均衡.能够避免SPOF和单点瓶颈的问题. 最大限度的发挥负载均衡的能力.

  方案整体拓朴示意图如下:

三、梭子鱼解决方案

  方案总体设计

  1. 将负载均衡机直接接入核心交换机和千兆交换机

  2. 对web应用进行DSR模式的配置, 防火墙进行端口映射, 将web请求直接转向梭子鱼负载均衡集群

  3. 在千兆交换机上接入另一组负载均衡集群, DSR模式负载均衡websphere应用服务器

  4. 同时, 对2台数据库服务器实现主次关系的服务器冗余.

  四、梭子鱼解决方案的优势

  1. IP及Cookie的会话保持

  梭子鱼负载均衡机针对Windows终端服务提供了定制的负载均衡技术,可以选择采用IP或Cookie保持的方式,充分保证终端客户端的会话一致性,为电子商务等提供可靠的会话持续性。

  2. 完全冗余镜像/“心跳”技术实时监控

  梭子鱼负载均衡机的冗余配置非常简单的,它们之间不需要任何的特殊电缆相连,只要可以IP寻址到即可。物理拓朴为简单易行的路由模式。当一台梭子鱼负载均衡机由于检修或故障的原因停机后,这时另一台梭子鱼负载均衡机会以最快的速度接管其工作。

  梭子鱼负载机秒级故障切换技术,确保了终端服务系统的不间断运行。

  3. 先进的服务器管理技术

  梭子鱼负载均衡机可以对不同性能的服务器进行加权计算,对性能好的服务器可以多分担一些流量。对有用户数限制的服务器,梭子鱼负载均衡机通过连接数限制技术,从而保证服务器连接不会超过限制,同时也保证了性能一般的服务器不会因为连接太多而宕机。

  梭子鱼负载均衡主要有两种调度类型,三种动态权重调度方式。

  加权轮巡策略(WRR)

  轮巡是指将来自客户端的请求依次分配给服务器进行响应。但是由于服务器的性能并不完全相同,有的性能高,处理能力强;有的性能低,处理能力弱。因此简单的轮循对服务器不能做到“因材施用”,这就需要引入权重的概念。权重高的服务器将优先响应连接。

  加权最小连接数策略(WLC)

  最小连接数策略是指负载均衡机总是选择当前连接数最小的服务器响应客户端的请求。同样这种方式也没有考虑到不同服务器间性能的差异,而且没有考虑服务器当前的工作状态,因此无法做到“动态均衡”。

  权重调度的方式(Adaptive Scheduling):

  1 自定义方式。管理员根据服务器的性能,指定相应服务器的权重。

  2 通过SNMP_CPU自动调整服务器权重。梭子鱼通过探测服务器CPU的负载自动调整权重,负载越低,权重约大。

  3 通过LOAD_URL自动调整服务器权重,梭子鱼通过测试服务器打开LOAD_URL页面,根据该页面返回值(0-100)来自动调整权重。

  4. 多层实时的服务器健康检查

  梭子鱼负载均衡机会实时地对后台服务器进行健康检查,并决定在真实服务器不可用情况下服务如何处理。梭子鱼负载均衡机服务监控机制可以通过3/4层上(PING, PORT 等),以及7层 (DNS, HTTP, SMTP 等)来实现。

  5. 扩充能力灵活

  梭子鱼负载均衡机与任何品牌、使用界面、操作系统的网络服务器均兼容,在安装时完全不须改变企业原有的网路架构。当您为业务扩充而更新网络服务器,新设备只要与梭子鱼负载均衡机连接,您不须费时集成新旧设备、或统合协定机制。因此梭子鱼负载均衡机使您对网络服务器的投资更为灵活,随时依企业需求而弹性更新网络架构;若您的企业将扩张至全球,梭子鱼负载均衡机灵活的扩充能力,帮助您轻松添加全球服务的行列。

  6. 集成IPS功能

  梭子鱼负载均衡机装备了一个实时更新的入侵检测系统,通过梭子鱼动态更新机制即时获攻击规则库,可以保护被负载均衡的服务器抵御任何最新的基于连接的攻击,包括以下类型:

  病毒扩散: 如NIMDA与红色代码这样的网络传播病毒

  缓存区溢出: 一种常见的获取控制权的恶意攻击方式

  协议相关:针对一些特定协议如SMTP、DNS或者LDAP的攻击.

  应用相关:针对一些特定应用的攻击如IIS、Websphere、Cold Fusion或者 Exchange.

  操作系统相关:针对已知的不同操作系统弱点的攻击,如微软Windows系统

  7. SSL Offloading

  SSL Offloading的加入能够将电子商务, 电子政务, 电子税务等网站的SSL密钥计算在负载均衡设备上完成, 有效地减少了应用服务器因为SSL计算而产生地负载, 更大程度地提升了整体应用性能.

0
相关文章