应用交付网络优化技术

合集下载

信服云_应用交付概述和介绍V1

第9页
四层虚拟化服务
四层：纯转发。不解析协议，不修改包内容；前端（PC-AD）和后端（AD-SRV）是同一条连接，类似端口映射，只做NAT。抓包分析时：转发前后TCP层的tcp.id、tcp.seq和tcp.ack都不会变化，所以很容易通过这几个字段找到相对应的前后端连接。
第10页
七层虚拟化服务
第13页
SSL卸载
SSL卸载技术是通过将应用访问过程中SSL的加解密过程转到深信服AD设备之上，从而减少服务器端的性能压力，提升客户端的访问响应速度。深信服AD设备具有强劲的SSL处理能力，不但能够实现端到端的SSL加密，同时支持全面的加密算法配置，并可管理服务器证书。如下图所示。深信服AD设备通过对服务器的SSL卸载处理，在减少服务器性能消耗的同时，节省应用系统服务器数量，降低了业务系统的硬件投资，并大幅度缩短用户请求的响应时间从而极大提升了用户的访问体验。
第14页
SSL加密
为了保证做了SSL卸载后的内网数据安全或代理访问加密的SSL应用，我们可以配置[SSL加密策略]对访问该虚拟服务的流量做SSL加密处理后再和节点进行通信仅TCP文流量经AD后做SSL加密成加密流量去访问服务器端
第15页
第19页
HTTP改写策略
改写类型：配置改写的类型，可选请求改写或应答改写。源IP范围：配置访问虚拟服务的用户来源IP地址，可选所有地址、IP地址（单个IP、子网或地址范围）、用户地址集。高级匹配条件：配置匹配HTTP请求行、请求头部、应答行、应答头部或请求的证书变量的匹配条件，匹配上则执行相应的动作。若[高级匹配条件]选择请求行，则可选的字段包括 URI、METHOD 和 VERSION。 [URI]字段可设置条件是否等于、是否包含、是否通配符和是否正则匹配等，并设置相应的值；[METHOD]字段可设置条件为 GET 或者 POST；[VERSION]字段可设置条件为 HTTP/1.0 或者 HTTP/1.1。若[高级条件匹配]选择请求头部，则可选的字段包括 HOST、COOKIE、 USER_x0002_AGENT 和自定义。[HOST]、[COOKIE]、[USER-AGENT]和自定义字段，均可设置条件等于、包含、通配符和正则匹配，并设置相应的值。若[高级条件匹配]选择证书变量，则可选的字段包括 Version、Issuer、Subject、Common Name、EmailAddress、 Organization、Organizational Unit、Locality、State or Province、Country，其中[VERSION]字段可设置条件为 V1、 V2 或 V3

F5应用流量管理解决方案

F5应用流量管理解决方案F5应用流量管理解决方案是一种通过优化网络流量，提高应用性能和可靠性的解决方案。

它基于F5的应用交付控制器(ADC)技术，具有智能负载平衡、流量加速、应用安全以及全局服务的功能。

下面将以1200字以上的篇幅详细介绍该解决方案的核心特点和优势。

一、核心特点：1.智能负载平衡：F5应用流量管理解决方案提供了多种负载均衡算法，如基于轮询、权重、最少连接和快速响应时间的负载均衡算法。

它可以根据服务器负载情况动态调整流量分配，确保每个服务器都能够被充分利用，并且降低单个服务器的负载压力。

2.流量加速：该解决方案利用F5的SSL加速、GZIP压缩和缓存功能可以提高应用的传输速度，并减少带宽占用。

通过压缩传输的数据，可以大幅度降低网络传输的延迟，提高用户的网页访问速度。

3. 应用安全：F5应用流量管理解决方案提供了强大的应用安全功能。

它可以通过SSL访问控制、Web应用防火墙、DDoS防护等功能，确保应用系统的安全和可靠性。

它还可以对流量进行深度检查，过滤掉恶意请求，保护应用系统免受攻击。

4.全局服务：该解决方案支持全局负载均衡和服务发现功能，可以将流量动态分配到不同的数据中心和服务器上，提高应用的可用性和可靠性。

当一些数据中心或服务器出现故障时，它可以自动将流量切换到其他可用的节点上，确保应用系统的稳定运行。

二、优势：1.提高应用的性能和可靠性：通过优化网络流量和负载均衡，F5应用流量管理解决方案可以提高应用的响应速度和可用性。

它可以将流量智能地分配到不同的服务器上，确保每个服务器都能够被充分利用，并且在服务器出现故障时能够自动切换到其他可用的节点上。

2.降低带宽消耗：该解决方案利用压缩和缓存技术可以减少数据传输的大小，降低网络带宽的消耗。

通过减少数据传输的延迟，可以提高用户的访问速度，提升用户体验。

3.增强应用的安全性：F5应用流量管理解决方案具有强大的应用安全功能，可以对流量进行深度检查，过滤掉恶意请求，保护应用系统免受攻击。

应用交付控制：让应用在网络上运行得更好

事实上，ＳＳＬ对运算能力的要求相当
高，能会损害服务器的性能。此外，可ＳＬ加密会产生指数级的数据量，Ｓ所
用虚拟化方案、负载均衡方案、ＮＷＡ优化方案将会逐渐向 ” 用交付 ” 应融
合。户能够随时随地满足快速的、用安
析每一个送至服务器的请求，达到优化和加快速度的目的，使用其来过滤
技术同步发展。
网络架构，也不需修改应用程序，因此，如与一个小程序连接一样简单。就
现在的网络技术可以实现短暂的通信
它的存在，这样黑客就不会觉察到他
们的请求被过滤，也不会想到进而攻
以，在优化数据和减少数据量之后加密显然会更加合理。在这种方法下，即使用户通过速度较慢的网络（３网如Ｇ络）问应用程序，访数据也可以加密，而且，提升的反应时间将会带给用户
而且，Ａ在ＤＣ中加密数据可以确
入数据和用户查询的拦截能力，可以
增强安全性。而对于已经接受过的请求，于储存在数据库中，次的传输由再
保所有数据都经过加密，即使这些数
据源自多个不同的服务器。如果服务
一
击ＡＣ，Ｄ或者绕过它直接去攻击服务器本身。
因此，对于一个企业来说，ＤＣＡ是一个必需的组成成分，设置于本地

ADN

Applications & Storage
BIG-IP® Local Traffic Manager
BIG-IP® WebAccelerator
BIG-IP® Edge Gateway ARX® File Virtualization FirePass® SSL VPN
BIG-IP® Link Controller
© F5 Networks
F5产品全系列
International Data Center
Enterprise Manager™ Users BIG-IP® Global Traffic Manager BIG-IP® Application Security Manager BIG-IP® Access Policy Manager
防火墙负载均衡解决方案
Internet 接入
接入交换机
接入交换机
二层交换机
二层交换机
防火墙
防火墙
二层交换机
二层交换机
核心交换机
核心交换机
© F5 Networks
竞争惨烈 • • • • • • 深信服 Radware A10 Array Citrix 。。。。。。
© F5 Networks
关键词2_快速
Encrypted HTTPS
HTTP
© F5 Networks
HTTP压缩处理提高页面打开速度
明文数据： <acc> 2234234234234234234234James 2342342342342356567983738627 </acc>
客户端
压缩数据： ×&×…&%…& Ygh’gThkjdf*&

应用交付之广域网优化分解

应用交付之广域网优化分解服务器优化技术已经成为企业多年重点关注的问题，大多数企业通过提升服务器性能、服务器群、服务器负载均衡技术等方法来解决服务器处理性能。

但在大多数服务器处理性能提高后，还是有许多外网用户访问服务器资源时响应慢的现象，主要是因为新的基于Internet的应用程序的广泛普及，而这些新的应用的发展速度远远超过了广域网带宽的发展速度。

这就好比车辆进站，车站里现在可用的车位还很多，去往城里的道路也有许多条，而需要进站的车辆也更多了，但是道路依然狭窄导致道路出现拥塞，所以车辆进站会很缓慢。

结合此问题我们来介绍广域网优化的方法。

广域网优化是部署在数据中心或企业的一组设备或软件，通过使用流量控制、流量压缩、流量缓存和协议优化等技术来提高应用或WAN的性能，进而改善关键应用的响应时间，帮助企业实现最大投入产出比。

就广域网上业务交付的稳定性和快速性，以及互联网用户的访问体有验的角度来看，广域网优化技术可分为：1、减少带宽占用率-----从大多数企业部署了广域网优化产品后，企业带宽减少了65% - 80%，这一效果来源于应用/协议优化、网络环境优化和广域网优化供应商，而与用户访问的规模无关。

2、业务交付的稳定性和快速性------ 广域网优化产品中的高速缓存、流量压缩以及对TCP协议优化（TCP加速）功能，能显著提高互联网用户访问的稳定性和快速性。

3、互联网用户的访问体验-----广域网优化产品能够改善广域网访问的延时，对应用层和网络层协议和数据进行优化，提高互联网用户对不同类型应用的访问体验。

4、广域网优化管理-----通过部署广域网优化产品，能使IT管理人员更加清晰的了解网络当前的使用情况，保障用户关心的应用流量，抑制不关心的流量对有限带宽的占用率，提高整个网络的利用率，让有效的广域网带宽得到合理的利用。

广域网优化技术1、数据缓存技术高速缓存技术很早就出现，它主要用来解决带宽瓶颈、应用延迟问题。

f5解决方案

f5解决方案
《F5解决方案：优化网络性能，保障安全》
F5 Networks是一家专注于应用交付网络和安全解决方案的公司，其解决方案不仅可以优化网络性能，还可以保障网络安全。

F5的解决方案不仅可以帮助企业提升网络速度和可靠性，还
可以防范各种网络安全威胁。

F5的解决方案主要包括以下几个方面：
1. 应用交付网络：F5的应用交付网络解决方案可以帮助企业
提升应用的可用性、可靠性和安全性，确保用户能够快速而安全地访问企业的应用。

通过使用负载均衡、流量管理、加速和安全特性，F5的解决方案可以实现优化企业的应用交付网络，提升用户体验。

2. 安全防护：F5的安全解决方案可以为企业提供全面的网络
安全防护，包括网络防火墙、DDoS防护、SSL加密解密以及
身份认证等功能。

通过使用这些安全特性，企业能够保护自己的网络免受各种网络安全威胁的侵害，确保网络安全稳定。

3. 云端应用支持：随着企业越来越多地将应用部署在云端，
F5的解决方案也提供了专门的云端应用支持，可以帮助企业
对云端应用进行流量管理、安全保护和性能优化，确保云端应用的可靠性。

总的来说，F5的解决方案可以为企业提供全面的网络性能优
化和安全保障，帮助企业提升网络效率、降低风险，是企业构建健康网络基础架构的重要推手。

应用交付

应用交付目录一,应用交付概念二，应用交付媒体报道三，应用交付行业趋势四，应用交付基础构件五，应用交付厂商编辑本段一,应用交付概念所谓“应用交付”，实际上就是指应用交付网络（Application Delivery Networking，简称ADN），它利用相应的网络优化/加速设备，确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。

从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性。

应用交付应是多种技术的殊途同归，比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重。

由于应用交付是将关键应用与基础网络设备相关联的系统解决方案，因此，随着市场认知度的逐渐增强，应用交付（ADC）引起了传统的网络技术厂商的极大关注。

ADC是传统的网络负载均衡的升级、扩展，它是一种综合的交付平台设备，其综合了负载平衡、TCP优化管理、链接管理、SSL VPN、压缩优化、智能网络地址转换、高级路由、智能端口镜像等各种技术手段的综合平台。

目前企业越来越依赖先进的应用交付网络解决方案，以确保在当今日新月异的业务环境中保持充分的 IT 灵活性，通过在可扩充的ADC 平台上提供可调整的安全性、高可用性和优化性。

中国应用交付市场的主要客户群分布在金融、电信、互联网等行业以及大中型IT企业，这些客户多依赖先进的IT技术来支撑业务运营和各种客户服务。

编辑本段二，应用交付媒体报道计世资讯调查结果显示，2009年上半年中国应用交付ADC的市场规模达到2.28亿元，同比增长12.3％。

图表1 2009年上半年中国应用交付ADC 的市场规模计世资讯计世资讯计世资讯调查结果显示，2009年上半年中国应用交付ADC的市场品牌结构中，按照销售额份额统计，排名前五位的厂商依次是F5、Radware、Citrix、Array、Cisco，其中F5以25.2%的市场份额排名第一，Radware 以20.1%的市场份额排名第二，Citrix以19.2%的市场份额排名第三，Array 以18.1%的市场份额排名第四，Cisco以9.5%的市场份额排名第五。

深信服应用交付(负载均衡)解决方案

服务器
数据库
Database Database Database
Database Database Database
物理架构
&
WEB层
APP层
数据库
Database Database Database
Database Database Database
虚拟化 OpenStack管理
链路负载解决方案
SSL加密和SSL卸载
支持SSL加密技术，能够通过加密算法实现端到端的加密，同时通过SSL卸载减轻
后端服务器压力。
证书透传
支持证书字段的信息透传与过滤（HTTP Header、Cookie、URL
等方式），保持认证一致性
安全
RSA算法和国密算法
支持国际通用密码算法（RSA算法），支持国家商用密码算法 SM1-SM4, 并拥有国家密码管理局批准的《商用密码产品型号证书》
重要信息被监听和窃取
应用访问慢，影响用户体验
影响网络和应用高பைடு நூலகம்量交付因素
客户端
Data
ISP
SEVER
base
链路故障，应用不可用跨运营访问，访问体验差
应用受到哪些威胁服务器故障，应用不可用
服务器故障，服务器不响应
应用假死，应用无响应
数据库故障，应用无响应
HTTP访问，应用不安全
写入压力大，应用响应慢
应用交付价值:提升应用访问的高效性
灵活的算法
通过各种灵活的算法保障在大流量、高并发的场景下也能合理分配，提升访
问的高效性。
TCP连接复用
加快了客户端与后台服务器之间的连接处理速度，提高应用系统的处理能

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

SACC2011
ＡＤ新一代软硬件架构
X86硬件发展日新月异，I/0带宽吞吐能力早已不是吴下阿蒙。高端芯片早已废弃南北桥架构，使用QPI，NUMA结构，大幅提高I/0吞吐，CPU之间带宽也大为提高。 X86早已独自完成L4SW/L7SW 10 G 线速。NP技术发展日益成熟，4层转发性能可
SACC2011
AD软硬件架构的演化—过去的１０年
软件LINXU，VXWORKS 核心硬件：X86
•连接的一个包，L4层加速芯片找不到对应的SESSION，该包上送到X86，X86执行对应的 session创建、路由、L4SW的处理，完成后将该session信息下发给L4层芯片。 •连接的其他包，L4层加速芯片能找到对应的SESSION，执行相应的NAT 操作以及MAC地址的更新，直接将包通过2层交换片发送出去。注意此种情况下数据包再也不用上送到X86，节省了X86的计算资源，达到较高L4层性能。 •在2002年左右,当时X86的南北桥架构导致I/0 带宽受限,PPS性能上不去 ,L4SW必须借助 FPGA 或ASIC才能达到10 G的性能,这在当时是一个很先进的架构. •问题: 硬件架构复杂 ,L2 SWITCH 与FPGA带宽受限,连接方式不可靠,甚至用网线连接.
节省服务器计算资源 HTTP压缩节省大量昂贵的接入带宽
SACC2011
目录
从负载均衡(LB)到应用交付(AD) 服务器性能优化技术 TCP单边加速流缓存用户体验感知
SACC2011
智能DNS：单数据中心多链路
优点：多链路：解决南北网通互通问题，高效访问！通过监视服务器及ISP链路的状况，及时将流量引导到正常的服务器和ISP链路上。缺点：不能提供数中心级容灾与备份。只能提供ISP级的就近性，不能提供ISP+地理位置的究竟性 SACC2011
应用交付不再局限于传统负载均衡负载分发功能服务器压力卸载：TCP连接复用、SSL卸载、HTTP内
存缓存、HTTP压缩
从LB到AD
SACC2011
L4SW:四层负载均衡基本原理
L4SW的特点: 只能依据服务器的连接数或流量执行负载均衡算法,比如轮转,
加权轮转,最小流量等算法.
会话保持只能使用源IP 总之,L4SW只能依据4层及以下的信息执行负载均衡和会话保持,LB 执行
SACC2011
用户体验感知
数据中心有大带宽，一流的应用交付器，强劲的服务器，客户访问体验一定好？
客户老是抱怨访问速度慢，到底是什么原因？带宽不够？丢包及延迟太大？还是
应用有问题需要优化？
更大的挑战
• 网络设备和服务器越来越多
• 大量的时间花费在故障排查上 • 缺乏预警机制，事后排查业已造成损失 • 无法获知全局流量的分布 • 速度慢、页面打不开，问题到底在哪里？
网络优化
负载均衡应用性能管理广域网加速
SACC2011
谢谢
SACC2011
智能DNS：分布式数据中心+多链路
多中心动态切换：全业务实时监测健康最佳用户体验：动态最优路径选择
SACC2011
智能DNS: 基础设施
向ISP申请将域名的解析交给智能AD 每个数据中心都要向其他数据中心实时通告本数据中心的链路健康状况、流量状况、以及服务器压力状况；同时每个数据中心还主动监视其他数据中心的服务健康状态，相对ＢＩＮＤ的优势之一。
SACC2011
流缓存技术——广域网加速
数据中心
APP3 APP2 OS APP3 APP1 OS APP2 OS OS APP1 OS OS
专网/互联网
WOC/VPN
WOC/VPN
提升传输速度的同时，保证数据中心内容的更新及时性
SACC2011
目录
性能优化技术智能DNS TCP单边加速流缓存
智能DNS——动态就近性算法
智能DNS动态就近性：当静态就近性规则不能满足需求时，就是用动态就近性。比如一个国外的用户来访问，地理及ISP就近性就不能解决问题了，怎么办？动态就近性就派上用场了。
SACC2011
目录
从负载均衡(LB)到应用交付（AD) 服务器性能优化技术智能DNS 流缓存用户体验感知
应用交付网络优化技术
Upgrade Your Netwrok With
张洲亭
深信服应用交付产品首席架构师
SACC2011
应用交付网络优化技术
SACC2011
目录
服务器性能优化技术智能DNS TCP单边加速流缓存用户体验感知
SACC2011
从负载均衡(LB)到应用交付(AD)
时延(ms) 丢包(%) 正常速率(KB/s) 加速后(KB/s) 正常耗时(秒) 加速后(秒) 本地网络异地网络异地较差网络 20 250 250 0.1 2 5 364 44.367 24.13 369 115.33 87.23 28 234.66 426.67 26.82 89.66 117.67
SACC2011
TCP单边加速
问题：无线网络丢包延迟较高超长距离（跨洲、跨国)传输丢包、延迟高高峰期丢包严重功能：改善高丢包和高延迟下的TCP传输效率无需安装任何客户端插件提升在线视频、图片等大文件访问速度。
SACC2011
TCP单边加速——效果
3Mbps专线发送10MB大小文件
SACC2011
目录
从负载均衡(LB)到应用交付(AD) 智能DNS TCP单边加速流缓存用户体验感知
SACC2011
服务器性能优化技术
在数据中心内部，AD设备能为服务器做点什么？
1.TCP连接复用 2.HTTP内存缓存 3.HTTP压缩 4.SSL卸载
作用
消减服务器的数量，直接减少软硬件的投资，减少维护费用，并且节能环保！
服务器内存占用率 248/3415 251/3415 251/3415
SACC2011
HTTP内存缓存
内存缓存将内容直接锁定在内存中，不会swap到磁盘上，最大限度减少响
应时间
缓存行为完全满足HTTP协议规范节省服务器大量计算资源
SACC 硬件加速卡
NAT以及CHECKSUM的动作.
L4SW的代表:LVS .优点:免费;缺点: 实现方式很迂回,性能较低,尤其难以发挥 X86多核的性能.
SACC2011
L7SW: AD的基础
按7层信息执行负载均衡及会话保持 .相对L4SW更灵活.URL HASH,COOKIE等分析应用层信息,是实现应用层防火墙的基础,也是实现HTTP缓存,压缩,SSL 卸载等服务器优化的基础. 执行TCP代理,是TCP连接复用的基础. L7SW的设计的最大挑战: 1. TCP代理的高新建速度及大并发 2. 复杂的附加业务逻辑的整合 3. 稳定性
智能DNS 配置文件全局同步功能，只要在一个数据中心上更改配置，其他数据中心上的相应配置自动更新。
SACC2011
智能DNS——静态就近性访问
智能DNS根据用户的LDNS IP 的地理位置、ISP属性来判断应该返回哪个IP个用户。智能DNS直接使用用户配置的规则来解析DNS请求内置全球各地IP 地址段，国内最全的ISP地址段，并且具有地址段自动更新功能，方便客户配置 SACC2011
以达到双向80G。
我们的方案：１０Ｇ以下平台 FPGA＋L2Switch Linux软件优化关键： 1. SMP->AMP 2. 控制面与数据面分离 3. 摒弃Linux中断及下半部机制，以轮询模式代替中断模式 4. 稳定性的关键：ALL IN LINUX USER SCOPE ，用纯Ｘ８６，以上平台用X86＋NP，取代X86＋
SACC2011
技术原理
HTTP 4XX HTTP 5XX
连接建立异常 RST、重传异常窗口大小异常
TTL异常
MAC错误
SACC2011
用户体验感知
SACC2011
应用交付网络优化技术
SACC2011
SANGFOR 深信服
网络安全
上网行为管理 IPSec VPN SSL VPN 下一代防火墙
SACC2011
TCP连接复用
状态服务器默认状态禁用连接池启用连接池
客户端每秒连接数 / 1.4W 1.4W
客户端吞吐量 / 200mbps/58 mbps 200mbps/58 mbps
客户端响应时间 / 1.216ms 0.6ms
服务器每秒连接数 / 1.4W 250
服务器 CPU占用率 0 80% 40%
10Mbps专线发送10MB大小文件
时延(ms) 丢包(%) 正常速率(KB/s) 加速后(KB/s) 正常耗时(秒) 加速后(秒)
本地网络异地网络异地较差网络 20 250 250 0.1 2 5 1218.56 43.17 24.87 1225.32 111.67 86.23 8.4 237.67 385 7.9 92 119
SACC2011
TCP单边加速原理
优化慢启动及拥塞避免算法！实时、准确的计算两点之间的带宽，以最合适的速率发送数据！准确的丢包判断，只重传实际被丢掉的包,减少CPU、带
宽、传输时间的浪费！
SACC2011
目录
从负载均衡(LB)到应用交付（AD) 服务器性能优化技术智能DNS TCP单边加速用户体验感知