李飞：深信服应用交付网络技术应用与实践

2012/9/17A-PDFWatermarkDEMO:Purchasefromwww.A-PDF.comtoremovethewatermark应用交付网络技术应用与实践ApplicationDeliveryNetworkingSACC2012SACC2012 应用交付的网络挑战一次完整的业务交付过程，涉及从用户到网络、应用系统的端到端过程，任何一段的风险都会对业务成功交付造成影响用户网络应用系统用户网络应用系统潜用户端网络中断跨运营商、移动互联网WEB、数据库故障在终端性能不足网络时延过大服务器性能瓶颈风终端类型TCP重传率过高HTTP4XX/5XX错误险用户出口带宽不足上下行带宽利用率过高页面元素过大 应用交付网络应用交付网络(ApplicationDeliveryNetworking，简称ADN)利用相应的网络优化技术，确保用户的业务应用能够稳定、快速、安全地交付给业务应用的使用者手中。高可靠：高性能：L4/L7SW服务器集群智能DNSTCP连接池SSL加速Cache、Gzip快速：单边加速SACC2012SACC2012双边加速智能DNS L4/L7SW动态负载均衡策略高性能硬件平台应用级健康检查会话保持业务保障SANGFORAD提供应用级的负载均衡•负载算法：多种静态、动态的L4-L7负载算法，基于选择最佳计算资源进行分配•应用级深度健康检查：基于应用协议和应用内容的健康检测•会话保持：IP、Cookie、HTTP-Header、Radius减少宕机时间、动态增减资源 L4SW原理只能依据服务器的连接数或流量执行负载均衡算法,比如轮转,加权轮转,最小流量等算法。会话保持只能使用源IPL4SW只能依据4层及以下的信息执行负载均衡和会话保持,LB执行NAT以及CHECKSUM的动作。SACC2012SACC2012 L7SW原理JSPserverc.jspa.gifGIFserverindex.htmc.jspa.gifindex.htmHTMLserver按7层信息执行交换及会话保持.相对L4SW更灵活.URLHASH,COOKIE等分析应用层信息,实现按内容调度。执行TCP代理。 软硬件L4/L7SW简单对比硬件设备软件+Linux（SANGFOR、F5、Citrix等）（Nginx、LVS等）LoadBalance算法丰富：如最小用户数流算法：轮询量连接数等。支持应用：web支持应用丰富：web、数据库等健康检查支持：TCP、HTTP、自定义等简单健康检查其他功能支持IPv6网关不支持支持性能优化功能部分支持费用较高便宜服务购买服务无SACC2012SACC2012 实践——某网站典型L4/L7SW架构外网IP：61.1.1.1虚拟服务：vs_squidL7SW，动态PHP请求L7SW，需被缓存的URL分配到Nginx服务器群分到Squid服务器群内网IP：192.168.1.1默认网关内网虚拟IP：192.168.1.2虚拟服务：vs_webSquid缓存未命中，请求后端Nginx虚拟IP内网虚拟IP：192.168.1.3Memcached虚拟服务：实时读写vs_MySql_slaveL4SW、健康检查MySQL只读操作MySQL只写操作同步 性能优化TCP复用RamCacheSSL加速HTTP压缩•降低服务器负载•减少服务器访问量•集中卸载管理SSL•有效提升用户访问速度SACC2012SACC2012 TCP连接复用HTTP1.1基于连接的TCP复用机制SANGFORAD提供基于连接的TCP复用机制•通过将众多客户端连接请求捆绑后，复用相对较少的服务器TCP连接。•不需要改变任何网络构造，也不需要增加组织的硬件投资成本。•减少服务器的工作负荷，从而提高服务器的处理能力。•适用与大量的连接建立/拆卸的应用。 TCP连接复用原理AD自始至终，server只建clientAclientBServer立了一条连接1tcp三次握手2http_rqst#1只要rply发送3tcp三次握手完成，AD就可以复用这条4http_rqst#1连接了5http_rply#16http_rply#17tcp三次握手8http_rqst#29http_rqst#210http_rply#211http_rqst#312http_rqst#313http_rply#3SACC2012SACC201214http_rply#3 实践——某旅游网站直接访问服务•服务器：Dell710，4x4核通过AD器IntelE5620CPU，主频2.4GHz，内存16GB发送请求总数17347901739654•软件平台：成功请求数8944641739418Window2003/IIS6.0•测试工具:Spirent性能提升效果N/A95%Avalanche2700C不成功请求数840326236不成功请求比例48.4%0.0%页面响应时间注1(ms)1176925478设备CPU利用率N/A<10%服务器并发连接数60000576客户端并发连接数80000140000TCP复用效率N/A243:1 内存缓存Get/images/a.gifGet/images/a.gifHTTP200a.gifHTTP200a.gifGet/images/a.gifHTTP200a.gifSANGFORAD提供基于内存的HTTP缓存•基于内存的反向代理Cache功能，在内存中以数据包的形式缓存网站等相关资源的页面内容；•采用内存缓存和包存储结构的方式，通过动态调整缓存空间提供远比其它缓存产品更快速的响应速度；•降低用户访问对后台服务器的负载压力。降低服务器负载提升响应速度SACC2012SACC2012 HTTP压缩明文数据：压缩数据：2234234234234234234×&×…&%…&234James2342342342342356Ygh’gThkjdf*&5679Response:20KBResponse:100KBSANGFORAD提供HTTP压缩功能•通过标准的HTTP压缩规范自动识别客户端对Gzip或Deflate压缩算法的支持情况，并能够实现对数据动态压缩。•高端平台内置有硬件压缩芯片，可达到上Gbps的实时数据压缩处理•能在最大程度上节省组织的互联网带宽，缩短用户下载内容的等待时间，更减轻了Web服务器的压力，节省硬件投资成本，提升用户的访问体验。减少网络中实际传输数据量提升访问速度 SSL卸载CA服务器证书密文数据明文数据SANGFORAD提供SSL卸载功能•SSL加密通道提供高级别安全加密•高端平台内置有SSL卸载芯片，可达到50000TPS•完善的SSL证书验证体系支持，支持标准格式证书导入，提供加密通道•卸载服务器SSL处理性能问题SACC2012SACC2012 智能DNS技术User判断LocalDNS所返回对应IP地址属运营商给LocalDNSISP1LocalDNSISP2智能DNS设备返回NS记录ROOTDNS智能DNS会判断用户的来路，而做出一些智能化的处理，然后把智能化判断后的IP返回给用户•快速性：实现用户就进接入•稳定性：检查健康状态，实现节点和链路HA 智能DNS技术•静态就近性：根据LocalDNS所属运营商的地址返回IP，内置全球地址库，实时动态更新•动态就近性：通过综合考虑与LocalDNS之间的跳数（Hops）、网络延迟（Latency）和链路的实时负载（Load），准确计算出最佳路径。•健康检查：通过链路、应用和设备之间的健康检查，实现HASACC2012SACC2012 实践——某第三方支付SANGFORAD将用户流量无缝导向最优的数据中心•多中心动态切换：全业务实时监测健康•最佳用户体验：动态最优路径选择LocalDNSuserSANGFORAD TCP单边加速TCP单边加速单边加速技术：•跨国、跨运营商、移动互联网访问存在丢包•在存在丢包网络，传统TCP协议效率低下，影响用户访问速度•TCP单边加速改进拥塞控制算法和丢包重传机制，提升TCP协议效率•单边部署，单向加速，对客户端透明网络传输效率提升300%SACC2012SACC2012 TCP单边加速原理优化慢启动及拥塞避免算法实时、准确的计算两点之间的带宽，以最合适的速率发送数据准确的丢包判断，只重传实际被丢掉的包,减少CPU、带宽、传输时间的浪费 TCP单边加速测试效果3Mbps专线发送10MB大小文件时延(ms)丢包(%)正常速率(KB/s)加速后(KB/s)正常耗时(秒)加速后(秒)本地网络200.13643692826.82异地网络250244.367115.33234.6689.66异地较差网络250524.1387.23426.67117.6710Mbps专线发送10MB大小文件时延(ms)丢包(%)正常速率(KB/s)加速后(KB/s)正常耗时(秒)加速后(秒)本地网络200.11218.561225.328.47.9异地网络250243.17111.67237.6792异地较差网络250524.8786.23385119SACC2012SACC2012 实践——某证券 双边加速双边加速双边加速技术•双边部署设备，适合数据中心同步，自建CDN•流缓存：削减冗余数据，降低带宽占用，提升应用速度。•流量控制：保障重要应用的带宽，如视频会议。•链路优化：内置HTP（TCP/UDP）技术，能够有效提升链路质量。•应用加速：针对具体应用（HTTP、数据库、FTP、文件共享、视频会议等）进行协议代理，提升具体应用的访问速度SACC2012SACC2012 双边加速——流缓存 双边加速——TCP代理SACC2012SACC2012 双边加速应用场景Web层：TCP、HTTP连接优化InternetorWANApp层：ERP、OA、SANGFORSANGFORMail、Vmotion……WOCWOCData层：Oracle、MSSQL、DB2、EMC、NetApp……•数据优化：结合基于码流特征的数据优化、动态流压缩技术，可实现流量30-80%的削减•应用优化：交互优化，加快响应，提升速度•传输优化：针对延时、丢包进行优化，提升访问速度 实践——某第三方支付文件名文件类不加速网络加速之后网文件大小无加速加速第一次节省时间称型实际速率路实际流速DRBD4.3G1小时3分节省时间9分DB2测数据库54分28秒50m/s14m/s56钟试数据文件HADRDB2测数据库4.3G5分53秒5分50秒节省时间3秒40m/s12m/s试数据文件•两个数据中心分别部署SANGFORWOC设备，专线正常时对专线数据加速，专线故障时切换到VPN。•整网设备启用应用加速、数据削减、网络传输优化等加速优化功能，保障访问效果SACC2012SACC2012。 监控应用交付效果网络观测点业务系统主动监控•通过标准协议（如SNMP）以及模拟真实请求（如HTTPGET）获取网络设备和业务系统状态被动监控•采用旁路方式部署，通过对镜像的数据包进行分析，业务系统在网络中的真实应用情况。28 网络性能分析多维度维度分析网络性能监控各个用户、分支、专线、应用等网络质量，对用户->观测点段与观测点->服务器段的网络质量进行对比分析，分析时延、抖动、重传等关键指标，对TCP传输的主要指标进行分析。SACC2012SACC2012 具体Web应用监控具体IP来源慢页URL/网慢页加载时间页标题/服务器时间所属分支 深信服（SANGFOR）公司规模•2000年成立，总部在深圳；•国内2个分公司、35个直属本事机构，国外7个分支《德勤》•1200员工•16000家客户，覆盖政府、运营商、金融、电力等连续5年中国高科技高成长50强业界领先•2011年中国ADC市场占有率第第四（Frost&Sullivan）•2011年中国内容安全市场占有率第一（IDC）•2011年中国VPN市场占有率第一（IDC）•2011年中国WOC市场占有率第二（Frost&Sullivan）•2011年中国网络安全市场魔力四象限前三（Frost&Sullivan）研发和服务能力•研发人数占40%，通过CMMI认证•客户服务体系ISO9001认证，深圳、长沙两个CTI呼叫中心•深圳、北京研发中心、大客户需求快速响应•42个分支常驻技术支持工程师，开放深信服工程师认证SACC2012SACC2012 深信服（SANGFOR）解决方案体系应用安全上网行为管理IPSecVPNSSLVPN下一代防火墙应用优化应用交付控制器应用性能管理广域网优化控制器 深圳市南山区麒麟路1号谢谢科技创业中心4楼Add:4thFloor,IncubationCenter,No.2QilinRoad,NanshanDistrict,ShenzhenP.C.:518052Tel:+86-755-26581949与您携手，共同成长Fax:+86-755-26581959Email:master@sangfor.com.cnSACC2012SACC2012www.sangfor.com