North America
Radware Inc.
575 Corporate Dr. Suite 205 Mahwah, NJ 07430 Tel 888 234 5763
International
Radware Ltd.
22 Raoul Wallenberg St. Tel Aviv 69710, Israel Tel 972 3 766 8666
www.radware.com
Radware AppDirector
应用前端应用前端应用前端应用前端解决方案解决方案解决方案解决方案
2
AppDirector 解决方案 Page - 2 -
目 录
1 简介 .............................................................................................................................. 3 2 关键业务应用架构面临的挑战 ...................................................................................... 4 3 Radware AppDirector应用交付解决方案 .................................................................. 5 3.1 高可用性 ................................................................................................................ 5
3.2 快速响应和性能加速 ............................................................................................. 6
3.2.1 高性能硬件平台 ................................................................................................. 6
3.2.2 负载均衡和对话保持 ......................................................................................... 7
3.2.3 交易加速 ............................................................................................................ 8
3.3 便捷高性价比的按需拓展能力 ............................................................................. 10
3.3.1 吞吐能力按需拓展 ........................................................................................... 10
3.3.2 交易加速能力按需拓展 .................................................................................... 11
3.3.3 GSLB按需拓展 ............................................................................................... 11
3.3.4 高级 ADC功能按需拓展——带宽管理和 IPS ................................................. 11
3.3.5 高级 ADC功能按需拓展——DDOS攻击防范 ................................................ 12
3.4 灵活的部署方式 ................................................................................................... 13
4 总结 ............................................................................................................................ 14 5 AppDirector型号与技术规格简介 ............................................................................. 15 5.1 OnDemand Switch VL (XL) ............................................................................ 15
5.2 OnDemand Switch 3 (XL) .............................................................................. 15
5.3 OnDemand Switch 1 (XL) .............................................................................. 16
5.4 OnDemand Switch 2(XL) ............................................................................... 16
3
AppDirector 解决方案 Page - 3 -
1 简介
随着各类用户持续追求面向业务的 IT战略,IT部门的主要目标已从维护 IT基础设施正常运行转变为推动并帮助业务发展,这就迫使 IT机构必须要能以更低成本达成以下目标:
� 服务等级协议(SLA)要求;
� 遵从法规要求;
� 实现新服务的快速开发和部署以获得业务敏捷性,从而最终提高投资回报率(ROI)。
越来越多的用户的关键业务应用逐渐网络化和Web化,这类应用包括:ERP、CRM、企业门户以及各类专业应用系统。而部署此类系统时,所有用户都会面临以下全部或部分挑战:
� 应用架构必须能够帮助关键业务应用实现最高的可用性和稳定性;
� 可按照应用需求实现平台和性能的灵活拓展;
� 必须避免性能瓶颈;
� 为所有用户(包括远程用户和使用移动终端的用户)提供快速响应,保证 SLA;
� 能够有效识别和防范恶意攻击,并保证遭受攻击时正常应用的响应能力。
本文将进一步讨论各类关键业务应用面临的挑战,并介绍 Radware的应用交付产品及相关解决方案。通过本文,读者可以了解到 Radware的 AppDirector产品是如何应对各类挑战,并最终为用户带来业务利益和成本节约。
4
AppDirector 解决方案 Page - 4 -
2 关键业务应用架构面临的挑战
高可用性挑战 所有关键业务应用系统的正常运行,例如金融行业的网上银行、企业的 ERP、CRM、电子商务的网上交易平台、医疗系统的 HIS系统、高校的学籍管理系统、公安部门的警务系统等,都和各类用户的经济利益和信誉密切相关。有调查表明,中小企业的关键业务系统宕机所导致损失约为年利润的 1%,而大型企业的类似损失可能高达 3.6%,而信誉方面的潜在影响则是无法估量的。 因此,IT架构必须为关键业务应用系统提供最高等级的可用性和可靠性保证。
响应速度和性能挑战 关键业务应用的性能和响应速度是影响用户体验和企业生产力的重要因素。在业务加密、用户终端类型不断丰富以及网络覆盖地域越来越广泛的今天,如何在任意时间、为处于任意位置的任意类型用户提供快速响应和高品质的服务,是每个应用架构面临的重要挑战之一。
按需动态扩展挑战 通常,各类关键业务应用系统会随着业务规模的拓展和用户数量的变化处于动态变化的状态。用户数量的增长会要求应用系统提供更高的承载能力;而在业务所固有的季节性高峰时期,对关键业务应用的承载能力也会有更高的要求。如何应对需求增长提出的升级要求,同时要尽可能的节约成本?这类动态按需拓展的需求不仅存在于服务器端和应用软件平台,同样存在于应用交付(ADC)架构中。
安全性挑战 很多关键业务应用系统都必须为处于 Internet中的客户端提供服务,此类业务很有可能成为各类DDOS攻击的目标。DOS和 DDOS攻击可能来自于公网的任意角落,SynFlood和 TCP Flood等攻击会严重消耗服务器和网络资源,常常导致应用架构完全丧失服务和业务能力。如何抵御 DDOS攻击是任何应用架构在实现业务连续性时都必须考虑的问题。
5
AppDirector 解决方案 Page - 5 -
3 Radware AppDirector应用交付解决方案
AppDirector™智能应用交付控制器(ADC)通过消除应用和网络间的鸿沟,增强了 IP网络应用交付能力。Radware 将其专用的高速应用交换硬件与 APSolute™操作系统“分类器”和“流量管理”引擎的强大功能完美结合起来,构成了这一款 AppDirector。
AppDirector系列应用交付交换机可无缝集成到任何应用架构中,确保用户关键业务 7×24×365的连续性,随时为用户提供最高品质的服务。下图是 AppDirector解决方案示意图。
AppDirector解决方案能够优化和加速用户的关键业务应用,使应用服务系统得到更高的可用性、性能,以及更加经济和无懈可击的安全性,以便令客户获得更快的响应时间。
3.1 高可用性
Radwarew AppDirector系列产品可通过以下功能为用户的关键业务系统提供最高等级的可用性和稳定性保证:
先进的健康检查 Appdirector产品内置了先进的应用健康检查模块,该模块包含了丰富的预定义健康检查手段。通过该模块,AppDirector可以监视服务器在 IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障,用户即被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得所需信息。 为了确保服务正常运行,AppDirector还可以监控从 Web 服务器、中间件服务器到后端数据库服务器的整个路径上工作状态,确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器,AppDirector则不会将用户分配到这个发生故障路径的服务器,从而保证为用户提供透明的数据完整性保障。
6
AppDirector 解决方案 Page - 6 -
透明故障规避——实现本地 7×24高可用性 AppDirector一旦确认业务故障(网络、服务器、系统或业务应用), 会立即将访问流量重新发送到可用的后台业务资源。后台服务可按照业务需求工作在集群或主备模式下,确保任何情况下的业务可用和交易完整。
全面的灾备解决方案——实现全局 7×24高可用性 单一的数据中心无法解决突发(灾难或人为)事件带来服务中断问题, AppDirector提供了一套完整的全局灾备解决方案,可从网络级到应用级实现异地数据中心之间的灾备和平滑切换。 详情请参考:《Radware GSLB解决方案》。
3.2 快速响应和性能加速 客户端数量的不断增长, 业务应用的多样性和复杂化,以及流媒体内容的极大丰富,对 IT架构本身的性能提出了更高的要求,对于 ADC设备也是如此。 客户端需要在任意事件、任意地点访问关键业务资源,尤其在业务全球化的今天,远程访问已成为客户接入关键业务系统的主要方式之一。因此,ADC设备必须为多有用户提供响应速度的保证。
AppDirector系列产品已在硬件和功能上为此做好了准备。
3.2.1 高性能硬件平台 Radware ODS(OnDemand Switch™)是 Radware公司推出的具有强大竞争力的硬件平台,其能提供 500M-20Gbps的吞吐量,具备高扩展性、高可用性和高性能。避免了 ADC设备成为关键业务应用架构中的瓶颈。
Radware ODS卓越的性能使其在各类专业测试中取得了良好的成绩,在 L7吞吐、L7 TPS、并发连接数、新建连接数、响应时间等多个技术指标上都优于同类竞争产品。产品详细规格请参照后续章节。
OnDemand Switch的可靠性、定制性和嵌入式组件提供了极高的平均无故障时间(MTBF),还提供可信赖的双交/ 直流电源。OnDemand Switch的推出代表着应用交付市场发展的一个深刻变革,自此确立了一个新型、极具成本效益和可轻松升级的新标准。
7
AppDirector 解决方案 Page - 7 -
上图为 AppDirector X08系列的性能参数,无论是 L7每秒交易还是 L7吞吐量上都远高于竞争对手的同级别产品。
3.2.2 负载均衡和对话保持 单台服务器的处理能力通常无法满足业务应用的性能需求。AppDirector设备通过实现服务器的集群,并将客户按照用户要求透明分配到集群中的服务器上,从而使应用架构的整体性能得到提升,保证业务的承载能力。
本地负载均衡和对话保持 凭借完善的负载均衡机制,Appdirector 可将客户请求分配到最佳的后台服务器, 来确保最快的响应速度。 关键业务系统通常是由一组不同的应用构成的,不同应用可能为特定的用户类型服务,或者提供特定类型的内容。Appdirector可根据客户端 IP 地址、应用类型和内容来决定流量分配。这样,管理员就可以为不同类型的应用程序分配不同的服务器资源。应用交换支持不同协议上的各种应用,包括 TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动 FTP、HTTP、e-mail、DNS、VOIP 等等。 特别针对愈来愈得到广泛接受的 Web 应用, AppDirector 完全支持 HTPP 内容交换, 可根据
URL 等 HTTP 信息实现流量分配。例如,每个 URL都可以重定向到某服务器,或在多个服务器之间进行负载均衡,从而提供优化的 Web 交换性能。 为了保证用户在访问具有会话连续性业务时不会被负载均衡器分配到不同的服务器上,AppDirector在提供本地负载均衡的同时,还可以具备基于 cookie,session ID,SIP,SSL ID, 源 IP等方式将用户的请求定位在相同的服务器上。
8
AppDirector 解决方案 Page - 8 -
全局(广域)负载均衡 Appdirector可为部署在不同地理位置的关键业务提供最佳的站点选择,从而保证响应速度和服务质量。而最佳站点的选择方式可以基于站点的负载,也可以基于 Radware的专利技术:就近性选择,考虑用户和各站点之间的路由跳数和延迟。 详情请参考《Radware GSLB解决方案》。
3.2.3 交易加速
AppDirector 不但为整体应用架构提供了集群性能优化解决方案, 还借助自身高性能硬件平台的优势,从服务器压力分担和内容传输角度优化交易速度。使所有客户端,特别是远程用户的交易速度得到了大幅度提高。
SSL加速 AppDirector能够在不降低网络性能的情况下为用户提供快速的 SSL交易,从而有效降低服务器端消耗。 凭借硬件平台的性能优势, 提供同级别产品中最强的 SSL加解密能力。 AppDirector 的 SSL加密/解密功能与 Radware的流量管理解决方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。 简单流程如下:
HTTPS的流量通过 AppDirector,AppDirector把HTTPS流量解密成 HTTP流量后,再由AppDirector负载均衡到后端的 HTTP服务器。
Web和图像压缩 AppDirector支持 Gzip、deflate方式的压缩功能。
AppDirector会自动检测并部署预先配置的压缩程序,让内容尺寸与终端用户设备功能保持一致(如:访问速度、图片显示分辨率等),从而加速各类用户的内容交付并缩小图片尺寸达 1000%。 通过 web压缩(平均文件压缩率为其原始尺寸的 4-5倍),实现更快下载和更短响应时间; 可选的基于硬件的压缩卡,通过文本(HTTP/HTTPS)和图片(.jpeg)的压缩来确保最佳内容交付和带宽节省。
9
AppDirector 解决方案 Page - 9 - 高速动态缓存 AppDirector基于内存方式的快速缓存功能,可以从后台基础设施中卸载对内容的重复请求,从而提高应用和服务器的性能,这种性能改善是以逐个应用为基础,智能进行的。快速缓存提供出色的灵活性和控制能力,确保组织机构实现更大的卸载量,为他们的客户基群提供更快捷的服务。
TCP 优化 AppDirector提供的 TCP 优化技术执行 TCP协议的 RFCs: 1323(性能扩展)、2018,2883(选择性 ACK)、2414, 3390 (WTCP)、 2581,2582(防堵塞)、2861(拥塞窗口检验)、RFC 3042 (限速传送),还包括:提前确认技术(FACK), 可设置最大传输单位(MTU)和 TCP 记录器等技术,以充分利用可用带宽。这样,AppDirector能够实时适应广域网链路的延迟、数据包丢失及阻塞特征,并从根本上加速所有应用流量,加速用户的访问速度。
多路 HTTP/s协议 “HTTP/S 多路 HTTP协议”是一种提高 Web 服务器性能的技术。它可以将入站的 HTTP/S 请求汇总,充分利用服务器端的现有连接来传输用户请求,从而减少服务器的连接次数,以达到提高整体系统的性能的目标。
实际环境测试已证实:通过上述技术,可加速应用响应速度达 500%500%500%500%。
上图列举的常见关键业务系统的加速效果,提速可达 3.5倍。
10
AppDirector 解决方案 Page - 10 -
3.3 便捷高性价比的按需拓展能力 客户端数量的不断增长,业务应用的拓展,都要求 IT应用架构具备灵活便捷的按需拓展能力,同时扩展必须考虑到成本。Radware率先在业界推出了 ADC吞吐能力按需拓展解决方案,在此基础上形成了业界最全面的 ADC性能和功能拓展能力,包括:
� 吞吐能力按需拓展 � 交易加速能力按需拓展 � GSLB全局负载均衡按需拓展
� 高级 ADC服务按需拓展:带宽管理和 IPS
� 高级 ADC服务按需拓展:DDOS攻击防范 3.3.1 吞吐能力按需拓展
AppDirector ODS(OnDemand Switch™)是业界首款可按需扩展吞吐能力的应用交付设备系列。随着用户业务的发展,当已购的 ODS设备不能满足用户需求时,用户无需更换硬件设备,无需中断业务运行,只需购买软件 License即可将现有设备的吞吐量无缝升级至最大 20Gbps。 由于升级扩展时无需更换硬件设备,避免了进行硬件升级时的设计、测试、重新安装及排错等繁复操作,大幅降低了系统升级所需的高额成本和时间。 升级范围如下:
且购买升级软件 License的费用与现有 ODS平台和升级后 ODS平台的差价相当,有效地保护了用户的投资,节省了用户在固定资产上的投入成本。
11
AppDirector 解决方案 Page - 11 -
3.3.2 交易加速能力按需拓展
AppDirector ODS的交易加速能力(SSL加解密/压缩)也可实现按需扩展。随着用户业务的发展,当已购的加速能力不能满足用户需求时,用户无需更换硬件设备,无需中断业务运行,只需购买软件 License即可将现有设备的交易加速能力无缝升级(硬件加速卡需另行订购和出厂安装)。 由于加速能力升级扩展时无需更换硬件设备,避免了进行硬件升级时的设计、测试、重新安装及排错等繁复操作,大幅降低了系统升级所需的高额成本和时间。 升级范围如下:
3.3.3 GSLB按需拓展 只需激活 GSLB License, AppDirecot即可实现灾备和全局负载均衡功能,为用户全球范围内的业务提供连续性和性能保证。 详情请参考《Radware GSLB解决方案》。 3.3.4 高级 ADC功能按需拓展——带宽管理和 IPS
只需激活 BWM&IPS License, AppDirector 即可实现基于策略的带宽管理和应用拥挤防范,为关键业务应用实现带宽和安全保证。 带宽管理软件模块能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。在确
12
AppDirector 解决方案 Page - 12 - 定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。
IPS模块能够为敏感资源提供高级的安全性,这包括检测并预防 1500多个恶意攻击信息,包括特洛伊木马、后门、DoS 和 DdoS 攻击。 此模块能够处理以下攻击:
� 缓冲区溢出/超限
� 利用已知的 Bugs,误配置和默认的安装问题来进行攻击
� 在攻击前探测流量
� 未授权的网络流量
� 后门/特洛伊木马
� 端口扫描 (Connect & Stealth) 3.3.5 高级 ADC功能按需拓展——DDOS攻击防范 只需激活 DOS攻击防范的 License,AppDirector即可利用 Radware公司先进成熟的 Behavioral
DOS攻击防范模块,通过分析网络中的流量状况,实时发现并阻止各类 DOS和 DDOS攻击。攻击发现和阻止的流程完全自动化,而且响应迅速,18秒内即可实现攻击的防范。
整个过程的主要步骤如下:
� 自动学习
� 发现攻击
� 自动生成实时特征
� 优化特征
� 阻止攻击
Radware公司的Behavioral DOS攻击防范技术能够有效防范各类已知和未知的DOS攻击,包括: � TCP Flood, 包括 Reset、AckFlood等
� UDP Flood,包括 DNS Flood等
� 应用层攻击,如 HTTPFlood
� 在攻击前探测流量
� 端口扫描 (Connect & Stealth)
13
AppDirector 解决方案 Page - 13 -
3.4 灵活的部署方式 凭借出色的硬件平台设计,AppDirector设备可灵活部署在各种应用网络架构中。部署方式主要有以下两种:
� In-Line转发模式;
� Out-of-Path旁路(单臂)代理模式;
AppDirector的配置提供设备间的完全容错,以确保网络最大的可用性。通过 VRRP(Virtual Router
Redundancy Protocol)协议,两台 AppDirector设备工作在冗余模式下,通过网络相互检查各自的工作状态,为其所管理的应用保障完全的网络可用性。它们可工作于“主用-备用”模式或“主用-主用”模式,在“主用-主用”模式下,因为两个设备都处于工作状态,从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像,从而提供透明的冗余和完全的容错,确保在任何时候用户都可以获得从点击到内容的最佳服务。
VRRP协议更可支持两台设备以上的多级冗余机制。
下图为 AppDirector的典型冗余部署方式。
14
AppDirector 解决方案 Page - 14 -
4 总结
AppDirector使我们用一个产品就能解决应用可用性和连续性、加速应用性能、保障服务水平、应用安全、IT服务器基础架构的整合和扩展性。
AppDirector解决方案具有几大优点:
� 按需扩展的硬件平台:按需扩展的特性使用户能“用多少买多少”,后期根据扩展需求再购买相应的 License进行设备吞吐量的升级,有效地保护了用户的 IT投资。
� 高可用性、高性能的完美体现:AppDirector 使用先进的 4-7 层策略和粒状控制智能应用,以便将服务器基础设施操作和应用前端要求结合在一起,从而消除流量拥塞、服务器瓶颈和故障时间以实现数据中心的业务连续性。AppDirector 能够对网络通信进行微调,以便使多种企业网络应用最优化,例如 SAP、Oracle、BEA、Citrix 和其他基于 Web 的应用 (包括 VoIP 支持、流媒体和安全的 LDAP 应用)
� 业界最佳的 GSLB解决方案:实现全局站点灾备和就近访问,实现广域网范围的高可用性和性能保证。
� 加速应用响应时间:使用 TCP 优化和 HTTP 多路复用进行的应用加速和 WAN 最优化,在整个 WAN 范围内消除 Web应用等待时间,将应用响应时间加快 500%。
� 降低带宽占用 :通过“无限制”压缩 (无需客户端设备或软件) 和内容高速缓存 (使用
AppDirector) 而降低服务器的带宽占用,降低了带宽费用,并加速针对最终用户的内容交付。
� SSL 事务处理卸载:SSL 事务处理的卸载和证书管理无需昂贵的 CPU 运算周期,将服务器处理要求降低达 40%,以便实现数据中心资源整合、降低 OPEX (运营性支出)和即时的 ROI。
� 端到端 QoS保证:AppDirector的内置带宽管理功能,可以按照 4~7层的特性识别不同类型的流量,通过带宽保证和限制,为关键业务提供服务质量保证。
� 端到端应用安全:使用 AppDirector 的全面集成的入侵防范和 DoS 防护,可以防止数据中心应用和服务器资源受到应用级别的攻击。对 SSL多重处理的控制能力增加了基于SSL的 HTTP、FTP 和 SMTP 的安全性,从而获得了额外的保护层。
15
AppDirector 解决方案 Page - 15 -
5 AppDirector型号与技术规格简介
5.1 OnDemand Switch VL (XL)
平台亮点
� 高性能应用交付设备
� 按需增加吞吐量可扩展性
� 按需增加服务可扩展性
� 6个千兆以太网端口(铜线)+ 2个千兆光纤端口(SFP-GBIC Mini)
� RJ-45 串行连接
� USB接口,可用于软件安装和恢复
5.2 OnDemand Switch 3 (XL)
平台亮点
� 高性能应用交付设备
� 高性能应用交付设备 - 最多 20 Gbps的吞吐量
� 按需增加吞吐量可扩展性
� 按需增加服务可扩展性
� 4个 10千兆光纤端口(XFP可插拔光接口)+4个千兆光纤端口(SFP-GBIC Mini) +8个千兆以太网端口
� 2个冗余管理端口,可为带外高可靠性管理接口提供增强的安全性
� LCD面板,可显示关键统计数据
� USB接口,可用于软件安装和恢复
� 多电源配置,包括冗余的双 AC/DC电源
16
AppDirector 解决方案 Page - 16 -
5.3 OnDemand Switch 1 (XL)
平台亮点
� 高性能应用交付设备
� 按需增加吞吐量可扩展性
� 按需增加服务可扩展性
� 4个千兆以太网端口(铜线或光纤)
� 2个冗余管理端口,可为带外高可靠性管理接口提供增强的安全性
� LCD面板,可显示关键统计数据
� USB接口,可用于软件安装和恢复
� 多电源配置,包括冗余的双 AC/DC电源
5.4 OnDemand Switch 2(XL)
平台亮点
� 高性能应用交付设备
� 按需增加吞吐量可扩展性
� 按需增加服务可扩展性
� 12个千兆以太网端口+4个千兆光纤端口(SFP-GBIC Min)
� 2个冗余管理端口,可为带外高可靠性管理接口提供增强的安全性
� LCD面板,可显示关键统计数据
� USB接口,可用于软件安装和恢复
� 多电源配置,包括冗余的双 AC/DC电源