一、需求与挑战
企业为了应对经济的全球化、满足企业规模的扩大,绝大数企业实现了数据的大集中。但随之带来了如下两方面的问题,一方面急需快速高效部署各种新的应用系统,以保持业务优势;另一方面又要确保IT架构的易管理性,以及降低IT投资的总体成本。
以上两个问题既企业应用交付面临的挑战,结合市场调研归纳起来主要表现在以下几个方面:
业务平台高可用性的挑战
企业全球化致使随时随地访问应用的高可用性需求也在逐步加强。企业应用平台(报表管理、订单管理以及ERP等桌面办公系统)的存在不仅带来办公的便利性,而且极大的促进了企业生产力的提高。由于企业应用平台是当今企业经营过程的一项核心内容,与企业的效益、客户的影响度直接相关,所以保证企业应用平台不中断提供服务是企业信息化最根本的需求。
持续不间断的提供服务,是驱动数据中心设计行业的动力。企业管理们都知道“时间就是金钱”的含义,在数据中心的世界中,这句话也同样的适用。有数据显示,对一个小型企业每年的宕机事件可以造成1%的利润损失,对大企业来说可以造成3.6%的企业利润损失。据Qualix Group统计,1分钟的宕机平均会使运输业损失15万美元,银行业损失27万美元,通信业损失35万美元,制造业损失42万美元,而证券业损失高达45万美元。所以很有必要保证企业平台和数据中心的高可用性。
网络对应用感知性差
在传统的以路由交换为主流的网络中,网络并不知道有什么类型的应用系统在其上运行。但在实际中,应用系统对网络的需求是各式各样的,比如视频会议系统要求是高带宽、低延迟。而HTTP应用要求的是高可靠性、高带宽。关键业务需要保证带宽的使用,而一些P2P下载的业务则不需要带宽保证。网络无法感知应用,直接导致了一些关键业务在网络上无法正常运行。
性能较低的应用就像服务器宕机一样,可能会对企业的合作伙伴和客户带来消极的影响并导致企业业绩下滑。从应用程序的开发过程来看,性能问题往往是开发工程师最后考虑的一个方面。
企业应用资源的弹性扩展的挑战
随着企业规模的扩大,关键应用的服务能力也将相应的提高;还有固定的高峰期,如传统节日的活动、年初和年终的企业关键数据的统计等等;随着应用的复杂程度和用户访问量的增大,应用的扩展性在传统上只能通过选择更高端的服务器进行。但更高端的服务器就意味着更高的投入和成本。
公司人员、规模的降低以及业务的低迷期,同时也会缩减应用的服务能力;这些每一个小小的变化,将会影响到应用系统的响应能力。如何保证企业用户采用最小的成本完成最大的利益是困扰信息主管的难题。
安全性挑战
网络和应用技术的发展在带来高效、易用的应用系统的同时,也带来了各种各样的安全隐患。从第一个蠕虫病毒的出现开始,网络中已经经历过病毒、DDOS、漏洞攻击等多种方式,这些攻击对于一些不安全的系统来说,通常会产生灾难性的后果。企业对应用系统的依赖性增大,也意味着这些安全问题的风险性越来越大。
随着企业安全意识的提高以及安全设备的部署,目前数据中心已经能够阻止大部分网络层面的攻击。在网络攻击中,黑客们正在寻找新的突破应用系统安全防线、窃取有价值的信息、甚至使整个站点停机的方法。诸如拒绝服务攻击(Dos)、分布式拒绝服务攻击(DDos)、SynFloods和其他的TCP floods,这些大并发异常的数据流量给安全系统带来了巨大压力。
在业务系统建设中,国内以Web应用为基础的信息系统在构建时普遍存在重应用、轻安全的现状。系统实现安全意识薄弱,人员往往只注重业务逻辑的实现,忽略了在安全编码、权限控制、逻辑输入合法性检查等方面的投入,导致了应用系统中存在大量的安全隐患。
然而,当今企业所面临的其中一个最大的威胁是来自企业内部的攻击。很多企业信息主管很容易忽略内部网络的安全问题,认为内网不对外提供服务不接入互联网就属于非常安全的系统,殊不知大量的安全泄密事件均发生在企业内网,这些基于内网的攻击难以检测和预防。企业客户端采用各种各样“安全”手段接入企业内网的时候,随之而来给了大量的病毒、木马、蠕虫等入侵企业内网的机会。给缺乏安全保障的企业内网带来巨大灾害。
针对上述业务中面临的业务平台高可用性、网络对应用的感知性、企业应用对目前资源扩展的弹性以及安全性问题上,浪潮提出了安全应用交付系统,能够有效解决上述面临的风险。
二、浪潮数据中心接入安全解决方案
浪潮安全应用交付系统(简称“浪潮SSA”)系列产品是浪潮针对行业和大企业数据中心开发的新一代软硬件一体产品。作为企业级安全应用交付解决方案,该产品致力于解决客户的关键应用如何高效、安全、智能、可靠地发布到用户端,有效整合负载均衡、WEB应用安全、连接优化、应用加速等技术,能够在极大地提高数据中心核心业务系统的可用性、效率和安全性的同时,降低数据中心基础设施投资成本、维护复杂度和能源消耗。
浪潮安全应用交付系统解决方案TOP
浪潮安全应用交付系统提供高中低端产品,可以满足不同规模数据中心的要求,并且能够与传统数据中心、虚拟化数据中心和云计算基础设施无缝集成,为客户提供卓越的商业价值。
2.1技术实现
2.1.1四层应用交付
四层应用交付支持基于 IP 地址、应用类型和等因素实现流量的负载。通过这种方式管理员可以为不同类型的应用类型分配不同的服务器资源。应用类型调度支持基于不同协议上的多种应用,包括 TCP、UDP、IP、DNS、SMTP、FTP、HTTP等。
客户端将到VSIP的请求发送给服务器集群前端的安全交付设备,设备上的负载均衡引擎接收客户端请求,通过预定调度算法,从节点池中选择真实服务器中某一个,将请求发送给选定的真实服务器;真实服务器的响应报文通过设备再返回给客户,完成整个负载调度过程。
四层应用交付功能示意图
2.1.2七层应用交付
基于七层内容的调度,使管理员可以根据用户请求的内容来分配服务器资源,例如,基于HTTP包头内容的负载技术让管理员可以根据用户请求的内容来分配服务器资源;大型的应用系统中,静态文件或者图片可以位于一个单独的服务器组,当发生对该类资源请求时,会话就被重定向到其中某个服务器,这样就保证用户请求分配的多元化和个性化,为管理人员提供更多分配策略和机制。七层的应用交付支持内存缓存、安全压缩以及针对HTTP包头和响应内容的个性化修改。(部分技术见4.2.7)
七层应用交付功能示意图
2.1.3应用安全检测
浪潮安全应用交付系统(浪潮SSA)内置安全检测引擎,为客户提供最佳的应用漏洞和未知威胁防御能力。各检测引擎独立工作,又相互协同工作,可对HTTP/HTTPS和压缩数据流进行全面的分析,极大地提高应用安全防御能力和检测效率。
应用安全检测引擎工作流程示意图
2.1.4服务器负载均衡调度算法
调度算法指对需要负载均衡的流量,按照一定的策略分发到指定的机群中的某台服务器上,使得各真实服务器负载尽可能地保持均衡。
2.1.5服务器健康检测方式
健康检查,就是负载均衡设备定期对真实服务器服务状态进行探测,收集相应信息,及时隔离工作异常的服务器。健康检查的结果除标识服务器能否工作外, 还可以统计出服务器的响应时间, 作为选择服务器的依据。
2.1.6会话保持机制
会话保持也叫持续性,将多个连接持续重定向到同一个服务器的策略,就是持续性功能。根据会话保持的策略,建立会话表项,保证后续业务报文都送往同一个服务器处理。
2.1.7应用加速机制
智能缓存
浪潮安全应用交付系统(浪潮SSA)内容缓存技术将应用服务器中的一些经常被用户访问的热点内容缓存在设备的内存中。当客户端访问这些内容时,SSA截获客户端请求,从缓存中读取客户端需要的内容并将这些内容直接返回给客户端。由于是直接从内存中读取,这种技术能够提高网络用户的访问速度,并大大减轻后端服务器的负载情况。
内容缓存工作流程示意图
自适应压缩
浪潮安全应用交付系统(浪潮SSA)的HTTP压缩功能,可通过标准的HTTP压缩规范自动识别客户端对gzip压缩算法的支持情况,并能够实现对数据动态压缩,以加速所有的本地、远程和移动用户提供基于 Web 的应用。
浪潮安全应用交付系统的压缩功不仅能在最大程度上节省组织的互联网带宽,并且能够缩短用户下载内容的等待时间,提升用户的访问体验。
内容压缩工作流程示意图
SSL卸载
浪潮安全应用交付系统(浪潮SSA)的SSL卸载功能,可以充当起SSL代理服务器的角色,将专用的SSL应用程序置于网络服务器的前端,降低后台服务器的系统资源,从而全面卸除SSL数据处理的负荷,减少服务器端的压力,提升客户端的访问响应速度。
卸载工作流程示意图
双机互备
浪潮安全应用交付系统(浪潮SSA)无论是在网络中并联还是串联,都扮演着一个关键的控制节点角色,其设备的稳定性和安全性则直接影响到业务交付的可用性。为了避免单点故障,防止业务的中断,浪潮SSA采用双机互备保证业务连续性。
采用双机互备时,两台SSA设备部署在网络中,对外提供服务的称为主机,另外一台作为备机。主机在处理业务的同时,会将业务产生的会话信息同步到备机,从而确保双机切换后,业务访问能继续得到响应处理,当前正在进行的业务访问也不会因此而中断。
双机互备示意图
三、浪潮解决方案优势及价值
确保数据中心稳固交付应用与服务
全面的网络4-7层负载均衡功能,可以帮助您无缝加载更多的服务器资源并对流量进行智能导向。
提高数据中心效率,将数据中心应用服务性能提升5-10倍
通过智能压缩、内容缓存、SSL卸载和连接复用等功能特性有效降低您的数据中心带宽、减少访问延迟、有效提高电子商务的效能。确保数据中心性能提升5-10倍。
保护数据中心的应用与数据安全
整合Web安全检测引擎,独特的针对HTTP协议流量清洗以及SSL加密技术,确保数据中心和Web的安全接入;在不影响网络性能的情况下防范DDOS攻击。
控制数据中心应用交付
浪潮安全应用交付系统通过为数据中心提供详细的基于规则的访问行为日志保存,确保企业数据中心随时可控。
数邦客