当前位置:首页 >> >>

Citrix NetScaler应用交付解决方案(申强)_图文

Citrix NetScaler 应用交付解决方案

思杰系统公司 Citrix Systems
? 访问基础架构解决方案(Access Infrastructure
solutions)的领导者

? 始建于1989年 ? 纳斯达克100 和标准普尔500公司(CTXS) ? 出色的财务表现
? 2006年营业额: 11亿美金

? 在25个国家超过3000名员工 ? 全世界160,000家客户
? 财富100强100%, 财富500强99%, FG100 97%是Citrix的客户 ? 95%的客户忠诚度

? 在超过100个国家拥有7,000家合作伙伴
? 最佳的渠道合作伙伴满意度
? 2007 Citrix Systems, Inc. — All rights reserved

2

Citrix NetScaler在互联网和企业应用中展现领导地位

75%
Of Internet Users

7000+
Deployments Worldwide

? 2007 Citrix Systems, Inc. — All rights reserved

3

部分中国客户
Sina.com Sohu.com Ebay China Alibaba Taobao Joyo.com Hexun.com China News Shanghai On Line Chinavnet Jiangsu Unicom Shanghai Real Estate portal Zol.com.cn Pchome.net Evision.com Zhongsuo.com NC Sina SLB, Cache, SSLVPN SLB, Cache SLB SLB, Cache, SSLVPN, DDoS SLB, Cache, SSLVPN, DDoS SLB, Compression, DDoS SLB, Cache SLB, Cache, Compression SLB, Cache, Compression, DDoS SLB, DDoS SLB DDOS SLB, Compression, Cache SLB, Compression, Cache SLB, Cache SLB, Cache, SSLVPN SLB, DDoS

? 2007 Citrix Systems, Inc. — All rights reserved

4

金融、证券、基金行业案例 ? Citrix NetScaler在中国为众多客户提供了满意的产
品和服务。例如,
? ? ? ?
银行:中国建设银行 保险:人保财险 基金公司:嘉实基金,工银瑞信,中邮创业等 在线交易:支付宝,淘宝,阿里巴巴,eBay易趣等

? 在全球,Citrix NetScaler产品还应用在Merrill Lynch

,RBS,Danske Bank,E*Trade等金融机构的系统 中

? 2007 Citrix Systems, Inc. — All rights reserved

5

应用面临的挑战
Web 协议效率低下

移动用户进一步 远离应用系统

应用转移到少数 集中的数据中心

不断增强的安全需求

? 2007 Citrix Systems, Inc. — All rights reserved

6

Citrix NetScaler可以帮助用户 ? 保证应用可用性,增强应用安全性 ? 加速应用性能,改善用户体验 ? 提供创新的差异化服务 ? 监控用户性能,优化IT架构部署 ? 降低总拥有成本

? 2007 Citrix Systems, Inc. — All rights reserved

7

NetScaler 功能模块与核心技术
NetScaler 功能模块
加速
AppCacheTM SSL 加速 AppCompressTM 内容交换 EdgeSightTM

可用性
负载均衡 GSLB 应用安全 内容重写

安全性
Access GatewayTM SmartAccessTM AppExpert 可视化策略 生成器

APE策略引擎技术
客户端 流

请求交换引擎技术
AppExpertTM 策略框架

服务器 流
AppExpert APIs

用户

应用交付网络平台

应用

? 2007 Citrix Systems, Inc. — All rights reserved

8

保证应用可用性

服务器负载均衡
TCP 和 UDP 客户端请求

维持用户会话

分发流量
? 最少连接 ? 最低响应时间 ? 基于SNMP ? IBM SASP ? 基于散列 ? 更多…

监控服务器监控 和可用性

? 源 IP ? Cookie ? SSL Session ID ? Server-ID in URL Query ? 自定义的 Server-ID ? 令牌 (header or body)

? TCP连接 ? HTTPS连接 ? 扩展的内容检验 ? 脚本健康检查

? 2007 Citrix Systems, Inc. — All rights reserved

10

传统的“连接交换”负载均衡解决方案

TCP连接 TCP连接 TCP连接 TCP连接

? 2007 Citrix Systems, Inc. — All rights reserved

11

传统的负载均衡解决方案
? 低效率的“连接交换”
? 基于服务器/客户端连接分配流量

服务器 Load

服务器 Load

? 网络流量均匀但服务器负载分配不平均
? 难以均匀分配应用层负载 ? 影响应用性能
? 2007 Citrix Systems, Inc. — All rights reserved

服务器 Load

12

NetScaler新一代的请求交换技术

应用请求 应用请求

服务器连接 服务器连接

客户端

服务器

客户端连接 客户端连接

应用请求 应用请求

NetScaler

? 2007 Citrix Systems, Inc. — All rights reserved

13

NetScaler基于请求交换技术的负载均衡
? 确保最佳的服务器负载均衡 ? 服务器连接数降低几十至几百倍
不平均的客户端流量
服务器负载

服务器负载

均匀的服务器流量
服务器负载

? 2007 Citrix Systems, Inc. — All rights reserved

14

传统负载均衡
业务高峰

负载均 衡设备 客户端 服务器

无法避免重载下服务器出现“雪崩”式瘫痪
? 2007 Citrix Systems, Inc. — All rights reserved

15

什么是“涌浪保护”

涌浪队列
Citrix NetScaler

? 保持发送到服务器的最佳流量速度 ? 不丢弃适量的“涌浪” ? 实现最佳的最终用户响应时间

? 2007 Citrix Systems, Inc. — All rights reserved

16

NetScaler涌浪保护

Time

Time

每秒钟响应 服务器连接 客户端连接

每秒钟响应 服务器连接 客户端连接 涌浪队列

使用NetScaler前

使用NetScaler后

? 2007 Citrix Systems, Inc. — All rights reserved

17

NetScaler采用涌浪保护技术
业务高峰

NetScaler

客户端

服务器

在任何情况下确保服务器的可靠运行
? 2007 Citrix Systems, Inc. — All rights reserved

18

加速应用性能

请求交换技术实现连接复用
1. 2. 3.
NetScaler收到并终结客户端连接 客户端传送应用请求

4. 5.

NetScaler通过NetScaler与服务器之间的连接传 送客户端请求 更多的客户端遵循相同的过程 多个客户端请求可以通过公共的可复用的服务器 连接传送 ? TCP 卸载 服务器连接 服务器连接

NetScaler建立服务器连接

6.
应用请求 应用请求 客户端连接 客户端连接

客户端

服务器
应用请求 应用请求

? 2007 Citrix Systems, Inc. — All rights reserved

20

TCP连接卸载
SYN SYN+ACK ACK GET

GET Data Data Data Data Data Data FIN ACK FIN ACK

客户

NetScaler
? 2007 Citrix Systems, Inc. — All rights reserved

服务器
21

提高服务器的效能
实际案例数据
?流量2088Mbps ?每秒2.8万次请求 ?并发连接数40万 ?提供几十比一的 TCP连接复用优化

使用 NetScaler前 服务器的负荷 使用 NetScaler后 服务器的负荷

使服务器的处理事半功倍
? 2007 Citrix Systems, Inc. — All rights reserved

22

Citrix AppCache: HTTP 内容缓存
静态和动态

客户

合作伙伴

缓存的拷贝

原始内容

移动用户

远程员工

更多的请求

初次请求

? 2007 Citrix Systems, Inc. — All rights reserved

23

动态缓存范例

? 2007 Citrix Systems, Inc. — All rights reserved

24

技术细节 ? http://www.ctxsfund.com/value.jsp?fund=123456&start=20070713 &period=30

URL

参数

动态缓存
? 2007 Citrix Systems, Inc. — All rights reserved

25

动态缓存大幅度提高查询速度 3.5 Sec 0.4 Sec

使用NetScaler前
? 2007 Citrix Systems, Inc. — All rights reserved

使用NetScaler后
26

另一动态缓存范例

使用NetScaler前

使用NetScaler后

? 2007 Citrix Systems, Inc. — All rights reserved

27

动态Web对象过期模式 ? 传统缓存无法保存时刻变化的Web对象
? 股票行情

? NetScaler提供动态Web对象过期模式
? 保证缓存内容的新鲜度 ? 减少直接命中服务器的访问

? 2007 Citrix Systems, Inc. — All rights reserved

28

范例:股票实时行情图

图形组件

任何时刻只有一次对动态对象的访问,降低服务器负载
? 2007 Citrix Systems, Inc. — All rights reserved

29

HTTP 压缩
? 为什么压缩应用数据?
? 最小化 数据包中的载荷 ? 降低 应用响应时间

? 所有主流的浏览器支持 GZIP 压缩
? 对应用用户完全透明 ? 基于User-Agent 头决定压缩 ? NetScaler 策略根据User-Agent 和 MIME-Type 决定

? 典型的压缩率为 3:1 到 5:1 ? 以超过 1300 Mbps 的速度压缩应用数据
不增加服务器负载,提高用户响应速度3-5倍
? 2007 Citrix Systems, Inc. — All rights reserved

30

SSL加速
? 专门的芯片加速所以SSL处理 ? 支持全部Layer 7 (HTTP)策略 ? 提供支持FIPS-140-2 Level 2 规范的型

保密性

? 重新加密实现端到端安全 ? 高性能
? 1024-bit RSA算法时高达8800TPS ? RC4-MD5批量加密高达3000Mbps 性能

安全性与性能无需取舍
? 2007 Citrix Systems, Inc. — All rights reserved

31

改善用户体验

SureConnect – 改善用户等待体验

SERVERS (base or LB) S S S S

CLIENT

ISP

Internet

S SURE CONNECT SERVERS (OPTIONAL)

1) 2) 3) 4) 5)

客户端发出请求 NetScaler根据预设的策略和门限值作出SureConnect的决定 从NetScaler发出最初的响应 (in-memory Javascript) 自动链接引导用户屏幕上显示替代的内容 (on servers, .HTML files, specified by policy) 客户端重新发起完成原始交易的请求

? 2007 Citrix Systems, Inc. — All rights reserved

33

NetScaler SureConnect 功能

使用NetScaler前
? 2007 Citrix Systems, Inc. — All rights reserved

使用NetScaler后
34

SureConnect 响应样式
页面可 完全定制

? 2007 Citrix Systems, Inc. — All rights reserved

35

全局负载均衡 为来自不同运营商的用户选择最佳的访问站点
客户端 站点3 网通 电信 移动 站点 2

站点 1

? 帮助用户自动选择速度最快的站点 ? 减少应用时延 ? 提供远程访问灾难恢复
? 2007 Citrix Systems, Inc. — All rights reserved

36

增强应用安全性

请求交换提供最佳的安全性
应用 1 应用 2

‘隔 离’

Layer 7 数据包处理引擎

应用 3

1) 接收并终结连接 2) 分析处理每个请求 3) 过滤每个请求的内容 4) NetScaler与服务器建立连接,隔离客户端与服务器
? 2007 Citrix Systems, Inc. — All rights reserved

38

拒绝服务 (DoS) 的攻击防护
? 高速的处理引擎 ? 能够处理大量的攻击
? 每秒475,000次“ILOVEYOU”攻击GET ? 每秒200万次SYN (吞吐量大约1.3Gbps) ? 每秒160万次DNS请求

实际案例数据

? CPU 使用率随攻击线性增长
? 不影响其他功能

结论: 在异常网络状况下,NetScaler仍能确保应用系统正常工作
? 2007 Citrix Systems, Inc. — All rights reserved

39

NetScaler GET Flood 防护
Client request

Client executes Javascript

-cookie ipt w/set Javascr
Request re-issued with cook ie

Reque

st to se rver

ponse Server res

e sent to Respons

client

合法用户

Citrix NetScaler

Web 服务器
40

? 2007 Citrix Systems, Inc. — All rights reserved

保护应用层安全

正向安全模型
正向安全模型强制用户使用正确的应用操作行为

只有合法(安全)的客户请求被转发给 应用系统 客户端请求违反使用常规和 HTTP RFC将 被阻塞

应用基础结构

无需维护攻击签名数据库 保护应用和应用逻辑 实时防御已知和未知的攻击
? 2007 Citrix Systems, Inc. — All rights reserved

42

深度流检查(Deep Stream Inspection?)
双向分析 头和有效载荷检查 全面解析 语义萃取 基于会话 协议中立

HTML XML
1100101100 0001101100 10000000111 11001

100001000111110001

真正的应用安全需要全面的 内容检查

? 2007 Citrix Systems, Inc. — All rights reserved

43

保护功能
? 入口保护 ? 实时的URL关闭 ? Cookie一致性 ? 表单域一致性 ? 缓冲区溢出 ? 表单域格式 ? 拒绝URL ? XSS/SQL保护 ? 信用卡保护 ? 安全对象
? 2007 Citrix Systems, Inc. — All rights reserved

44

高级SSL支持
IPS/IDS 无法看到 SSL 流内部!
Citrix应用防火墙终结SSL检查流内部

? Netscaler 硬件 SSL 加速 ? 提供FIPS 140-2 Level 2 SSL 密钥管理 ? 重新用SSL加密到服务器的连接,实现完全端到端保密 ? 支持客户端证书

? 2007 Citrix Systems, Inc. — All rights reserved

45

商业对象保护模块
防止引疏忽泄露客户和公司数据
Server: Msg 547, Level 16, State 1, Procedure error_demo_sp, Line 2 UPDATE statement conflicted with COLUMN FOREIGN KEY constraint 'fk7_acc_cur'. The conflict occurred in database 'bos_sommar', table 'currencies', column 'curcode'. The statement has been terminated.
Mastercard 5168701720999598 XXXXXXXXXXXXXXXX 5487106695039822 XXXXXXXXXXXXXXXX 5374247346295037 XXXXXXXXXXXXXXXX 5229226821960783 XXXXXXXXXXXXXXXX 5120772245608565 XXXXXXXXXXXXXXXX 5418244166026814 XXXXXXXXXXXXXXXX 5214846392378060 XXXXXXXXXXXXXXXX 5593219822414122 XXXXXXXXXXXXXXXX 5302495774841718 XXXXXXXXXXXXXXXX 5141463445796112 XXXXXXXXXXXXXXXX VISA 4532804852500010 XXXXXXXXXXXXXXXX 4328380488186126 XXXXXXXXXXXXXXXX 4532740912246923 XXXXXXXXXXXXXXXX 4716318594729561 XXXXXXXXXXXXXXXX 4916022347049263 XXXXXXXXXXXXXXXX 4929693453925879 XXXXXXXXXXXXXXXX 4916392627322353 XXXXXXXXXXXXXXXX 4485495924283904 XXXXXXXXXXXXXXXX 4532203936162055 XXXXXXXXXXXXXXXX 4916164014266109 XXXXXXXXXXXXXXXX
? 2007 Citrix Systems, Inc. — All rights reserved

? 防止金融盗窃
信用卡号码

? 可配置的保护
用户定义的数据对象

完全符合 PCI-DSS规范

46

高级应用自学习

通过学习恰当的应用行为, 实现Web应用的强制安全

自动的策略推荐 流量模板建议 减少误报 为动态应用提供易于裁剪的定义

? 2007 Citrix Systems, Inc. — All rights reserved

47

提供创新的差异化服务

NetScaler解决方案兼顾网络与应用
XML...SOAP...HTTP...WSDL...JSON...REST...RSS...AJAX...end-user experience... Mashup...RelTag...SOA...Application Availability...Data theft...RIA...Wiki...Enterprise 2.0

AppExpert
用户

策略框架

应用

路由器

交换机

防火墙

MAC address...Source IP...Destination IP...Source port...Destination port...Ping... OSPF...RIP...BGP...ACL...DNS...Subnet...802.XX...ARP...ICMP...RTT...SYN...ACK... Keepalive...SNMP...SSH...SSL...MTBF...Latency...
? 2007 Citrix Systems, Inc. — All rights reserved

49

应用场景 ? 根据User-Agent判断客户端类型,针对PDA用户
? 引导到专门的页面 ? 加载专门的TCP优化功能

? 根据用户类型提供差异服务
? 在Header中植入标识用户类型的Cookie ? 根据Cookie分配到不同的服务器,加载不同的优先级策略

? 根据交易类型提供差异服务
? 识别应用层交换的内容 ? 根据预设的策略,加载不同的安全策略

? 2007 Citrix Systems, Inc. — All rights reserved

50

范例

Application Visibility

L7 有效载荷 可见性

金牌用户 + 交易额 > $3,000

L7 报头 可见性

银牌用户

一般用户

L4 可见性
? 2007 Citrix Systems, Inc. — All rights reserved

51

技术细节

用户

POST http://www.competitivecyclist.com/za/CCY … ---------------: -----------Cookie: JSESSIONID=acIck92mZc3hpZjcBf;… … ---------------: -----------PAGE=LOGON_PROMPT_PRECART&OPTION=PREEDITCART&zoi_ save=1&zoi_id-1=&zoi_description1=FRAME%3A++Pegoretti+Responsorium&zoi_pricezoi_price1=3500.00&zoi_ins_by-1=GUEST&zoi_sku1=3500.00 …

高额交易

Zoi_price-1>3000 High_value_TX

低额交易
? 2007 Citrix Systems, Inc. — All rights reserved

52

监控用户性能 优化IT架构部署

当前问题
企业缺乏实时,以用户为中心的应用性能的可见性
? 实时响应时间测量 ? 性能报警 ? 趋势和分析

市场被昂贵,复杂,消耗大量资源的解决方案占据
? 重型的设备和配置

前端和加速产品进一步是基于服务器的测量复杂化
? 最佳的应用交付测量点位于用户到数据中心的最后一个接触点

? 2007 Citrix Systems, Inc. — All rights reserved

54

EdgeSight for NetScaler
提供最终用户体验的可见性

用户

应用 关键特性 最终用户性能体验监控 站点响应时间和时延细化 请求处理 原始服务器处理 响应处理 性能趋势和分析

Citrix EdgeSight

? 2007 Citrix Systems, Inc. — All rights reserved

55

部署方式

串接部署方式
用户 核心交换机
Si

?部署复杂,需要改变 现有网络连接。通常 也需要改变服务器的 VLAN和IP地址规划
核心交换机
Si

Citrix NetScaler 负载均衡设备

Citrix NetScaler 负载均衡设备

?需要改变服务器网 关,不论是否需要负 载均衡的流量都必须 穿过负载均衡设备 ?对防火墙的安全域部 署造成严重干涉,甚 至无法与防火墙共存

服务器

?扩展能力受限

由于上述弊病,实际应用中,几乎系统没有采用串接方式部署负载均衡设备
? 2007 Citrix Systems, Inc. — All rights reserved

57

旁路部署方式
?部署简单,无需改变 现有拓扑结构 ?可以不改变现有 VLAN,IP地址规划 ?无需更改服务器网 关,不进行负载均衡 的流量可直接通过交 换机转发,效率较高 ?对防火墙部署小,策 略迁移简单
服务器

用户

核心交换机
Si

核心交换机
Si

Citrix NetScaler 负载均衡设备

Citrix NetScaler 负载均衡设备

?扩展能力强
由于上述优势,旁路部署是行业惯例和大部分用户的共识
? 2007 Citrix Systems, Inc. — All rights reserved

58

降低总拥有成本

? 2007 Citrix Systems, Inc. — All rights reserved

60

总结

集成了应用交付所需的全部功能

集成的 性能监控

集成的 SSL

集成的Web 应用防火墙

应用系统的可 靠性,安全性 和性能提升

用户

Citrix NetScaler 8.0

? 2007 Citrix Systems, Inc. — All rights reserved

62

应用

Citrix NetScaler帮助用户提升应用的商业价值

低成本

高可用

应用创新

高性能

可管理

安全

? 2007 Citrix Systems, Inc. — All rights reserved

63

NetScaler 产品家族

Citrix NetScaler 硬件家族

? 2007 Citrix Systems, Inc. — All rights reserved

65