当前位置:首页 >> IT/计算机 >>

Citrix Netscaler技术方案建议书_图文

思杰系统应用交换解决方案

***机构项目 ***机构项目 应用交付解决方案 Netscaler 应用交付解决方案 技术建议书 技术建议书
二〇〇七年 〇〇七年

思杰系统(Citrix)亚太有限公司 TEL: +8610-85200075 北京市东城区长安街一号东方广场 E2 办公楼 19 层 FAX: +8610-85200038


第1章



需求分析 ...................................................................................................... 4

1.1. 网络现状 ...................................................................................................... 4 1.2、需求分析....................................................................................................... 4 1.3、需求总结:................................................................................................... 5 第2章 技术方案 ...................................................................................................... 6

2.1. 设计原则 ...................................................................................................... 6 2.2. 部署方式 ...................................................................................................... 6 2.3. 设备管理与监控 .......................................................................................... 8 第3章 详细技术设计 .............................................................................................. 9

3.1. 利用服务器负载均衡技术实现流量分担 .................................................. 9 3.2. 利用优化功能提高了网站的整体性能 .................................................... 10 3.3. 利用 DDOS 防范功能确保了网站的安全 ............................................... 11 3.4. 利用 SSL VPN 来远程管理内部服务器(可选) ........................................ 12 第4章 产品技术特点 ............................................................................................ 14

4.1. Citrix NetScaler 技术简介 ........................................................................ 14 4.2. 优化 Web 应用—Citrix NetScaler 应用交付系统 .................................... 15 4.3. Citrix NetScaler 解决方案直击所有挑战 ................................................. 18 4.3.1. 最优化.............................................................................................. 19 4.3.2. 安全性.............................................................................................. 20 4.3.3. 交换.................................................................................................. 21 4.4. 总结 ............................................................................................................ 22 第5章 设备介绍 .................................................................................................... 24

5.1. 设备参数(Datasheet) ............................................................................ 24 5.2. 设备外观 .................................................................................................... 29 5.3. 认证证书 .................................................................................................... 30 第6章 第7章 设备配置 .................................................................................................... 37 总结 ............................................................................................................ 38

附录 1 Request Switching 技术简介 .......................................................................... 39

2

附录 2 新浪(sina.com)案例........................................................................................ 46 附录 3 在世界上最严酷网络环境中运行案例......................................................... 48

3

第1章 章
1.1. 网络现状 (用户拓扑图)

需求分析

1.2、需求分析 、
根据需求的描述,需要满足以下主要功能: 通过应用交换保证最佳服务(即实现服务器的负载均衡) 为重复性的内容提供缓存服务(即缓存的解决方案) 为 HTTP 应用提供页面内容压缩(即压缩的解决方案) 提供系统 SSL 的处理能力(即提供 SSL 加速服务的解决方案)

同时,要考虑以下几点:

实用性和先进性

采用先进成熟的技术满足当前的业务需求,兼顾其他相关的业务需求,尽可能采 用先进的网络技术以适应更高的数据、多媒体信息的传输需要,使整个系统在一 段时期内保持技术的先进,并具有良好的发展潜力,以适应未来业务的发展和技 术升级的需要。
安全可靠性

为保证将来的业务应用,网络必须具有高可靠性。要对网络结构、网络设备、服 务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠 性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监 控和网络安全保密等技术措施提高网络系统的安全可靠性。
灵活性与可扩展性

网络系统是一个不断发展的系统,所以它必须具有良好的扩展性。能够根据将来 信息化的不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高 网络各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技 术升级、设备更新的灵活性。

4

开放性/互连性 开放性/

具备与多种协议计算机通信网络互连互通的特性, 确保网络系统基础设施的作用 可以充分发挥。 在结构上真正实现开放, 基于国际开放式标准, 包括各种广域网、 局域网、计算机及数据库协议,坚持全国统一规范的原则,从而为未来的业务发 展奠定基础。
经济性/ 经济性/投资保护

应以较高的性能价格比构建网络系统,使资金的产出投入比达到最大值。能以较 低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留 并延长已有系统的投资,充分利用以往在资金与技术方面的投入。
可管理性

由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日 益繁重。所以在网络的设计中,必须建立一个全面的网络管理解决方案。网络设 备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的 分布式管理。 最终能够实现监控、 监测整个网络的运行状况, 合理分配网络资源、 动态配置网络负载,可以迅速确定网络故障等。

1.3、需求总结: 、需求总结:
以唯一的域名或 IP 地址作为所有提供相同服务的服务器的逻辑入口点。 在负载交换机内设定均衡负载策略,将服务器群规划成一个组。 具有灵活的流量分配算法与机制,以确保用户总能访问可以为其提供最 优服务的服务器。 负载服务器处理用户的请求,再由负载交换机将处理结果返回用户。 具有很好的升级与可扩展性,能够适应特定的和不断变化的业务需求。

通过部署高性能的负载均衡产品,及时发现所负载均衡的各服务器的健康状 况,当某台服务器出现故障时,保证把后续用户的访问导向到正常运行的服务器 上去。 Citrix Netscaler 设备提供专用的硬件 SSL 卡,提供 SSL 的加密业务处理能 力,越来越多的用户开始使用 SSL 对关键业务进行加密处理,传统的由服务器 来处理 SSL 的效率较低,同时会降低其他业务的性能,采用专业的 SSL 处理卡 可以大大提升系统的整体性能, 能够在不降低网络性能的情况下为用户提供快速 的 SSL 交易,以确保高效、连续和安全的完成电子商务交易。

5

第2章 章
2.1. 设计原则
1. 实用性

技术方案

NetScaler 在负载均衡领域具有长期的实际经验和众多的成功案例, 我们可以提 供完全满足用户技术需求的负载均衡功能; 2. 可靠性 本项目作为用户非常重要的信息系统,必须保证其高可靠性. NetScaler 提供的双 机热备,链路聚合等功能可以保证用户对可靠性的要求.同时,我们还为 NetScaler 设备配置了双电源,保证了设备自身的可靠性. 3. 多功能 除了负载均衡, NetScaler 设备还提供了性能优化,DDOS 保护,SSL VPN(可选)等多 种功能. 使用户在很低的设备成本和运行成本下,同时获得性能,安全性和可管理 性的改善. 4. 扩展性 NetScaler 的性能优异,可以满足当今和未来系统对设备处理能力不断增强的需求. 同时,用户还可以通过购买软件授权,增加设备的功能.

2.2. 部署方式
建议将这 2 台 NetScaler 设备,如果条件容许可以使用 4 台,分别构成 2 组高可靠 性双机,用于上海和贵州 上海和贵州的邮件系统,以及其他的系统. 上海和贵州

以下列出了 2 种典型的部署模式:HA 双臂和 HA 单臂模式.

6

HA 双臂模式

HA 单臂模式

7

我们可以根据现有的实际网络拓扑结构,灵活地使用单臂或双臂模式部署 NetScaler 设备.

如果两种部署模式在现有网络拓扑结构中均可行,我们推荐使用 HA 单臂模式,即 将 NetScaler 设备通过 1 或多条链路连接在核心交换机上. 这种模式对现有网络 环境的影响最小,而且未来的扩展性较强.

2.3. 设备管理与监控
设备可以通过 Console/SSH 以 CLI 方式,或者通过基于 Java 技术的 GUI 界面进行 配置管理与监控. 同时,该设备支持 SNMP,可以纳入用户的网管系统中进行统一 的管理.

GUI 配置和监控界面非常友好,便于用户操作.

图:界面范例

8

第3章 章

详细技术设计

3.1. 利用服务器负载均衡技术实现流量分担
我们根据系统的实际情况,定义了若干个虚拟服务器(也称为 vserver 或者 VIP), 其上包括了一个 IP 地址和端口。这个虚拟服务器被设置成与一组运行在 真实服务器群上的真实服务所绑定。真实服务包含了后台真实服务器的 IP 地址 以及端口。在这样的情况下,一个客户发送一个请求到虚拟服务器,然后虚拟服 务器在真实服务器群中选择一个并将请求转发到该真实服务器。 不同的虚拟服务 器可以设置成与不同的真实服务绑定,例如 TCP 以及 UDP 服务。虚拟服务器支 持的协议和应用包括: HTTP, FTP, SSL , SSL BRIDGE, SSL TCP ,NNTP 以及 DNS 等等。 同时对于某些特定的服务,我们在虚拟服务器上配置“保持粘性” : 一旦 一个服务器被选择了, 后续的从该用户发出的请求都被转发到同一服务器上。 保 “ 持粘性”对于那些状态需要保存在服务器上的应用,例如:购物系统等是非常重 要的。 NetScaler 9010 系统也负责检查服务器群的服务的健康状况。一旦发现服务 有问题, NetScaler 9010 系统仍将继续依照负载均衡算法把服务转向到其他正 常的服务上去。 负载均衡算法指定了负载均衡的标准,也就是说,负载均衡算法选择了一台 真实服务器来传递用户的请求。 如果这个被算法选定的最合适的服务器达到或者 , 超过了其最大用户连接数(使用-maxClients 在 CLI 命令行中队服务进行设定) 那么另外一个连接数比较合适的服务器将被代替。 这个方法可以通过在均衡算法 中将连接数作为权重设置来实现。 NetScaler 9010 系统可以设置按照以下这些算法来实现负载均衡: ? 最少连接数 ? 轮询 ? 最少响应时间

9

? 最低带宽 ? 最少包 ? 令牌 ? URL 散列法 ? 域名称散列法 ? 源 IP 地址散列法 ? 目的 IP 地址散列法 ? 源 IP-目的 IP 散列法

3.2. 利用优化功能提高了网站的整体性能
如前所述,对于 MAIL 、HTTP 流量, NetScaler 9010 系统通过利用保

持自己与用户端通过 WAN 的连接以及保持自己与服务器的常连接的技术来保证 了快速的页面下载时间。 这个是通过在客户端以及服务器上的 MAIL 、HTTP “连接保持” 技术来 实现的。 对于服务器来讲, 它永远只感觉到自己在和一个一直保持连接的用户 (就 算实际上该用户不是一直保持连接的)进行交互。而对于客户端来讲,它永远感 觉到自己在和一个保持连接的服务器在进行交互 (就算实际上该服务器被设置成 例如一个请求一个连接这样的非 keep-alive 方式). 这一常连接保持技术利用在客户系统上, 可以显著提高用户客户端的页面下 载时间。其原因在于用户不需要再通过 WAN 建立新的连接,而一般来讲这些新 建连接过程在 WAN 上通常会带来 50 到 500ms 的延迟。 服务器端的常连接保持带来的服务器服务卸载。 Netscaler 保持与服务器的连 接,并且所有来自客户端的连接被 Netscaler 终结。这样的情况下,服务器可以 将更多的资源用在对于用户请求的响应上而不是去浪费在 TCP 连接的建立和拆 除的管理上。 常连接保持使得服务器上只存在有较少的连接,服务器 CPU/内存 使用率 被显著降低,其原因是服务器现在处理的连接建立和拆除进程减少很多了。

10

3.3. 利用 DDOS 防范功能确保了网站的安全
在本项目中, 我们使用 NetScaler 9010 系统的 SYN cookies 原理来防范 SYN FLOOD 攻击。 Cookies 被 发 送 到 发 送 请 求 的 用 户 端 , 该 初 始 会 话 状 态 没 有 被 保 留 在 NetScaler 9010 系统上。正因如此,NetScaler 9010 没有为该会话分配内存,正 常的由合法的用户发出的 TCP 连接并不会被终结。 NetScaler 9010 系统在收到非 HTTP 流量的最终 ACK 包或者收到 HTTP 流量的 HTTP 请求包时才为连接分配 内存。 正因如此, 在多次项目的实施过程中的若干次压力测试下, NetScaler 9010 系统可以达到非常高的 SYN 处理能力(达到 2M SYN/SEC) 。 NetScaler 9010 系统的 SYN cookie 机制确保了以下几点: ? NetScaler 9010 系统的内存不会浪费在非法的 SYN 包上,实际上, 内存只被用来向合法用户提供服务。 ? 合法用户的普通的 TCP 对话可以无终断的得到服务,就算系统在 SYN FLOOD 攻击下也是如此。 ? 正由于内存只在收到 HTTP 请求后才予以分配给连接, NetScaler 9010 系统使得客户系统的 WEB 站点避免受到了 “空闲连接” 攻击。 此外,NetScaler 9010 系统还能有效的防范 7 层 DOS 攻击。 一般来讲,有两种类型的 7 层 HTTP DOS 攻击: GET 攻击以及 IDLE 攻 击。对于 GET 攻击,黑客在一个连接建立后发出非常多的 GET 请求。对于 IDLE 攻击,攻击者在连接建立后恶意停止一切活动而空闲等待。 NetScaler 9010 系统在处理时, 当连入的 SESSION 速率达到一个预先设定的 门限值时,DOS 防卫功能就自动触发。 NetScaler 9010 系统会抽样对一部分客 户 端 请 求 发 送 带 有 SET-COOKIE 的 响 应 。 恶 意 攻 击 主 机 通 常 不 会 响 应 SET-COOKIE,所以这些攻击包就会被丢弃。 而普通正常的 HTTP 请求不会受 到影响。 这个触发的门限值以及发送 SET-COOKIE 的比例值可以针对每个服务 来精细微调。 并且,由上所述,连接不会在第一个 GET 请求到达前建立。所以 NetScaler 9010 系统也可以有效的防止 IDLE 攻击。

11

3.4. 利用 SSL VPN 来远程管理内部服务器 可选 来远程管理内部服务器(可选 可选)
VPN 技术可以扩展企业的内部网络,使在外工作的员工和合作伙伴通过标 准、公用的因特网访问他们的内部网络。它相对传统的专线网络方案的主要优势 是各项费用将大大降低。 专线网络需要在合作伙伴或者远程员工与公司总部之间 有一个物理封闭的网络连接,或者采用远程拨号访问方案,或者采用 T1 之类的 数字专线连接。VPN 是一个非常实用的技术,它允许客户(包括员工)和合作 伙伴利用标准的因特网进行廉价连接, 它允许采用 IPSec 安全协议方案。 事实上, 在 VPN 技术中包括许多加密和安全协议,SSL 就是其中一个,同样主流 VPN 应 用的 IPSec 也是其中的一种。所以总的来说 IPSec VPN 与 SSL VPN 是 VPN 技术 在两种不同的安全协议下实现 VPN 通信的两种平等方案。 相对于传统的 IPSec VPN, 能让公司实现更多远程用户在不同地点接入, SSL 实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成 本。很多企业用户采纳 SSL VPN 作为远程安全接入技术,主要看重的是其接入 控制功能。 SSL VPN 提供增强的远程安全接入功能。 IPSec VPN 通过在两站点间创建隧 道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建, 用户 PC 就如同物理地处于企业 LAN 中。这带来很多安全风险,尤其是在接入 用户权限过大的情况下。SSL VPN 提供安全、可代理连接,只有经认证的用户 才能对资源进行访问,这就安全多了。SSL VPN 能对加密隧道进行细分,从而 使得终端用户能够同时接入 Internet 和访问内部企业网资源,也就是说它具备可 控功能。另外,SSL VPN 还能细化接入控制功能,易于将不同访问权限赋予不 同用户, 实现伸缩性访问; 这种精确的接入控制功能对远程接入 IPSec VPN 来说 几乎是不可能实现的。 SSL VPN 基本上不受接入位置限制,可以从众多 Internet 接入设备、任何远 程位置访问网络资源。SSL VPN 通信基于标准 TCP/UDP 协议传输,因而能遍历 所有 NAT 设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何 地方接入, 无论是处于其他公司网络中基于代理的防火墙之后, 或是宽带连接中。 NetScaler SSL VPN 是一个安全的远程接入解决方案,它能提供远程用户, 例如移动员工, 远程工作, 合作伙伴, 分销商甚至一个企业网络的点到点的连接。

12

这一方案首先在用户的标准浏览器以及 NetScaler 9010 系统之间建立一条安全的 基于 SSL 的隧道。利用业界标准的 SSL 作为底层的隧道协议, NetScaler SSL VPN 不需要对于服务器以及局域网做任何配置上的变动。 此外,也不需要客户端软 件的增加和管理。 就象其他传统的 IPSEC 和 VPN 系统那样, NetScaler 的 SSL VPN 允许远程用户安全的访问公司的内部网络。 它的主要作用在于提供对于企业内部 网络资源的安全接入,例如,内部和外部的 WEB 站点,共享的 WINDOWS 文 件系统, 内部客户/服务器应用程序 (如 Outlook, Peoplesoft, Oracle 等) NetScaler 。 的 SSL VPN 解决方案提供远程用户在任何地点借助于公网的安全的对内部网络 资源的接入。 NetScaler SSL VPN 当远端用户第一次进入并获得 SSL VPN 门户 授权后,在该用户 PC 上自动安装的一个浏览器插件。一旦安装,这一浏览器插 件与 NetScaler 9010 系统沟通,并建立了在 INTERNET 上的一个安全隧道。通 过这一连接, 远端用户能够象在公司内部局域网内部一样去访问内部网络的各种 资源。

13

第4章 章

产品技术特点 产品技术特点

4.1. Citrix NetScaler 技术简介
Citrix NetScaler 应用加速系统把传统意义上的数据中心的各种纷繁产品的 功能,例如:负载均衡,缓存,压缩,SSL 加速,攻击保护,SSL VPN 等,融 合进了单一的产品中, 从底层出发极大的优化了数据中心各种应用的性能和数据 安全性。

由于应用通常需要端到端的服务器与用户的连接, 从而隐藏了特定应用的需 求,所以实现智能化的应用基础设施是极其具有挑战性的技术。 这样的对于特 定应用需求的“隐藏”性,通常使得应用层解决方案在做智能化应用决策时显得 无能为力。 所有的 NetScaler 系统产品都是围绕着 NetScaler 专利技术 Request Switching ? 为基础的, 这也是业界唯一的能够以线速处理所有用户自定义策略为基础的应 用请求的技术。 NetScaler 的应用感知策略引擎 AppExpert?, 允许用户自定义详 细的对于特定请求的策略,而与连接无关。 AppExpert? 允许管理员设定复杂的 处理各种应用请求的策略,从而实现强大而全面的基于应用的各种功能。

NetScaler 系统能带给你: ? 最大化的应用性能

14

? 端到端的应用安全 ? 持续性的应用可靠性 ? 降低运营成本

虽然有其他公司的解决方案声称能增加 WEB 应用的性能,但是只有 NetScaler 系统能最大化的提升 WEB 应用以及 client/server 应用的性能和安全性。 此外,NetScaler 的单一的一元化设备取代了数量众多的单点解决方案,众多的 网络设施被梦幻般的简单化,高额的运营建设费用业被相应的降低了。 NetScaler 系统能提升 Oracle, PeopleSoft, SAP, Siebel, Outlook Web Access, E-commerce 系统的性能多达 70%以上,同时增加了安全性并降低了运营成本。

NetScaler 产品分为两个系列:

Application Accelerator 应用加速器 应用加速系列是那些期盼能增加数据中心应用性能的企业的理想解决方案。 同时该产品系列还能提供无须客户端的对于这些应用的远程安全控制。

Application Switch

应用交换

应用交换是全功能的网络系统,其融合了 4-7 层负载均衡,内容交换,应用 加速以及强大的安全性能。 它是老化的负载均衡以及其他传统单点解决方案的 理想替代品。应用交换产品降低了网络的复杂性,减少了运营成本。

4.2. 优化 Web 应用—Citrix NetScaler 应用交付系统 应用—
应用交付带来的挑战 IT 可不简单

如今,企业很大程度上都依赖其业务应用。库存、客户关系、销售、财务处 理和其它应用已成为企业运营的命脉, 而将这些应用发送给用户是如今企业面临

15

的一个主要的挑战。要创造更高的生产效率,公司员工、远距离办公人员、业务 伙伴、客户和远程办公室的工作人员就必须保持对关键应用的不间断访问。可用 性、安全性或有效性的任何不足都可能导致生产效率和利润率降低。

目前,要有效部署应用还面临着很多障碍。低带宽、高延时 WAN 和拨号连 接方式使得处理能力降低,等待时间延长。安全方面的不足会将机密数据置于被 盗取的危险之中,或导致应用崩溃。由于服务器资源的限制,所有用户的响应时 间都受到了不良影响。而用户群过大也会影响基础架构的正常使用,引发故障。 太慢或太难用的远程接入方式同样会降低商务旅行时的生产效率。因此,要想提 高生产效率以及应用的可接入性,就必须克服上述障碍。

传统产品 vs. 应用交付挑战

单纯的故障处理不能解决根本问题

假设应用部署完整,经过数月的计划和测试,应用部署应该会相当成功。然 而,只有当所有用户都能访问应用时,计划才能按部就班实施。这样就会引发严 重后果,包括不良的应用性能——降低总的可用性,从而影响整个应用以及整个 计划。由于不能轻易检测出应用问题(如不良的应用性能) ,就可采用市面上的 大量技术和产品来逐一解决出现的症状(参见表 1) 。

症状 Web 应用低性能 SSL 应用低性能 Web 应用低性能 服务器的不良扩展性 WAN 连接低性能 表 1、症状及相应的解决办法

解决办法 负载均衡器 SSL 加速 内容缓存 TCP 优化 内容压缩

16

然而,大多数应用部署过程中会同时出现表 1 中所列的症状,还有一些是表 中还未涉及的。要解决其中任何一个症状都需要配置多用途设备。这样一来,虽 然每种症状都能得到解决, 但同时采用多种解决方案并不一定能够达到最好的效 果,实际上还会因此引发不必要的、潜在的会带来严重后果的负面影响。

就拿企业的 Oracle 财务应用部署来说吧,该应用是为了优化业务进程,提 高生产效率,应用性能不良可能会直接影响用户生产力。

通常,许多性能问题都几乎被出于本能地认为是由网络故障引起的,即便其 它所有应用都能在网络基础架构中正常运行。 只有对网络有效性进行了详细检查 并证实后,才会将问题归咎于应用及其在基础架构中所发挥的功效。

还有另外一种解决办法,就是针对每个症状增加网络化“解决方案” ,然而 费用极高,还不能解决所有问题,只是可以暂时缓解症状而已。

单个解决方案的使用确实会改善性能,但是,如果在一个应用基础架构中同 时采用多种解决方案反而可能会导致总体性能下降。 打个比方, 每增加一台设备, 其管理复杂度和支持成本必然会显著增长, 因为每台设备采用的是不同的管理界 面,这就需要另外进行管理培训,而且还必须为每台设备提供支持服务。

图 1、多产品解决方案

图 1 所列的单点产品都只是针对个别症状,不能有效解决更多问题,例如, 如何在最小化网络复杂度和成本的同时优化和加速应用。

17

4.3. Citrix NetScaler 解决方案直击所有挑战

应用解决方案

Citrix? NetScaler?应用交付系统率先引入了应用网络基础架构新概念, 在架 构中整合了性能、安全性、可用性,并节省了成本,而这些正是企业和电子商务 公司在经 IP 网络放心部署关键应用过程中所需要的。Citrix NetScaler 系统融合 了传统负载均衡器、流量管理器和远程接入系统的所有特点,具有先进的应用功 能。

由于单一的整合平台具备了应用交付和安全性特点,Citrix NetScaler 应用交 付系统可发挥出每项技术的优点,与前面谈到的单个解决方案是完全不同的。

图 2、Citrix NetScaler 应用交付系统

NetScaler 应用交付解决方案融合了 Citrix? Request Switching?的三项重要 功能,可将复杂的第 7 层技术融入高性能架构中。技术覆盖的范围包括: ? 优化——确保最好的应用性能和扩展性。 ? 安全——确保应用内容的安全性,保证服务器不受 DoS/DdoS 攻击。 ? 交换——确保可靠的应用性能以及应用的高度可用性。

18

图 3、Citrix NetScaler 技术覆盖范围及其特点

4.3.1. 最优化
投入最少精力,显著提升性能

通常,在确定应用性能问题不是由网络基础架构引起之后,那就会认为是服 务器硬件造成的。尽管服务器会直接影响其运行性能,但不会对应用性能构成直 接影响。我们必须区分处理过程和应用性能。简单地提高服务器处理能力只会对 应用性能和扩展性的改善起到一点作用,亦或是根本就不起任何作用。采用增加 负载平衡器来处理增长的负荷也同样如此。

面向应用的优化性能可卸载应用服务器冗长的处理过程, 让其能执行主要的 服务功能。进程卸载允许服务器在原有基础上扩充容量,同时加速内容发布。

NetScaler 应用交付系统提供了一系列应用优化功能,极大改善了应用性能, 并扩充了服务器容量,而完成这一切并没有对服务器或客户端系统进行任何修 改。NetScaler 应用交付优化性能包括: ? TCP 优化——降低了单个应用服务器所需处理的客户端连接数量,优化了服

务器响应性能。所带来的好处就是服务器可支持更多应用用户,现有硬件投资周 期延长了,应用内容交付的性能增强了。 ? AppCompress?——作为高级压缩功能集,AppCompress 可加快包括传统 Web

化应用在内的所有应用数据的发布过程。通过降低传输数据量,AppCompress

19

消除了带宽瓶颈,改善了应用的总体性能。 ? AppCompress for HTTP——AppCompress for HTTP 的高级 HTTP 压缩功能加

速了对所有用户的 Web 化应用数据交付过程。它将标准 Web 化页面应用发布过 程提高了 2 到 3 倍,甚至将某些企业应用数据发布过程提高了 7 倍,而未增加任 何客户端技术。同时,该功能还卸载了 Web 服务器的计算密集的压缩过程,因 此企业无需追加基础架构投资就能服务更多用户。 ? AppCompress MP?——AppCompress MP 是一项多协议压缩技术, 可改善用户

经全/富客户端(如 Microsoft? Outlook) 、非 Web 瘦客户端(由大众化企业应用 如 Oracle、SAP 和 Siebel 推出)以及移动客户端(如 Pocket PC)进行应用访问 的性能。 ? AppCompress Extreme?——通过清除 HTTP 内容中的冗余数据, AppCompress

该技术提供了一种强大的压缩引擎, Extreme 技术改善了标准化 HTTP 压缩性能。 以策略为导向,可立即计算出应用数据的差异,然后将变更数据发送给用户。 ? 内容高速缓存——支持从 NetScaler 系统中调用静态和动态应用内容, 大大降

低了应用内容重建的资源需求和等待时间,因此极大地改善了应用性能。

4.3.2. 安全性
保持应用可用性

NetScaler 应用交付系统具备全面的攻击防御系统,可保证系统不受 DoS、 DDoS、网络蠕虫/病毒和应用专用漏洞的攻击。每个 NetScaler 系统的核心都是 Request Switching 技术,该技术拥有多项专利,提供了独特的、高性能的第 7 层 功能组合。这项技术支持 NetScaler 应用交付系统对应用请求进行检查,辨别恶 意内容并阻止其进入应用服务器。NetScaler 应用交付系统的安全性能包括: ? DDoS 保护——识别和保护应用基础架构不受 DoS/DDoS 攻击。这种保护已

超越了其他供应商采用的传统 SYN cookie 技术所提供的保护(详情请参见 NetScaler SYN 保护白皮书) 。

20

?

入侵过滤——通过在恶意蠕虫和病毒进入应用服务器前进行识别并拒绝,保

护应用服务器不受侵袭。NetScaler 系统独特的包检测和过滤功能(包括对加密 流量进行检测)可支持管理员制定政策来保护系统不受这些攻击。NetScaler 可 抵御的普通攻击包括 Nimda 和 Code Red。 ? SSL 加密——应用内容在传输过程中都受加密保护,通过卸载服务器复杂的

加密任务将应用处理能力发挥到了极致。 该功能使管理员能保护敏感应用内容的 安全,使其摆脱被窃取及被滥用的潜在威胁。 ? SSL VPN——无需额外的远程客户端软件,而直接采用普通的客户端技术即

可为远程用户提供全面的、安全的远程接入技术,同时采用了行业标准的 SSL 技术保护机密内容。NetScaler SSL VPN 技术允许终端用户远程访问任何应用, 包括非 Web 客户端/服务器应用在内。

4.3.3. 交换
不只是平衡动作

为了确保应用的有效性,NetScaler 应用交付系统提供了完善的应用交换功 能,支持多个应用服务器和/或数据中心间的流量分配。这种流量分配功能可以 更快的速度处理客户端请求,确保了发生服务器或应用故障时的容错能力。

传统交换解决方案的问题在于:它们只是针对第 4 层(连接层)进行流量检 测和交换,应用内容知识或能力有限。而采用这种新的解决方案,就不会强迫用 户每次连接时使用相同的应用数据量。在现实操作中,某些客户端比其它一些客 户端的需求量更大,因此,服务器之间的流量分配就不均衡,从而弱化了负载平 衡的分配优势。

相反,NetScaler 的交换技术基于 Request Switching,可识别每个用户不同的 应用请求, 并据此实施相应对策。 通过实行请求交换, 而不是连接交换, NetScaler 能够提供业界最为领先、性能最为优越的应用流量分配解决方案。NetScaler 应

21

用交付系统的交换功能包括: ? 负载平衡——提供多个应用服务器间的应用内容分配功能,其崩溃恢复机制

保证了业务连续性,改善了应用性能。更甚的是,Request Switching 在不考虑个 人用户需求的情况下就实现了流量分配。 ? 第 7 层交换——提供了基于内容的流量分配功能,使管理员能部署适合个人

内容的应用专用资源(如图象服务器、XML 服务器、HTML 服务器) 。 ? 全局服务器负载平衡 (GSLB) ——基于地理位置和网络亲近度进行内容分配,

保证了远程用户可直接透明地交换到其所在的特定区域的本地化内容, 或交换到 本地资源,保证最佳性能。 ? 高速缓存重定向——通过将应用内容发送到预先配置好的缓存区,实现了与

现有的高速缓存基础架构之间的融合。

4.4. 总结

有一点非常重要,那就是,应用和网络基础架构合在一起构成可支持战略业 务目标的普通“应用基础架构” 。NetScaler 应用交付系统设计的本意就是利用现 有的发生业务故障最少的网络基础架构来确保保证应用有效性。NetScaler 应用 交付系统的独特性能可最佳化应用通信和资源,保证数据中心资产的安全,确保 应用的持续有效性。通过在企业内部或电子商务基础架构中部署 NetScaler,企 业可立即降低成本。 下图清楚地反映了网络和应用管理员眼中最能影响应用基础 架构生态系统的三大区域。

22

图 4、Citrix NetScaler 端到端应用解决方案

NetScaler 应用交付系统是业界第一个可弥合网络基础架构和应用鸿沟的解 决方案,在提高总体性能的同时优化了应用通信。总之,单个平台上 NetScaler 多种先进功能的集成大大削减了操作成本,降低了网络复杂度。

23

第5章 章

设备介绍

5.1. 设备参数(Datasheet) 设备参数( )
(见下页)

24

25

26

27

28

5.2. 设备外观

29

5.3. 认证证书

30

31

32

33

34

35

36

第6章 章

设备配置

Netscaler 90010 机器做 HA 的配置清单
序 设备名称 设备名称 号 1 Citrix 应用负载 均衡交换机 纤口,4GB 内存) 2 Citrix 应用负载 均衡交换机 纤口,4GB 内存) 模块 Citrix NetScaler 应用负载均衡 交换机 9010 系列企业版 (4 光 可升级内存, 压缩与缓存 1 台 Citrix NetScaler 应用负载均衡 可升级压缩 交换机 9010 系列企业版 (4 光 与缓存模块 1 台 详细配置描述 述 可扩展性描 数量 单位

以上配置我们可以再根据具体应用情况做出调整。

37

第7章 章

总结

群柏数码公司长期以来一直积极致力于网络安全、应用交换、存储等领域. 我们希望利用 Citrix NetScaler 产品的独特优势,帮助用户提高网络质量,改善使用 体验,降低运行成本.

在本次项目中,我们期待以思杰系统公司提供的 Citrix NetScaler 产品和专业 服务,参与 XX 项目的建设.。

38

附录 1 Request Switching 技术简介
NetScaler 拥有专利的 Request Switching 技术是 WEB 应用系统的基础, 它是拥有 最佳的性价比,能保证持续,安全的 WEB 应用。 基于在网络优化方面的领先研究,Request Switching 技术以最有效的方法处理 WEB 应用流量: 在应用请求层进行分析,然后加入安全性,重定向进入流量, 使得优化流向,保护以及控制流量变为可能。基于这些技术,NetScaler 打破了 应用请求对于传输层的依赖性,从而实现了每个最终用户的请求 这一独特的处理特定应用请求以及响应的能力,使得应用层得到保护,网络基础 得到全面优化,而这是其他技术以及方案所不能提供的。 NETSCALER 突出的特点表现在: ? 持续的应用有效性使得各种应用在流量浪涌以及恶意攻击下也能得到保证。 ? 增加了服务器的能力,在降低带宽占用,降低复杂性的同时,整体运营成本 也显著降低。 ? 提供了对于 WEB 应用的线速安全保护能力。

Request Switching 技术使得 NetScaler 用户能 100%保护其应用内容的安全性,持 续的提供服务给最终用户,并且降低了总体的运营成本,而这一切都不会影响最 终用户的使用感觉。

那么 Request Switching 是如何工作的呢?

NetScaler 拥有专利的 Request Switching 技术向我们展示了下一代的流量管理技 术。NetScaler 打破了存在于连接和请求之间的关系,并在请求层检测所有的流 量,Request Switching 提供了高性能的,安全的,可扩展的应用层服务。

39

在 Request Switching 技 术 的 核 心 是 一 个 新 的 运 行 范 例 , 正 是 在 这 之 上 , NetScaler 系统分开管理每一客户端连接以及服务器端连接。 因为 NetScaler 系统 是每个客户端以及服务器端连接的终点,而不是简单的传输连接,所以它能提供 以 前 其 他 流 量 管 理 系 统 所 无 法 达 到 的 许 多 加 速 和 优 化 技 术 。 因 为 Request Switching 引擎被专门设计来在请求层检测流量,所以负载均衡以及内容交换可 以非常高效的完成。 策略以及过滤可以在进入的请求上被应用并且丝毫不影响性 能。 成熟的负载均衡算法以及健康检查机制保证了服务的均衡性以及持续可靠 性。 先进的加速和优化技术在降低服务器负载的同时更快的把内容传送给了最 终用户。

Request Switching 是 NetScaler 应用提供系统的基础。基于在请求层管理流量的 Request Switching 可以在最终用户的地理位置和连接速度各不相同的情况 原理, 下高效的加速和优化内容传输。由于 NetScaler 系统是一个在客户/服务器端通 信的中介者,使得它能够利用 HTTP 1.1 对于连接保持的优越特性。

多个请求可以在一个客户连接上被复用, 这样消除了连接建立的时间以及客户端 的延迟。与服务器保持的常连接,可以复用多个客户端来的请求,甚至可以是从 不同客户端来的,或者甚至客户端不支持连接保持。 这减少了 TCP 连接在服务 器上的消耗,使得服务器可以更有效的专注于内容的服务。

图 1: 利用常连接的 Request Switching 技术

40

此外, Request Switching 优化过的 TCP/IP 堆栈允许 NetScaler 系统消除了服务器 对于客户端连接速度的依赖性。一旦一个向服务器的请求建立,响应可以全线速 无阻塞的传递到 NetScaler 系统。 NetScaler 系统会缓冲该响应并以客户端连接速 度来把内容传递给客户端,这样使得服务器可以持续服务接下来的其他请求。

作为卸载 TCP 处理以及缓冲到 NetScaler 系统的结果, 每个服务器都可以处理几 倍于其本身性能的并发请求。 这一结果使得载服务器软件以及硬件上的投资大 幅度减少,数据中心空间利用降低,并且也可观的减少了维护成本。

压缩是一个普遍用来增加性能以及降低带宽占用的技术。 压缩的内容只要较少的 时间就可以被下载,所以可以加快客户反应时间并同时减少带宽的使用。但是, 使用压缩有其薄弱之处。实时压缩是一个非常占用处理器资源的进程,甚至会使 得服务器超负荷。预先压缩内容是一个解决方案,但是由此增加的管理花费却不 得不加以考虑。

NetScaler 应用传输系统利用内置的高性能压缩引擎解决了这些问题,这一引擎 称为 AppCompress。这一引擎与 Request Switching 其他技术一起配合使用,可以 解决实时的应用流量压缩。 从服务器来的数据被送到客户端前在应用层被压缩, 这样减少了下载的时间并且减少了带宽占用的消费。其他的压缩程序都不需要, 服务器被从压缩任务中解放出来, 对于预先压缩内容的维护消耗也被消除。 同样, 在维持高性能服务的同时,基础设施消费以及管理成本被明显降低。

41

图2

使用压缩的 Request Switching 技术

缓存是增加 WEB 应用性能的另一个常用方法。缓存在离用户更进的地方保存内 容,增加了响应时间并且减少了原始服务器的负载。但是,由于缓存服务器的独 立性,使得网络变的更加复杂并且难以管理,并且独立的缓存通常不具备对于动 态内容的支持以及所期望的一些控制管理功能。

内置于内存中的,被称为 AppCache 的,并且与 Request Switching 一起工作的 NetScaler 缓存技术,使得 NetScaler 系统可以卸载很大部分服务器对于请求的消 耗,并且可以更快的向最终用户传送内容。静态以及动态内容都可以支持,缓存 的策略以及有效性也可以灵活的设置。高性能的缓存以及压缩,内容交换等其他 优化技术一起协同工作,使得用户响应时间达到最佳,并且 WEB 站点的客扩展 性也显著提高。

42

图 3.

缓存技术与 Request Switching

由于商务活动带来了更多的应用,所以内容的安全性被越来越重视了。但是,安 全的传输内容是一个富有挑战性的技术。 因为传统的流量管理不能理解经加密的 内容,所以它们不能进行加密内容的交换或者对其进行其他一些处理。此外,加 密和解密对于服务器来说也是非常消耗资源的进程。

Request Switching 利用内置于 NetScaler 的密码加速技术解决安全内容的传输问 题。当一个请求到达时,NetScaler 对其进行解密并且载传递到相应服务器之前 进行内容交换策略的选择和过滤。从服务器来的响应可以经过压缩和缓存,然后 经加密传送到用户端。

这一系列步骤使得流量管理和优化技术可以应用于安全内容, 并且减少了服务器 的处理密码的进程消耗,降低了服务器负载。高性能加密同时意味着 IT 经理们 不需要再出于性能的考虑而限制内容传输的安全性。 所以在保持灵活性以及响应 时间在一个优越水平的前提下,安全性也会得到提高。

43

图4

Request Switching 以及 SSL Offload

由于所有的流量在 Request Switching 同时也提供了灵活的防范各类攻击的机制。 请求层被检测,所以攻击在到达服务器前就被阻止了。Request Switching 经优化 的 TCP/IP 堆栈能有效的处理网络层的拒绝服务攻击,请求在送到服务器之前被 进行安全检测。内容过滤策略可以被用来保证只有合法的请求才被传输,并且所 有不符合标准的请求都被视为非法并且被丢弃。此外,速率限制机制也可以被设 置,以此来设置一个门限来控制流向任何服务器的超载。

Request Switching 能显著增加 INTERNET 应用基础的吞吐量以及可靠性,其基 础是建立在对每个应用请求/响应的传输侦测,从而达到最优化的利用传输层协 议和资源,这一技术甚至在所有被传输的内容都加密和压缩的情况下也可以达 到。正是基于对于整个请求/响应处理的全程管理,NetScaler 能独特的做到极其 有效的引导和控制从用户端向服务器发起的应用请求以及响应。

Request Switching 包括了以下的众多的流量管理技术: ? 卸载了服务器以及缓存的传输处理 ? 分析以及优化每个服务请求

44

? 提供了在不丢失交易的前提下的对请求流量的精细调节 ? 保持客户端 TCP 连接从而加速请求反应时间 ? 复用以及反向复用应用层请求从而优化了服务性能

基于其高性能的处理技术, Request Switching 利用在客户端和服务器之间的常连 接复用技术使得上百万的由用户发起的请求复用到了少量的服务器连接上, 这一 技术完全基于标准的 INTERNET 协议(没有其他竞争技术能象 NetScaler 这样完 全开发 HTTP 1.1 常连接技术) Request Switching 技术调整了传输层相关的一 。 些参数,允许服务器能快速适应网络性能的变化。这样,数据在传输的速度上得 到了提高,用户反应时间也相应加快。把 TCP 进程卸载到 NetScaler 的技术使得 服务器端资源得到有效的优化,从而提供更高的吞吐量,低延迟以及高可靠性。

NetScaler 将这一革命性技术从最底层的处理上应用到其产品中,提供给企业, E-BUSINESS 以及服务供应商无比的 WEB 应用保护,空前的性能以及全面的安 全服务,所有这些都是线速的,而且是一个整体的解决方案。

45

新浪(sina.com)案例 附录 2 新浪 案例

46

47

世界上最严酷网络环境中运行案 附录 3 在世界上最严酷网络环境中运行案 例
Google、MSN、Amazon、YAHOO、Ebay…….
NetScaler 历经世界上最严酷网络环境的考验
业 科 业 业

医疗









机构 机构





/内 内





3

48