企业应用交付平台技术白皮书

1、 企业应用交付平台技术白皮书缩略语ADN Application Delivery Network应用交付网络 ADCApplication Delivery Controller应用交付控制器SLBServer Load Balance服务器负载分担LLBLink Load Balance链路负载分担GSLBGlobal Server Load Balance全局负载分担DSRDirect Server Return服务器直接返回模式 RTT Round Trip Time 往返时间 SNAT Source NAT 源地址NAT SNMP Simple Network Management

2、Protocol 简单网络管理协议 SSL Secure Socket Layer 安全套接字层 URI Uniform Resource Identifier 统一资源标识符 URL Uniform Resource Locator 统一资源定位符 VRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议 HAHigh Availability高可靠性DNSDomain Name Server域名服务器LDNSLocal DNS本地DNS服务器目 录 TOC o 1-3 h z u HYPERLINK l _Toc408913169 第一章应用交付产

3、品的概念及核心价值 PAGEREF _Toc408913169 h 6 HYPERLINK l _Toc408913170 1.1ADN应用交付网络的概念 PAGEREF _Toc408913170 h 6 HYPERLINK l _Toc408913172 1.2应用交付产品的核心价值 PAGEREF _Toc408913172 h 7 HYPERLINK l _Toc408913173 第二章天清ADC应用交付解决方案总体介绍 PAGEREF _Toc408913173 h 8 HYPERLINK l _Toc408913174 2.1方案构成 PAGEREF _Toc408913174

4、h 8 HYPERLINK l _Toc408913175 服务器负载均衡 PAGEREF _Toc408913175 h 9 HYPERLINK l _Toc408913176 全局负载均衡 PAGEREF _Toc408913176 h 10 HYPERLINK l _Toc408913177 链路负载均衡 PAGEREF _Toc408913177 h 11 HYPERLINK l _Toc408913178 2.2部署方式 PAGEREF _Toc408913178 h 13 HYPERLINK l _Toc408913180 串行部署三层接入 PAGEREF _Toc40891318

5、0 h 13 HYPERLINK l _Toc408913181 串行透明部署 PAGEREF _Toc408913181 h 13 HYPERLINK l _Toc408913182 旁路部署三层接入 PAGEREF _Toc408913182 h 14 HYPERLINK l _Toc408913183 旁路部署透明接入 PAGEREF _Toc408913183 h 14 HYPERLINK l _Toc408913184 旁路部署之三角传输 PAGEREF _Toc408913184 h 15 HYPERLINK l _Toc408913185 第三章服务器负载分担 PAGEREF _

6、Toc408913185 h 15 HYPERLINK l _Toc408913186 3.1服务器负载分担 PAGEREF _Toc408913186 h 15 HYPERLINK l _Toc408913187 3.1.1负载分担算法 PAGEREF _Toc408913187 h 16 HYPERLINK l _Toc408913188 3.1.2健康检查策略 PAGEREF _Toc408913188 h 17 HYPERLINK l _Toc408913189 3.1.3会话保持策略 PAGEREF _Toc408913189 h 18 HYPERLINK l _Toc4089131

7、90 3.2七层内容交换 PAGEREF _Toc408913190 h 21 HYPERLINK l _Toc408913191 3.3HA高可靠性与设备集群 PAGEREF _Toc408913191 h 22 HYPERLINK l _Toc408913192 3.3.1HA高可靠性 PAGEREF _Toc408913192 h 22 HYPERLINK l _Toc408913193 3.3.2设备集群 PAGEREF _Toc408913193 h 24 HYPERLINK l _Toc408913194 第四章应用优化与加速 PAGEREF _Toc408913194 h 25

8、HYPERLINK l _Toc408913195 4.1SSL硬件加速和卸载 PAGEREF _Toc408913195 h 26 HYPERLINK l _Toc408913196 4.2本地RAM Cache PAGEREF _Toc408913196 h 26 HYPERLINK l _Toc408913197 4.3内容压缩 PAGEREF _Toc408913197 h 27 HYPERLINK l _Toc408913198 4.4TCP连接复用 PAGEREF _Toc408913198 h 27 HYPERLINK l _Toc408913199 4.5TCP单边加速 PAG

9、EREF _Toc408913199 h 28 HYPERLINK l _Toc408913200 4.6HTTP管线（Pipelining） PAGEREF _Toc408913200 h 29 HYPERLINK l _Toc408913201 4.7窄带用户应用加速 PAGEREF _Toc408913201 h 31 HYPERLINK l _Toc408913202 4.8重写Rewrite PAGEREF _Toc408913202 h 31 HYPERLINK l _Toc408913203 第五章链路负载分担 PAGEREF _Toc408913203 h 32 HYPERLI

10、NK l _Toc408913204 5.1出站流量负载均衡（Outbound方向） PAGEREF _Toc408913204 h 32 HYPERLINK l _Toc408913209 负载分担算法 PAGEREF _Toc408913209 h 32 HYPERLINK l _Toc408913210 链路健康检查 PAGEREF _Toc408913210 h 34 HYPERLINK l _Toc408913211 出站流量会话保持和NAT PAGEREF _Toc408913211 h 34 HYPERLINK l _Toc408913212 5.2入站流量负载均衡(Inboun

11、d方向) PAGEREF _Toc408913212 h 35 HYPERLINK l _Toc408913214 智能DNS解析流程 PAGEREF _Toc408913214 h 36 HYPERLINK l _Toc408913215 第六章全局负载分担 PAGEREF _Toc408913215 h 37 HYPERLINK l _Toc408913216 6.1全局负载分担策略 PAGEREF _Toc408913216 h 38 HYPERLINK l _Toc408913219 6.2动态就近性 PAGEREF _Toc408913219 h 38 HYPERLINK l _To

12、c408913220 6.3静态就近性策略 PAGEREF _Toc408913220 h 41 HYPERLINK l _Toc408913221 6.4IP Anycast技术 PAGEREF _Toc408913221 h 41 HYPERLINK l _Toc408913222 6.5基于HTTP重定向的全局负载均衡 PAGEREF _Toc408913222 h 42 HYPERLINK l _Toc408913223 第七章应用安全防护 PAGEREF _Toc408913223 h 43 HYPERLINK l _Toc408913224 7.1应用安全防护 PAGEREF _T

13、oc408913224 h 43 HYPERLINK l _Toc408913225 7.2启明星辰应用交付解决思路 PAGEREF _Toc408913225 h 44 HYPERLINK l _Toc408913226 7.3主要安全功能 PAGEREF _Toc408913226 h 45 HYPERLINK l _Toc408913227 第八章虚拟化技术 PAGEREF _Toc408913227 h 50 HYPERLINK l _Toc408913230 8.1概述 PAGEREF _Toc408913230 h 50 HYPERLINK l _Toc408913238 8.1

14、PAGEREF _Toc408913238 h 51 HYPERLINK l _Toc408913239 8.2虚拟化技术的产生 PAGEREF _Toc408913239 h 51 HYPERLINK l _Toc408913240 8.3虚拟主机的概念 PAGEREF _Toc408913240 h 52 HYPERLINK l _Toc408913241 8.4启明星辰vADC虚拟化特性 PAGEREF _Toc408913241 h 54 HYPERLINK l _Toc408913242 8.5启明星辰虚拟化优势 PAGEREF _Toc408913242 h 55 HYPERLIN

15、K l _Toc408913243 8.6启明星辰ADC与Vmare虚拟机的联动 PAGEREF _Toc408913243 h 55 HYPERLINK l _Toc408913244 8.7启明星辰ADC与Vmware虚拟主机联动技术 PAGEREF _Toc408913244 h 56 HYPERLINK l _Toc408913245 8.8启明星辰ADC与Vmware联动特性 PAGEREF _Toc408913245 h 57 HYPERLINK l _Toc408913246 8.9启明星辰ADC与Vmware联动优势 PAGEREF _Toc408913246 h 57 HYP

16、ERLINK l _Toc408913247 第九章IPv6技术 PAGEREF _Toc408913247 h 58 HYPERLINK l _Toc408913248 9.1.概述 PAGEREF _Toc408913248 h 58 HYPERLINK l _Toc408913249 9.2.IPv4的缺陷 PAGEREF _Toc408913249 h 58 HYPERLINK l _Toc408913250 9.3.IPv6的优势 PAGEREF _Toc408913250 h 59 HYPERLINK l _Toc408913251 9.4.IPv4到IPv6的部署 PAGEREF

17、 _Toc408913251 h 60 HYPERLINK l _Toc408913252 9.5.ADC产品典型部署场景 PAGEREF _Toc408913252 h 62 HYPERLINK l _Toc408913253 9.6.IPv6发展 PAGEREF _Toc408913253 h 64 HYPERLINK l _Toc408913255 第十章平台优势与技术创新 PAGEREF _Toc408913255 h 65 HYPERLINK l _Toc408913262 10.1天清ADC平台架构 PAGEREF _Toc408913262 h 65 HYPERLINK l _T

18、oc408913263 10.2VBOS操作系统 PAGEREF _Toc408913263 h 66应用交付平台的概念及核心价值ADN应用交付网络的概念Internet本质上是一种端到端（end-to-end）的技术，任何一个复杂的应用，最终都会归根于在Client和Server之间的数据交互，而其所经过Internet的环节却纷繁复杂，对于应用的运营者来说，其中的任何一个环节处理不好，都会导致业务的无法正常提供或者效率低下。比如：应用系统的性能瓶颈，稳定性，可扩展性的问题；跨运营商访问时因路由瓶颈而导致的网络延迟问题；宽带用户和窄带用户（移动终端）并存时的合理分发和访问效率问题；应用系统所

19、面临的网络攻击等安全性等问题；应用系统的整体运行效率和改善用户体验问题等等。Application Delivery Networks（ADN），正是面向于保障Client和Server之间稳定且高效的数据交互而提出的一套技术体系，其主要是面向基于浏览器（Web-Based）并借助于Internet向用户提供服务的业务模式。ADN产品按照国际著名资讯机构Gartner的阐述，主要是包含广域网优化WAN Optimization Controller（WOC）和应用交付控制器Application Delivery Controller（ADC）两个领域。广域网优化产品，主要是用于在多个数据中心

20、，或者总部和分支机构之间进行数据的压缩以提升传输效率，节约带宽成本。ADC产品是从负载分担（Load Balance）产品演进而来，负载分担产品通过对外提供唯一的访问IP地址（虚拟服务VS），对内通过地址池（Pool）关联多个提供相同服务的节点（Server），这样就可以把进入的流量按照事先定义好的策略分发给这些服务器，同时监控这些服务器的状态，当某个节点失效时，可以把流量重新分配到其他正常的服务器上。运营者可以随时增加或者减小这组服务器的数目，以满足业务变化的需要。这样就实现了WEB服务器侧的可用性和弹性扩展。ADC除了具备负载分担的功能外，更关注的是整个应用交付的各个环节，包括Client

21、侧，Server侧及数据交互经过网络节点的整体效率。ADC可以根据用户访问的内容做更精细化的流量分担，可以根据用户自身的信息如浏览器类型，Cookie等七层信息做内容交换。ADC能够识别出应用，并且进行加速和优化处理。同时，ADC设备可以对服务器的压力进行卸载（Off-Load）-包括SSL协议，内容压缩，Cache，TCP链接等，让服务器资源重点服务自身的业务系统，从而提升整个系统的效率。应用交付产品的核心价值应用交付产品关注整个应用交付的环节，核心价值是为了保障应用的：高性能满足业务发展的需要，并具备足够的弹性扩展。高效率服务器压力卸载，提升整个业务系统效率。高可用业务的备份和冗余。保障业

22、务的不间断稳定运行，并提升用户体验。安全性保障业务安全，防止入侵和数据泄漏。ADC应用交付解决方案总体介绍启明星辰基于深厚的技术积累，不断探索专业有效的ADC解决方案以保障用户应用连续可靠运行的同时，节约用户的投资效率，并带来更好的用户体验。方案构成为了满足IT应用有效、快速、安全交付的需求，启明星辰推出天清ADC应用交付平台的整体解决方案，包括：服务器负载均衡，应用优化与加速，链路负载均衡，全局负载均衡，广域网优化，安全防护等全系列产品。服务器负载均衡服务器负载均衡主要是对访问服务器和服务器返回的流量进行管理，天清ADC应用交付平台通过多种静态和动态负载分担算法，把访问服务器的流量智能的分发

23、给最佳的服务器。同时，天清ADC应用交付平台利用自身的多核高性能硬件平台和VBOS软件系统的优势，对流量进行实时压缩，缓存，硬件加解密等处理，把原本需要耗费服务器大量性能的计算接管过来，使服务器系统只进行业务相关的处理，以实现整个业务系统的加速和效率提升。天清ADC服务器负载均衡方案包括：负载分担，应用加速，服务器卸载等几个部分。与此同时，天清ADC应用交付平台还提供专业的抗拒绝服务攻击、状态防火墙及Web应用防火墙功能，进一步提升应用的安全性和可靠性。全局负载均衡全局负载均衡-GSLB（Global Server Load Balance）是通过在全球部署多个数据中心来保护业务站点不受访问中

24、断的影响，并且提升整体业务系统响应能力的一种解决方案。通过部署天清ADC应用交付平台，可以在多个数据中心之间进行流量分担，并进行数据中心间的冗余和灾备。同时天清ADC应用交付平台可以根据智能算法，把某个用户的访问引导到距离他最近，延迟最小的数据中心，即实现了整个业务系统的可扩展性，也有效的提升了用户体验。天清ADC应用交付平台内置智能DNS系统和IP地理位置信息库，企业可以把ADC设备作为域名授权发布服务器，配置多个数据中心的IP地址对应该域名DNS A记录。当接收到某个用户的DNS请求时，通过判断该用户所处地域，并结合动态探测算法或者静态策略返回该域名对应的最佳数据中心地址。天清ADC应用交

25、付平台除了具备动态智能解析方式外，还提供静态就近性策略，HTTP重定向和IP AnyCast技术等多种全局负载分担解决方案。可以为企业提供最灵活的选择方式，并能够和其他全局负载分担产品实现网络兼容。链路负载均衡根据中国的运营商接入现状，企业往往选择同时租用多条运营商线路以实现企业接入Internet时的链路备份和带宽叠加。天清ADC应用交付平台可以动态监控链路的实时状态，提供多种静态和动态流量分担方法，可以有效提升多链路接入的效率和整体性能。当企业部署对外提供服务的应用服务器时，天清ADC应用交付平台可以根据用户所处的运营商网络，或者地域的远近，或者当前链路的带宽质量进行智能DNS解析，帮助用

26、户选择最优的链路进行访问，有效避免跨运营商访问时造成的带宽瓶颈和延迟增大等问题，提供最佳的用户体验。Outbound出站方向访问内网用户向外发起连接请求时，天清ADC应用交付平台产品提供多种静态和动态链路分担算法，选择当前最合适的链路分配流量。静态算法包括：轮询，比率，加权等。动态算法包括：最小连接，最小流量，最小延迟等等。天清ADC应用交付平台支持运营商路由选择，根据用户请求地址所出运营商来选择和其匹配的运营商链路出口，这样就避免了跨运营商访问的效率低下问题。Inbound入站方向访问当企业内部提供对外的服务的业务系统时，如ERP系统，邮件系统或者其他在线业务交易系统时，可以把天清ADC应用

27、交付平台作为授权域名发布服务器，把多个运营商链路接入IP地址绑定到同一个域名A记录上。这样，结合运营商IP位置信息库和静态配置策略，ADC能够智能的处理外部用户DNS请求，返回最佳的链路接入地址。部署方式天清ADC应用交付平台支持串行接入，并行接入，三层接入，透明模式接入，DSR模式等多种接入方式，企业可以根据当前的网络运行状况和业务规划选择最合适的接入方式。串行部署三层接入这种模式下，天清ADC应用交付平台串行接入到网络中，所有流量都先经过ADC设备处理，通常情况下，ADC设备上的虚拟服务（VS）配置为公网IP地址，内部的服务器则配置为私有IP地址。典型的串行网络结构如下，天清ADC应用交付

28、平台采用HA方式，和上下层交换机采用双链路交叉连接，网络结构清晰，并且具备很强的冗余性和可靠性。串行透明部署这种部署模式可以不改变用户的现有IP地址结构，ADC设备的虚拟服务地址（VS）和服务器处在一个网段，当ADC设备出现单点故障，或者性能无法满足时，可以临时采用Bypass策略绕过ADC设备。串行接入透明部署的工作原理类似于正常的串行接入。旁路部署三层接入旁路方式部署ADC产品，不需要对现有运行着网络结构进行改变，可以方便快速的把ADC部署到网络中，ADC的工作模式和串行部署比较相近，ADC的虚拟服务配置为公有地址，内部服务器配置为私有IP地址。ADC设备和服务器分别属于交换机不同的VLA

29、N，ADC在分发数据给服务器时，进行源IP地址转换，把发给服务器的报文源IP地址改为ADC设备自身的IP地址，以保证服务器返回的流量也经过天清ADC应用交付平台。旁路部署透明接入原理类似旁路部署三层接入，不同是天清ADC和服务器划分到一个VLAN里面，天清ADC的VS地址和服务器配置为同一个IP网段，这种情况下可以把服务器的网关地址指向ADC设备的IP地址，ADC设备使用真实的客户端地址和服务器建立连接，而不需进行NAT源地址转换。旁路部署之三角传输三角传输,也叫Direct Server Return(DSR)模式，是旁路部署的一个特例，这种模式下只有入站方向流量进入到ADC设备，由ADC设

30、备根据预先配置好的负载分担策略进行流量分发，而服务器返回的流量不经过ADC设备。由于互联网的流量具有典型的非对称性，即请求方向上的流量比较小，绝大多数流量集中在服务器响应的方向上，所以如果让ADC设备只处理请求方向的流量，服务器返回的流量直接返回给客户端不经过ADC设备，就大大提升了ADC的处理能力。三角传输模式无法支持一些需要修改服务器返回数据的功能，如基于Cookie的会话保持，响应重写等七层功能。也无法实现缓存和内容压缩等功能。服务器负载分担3.1服务器负载分担ADC在设备上建立一个或多个虚拟服务VS（IP：Port），来映射内部的服务器组来对外提供的一种或者多种应用。内部服务器被加入到

31、地址池中（Pool），当有外部流量访问VS时，ADC通过预先配置好的负载分担算法，从地址池中选择一台可用的服务器作为应用提供者。同时ADC实时对每个服务器节点进行健康检查，当某一台出现故障无法正常提供服务时，把该服务器从Pool中的可用列表移出，不再向其分发流量。3.1.1负载分担算法天清ADC应用交付平台支持丰富的负载分担策略，即可以根据预先配置的静态算法，也可以根据当前的运行状态进行动态算法的负载分担。静态算法包括：轮询（Round Robin）-依次按照顺序把流量分配给每台服务器。比率（Ratio）-根据服务器的性能为每个服务器指定一个权值，按照这个比率给服务器分配流量。优先级（Prio

32、rity）-当使用多组服务器时，为每个服务器组指定一个优先级，默认情况下优先向高优先级的服务器组分配流量，当该组服务器失效时选择备份服务器组。动态算法包括：最小连接（Least Connection）-ADC优先把流量分配给当前连接数最少的服务器。最快模式（Fastest）-ADC通过比对服务器返回数据包的延迟情况，选择一个当前响应最快的服务器来分配流量。SNMP监控-设备上通过SNMP客户端来读取服务器的实时运行状态，包括CPU，内存和I/O信息，为每种实时信息配置门限值，当超过这个门限值时不再向这台服务器分配报文。观察模式（Observed）-结合最小连接和最快模式两种结果，选择最佳平衡为

33、依据为新的请求选择服务器。服务器平滑接入和退出：当有新的服务器接入或者服务器重新启动时，ADC系统可以把流量逐步分配给新接入的服务器，避免服务器的某些进程还没有加载完成而导致系统资源占用过高，或者应用响应缓慢的情况，实现服务器的平滑接入。管理员也可以手工方式操作把某台服务器退出流量分担机制，此时ADC系统不再分配新的流量给该服务器，该服务器的现有连接继续保持，直至连接结束。3.1.2健康检查策略健康检查是指对服务器的运行状态定期进行实时检测，一旦发现服务器故障，将把该服务器移出流量分担的队列。天清ADC应用交付平台提供丰富的健康检查策略，和负载分担算法组合到一起，就可以实现非常灵活的负载分担策

34、略。TCP SYN-向目标服务器发送TCP SYN报文，如果得到正确的回复表示服务器工作正常。Ping-向目标服务器发送ICMP请求报文，如果得到正确回复表示服务器工作正常。HTTP/HTTPS Get-向目标系统发送HTTP或HTTPS协议的Get报文，请求一个指定的URL，如果得到正确回复表示服务器工作正常。3.1.3会话保持策略会话保持是指流量一旦按照负载分担策略分配给某个服务器后，后续的相关请求报文同样分配给同一台服务器，以保障业务的连续性。比如，很多电子商务相关的应用系统或者需要用户身份认证的系统，用户和服务器间会进行多次的数据交互才能完成一笔交易或者身份认证过程，必须把这个过程的交

35、互报文分配给同一个服务器。天清ADC应用交付平台支持6类共8种会话保持的方法，即可以根据源IP地址，ServerID等静态信息来做会话保持，也可以通过Cookie插入和重写来实现更高级的会话保持方法。每种会话保持的效率，粒度和应用场景有所不同，对应用服务器的配置要求也不一样。基于源IP的会话保持只需要处理数据包的四层信息，所以效率最高，也不需要服务器做任何配置，但粒度比较粗。如果客户端存在普遍的NAT转换，或者某些IP段的业务请求量比较大，那么这些流量被保持发送给固定一台服务器，就会造成流量负载的不均衡。基于Cookie插入，Cookie重写，ServerID等七层信息的会话保持方式，使保持策

36、略和浏览器的信息相互关联，可以做到细粒度和更均衡的流量分配，基于七层信息的会话保持方式，工作效率不如源IP会话保持。除Cookie插入方式以外，其他如serverid，sessionid, Cookie重写等方式一般需要应用程序做相应的配置。天清ADC支持的会话保持方式：基于源地址-来自同一个源IP地址的相关报文，分配给同一个服务器。基于ServerID-记录服务器返回的serverid信息，然后从请求报文的URL或Cookie信息中查找serverid，进行解码得到后台服务器的信息，保证带有固定serverid信息的请求被分别到固定的服务器。Serverid需要在web服务器上进行人工配置。

37、ADC不需要对数据包进行修改基于SessionID-类似于ServerID的方式，记录从服务器返回的SessionID信息，然后从请求报文的URL或Cookie信息中查找SessionID，进行解码得到后台服务器的信息，保证带有固定SessionID信息的请求被分别到固定的服务器。SessionID是服务器自动生成的，ADC产品不需要对数据包进行修改。基于Cookie插入-这种方式通过修改服务器返回的报文，向其插入一个固定的Cookie信息返回给客户的浏览器，客户端后续的报文请求中都携带了这个Cookie信息，ADC根据这个信息发送给指定的服务器。这种保持方式修改了数据包的长度，但不需要应用服

38、务器端做任何的配置改动就可以实现。基于Cookie重写-服务器端接收到HTTP请求后，响应报文中会增加一个空白的Cookie返回给ADC设备，ADC在这个空白的Cookie里面写入会话保持的数值，返回给客户端。后续的过程和Cookie插入类似，客户端后续的请求报文会携带这个重写的Cookie，ADC根据这个信息来选择指定的服务器。Cookie重写和Cookie插入的区别是，Cookie重写不需要修改报文的长度，效率会高一些。基于自定义头部-应用服务自身定义了一个URL Header信息，并希望ADC以此来做负载分担。这种方式下ADC设备记录服务器返回的Header信息，并在客户端的后续请求中进

39、行匹配，匹配成功则转发给指定的服务器。这种方式允许应用服务程序定制自己的会话保持策略。基于SSL SessionID-当第一次请求到来时，按负载均衡算法分配一台后台服务器。在服务器的响应中，按照SSL协议，取出SSL SessionID，并把SSL SessionID分配的后台服务器信息、所配置的超时时间存在一张表中。当后续请求到来，根据请求中的SSL SessionID在表中查找后台服务器的信息，若找到并且时间在超时时间之内，则取出后台服务器信息，并更新超时时间，把请求发往那台服务器。3.2七层内容交换四层交换主要是依赖IP和TCP/UDP层的信息进行流量的分配，而随着应用自身的复杂性和不断

40、改善用户体验的需求，有时候需要为不同的用户类型返回不同的呈现内容，例如：把移动用户的手机/pad浏览器请求分发给专门经针对性过优化的服务器。把请求图片，文档，视频等静态内容分发给缓存服务器。根据浏览器自身的语言设置，为不同语言区域的用户返回相应的页面可以根据HTTP请求的方法实现读写分离，HTTP读（get）请求分配给缓存服务器，HTTP写（post）请求分配给处理动态内容的服务器。天清ADC应用交付平台的七层内容交换可以识别用户请求报文的内容，如URL信息，应用数据类型，Cookie信息，浏览器类型，HTTP方法等内容，将流量分配给相应的应用服务器。天清ADC应用交付平台通过http-cla

41、ss来标识一个业务分类，http-class根据主机地址，URI路径，头信息和Cookie来定义，每个http-class可以关联一个服务器地址池，然后再虚拟服务（VS）的配置中，引用一个或者多个http-class。当客户端请求访问虚拟服务时，ADC设备进行http-class匹配，匹配成功的请求被分配给对应的地址池。3.3HA高可靠性与设备集群HA高可靠性天清ADC支持双机Active-Standby（主-备）和Active-Active（主-主）两种工作模式，HA在运行过程中，通过专用“心跳线”来实时监控对端设备的运行状态，当心跳监控失败，或者发生其他触发切换的条件时，工作异常设备上的流

42、量将被接管，以保证应用的不间断运行。天清ADC的HA模块支持配置同步和连接信息同步。主备模式：两台ADC设备中只有一台处于Active状态，另外一台处于Standby状态，所有流量由处于Active状态的设备进行流量转发。处于Standby状态的备用设备通过”心跳线“实时监控主设备的运行状态，当监控不到正常的心跳报文时，备用设备切换为Active状态，并通过免费ARP更新上下游设备的ARP缓存以实现流量接管。除了备份设备发现主设备心跳异常时主动接管以外，当前处于Active状态的主设备也可以根据一些触发条件主动退出Active状态。触发条件包括：设备上启用端口状态监控和预置的远端IP地址是否可

43、达。主主模式：两台ADC设备同时都处于Active状态并一起承担流量的转发工作，两台ADC设备上面运行不同的VS（虚拟服务），当某台ADC设备出现故障时，该设备上运行的所有虚拟服务流量被另外一台设备接管。通常情况下，主主模式可以配合DNS负载分担一起工作。当用户申请访问 HYPERLINK 时，首先发起DNS请求，DNS服务器上对应主机名为这条记录配置两个VS对应的IP地址，DNS会采用轮询的方式返回这两个IP中的一个以实现负载分担。设备集群天清ADC最多可以实现32台ADC设备进行集群部署，多台ADC设备共同承担流量处理并且互为备份。集群中的ADC设备可以是不同的型号，具备不同的处理能力，这

44、样对于更新换代的设备，也可以重新接入到集群中来。通过集群部署，企业可以实现最大化的业务弹性，并实现设备投资收益的最大化。集群部署时可以采用全工作模式，即所有设备都参加流量转发，互为备份，当某台出现故障时，流量切换到其他设备上；也可以采用N+1模式，即N台设备承担流量转发，利用一台设备同时作为N台设备的备份，正常情况下不备份设备不承担流量，当某一台设备出现故障时，备份设备进行流量接管。N+1模式可以防止当某台设备出现故障时，对另外的设备造成流量洪峰。应用优化与加速天清ADC应用交付平台可以把原本需要高消耗服务器计算能力的，重复计算的工作卸载到高性能的硬件平台上，让服务器的计算资源更多的关注自身的

45、业务系统处理，以改善整个应用系统的效率。天清ADC同时对TCP和Http协议进行优化和加速，最大限度的降低网络拥塞和丢包，改善移动上网等窄带用户的用户体验。天清ADC应用交付平台内置了企业最常用的应用模板，如BEA Weblogic，Microsoft IIS， Outlook Web Access，Radius，ERP软件等，这些都是经过公司应用优化专家通过反复的测试验证而完成的一套解决方案，管理员不需要对应用进行细致的了解，就可以根据模板高效的完成这些应用系统的优化和加速。SSL硬件加速和卸载天清ADC应用交付平台通过内置的专业级高性能硬件加速芯片，完成对SSL协议的加速和卸载，而在数据中

46、心内部，ADC和服务器之间通过明文进行传输，极大的提升服务器的业务处理能力。企业可以把应用全部应用实现SSL协议，实现高安全性的同时，不会给业务带来任何的性能瓶颈。本地RAM Cache本地高速缓存（Cache），通过在ADC设备上开辟一段专用的内存空间（RAM）来存储服务器上的一些静态文件，如图片，文档，视频文件等，开启本地Cache后，客户端请求首先在本地Cache中查找，命中以后直接返回给客户端。命中失败才向服务器端发送请求，同时对服务器返回的内容进行本地Cache。天清ADC支持为不同的应用提供各自的Cache空间及参数设置，这样可以把服务器从重复的处理中解脱出来，提升整体效能。内容压

47、缩通过压缩HTTP响应的数据，可以有效提升带宽利用率和缩短下载时间。天清ADC应用交付平台提供的高性能压缩技术，最大可以使带宽利用率增加80%，应用性能提升4倍以上。同时在客户端浏览器和ADC设备间经过一定的算法进行压缩，也起到一定安全传输的作用。天清ADC把原本由服务器完成的压缩过程搬到自身的高性能硬件平台，避免了每台服务器都执行一次重复的压缩过程，达到服务器卸载的效果。天清ADC支持浏览器最常用的GZIP和DEFLATE两种压缩算法，提供基于七层的精细化压缩控制策略，包括URI，Content Type等。管理员可以定义对“.txt”,“.doc”“.htlm”等文档类型和静态页面数据进行

48、压缩，也可以排除PDF，IMG等压缩效果不明显的不必要操作。TCP连接复用TCP连接复用技术使多个客户端共享一个到服务器的TCP连接，可以提升应用服务器的整体性能，使应用服务器从维护海量的TCP连接，并不断的进行TCP建立和拆除维护中解脱出来，极大的提升单台服务器的承载能力。天清ADC设备在接到一个客户端HTTP请求后，通过负载分担算法会选择一台服务器建立连接。如果接收到正常的服务器响应，ADC设备会把这个连接放入到“连接复用池”里面，当另外一个新的客户端发起HTTP连接请求时，ADC设备从现有的连接池里面选择一个可用的连接来和服务器的进行数据交互，而不是重新创建一个到服务器的连接。通过这种优

49、化，可以把服务器负载降低到原来的1/10-50。TCP单边加速标准TCP协议在设计时很少的考虑到高带宽和夸Internet传输的问题，现在随着高速带宽的普及，标准的TCP协议表现出很多的不足，在网络拥塞控制和丢包重传机制上，往往效率比较低下，而且基本不具备根据网络环境实时进行调解的能力。天清ADC应用交付平台提供智能单边加速的功能，通过对标准TCP协议的慢启动控制，拥塞避免，重传和恢复几个方面进行优化，来达到整体网络加速的效果。同时，天清ADC设备可以根据当前的网络状态，和承载的协议类型智能的选择一种效率最高的算法。天清ADC应用交付平台的单边加速对客户端和服务器来说都是透明的，ADC和服务器

50、之间仍然按照标准TCP协议运行，ADC和客户端之间进行单边加速，客户端不需要做任何修改。HTTP管线（Pipelining）传统的HTTP协议是当一个请求发出，等接收到完整的响应数据后，才进行下一个请求，这在高延迟的网络环境中会导致整个数据交互的效率比较低。HTTP管线技术（Pipelining）可以将多个HTTP请求同时提交，而不用等待顺序的请求回应。（不带Pipelining的HTTP流程）天清ADC应用交付平台可以和支持Pipelining的客户端浏览器智能协商开启，ADC和服务器间还是正常的HTTP协议流程。窄带用户应用加速当客户端通过窄带线路比如通过ADSL拨号或者智能手机，pad移

51、动终端上网时，对于应用服务器的响应，可能会由于客户端侧带宽不足，或者带宽质量不好而导致报文的拥塞和丢包。这时客户端就会发起重传请求，如果大量的窄带用户同时访问，就会出现应用服务器反复处理这些重传请求的压力增大而降低效率。天清ADC应用交付平台使用TCP数据缓存技术，自动检测客户端对服务器响应的处理能力，对于窄带用户，ADC会在自身平台开辟出缓存空间来存储服务器返回的数据，以客户端能够适应的速度完成数据交互，避免出现大量的重传。服务器只要处理完成用户的请求后，就可以释放出来处理其他工作，不用再去处理丢包重传的情况。重写RewriteHttp协议的请求阶段和响应阶段都可以对URI进行重写，在请求h

52、ttp请求阶段，可以把符合预置条件的所有http请求发送到一个指定的URL，比如是提示用户进行登录的页面或者其他信息提示页面。又或者是当服务器某些文件已经不存在或者目录发生更改，而用户通过其他网站或者搜索引擎的旧链接进行访问时，可以把这类请求直接重定向到一个指定的错误信息提示页面，减轻了服务器的负担。部署了天清ADC应用交付平台以后，企业可以把原来基于http协议的应用，全部迁移到安全https协议。通过http请求重定向结合SSL卸载功能，可以实现企业服务器和客户端都不需要任何更改的情况下完成http到https的无缝迁移。在http响应阶段，可以把服务器返回的404（客户端语法错误）等重定

53、向到一个指定的页面。链路负载分担天清ADC产品可以动态监控链路的实时状态，提供多种静态和动态流量分担方法，可以有效提升多链路接入的效率和整体性能。当企业部署对外提供服务的应用服务器时，天清ADC可以根据用户所处的运营商网络，或者地域的远近，或者当前链路的带宽质量进行智能DNS解析，帮助用户选择最优的链路进行访问，提供最佳的用户体验。出站流量负载均衡（Outbound方向）负载分担算法链路负载分担算法是用来计算内网用户访问Internet时（出站流量），在多链路间进行流量分配的方案。链路负载分担的算法和服务器负载分担的算法有一致的地方，也存在一些差异，链路负载分担算法包括：轮询（Round Ro

54、bin）-依次按照顺序把流量均匀的分配给每条链路。比率（Ratio）-根据每条链路的带宽，指定一个权值，按照这个比率给多条链路分配流量。优先级（Priority）-为每条链路指定一个优先级，默认情况下优先向高优先级的链路分配流量，当该链路失效时选择备份链路。加权最小连接（Weight Least Connection）-首先为每条链路指定带宽的加权值，使连接数的分配符合权值的设定，对于新建的连接，选择权值内最小的链路分配流量。加权最小流量（Weight Least Traffic）-首先为每条链路指定带宽的加权值，使流量的分配符合权值的设定，对于新的流量，选择权值内最小的链路分配流量。运营商路

55、由（ISP Route）-内置IP地址和运营商的对应表，根据内网用户访问的目的地址所属运营商，选择相应的链路，避免跨运营商的访问。最快模式（Fastest）-ADC通过比对服务器返回数据包的延迟，跳数等情况，选择一个当前响应最快的链路来分配流量。主备模式（Master-Slave）-默认情况下流量都发送给主链路，当主链路失效时启用备份链路。链路健康检查天清ADC链路负载实时对出口链路进行监控和健康检查，可以及时发现端口down掉情况。除此之外，天清ADC支持包括ICMP，TCP SYN，UDP，HTTP Get 等多种协议对远端地址进行监控，即使是ISP内部网络出现故障，也可以及时发现并把流量

56、切换到其他可用链路。出站流量会话保持和NAT出接口流量会话保持是指当为某个数据流分配一个出接口链路以后，该种类型的后续相关流量都分配给同一条链路。天清ADC支持的会话保持主要是基于源地址的会话保持和基于hash的会话保持。天清ADC支持丰富的NAT转换策略，包括源IP地址转换，静态地址转换，和基于策略的地址转换。 会话保持和NAT地址转换，可以很大程度的避免源主机和某目标服务器通信的过程中，报文横跨多个运营商的情况出现。入站流量负载均衡(Inbound方向)当企业租用多个运营商链路，以便内部的应用服务器向外部用户提供服务时，天清ADC可以通过在内置的智能DNS服务器上，把企业的单一域名绑定到多

57、运营商的各自的公网IP上，并作为企业域名的权威发布服务器。当某个客户端访问应用服务器时，首先会进行DNS解析，天清ADC可以根据客户端所处的运营商网络返回跟他匹配的IP地址，或者通过动态探测技术，选出到该用户通信质量最好链路，并返回对应的IP地址。这样可以保证每次客户端都可以通过通信质量最好的链路来访问内部的应用服务器，极大的改善用户体验，并提升整个系统的工作效率。智能DNS解析流程假定企业通过租用联通，电信两条链路向外部网络提供服务，企业的域名是 HYPERLINK , 则整个解析流程如下：客户端向本地DNS（Local DNS） 服务器发送域名为 HYPERLINK 的DNS请求。LDNS

58、没有该域名的A记录，向最长匹配结果的服务器发送该请求，这里假设最长匹配只有根服务器。根服务器没有“”的A记录，但是存放了“”的NS域名服务器记录“ IN NS ”，将该NS记录返回给LDNS。LDNS服务器根据该NS记录知道了去哪可以找到“ ”的A记录，将请求发送到天清ADC内置的智能DNS服务器。ADC设备判断LDNS的IP地址隶属于哪个运营商，此示例中LDNS隶属于于网通，所以根据预先配置的规则，天清ADC返回“”的A记录为网通链路所分配的公网IP地址。LDNS最终将刚收到的DNS响应发送回给客户端。客户端接下来访问企业的网通链路公网地址，天清ADC上对应的虚拟服务（VS）接收数据，进入服

59、务器负载分担的流程。全局负载分担为了保护您的业务不受站点访问中断影响并且提高应用的性能，部署多个数据中心是一个有效的做法。但要全面实现这些目标，您的企业需要以高效的方式来监控基础架构和应用的状态，并且根据业务需求来控制这个分布式基础架构。通过全局负载均衡功能，您可为用户的每一次DNS查询提供更安全、更智能的响应方式。天清ADC应用交付平台根据用户位置、业务策略、数据中心状况、网络状况和应用性能来分配最终用户的应用请求。这样，用户可以全面地控制广域流量，以确保运行在分布于各地的多个数据中心之间的应用具有高可用性和最高性能。这样，您将可以实现更高的应用性能，更短的停机时间以及更简化的管理。全局负载

60、分担策略天清ADC支持多种动态和静态全局负载均衡算法，为用户提供丰富的选择方式，包括：动态就近性动态就近性通过从各个全局站点向LDNS进行探测，得到的动态参数可以反映LDNS和个站点间的响应速度，根据参考的动态参数不同可分为以下几种方式：RTT该算法简单来说动态的获得LDNS与各数据中心间的响应时间，选择其中RTT值最小的IP对应的A记录返回给LDNS。RTT为Round Trip Time，记录了从某站点发送探测包到收到探测包响应的时间，实际运行中从不同站点的VS探测到LDNS的RTT一定程度上反映了各个VS的响应速度。选择RTT就近性算法后会动态生成一个LDNS就近分布表，根据该动态表，对