网站解决方案

1、使用 Miicrossoft Winddows DNA 平台构建建 Webb 站点的的蓝图草图，.99 版Microosoftt Corrporaationn20000 年 1 月目录TOC t 标题 4,1,标题 5,2 HYPERLINK l _Toc477851376 执行摘要 PAGEREF _Toc477851376 h 2 HYPERLINK l _Toc477851377 体系结构概概述 PAGEREF _Toc477851377 h 2 HYPERLINK l _Toc477851378 简介 PAGEREF _Toc477851378 h 2 HYPERLINK l _Toc

2、477851379 体系结构目目标 PAGEREF _Toc477851379 h 2 HYPERLINK l _Toc477851380 体系结构元元素 PAGEREF _Toc477851380 h 3 HYPERLINK l _Toc477851381 示例站点 PAGEREF _Toc477851381 h 7 HYPERLINK l _Toc477851382 简介 PAGEREF _Toc477851382 h 7 HYPERLINK l _Toc477851383 Interrnet PAGEREF _Toc477851383 h 9 HYPERLINK l _Toc477851

3、384 DMZ PAGEREF _Toc477851384 h 99 HYPERLINK l _Toc477851385 安全网络 PAGEREF _Toc477851385 h 10 HYPERLINK l _Toc477851386 摘要 PAGEREF _Toc477851386 h 111 HYPERLINK l _Toc477851387 可伸缩性 PAGEREF _Toc477851387 h 12 HYPERLINK l _Toc477851388 简介 PAGEREF _Toc477851388 h 122 HYPERLINK l _Toc477851389 扩展客户和和内容

4、PAGEREF _Toc477851389 h 12 HYPERLINK l _Toc477851390 扩展业务复复杂性 PAGEREF _Toc477851390 h 15 HYPERLINK l _Toc477851391 可用性 PAGEREF _Toc477851391 h 118 HYPERLINK l _Toc477851392 简介 PAGEREF _Toc477851392 h 188 HYPERLINK l _Toc477851393 前端系统的的可用性 PAGEREF _Toc477851393 h 19 HYPERLINK l _Toc477851394 网络基础结结构

5、的可用用性 PAGEREF _Toc477851394 h 19 HYPERLINK l _Toc477851395 后端系统的的可用性 PAGEREF _Toc477851395 h 20 HYPERLINK l _Toc477851396 安全性 PAGEREF _Toc477851396 h 220 HYPERLINK l _Toc477851397 简介 PAGEREF _Toc477851397 h 200 HYPERLINK l _Toc477851398 网络保护 PAGEREF _Toc477851398 h 21 HYPERLINK l _Toc477851399 平台保护

6、PAGEREF _Toc477851399 h 23 HYPERLINK l _Toc477851400 客户（成员员）访问控控制 PAGEREF _Toc477851400 h 24 HYPERLINK l _Toc477851401 要点 PAGEREF _Toc477851401 h 255 HYPERLINK l _Toc477851402 管理与运作作 PAGEREF _Toc477851402 h 25 HYPERLINK l _Toc477851403 简介 PAGEREF _Toc477851403 h 255 HYPERLINK l _Toc477851404 管理基础结结构

7、 PAGEREF _Toc477851404 h 26 HYPERLINK l _Toc477851405 管理系统需需求 PAGEREF _Toc477851405 h 29 HYPERLINK l _Toc477851406 摘要 PAGEREF _Toc477851406 h 322执行摘要商务正迅速速发展为标标准的、基基于 Weeb 的计计算模型，其其特征为重重复且针对对任务的系系统的松散散连接层。很大比例例的商务 Web 站点 提供联机机服务的服服务器、应应用程序和和数据的集集合 都是用当当今的 MMicroosoftt Winndowss DNAA 平台构构建的，成成为该计算算模型

8、的基基础。本文文档定义了了构建 WWindoows DDNA 站站点的体系系结构。读读者可以借借用这些信信息，设计计和构建当当今基于 Winddows DNA 的站点。本文档集中中讨论如何何使用 MMicroosoftt 技术，特特别是 WWindoows DDNA 平平台，以尽尽可能有效效利用财力力和时间的的方法，构构建可伸缩缩、可用、安全和可可管理的站站点的基础础结构。强强调保持 Web 站点简便便灵活的运运作和应用用程序设计计，以及“.comm”如何能能够成功地地以必要而而有效的可可伸缩性、可用性、安全性和和可管理性性来部署和和运作站点点。其次强强调当前文文档齐全的的工具和构构建 Wee

9、b 应用用程序组件件的方法。另外还从从宏观层次次检查 MMicroosoftt Winndowss DNAA 解决方案案（使用 Micrrosofft WWindoows NNT 44.0 和和/或 Winndowss 20000）的优优点，并逐逐级进入，以以定义如何何使用 MMicroosoftt 产品建建立站点体体系结构中中的每一层层次。最后后，将讨论论使用 MMicroosoftt 工具和和技术管理理 Webb 站点。尽管只是个个概述，本本文档还是是检查了一一个成功使使用部署的的体系结构构的示例 Web 站点，它它可作为使使用 Wiindowws DNNA 平台台构建的站站点的模型型。本

10、文档档不涉及（除除了与可伸伸缩性、可可用性、安安全性和可可管理性相相关时）诸诸如应用程程序设计、开发工具具或数据库库设计等主主题；但是是提供涵盖盖这些领域域的相应文文档的指针针。“体系结构构概述”介绍一些些对于大型型 Webb 站点很很重要的体体系结构概概念。在“示例站点点”描述了一一个具有代代表性的站站点并解释释了它使用用的基础结结构和各层层。其余章章节讨论了了站点的四四个关键属属性 “可伸缩缩性”、“可用性”、“安全性”和“可管理性性” 并使使用示例站站点来说明明这些问题题。对相关关文档的引引用贯穿整整个文档。体系结构概概述简介大型商务站站点为动态态变化的模模型：它们们通常一开开始很小，但

11、但随着需求求的增长而而指数增长长。不仅在在支持的独独特用户的的数量上不不断增加，这这种增长非非常迅速，而而且在提供供的用户服服务的复杂杂性和集成成性方面也也不断增长长。经投资资者的检查查，许多站站点启动的的商务计划划的可伸缩缩性为 110-1000 倍，这这个数据是是可信的。成功的商商务站点，通通过不断增增加向客户户机提供逻逻辑服务的的服务器数数量（即通通过服务器器提供其自自身的多个个实例（克克隆）或通通过在自身身之间均衡衡工作负荷荷），以及及创建与已已有计算机机系统相集集成的服务务来管理这这种增长和和变化。这这种增长的的基础为支支持高度可可用性的坚坚实的体系系结构、安安全基础结结构和管理理基

12、础结构构。体系结构目目标本文档描述述的体系结结构力图达达到四个目目标：线性可伸缩缩性 可持续增增长以满足足用户需求求和业务复复杂性。持续的服务务可用性 使用冗冗余和功能能专业化来来提高容错错能力。数据和基础础结构的安安全性 保护数数据和基础础结构免受受恶意攻击击或盗用。管理的简便便性和完整整性 确保运作作能够满足足增长的需需求。可伸缩性为了可以扩扩展，商务务 Webb 站点将将其体系结结构分为两两部分：前前端（客户户机可访问问的）系统统和存储长长期永久数数据的或商商务处理系系统所在的的后端系统统。负荷平平衡系统用用于将工作作分配到每每一层的系系统中。前前端系统通通常不保留留长期状态态。也就是是

13、说，前端端系统中每每次请求的的环境通常常是暂时的的。这种体体系结构，通通过克隆或或复制与无无状态负荷荷平衡系统统（使负荷荷在可用的的克隆体之之间分配）相相耦合的前前端系统，扩扩展其支持持的独特用用户的数量量。我们将将克隆体集集合中的 IIS 服务器集集合称为 Web 群集。在多多个后端系系统之间分分区联机内内容同样可可以扩展。带状态的的或内容敏敏感的负荷荷平衡系统统则将请求求路由到正正确的后端端系统。通通过功能专专业化，业业务逻辑复复杂性以可可管理的方方式增长。专用的服服务器负责责专门的服服务，包括括与遗留或或脱机系统统的集成。克隆与分分区，和功功能专业化化服务一起起，通过单单独增长每每个服务

14、而而使得这些些系统具有有极大的可可伸缩性。可用性通过使用多多个克隆服服务器（所所有服务器器均为其客客户机提供供唯一的地地址）使得得前端系统统具有高度度可用性和和可伸缩性性。负荷平平衡用于在在克隆体之之间分配负负荷。将故故障检测功功能置入负负荷平衡系系统提高了了服务的可可用性。不不再提供服服务的克隆隆体将自动动从负荷平平衡集合中中删除，而而剩下的克克隆体将继继续提供服服务。使后后端系统具具有高度可可用性更具具挑战性，主主要是因为为它们维护护着数据或或状态。它它们通过对对每个分区区使用故障障转移群集集 (faailovver cclustterinng) 来来实现高度度可用。故故障转移群群集假定应

15、应用程序能能够在可以以访问故障障系统的磁磁盘子系统统的其他计计算机上继继续运行。分割故障障转移发生生在支持分分区请求的的主节点故故障时，此此时分区请请求自动切切换到二级级节点。二二级节点必必须有权访访问与故障障节点同样样的数据存存储，该数数据存储也也应该是复复制的。复复制品还可可通过在远远程位置上上成为可用用，来提高高站点的可可用性。可可用性在很很大程度上上还取决于于企业级 IT 规规则，包括括更改控制制、严格测测试和快速速升级以及及反馈机制制。安全性安全性 通过为为信息的机机密性、保保密性、完完整性和可可用性提供供充分的保保护来管理理风险 是任何何商务站点点成功的基基本要素。商务站点点使用多

16、个个安全域，其其中包括具具有不同安安全性需求求的系统，每每个域均受受到网络过过滤器或防防火墙保护护。有三种种主要的域域，互相用用防火墙隔隔离，它们们是：公共共网络；DDMZ（由由军事术语语“非军事区区域”派生而来来），是前前端和内容容服务器所所在之处；以及安全全网络，是是创建或使使用内容的的地方，也也是管理和和存储安全全数据的地地方。管理管理和运作作广泛涉及及维护商务务站点及其其服务正常常工作所需需的基础结结构、工具具以及管理理员和技术术人员。许许多站点均均位于常称称作宿主环环境的地方方。也就是是说，这些些系统配置置有“Inteernett 服务提提供商 (ISP)”或专家家宿主服务务，这里可

17、可提供丰富富的 Innternnet 连连通性。因因此，系统统的管理和和监控必须须远程完成成。在这种种体系结构构中，我们们将描述这这种管理网网络和网络络必须支持持的管理功功能类型。体系结构元元素本节要突出出的商务 Web 站点的关关键体系结结构元素包包括：客户户机系统；负荷平衡衡的、克隆隆的前端系系统（客户户机系统可可用访问的的）；负荷荷平衡的、分区的后后端系统（前前端系统可可用访问这这里的永久久存储）；以及三种种拱形体系系结构考虑虑：灾难承承受能力、安全域及及管理和运运作。大型商务 Web 站点的原原理图 1 展展示了商务务 Webb 站点的的概念和基基本原理，这这些内容将将在本节的的以下部

18、分分详细说明明。 图 1. 体系结构构的原理图 1 显显示了前端端、后端和和负荷平衡衡层的划分分，正如本本文档所述述。防火墙墙和网段分分区为安全全原理的关关键。客户机在这种站点点体系结构构中，客户户机向某服服务名称发发送请求，该该服务名称称代表提供供给客户机机的应用程程序。最终终用户和客客户机软件件不知道提提供服务的的系统的内内部运作方方式。通常常，最终用用户键入第第一个 UURL，例例如，htttp:/，然后单单击超级链链接或完成成 Webb 页上的的表单以便便向站点深深处导航。对于范围广广泛的 WWeb 站站点，一个个重要的决决定就是是是否在浏览览器中支持持功能的最最低公共集集，或是否否为

19、不同的的浏览器版版本提供不不同的内容容。目前，尽尽管还有更更旧的浏览览器在使用用，但 HHTML 3.2 通常为所所支持的最最低版本。例如，浏浏览器可如如此分类：支持 HHTML 3.2 的，如 MMicroosoftt Intterneet Exxplorrer 33.0；支支持动态 HTMLL (DHHTML) 的，如如 Intterneet Exxplorrer 44.0；以以及支持 Exteensibble MMarkuup Laanguaage (XML) 的，如如 Intterneet Exxplorrer 55.0。然然后为每个个类提供不不同的内容容。IISS 和工具具，能够创创

20、建可动态态呈现给不不同浏览器器的页面。前端系统前端系统由由向 Weeb 客户户机提供核核心 Weeb 服务务（如 HHTTP/HTTPPS、LDAPP 和 FTPP）的服务务器组成。开发人员员通常将这这些前端系系统分为一一系列称作作克隆体的的相同系统统的集。它它们运行相相同的软件件，并通过过内容复制制或高度可可用的文件件共享访问问相同的 Web 内容、HTTML 文文件、ASSP、脚本本等。通过过克隆体之之间的负荷荷平衡请求求，以及通通过检测故故障克隆体体并将其从从工作的克克隆体中删删除，可实实现高度可可伸缩性和和可用性。 克隆体（无无状态前端端）克隆是为 Web 站点增加加处理能力力、网络带

21、带宽和存储储带宽的良良好手段。由于每个个克隆体在在本地复制制存储，因因此，所有有更新必须须应用到所所有克隆体体上。但是是，由于与与负荷平衡衡、故障检检测和消除除客户机状状态的耦合合，克隆的的确是扩展展站点和提提高可用性性的良好方方法。无状态负荷荷平衡负荷平衡层层向用户提提供一个服服务名称并并将客户机机负荷分配配给多个 Web 服务器。这将为服服务器集提提供可用性性、可伸缩缩性和某种种程度的可可管理性。负荷平衡衡手段有多多种，包括括“Rounnd Roobin 域名服务务器 (RRRDNSS)”及各各种基于网网络的和基基于主机的的负荷平衡衡技术。维护客户机机状态我们不希望望在克隆前前端系统中中维

22、护客户户机状态，因因为这与透透明客户机机故障转移移和负荷平平衡相抵触触。在会话话间维护客客户机状态态的基本方方法有两种种。一种是是将客户机机状态存储储在分区的的后端服务务器中。（由由于客户机机状态可以以完全分区区，因此也也易于扩展展。但是，需需要对每个个客户机请请求检索该该状态）。在会话间间维护客户户机状态的的另一种方方法是使用用 coookie 和/或 URLL。Cookkie 是是由客户机机 Webb 浏览器器管理的小小文件。它它们无益于于减小带状状态服务器器的负荷和和增加无状状态前端系系统的实用用性。数据据还可以存存储在 UURL 中中，并在用用户单击显显示的 WWeb 页页上的链接接时

23、返回。前端可用性性当在这些前前端服务器器上运行应应用程序代代码时，无无论是用 Micrrosofft Viisuall Bassic(RR) 或 C+ 等高级级语言还是是用脚本编编写，从不不同的 WWeb 应应用程序隔隔离编程错错误是非常常重要的。使应用程程序代码在在 Webb 服务器器的进程外外运行，是是相互隔离离编程错误误和避免 Web 服务器故故障的最佳佳方法。后端系统后端系统是是维护应用用程序数据据的数据存存储，也是是启用与其其他维护数数据资源的的系统的连连通性的数数据存储。数据可以以存储在普普通文件、数据库系系统（如 Micrrosofft SQQL Seerverr(TM)）或其他

24、他应用程序序中，如下下表所示。表 1. 数据存储储的不同类类型文件系统数据库其他应用程程序示例文件共享SQLAd innserttion、SAP、Siebbel数据HTML、图像、可可执行文件件、脚本、COM 对象类别、用户户信息、日日志、帐单单信息、价价格表库存目录/库存、标标语广告、帐目信息息使后端系统统扩展和具具有高度可可用性更具具挑战性，主主要因为它它们必须维维护数据和和状态。一一旦单一系系统的可伸伸缩性已经经达到，就就必须分区区数据并使使用多台服服务器。因因此，持续续的可伸缩缩性是通过过数据分区区和将逻辑辑数据映射射到正确的的物理分区区的数据相相关路由层层或带状态态负荷平衡衡系统来实

25、实现的。对于提高的的可用性，群群集 通常由两两个访问公公共的、复复制的或 RAIDD （独立立盘的冗余余数组）保保护的存储储器的节点点组成 将支持持每个分区区。当一个个节点上的的服务失败败时，另一一个节点将将接管分区区并提供服服务。分区（带状状态的后端端系统）通过复制硬硬件和软件件及在各节节点之间划划分数据，分分区增强了了服务能力力。通常，数数据是按对对象分区的的，如邮箱箱、用户帐帐户或生产产线等。在在某些应用用程序中分分区是按时时间进行的的，例如按按天或按季季度。也可可能用随机机分区的方方法分布对对象。拆分分和合并分分区需要工工具，最好好是联机的的（不用中中断服务），符符合系统变变化的需要要

26、。增加宿宿主分区的的服务器数数量，提高高了服务的的可伸缩性性。不过，分分区的选择择将决定访访问模式及及其产生的的负荷。甚甚至在分布布请求时也也要避免出出现热点（一一个分区接接收的请求求数量不成成比例），这这对设计数数据分区也也很重要。有时这很很难避免，而而且必须有有大型多处处理器系统统宿主分区区。分区故故障转移，即即服务自动动切换到二二级节点（退退回未完成成的事务），可可提供持续续的分区可可用性。带状态负荷荷平衡如果数据按按多个数据据服务器分分区，或开开发提供专专用功能的的服务器来来处理特定定类型的 Web 请求，必必须编写相相应的软件件将请求路路由到相应应的数据分分区或专用用服务器。通常，该

27、该应用程序序逻辑是由由 Webb 服务器器运行的。其编制目目的是确定定相关数据据的位置，并并且根据客客户机请求求的内容、客户机 ID 或或客户机提提供的 ccookiie 将请请求路由到到数据分区区所在的相相应服务器器。它还知知道提供专专用功能的的服务器位位置并将请请求发送到到那里进行行处理。该该应用程序序软件完成成带状态负负荷平衡。称其为带带状态的原原因是，根根据客户机机状态或请请求中的状状态才能决决定将请求求路由至何何方。后端服务的的可用性除了使用故故障转移和和群集提高高可用性外外，整个系系统体系结结构的一个个重要因素素，就是站站点提供某某些有限程程度服务的的能力，甚甚至在多种种服务失效效

28、的情况下下。例如，用用户应该总总能通过用用户凭据的的复制登录录至联机邮邮件服务，然然后使用克克隆的“简单邮件件传输协议议 (SMMTP)”路由器发发送邮件，即即使用户的的邮件文件件是无效的的。相类似似，在商务务站点中用用户应该可可以浏览目目录，即使使暂时不能能处理事务务。这要求求系统体系系结构设计计者要设计计出“当个别部部件发生故故障时工作作可靠但性性能下降”的服务，以以避免由于于局部故障障而使终端端用户感觉觉为整个站站点故障。灾难承受能能力某些商务 Web 站点需要要持续的服服务可用性性，即使在在灾难发生生时：他们们的全球商商务活动依依赖于可用用的服务。灾难可能能是自然灾灾害（地震震、火灾或

29、或洪水），也也可能是恶恶意操作（如如恐怖活动动或心怀不不满的员工工）的结果果。灾难承承受系统要要求将站点点的副本或或部分副本本放在离主主站点足够够远的地方方，这样，在在整个灾难难中失去多多个站点的的概率会小小到可承受受的程度。在最高级级别有两种种复制的站站点类型。主动站点点分担部分分负荷。被被动站点在在发生灾难难后才提供供服务。在在需要快速速故障转移移的场合通通常使用主主动站点。被动站点点可能只是是由租用服服务器和远远程的、位位于备份磁磁带所在地地的连接组组成，这些些连接可在在需要时应应用于上述述服务器。像这种最最小限度的的规划应该该为任何商商务考虑之之列。更新复制的的站点，使使它们的内内容保

30、持一一致是很具具挑战性的的。此处的的基本方法法是：将内内容从中央央升级服务务器复制到到远程站点点的升级服服务器，更更新每个站站点的内容容。对于只只读内容该该方法已足足够。但是是，对于更更多的执行行事务的高高级站点，还还需要保持持数据库为为最新。数数据库复制制和日志转转移通常用用于将对数数据库的事事务性更新新转移到远远程站点的的地方。典典型情况下下，数据库库将出现几几分钟不同同步。但是是，这比站站点完全失失效要好。安全域安全性机制制用于保护护敏感信息息的保密性性和机密性性，使其免免受未经许许可的访问问；通过防防止未经许许可的修改改或破坏，保保护系统和和数据的完完整性；并并通过防止止拒绝服务务攻击

31、和提提供意外或或灾难计划划，来帮助助确保可用用性。安全域是一一致的安全全性区域，区区域之间有有定义明确确的保护接接口。这一一概念的应应用程序有有助于确保保在正确的的场合应用用正确的保保护级别。复杂系统统（如大型型商务站点点及其环境境）可划分分为多个安安全域。区区域表示任任何所希望望的划分 例如如，按地域域、按组织织、按物理理网络或者者服务器或或按数据类类型。对于于商务站点点，主要的的划分方式式可适当按按照 Innternnet、站站点的 DDMZ、安安全性、企企业和管理理网络。域域还可能相相互交叉或或重叠。例例如数据库库中的信用用卡号码可可能需要附附加保护。附加的安安全性控制制，如卡号号的加密

32、，可可提供这种种保护。下面的比喻喻有助于形形象说明安安全域。IInterrnet 好象中世世纪的城堡堡及其周边边环境：在在其城墙之之外，很少少有法律约约束并有各各种不拘一一格的个性性。根据这这个城堡模模型，用于于保护 WWeb 站站点的关键键结构元素素是在其周周围构筑城城墙，有重重兵把守的的主城门禁禁止闲杂的的人进入。需要构建建的城墙及及城门等效效于维护给给定安全级级的标准。当然，不不会有没有有保护的后后门！对于于大型商务务站点，城城墙称为站站点的边界界。在网络络术语中，表表示站点的的内部通信信设备是专专用的并与与 Intterneet 隔离离，指定的的入口除外外。站点的的主城门称称作防火墙墙

33、。防火墙墙将检测每每一通信包包，确保只只允许希望望的信息进进入。继续续这个比喻喻，城堡中中的要塞保保护着皇冠冠宝石。附附加的围墙墙和加锁的的门或墙中中墙，提供供了附加保保护。与此此类似，商商务站点通通过提供附附加的防火火墙和内部部网络，保保护着非常常敏感的数数据。图 2. 防火墙/DDMZ防火墙是一一种控制网网络中处于于不同可信信级别的两两部分之间间的数据流流的机制。防火墙的的范围可以以从数据包包过滤器（只只允许指定定 IP 端口和/或一系列列 IP 地址之间间的数据通通信）到应应用程序级级防火墙（实实际检查数数据的内容容并决定是是否让其通通过）。站站点通常将将过滤数据据包的外向向防火墙和和过

34、滤协议议和端口层层数据的内内向防火墙墙结合使用用。 保护站点的的安全性很很复杂，但但防火墙/DMZ 是关键结结构组件（实实际上是网网段中的子子网）。对对于保证期期望的站点点保护级别别，它是必必要但绝不不充分的安安全性机制制。本文档档的“安全性”章节专门门叙述如何何保护站点点的安全。管理基础结结构站点管理系系统通常构构建在单独独的网络上上，以确保保高度可用用。管理系系统使用单单独网络，还还可以减轻轻管理通信信量的后端端网络的负负荷，从而而提高整体体性能和响响应时间。管理和运运作有时也也使用后端端网络，但但对于大型型的、高可可用度的站站点，不建建议这样做做。 管理系统的的核心结构构组件为管管理控制

35、台台、管理服服务器和管管理代理。所有核心心组件均可可独立扩展展。管理控控制台是管管理员访问问和操纵被被管理系统统的入口。管理服务务器时刻监监控着所管管理的系统统、接收报报警和通知知、记录事事件和性能能数据，并并作为响应应预定事件件的第一防防线。管理理代理为在在其驻留的的设备内部部执行主要要管理功能能的程序。管理代理理与管理服服务器使用用标准的或或专用的协协议相互通通信。当系统达到到一定的规规模和变化化率时，WWeb 站站点的管理理和运作成成为关键因因素。管理理的简便性性、易于配配置、持续续的健康监监控和故障障检测可能能比添加应应用程序功功能或新服服务更为重重要。因此此，应用程程序工程师师必须十

36、分分熟悉部署署和运行应应用程序的的操作环境境。另外，操操作人员还还必须十分分熟悉克隆隆和分区方方案、管理理工具和安安全机制，以以维持持续续可用的、基于 IInterrnet 的服务。示例站点简介本示例站点点力求通用用，以说明明核心结构构组件和基基础结构。但是，它它是我们曾曾讨论过的的许多运行行站点的关关键结构特特性的代表表。出于竞竞争和安全全原因，站站点所有者者通常不愿愿展示其站站点的实际际详细内幕幕。我们的示例例以一个大大型站点为为例，并展展示了拓扑扑结构和组组件冗余。它是一个个高度可用用系统：紧紧急服务可可拯救大部部分故障模模式，减轻轻重大灾难难。从 IISP 11 到 ISPP N 的的

37、每个分组组中的服务务器均支持持所有站点点紧急处理理功能，因因此，即使使失去一个个 ISPP 也不会会使站点瘫瘫痪。在大大部分灾难难情况下，提提供不间断断的服务需需要在多个个地理位置置 (geeopleex) 上上复制整个个站点。CCiscoo 的“分布式控控制器”通常用于于支持 ggeopllex。遗遗憾的是，站站点复制的的成本将超超出构建站站点的两倍倍，并且可可能导致 Web 应用程序序的数据一一致性问题题。从该示例可可派生出较较小的和大大得多的站站点。较小小站点可能能不需要在在每个群集集中有如此此多的服务务器。不需需要很高可可用性的站站点只要删删除冗余的的元素，特特别是图中中从 Innte

38、rnnet IISP 11 开始的的整个上半半部分。没没有很高数数据库安全全性的站点点可以在安安全网络中中删除安全全 SQLL 群集。另一方面面，非常大大的站点可可以添加下下列内容充充分地扩展展： 每个 IIIS Weeb 群集集的克隆体体。Web 群群集数量。Interrnet 连接访问问点。前端组件，如如防火墙。更进一步，随随着网络通通信量和要要管理的设设备数量的的增加，管管理网络也也必须增加加规模和复复杂性。图 3 展展示了示例例站点的体体系结构。图 3. 大型 Weeb 站点网网络拓扑结结构示例在图 3 中，不同同的线形、粗细和注注释显示了了网络不同同部分的 IP 地地址和连接接。特别

39、是是：外部（面向向 Intterneet）网络络（细）。DMZ 网网络（中）。安全（内部部）网络（粗粗）。管理网络（细细虚线）。群集核心专专用网络（细细 每个个群集本地地专用）。与企业网的的连接（闪闪电状）。本节的其他他内容将提提供示例站站点的教程程，从 IInterrnet 开始经 DDMZ 直直到安全网网络，包括括企业网和和管理网络络。Interrnet教程从连接接一个或多多个“Inteernett 服务提提供商 (ISP)”开始。我们的示示例列举了了多个标记记为 ISSP 1 - ISSP N 的冗余连连接。这些些连接应该该来自不同同（物理上上独立）的的网络。域域名服务器器（DNSS，图

40、 3 中没有展展示）提供供了域名与与一个或多多个 TCCP/IPP 地址之之间的正向向和反向映映射。例如如，htttp:/www.micrrosofft.coom/ 当当前映射下下列地址，每每组地址均均为一个群群集。207.446.1330.144 2007.466.1311.28207.446.1330.1449 200207.446.1330.1550 2037如果有多个个 IP 地址，DNNS 将浏浏览地址列列表来处理理对 IP 地地址的不断断查询 因此，得得名为“Rounnd Roobin DNS (RRDDNS)”。RRDNNS 的缺缺点是

41、不能能检测出 ISP 连接的消消失而继续续为不再工工作的 IIP 地址址提供服务务。但是这这并不非常常严重，因因为用户只只需请求重重载 Weeb 页。第三方解解决方案，如如 Cissco 的的 Locaal Diirecttor或 F5 Netwworkss 的 BigIIP 提供供了动态路路由连接的的更好解决决方案。DMZ前端网络上上的服务器器是面向 Inteernett 的。防防火墙是基基本的安全全性组件，通通过按数据据包类型、源和目的的地址过滤滤数据通信信量，来提提供网络隔隔离。它们们形成了由由双向箭头头描述的 DMZ（非非军事区）边边界。防火墙路径中的第第一个组件件就是路由由器/防火墙

42、，它它们的功能能是截然不不同的或组组合在一个个设备中。面向 Innternnet 的的路由器支支持“边界网关关协议”(htttp:/g/rfcc/rfcc16544.txtt)。高速前端端交换机支支持到前端端 Webb 群集中中的每台服服务器的连连接。与路路由器/防火墙的的交叉连接接为在 IISP 连连接失效时时，或路径径上任何组组件失效时时，提供了了另一条路路径。前端网络前端提供核核心 Weeb 服务务，如 HHTTP/HTTPPS，使用用 Miccrosooft IInterrnet Infoormattion Servver (IIS) 提供 HTTML 和和 ASPP 页面服服务，使用

43、用 LDAAP（Lighhtweiight Direectorry Acccesss Prootocool）进行行用户身份份验证。还还可以将“站点服务务器商业版版”装载到前前端服务器器上，以提提供附加的的数据库驱驱动的服务务。前端服务器器按服务和和功能分组组 例如如 htttp:/www.micrrosofft.coom/、httpp:/、SMTPP（电子邮邮件）或 FTP（下下载）。SSSL 服服务 (HHTTPSS) 同样样是从普通通 HTTTP 通信信中隔离出出来的。这这使得经过过特殊配置置的、带有有高成本的的硬件安全全加速器模模块的服务务器，可支支持高速加加密功能。更进一步步，SSLL

44、 会话继继承了带状状态性，并并可能需要要特殊的故故障转移处处理。在示例站点点中运行 Winddows 20000 的每个个 Webb 群集均均使用 NNLBS（网网络负荷平平衡服务 在 Winndowss NT 中也称为为 Winndowss 负荷平平衡服务）。每个克隆隆体在每个个发布相同同内容的 NLBSS Webb 群集中中有相同的的配置。这这将为无状状态 Weeb 应用用程序提供供透明的故故障转移，与与单个服务务器相比从从根本上提提高了服务务能力。WWeb 群群集通过添添加克隆体体分担群集集的负荷来来支持广阔阔的可伸缩缩性。客户机向使使用虚拟 IP 地地址的每个个 Webb 群集提提出请

45、求，该该虚拟 IIP 地址址是 NLLBS 群群集中的所所有前端服服务器均可可以响应的的。前端服服务器则访访问位于后后端群集文文件共享服服务器和后后端群集 SQL 服务器上上的站点内内容。提供 Weeb 服务务所需的所所有 COOM 对象象，包括从从 ASPP 页调用用的对象，均均安装并注注册在每个个前端服务务器上。该该站点的 ASP 页可以装装载在前端端服务器的的本地磁盘盘上，也可可以保持在在后端群集集文件共享享服务器上上。每个前端服服务器均特特殊加强了了安全性并并连接到三三个网络：前端网络 Innternnet 访访问。后端网络 访问问 DMZZ 服务器器，并通过过内部防火火墙访问安安全网

46、络。管理网络 支持持管理和运运作功能。这种网络隔隔离，在提提高总体可可用带宽和和冗余的同同时提高了了安全性。注意该站点点中任何服服务器上唯唯一可公共共访问的 IP 地地址为 NNLBS 虚拟 IPP 地址，只只有前端服服务器才可可以响应的的这个地址址。用于面面向 Innternnet 的的 NICC（网络接接口卡）的的 IP 过滤滤，可确保保只有被支支持的功能能的正确通通信类型和和源，才能能进入前端端服务器。这些网络络之间的 IP 转转发也已禁禁用。 后端网络后端网络通通过使用高高速、私用用的 100.10.1.x LAN 支持所有有 DMZZ 服务器器。这种体体系结构可可防止从 Inteer

47、nett 直接访访问 DMMZ 服务务器，即使使防火墙被被突破，因因为不允许许 Intterneet 路由由器转发指指定的 IIP 地址址范围（请请参阅 hhttp:/wwww.ieetf.oorg/rrfc/rrfc19918.ttxt 上上的 Adddresss Alllocaationn forr Priivatee Intterneets（专专用 Innternnet 的的地址分配配），包包括范围 10.xx.x.xx。当使用用前端网络络时，冗余余交换机可可提供对所所有前端和和后端服务务器的访问问。所有后后端交换机机共享公共共网络，因因此后端通通信量负荷荷将成为主主动站点的的问题，特特

48、别是单独独的管理网网络不能进进行记录并并且其他前前端管理网网络还在通通信。后端网络的的主要组件件为加强了了安全性的的服务器群群集，它们们提供对 Web 内容和临临时永久状状态，如会会话内事务务性数据（例例如购物推推车内容），的的存储服务务。由于所所有永久数数据随处可可得，因此此没有必要要提供备份份工具。通通过添加群群集和分区区数据库可可实现可伸伸缩性。这些服务器器使用了 Winddows 20000 上的“Micrrosofft 群集集服务”，实现了了带故障转转移能力的的高度可用用性。一个个服务器失失效不会导导致数据服服务的失效效甚至服务务的中断。当失效的的服务器恢恢复联机时时，可以继继续数据

49、服服务。由于于硬盘的确确会失效，因因此使用 RAIDD 驱动器器阵列可提提供必要的的数据冗余余保护。群集内的文文件共享支支持文件存存储服务。群集上运运行的 MMicroosoftt SQLL Serrver 提供数据据库服务。每个群集集服务器至至少使用了了四个 NNIC：一一个用于每每个交换机机、一个用用于专用核核心 LAAN（应该该使用其他他专用网络络地址，如如 1922.1688.10.x）、一一个用于管管理 LAAN。除服服务器物理理地址外，群群集还具有有多个虚拟拟 IP 地址，以以支持群集集本身和每每个群集服服务地址对对（用于冗冗余）。加强 DMMZ 实用用程序 DDC 的服服务器支持

50、持所有 DDMZ 服服务器的本本地域帐户户、本地 DHCPP 和名称称服务（WWINS，或或最好为 DNS）以以及本地实实用程序文文件服务。对内部企企业域的单单向信任关关系，提供供了对安全全的内部系系统的身份份验证式访访问。安全网络另一道防火火墙形成了了 DMZZ 的内部部边界，并并将所谓的的安全网络络与后端网网络隔离开开。防火墙墙配置成只只允许端口口与源/目的对之之间所要求求的通信。安全网络络又由一个个专用网络络（本例中中为 ）、一对耦合合的交换机机、各种服服务器和标标记为 VVPN/路路由器的设设备组成，这这个标记为为 VPNN/路由器器的设备提提供了与内内部企业网网的

51、连接。安全网络络在逻辑上上为企业网网的一部分分。安全网网络上的服服务器通常常也是内部部企业域的的成员，因因此域控制制器和地址址及名称服服务器也假假定是内部部的。为了支持其其他功能，在在本节中可可能还需要要其他服务务器。有多多种可能的的处理方法法，然后在在安全性数数据存储与与内部系统统之间传输输事务性数数据。事务务的范围是是从传统的的同步 (MTS Miicrossoft Trannsacttion Servvice) 到异步步 (MSSMQ - Miccrosooft MMessaage QQueuee) 乃至至基于批处处理或基于于电子邮件件的存储和和转寄。这这些内容已已超出本文文档的范围围。

52、但请注意，对对于许多组组织来说，Internet 是许多通道中唯一提供用户服务的传送通道，这很重要。以书店或银行为例。大部分业务逻辑和处理发生在内部的现有系统内。Internet 解决方案必须与这些现有系统协作并为其提供服务。安全数据存存储安全 SQQL 群集集是可选的的，并只为为更复杂的的事务性站站点中所需需。它们提提供了高度度可用性、身份验证证数据库的的永久存储储、长期事事务存储，并并保证客户户信息和帐帐户数据的的机密性。与 DMMZ 中的的服务器群群集不同，这这些服务器器必须备份份，既可以以使用直接接连接的可可移动存储储设备，也也可以通过过企业网进进行备份。其他功能能与 DMMZ 群集集

53、类似。为为了冗余，每每个服务器器将重复连连接到安全全网络的两两个交换机机上。同样样又是通过过分区数据据库和添加加群集，来来实现可伸伸缩性。升级服务器器升级服务器器出现在安安全网络部部分，尽管管它们可能能位于企业业网或甚至至位于 DDMZ 中中。它们接接受和升级级来自企业业网或外部部内容提供供商的内容容，然后将将内容部署署到 Weeb 服务务器，以使使站点保持持一致状态态。通常有有很多机制制可用，包包括 Miicrossoft Conttent Repllicattion（Micrrosofft 内容容复制系统统）和诸如如 RobboCoppy 等工工具。企业网连通通性示为 VPPN/路由由器的

54、、将将站点与企企业网相连连的设备实实际上是个个路由器，如如果需要，它它可以和 VPN 安全性功功能结合，来来签署和加加密通信。另外，使使用 Wiindowws 20000 内内置 IPPSec 特性也可可添加 VVPN 功功能。这将将在根据需需求的基础础上支持端端对端的安安全性，这这样可以节节约 VPPN 硬件件支持的成成本。 就企业数据据中心中宿宿主的站点点而言，连连接企业网网易如反掌掌。在这种种情况下，VPN/路由器直接与企业网相连。大型商务站站点经常由由远程的企企业数据中中心宿主。专用热线线经常用来来连接站点点与企业网网，特别是是在需要高高性能、低低响应时间间的情况。另外，IInterr

55、net 本身也可可能用于传传输，这种种情况下使使用 VPPN 技术术确保所有有通信的安安全非常重重要。管理网络连连通性我们以管理理网络的讨讨论来结束束我们的教教程，管理理网络提供供了监控和和管理站点点的基本功功能。为简简单起见，我我们只演示示用 LAAN 连接接单独管理理网络的计计算机。这这些是用单单独的 NNIC 实实现的。某某些站点没没有使用单单独的管理理网络。相相反，它们们瓦解后端端网络上的的管理通信信。为安全全性、网络络负荷和管管理起见，我我们不建议议这样做。与路由器、交换机和和防火墙的的管理连接接没有显示示。用于紧紧急带外 (OOBB) 访问问的串口拨拨号连接也也没有显示示。这并不不

56、表示不需需要它们。当管理网网络（或用用于管理的的后端网络络）不可用用时，仍然然可以通过过这种设置置访问每个个主机。摘要下面章节使使用前例的的模型，详详细讨论本本文档所描描述的体系系结构如何何满足这四四个目标：线性可伸缩缩性 可持续增增长以满足足用户需求求和业务复复杂性。持续服务可可用性 使用冗冗余和功能能专业化来来提高容错错能力。数据和基础础结构的安安全性 保护数数据和基础础结构免受受恶意攻击击或盗用。管理的简便便性和完整整性 确保运作作能够满足足增长的需需求。可伸缩性简介图 4 例例举了站点点可伸缩性性的两个不不同维度。第一个维维度，即水水平轴，表表示在有代代表性的一一天，访问问站点的独独特

57、客户机机的数量。随着独特特客户数量量的增加，配配置用于支支持增加的的客户库的的系统数量量也将增加加。典型情情况下，支支持客户库库所需的站站点上的内内容也必须须增加。第二个维度度，即垂直直轴，表示示站点的业业务复杂性性程度。我我们已经标标识了三个个主要类别别。当然，在在它们之间间还有许多多变种。类类别之间通通常通过包包含下级分分类的功能能而互为基基础。最底底层分类，和和在业务逻逻辑复杂方方面最简单单的，是内内容提供商商类。上一一层的分类类，除来内内容外还有有事务处理理，但许多多业务处理理是脱机完完成的。而而最上层的的分类既有有内容还有有事务，而而且许多业业务处理逻逻辑完全集集成在联机机处理中。随

58、着站点在在图中从左左到右、从从下向上移移动，站点点的运行和和应用程序序部署的难难度明显增增加。图 4. 扩展维度度在本节的其其余部分，我我们考虑图图 4 环境境中的可伸伸缩性。首首先，我们们关注扩展展独特客户户和内容，然然后再看业业务复杂性性的增加。扩展客户和和内容接下来的图图 5 和图图 6 两个个图例，说说明了前端端系统的数数量如何变变化，以满满足客户不不断增长的的需求，以以及如何增增加分区的的数据存储储的数量来来扩展联机机内容。图 5. 小型站点点上图表示了了具有一个个 IISS Webb 服务器器，一个文文件或 SSQL SServeer 和一一个在 DDMZ 内内的实用程程序服务器器

59、的基本站站点，它连连接安全 SQL Servver 或或文件服务务器和安全全升级服务务器。下图图表示，如如图 5 所示的小小型站点，应应如何扩大大才能支持持更多客户户和更多内内容。图 6. 扩大的站站点在前端，IIIS WWeb 服服务器的数数量和这些些服务器的的 Webb 群集的的数量有所所增加，并并使用 NNLBS 在它们之之间平衡了了负荷。在在后端，文文件服务器器和 SQQL Seerverr 群集的的数量有所所增加，因因此，逻辑辑需要包括括在前端 Web 服务器中中，才能将将数据请求求路由到正正确的后端端数据分区区。我们下下一步再说说明这两种种技术。. 扩展前端系系统增加克隆的的 II

60、SS Webb 服务器器的数量、将其分组组为 Weeb 群集集和使用负负荷平衡系系统，是增增加支持的的独特客户户数量的主主要技术。但请注意意，这涉及及重要的应应用程序状状态考虑，我我们将在后后面讨论。除增加 IIIS WWeb 服服务器的数数量外，优优化 Weeb 服务务器执行的的 Webb 应用程程序代码也也很重要（这这超出了本本文档的范范围）。针对可伸缩缩性的 WWeb 前前端负荷平平衡负荷平衡以以虚拟 IIP 地址址的形式，向向客户机提提供了单一一的服务名名称，然后后将客户机机分布于提提供该服务务的服务器器集上。进行负荷平平衡有三种种主要技术术：Roundd Robbin DDNS (R