网站解决方案

1、使用 Microsoft Windows DNA 平台构建 Web 站点的蓝图草图，.9 版Microsoft Corporation2000 年 1 月目录TOC t 标题 4,1,标题 5,2 HYPERLINK l _Toc477851376 执行摘要 PAGEREF _Toc477851376 h 2 HYPERLINK l _Toc477851377 体系结构概述 PAGEREF _Toc477851377 h 2 HYPERLINK l _Toc477851378 简介 PAGEREF _Toc477851378 h 2 HYPERLINK l _Toc477851379 体系结构

2、目标 PAGEREF _Toc477851379 h 2 HYPERLINK l _Toc477851380 体系结构元素 PAGEREF _Toc477851380 h 3 HYPERLINK l _Toc477851381 示例站点 PAGEREF _Toc477851381 h 7 HYPERLINK l _Toc477851382 简介 PAGEREF _Toc477851382 h 7 HYPERLINK l _Toc477851383 Interneet PAGEREF _Toc477851383 h 9 HYPERLINK l _Toc477851384 DMZ PAGEREF

3、_Toc477851384 h 9 HYPERLINK l _Toc477851385 安全网络 PAGEREF _Toc477851385 h 100 HYPERLINK l _Toc477851386 摘要 PAGEREF _Toc477851386 h 11 HYPERLINK l _Toc477851387 可伸缩性 PAGEREF _Toc477851387 h 122 HYPERLINK l _Toc477851388 简介 PAGEREF _Toc477851388 h 12 HYPERLINK l _Toc477851389 扩展客户和内容容 PAGEREF _Toc47785

4、1389 h 12 HYPERLINK l _Toc477851390 扩展业务复杂性性 PAGEREF _Toc477851390 h 15 HYPERLINK l _Toc477851391 可用性 PAGEREF _Toc477851391 h 18 HYPERLINK l _Toc477851392 简介 PAGEREF _Toc477851392 h 18 HYPERLINK l _Toc477851393 前端系统的可用用性 PAGEREF _Toc477851393 h 19 HYPERLINK l _Toc477851394 网络基础结构的的可用性 PAGEREF _Toc47

5、7851394 h 19 HYPERLINK l _Toc477851395 后端系统的可用用性 PAGEREF _Toc477851395 h 20 HYPERLINK l _Toc477851396 安全性 PAGEREF _Toc477851396 h 20 HYPERLINK l _Toc477851397 简介 PAGEREF _Toc477851397 h 20 HYPERLINK l _Toc477851398 网络保护 PAGEREF _Toc477851398 h 211 HYPERLINK l _Toc477851399 平台保护 PAGEREF _Toc477851399

6、 h 233 HYPERLINK l _Toc477851400 客户（成员）访访问控制 PAGEREF _Toc477851400 h 24 HYPERLINK l _Toc477851401 要点 PAGEREF _Toc477851401 h 25 HYPERLINK l _Toc477851402 管理与运作 PAGEREF _Toc477851402 h 225 HYPERLINK l _Toc477851403 简介 PAGEREF _Toc477851403 h 25 HYPERLINK l _Toc477851404 管理基础结构 PAGEREF _Toc477851404 h

7、 26 HYPERLINK l _Toc477851405 管理系统需求 PAGEREF _Toc477851405 h 29 HYPERLINK l _Toc477851406 摘要 PAGEREF _Toc477851406 h 32执行摘要商务正迅速发展展为标准的、基基于 Webb 的计算模模型，其特征征为重复且针针对任务的系系统的松散连连接层。很大大比例的商务务 Web 站点 提供联联机服务的服服务器、应用用程序和数据据的集合 都是用当当今的 Miicrosooft Wiindowss DNA 平台构建的的，成为该计计算模型的基基础。本文档档定义了构建建 Winddows DDNA 站

8、点点的体系结构构。读者可以以借用这些信信息，设计和和构建当今基基于 Winndows DNA 的的站点。本文档集中讨论论如何使用 Microosoft 技术，特别别是 Winndows DNA 平平台，以尽可可能有效利用用财力和时间间的方法，构构建可伸缩、可可用、安全和和可管理的站站点的基础结结构。强调保保持 Webb 站点简便便灵活的运作作和应用程序序设计，以及及“.com”如如何能够成功功地以必要而而有效的可伸伸缩性、可用用性、安全性性和可管理性性来部署和运运作站点。其其次强调当前前文档齐全的的工具和构建建 Web 应用程序组组件的方法。另另外还从宏观观层次检查 Microosoft Wi

9、ndoows DNNA 解决方案（使使用 Miccrosofft Wiindowss NT 4.0 和和/或 Winddows 22000）的的优点，并逐逐级进入，以以定义如何使使用 Miccrosofft 产品建建立站点体系系结构中的每每一层次。最最后，将讨论论使用 Miicrosooft 工具具和技术管理理 Web 站点。尽管只是个概述述，本文档还还是检查了一一个成功使用用部署的体系系结构的示例例 Web 站点，它可可作为使用 Windoows DNNA 平台构构建的站点的的模型。本文文档不涉及（除除了与可伸缩缩性、可用性性、安全性和和可管理性相相关时）诸如如应用程序设设计、开发工工具或数

10、据库库设计等主题题；但是提供供涵盖这些领领域的相应文文档的指针。“体系结构概述述”介绍一些对对于大型 WWeb 站点点很重要的体体系结构概念念。在“示例站点”描述了一个个具有代表性性的站点并解解释了它使用用的基础结构构和各层。其其余章节讨论论了站点的四四个关键属性性 “可伸伸缩性”、“可用性”、“安全性”和“可管理性” 并使用用示例站点来来说明这些问问题。对相关关文档的引用用贯穿整个文文档。体系结构概述简介大型商务站点为为动态变化的的模型：它们们通常一开始始很小，但随随着需求的增增长而指数增增长。不仅在在支持的独特特用户的数量量上不断增加加，这种增长长非常迅速，而而且在提供的的用户服务的的复杂

11、性和集集成性方面也也不断增长。经经投资者的检检查，许多站站点启动的商商务计划的可可伸缩性为 10-1000 倍，这这个数据是可可信的。成功功的商务站点点，通过不断断增加向客户户机提供逻辑辑服务的服务务器数量（即即通过服务器器提供其自身身的多个实例例（克隆）或或通过在自身身之间均衡工工作负荷），以以及创建与已已有计算机系系统相集成的的服务来管理理这种增长和和变化。这种种增长的基础础为支持高度度可用性的坚坚实的体系结结构、安全基基础结构和管管理基础结构构。体系结构目标本文档描述的体体系结构力图图达到四个目目标：线性可伸缩性 可持续续增长以满足足用户需求和和业务复杂性性。持续的服务可用用性 使用冗余

12、余和功能专业业化来提高容容错能力。数据和基础结构构的安全性 保护数据和和基础结构免免受恶意攻击击或盗用。管理的简便性和和完整性 确保运作作能够满足增增长的需求。可伸缩性为了可以扩展，商商务 Webb 站点将其其体系结构分分为两部分：前端（客户户机可访问的的）系统和存存储长期永久久数据的或商商务处理系统统所在的后端端系统。负荷荷平衡系统用用于将工作分分配到每一层层的系统中。前前端系统通常常不保留长期期状态。也就就是说，前端端系统中每次次请求的环境境通常是暂时时的。这种体体系结构，通通过克隆或复复制与无状态态负荷平衡系系统（使负荷荷在可用的克克隆体之间分分配）相耦合合的前端系统统，扩展其支支持的独

13、特用用户的数量。我我们将克隆体体集合中的 IIS 服服务器集合称称为 Web 群集集。在多个后后端系统之间间分区联机内内容同样可以以扩展。带状状态的或内容容敏感的负荷荷平衡系统则则将请求路由由到正确的后后端系统。通通过功能专业业化，业务逻逻辑复杂性以以可管理的方方式增长。专专用的服务器器负责专门的的服务，包括括与遗留或脱脱机系统的集集成。克隆与与分区，和功功能专业化服服务一起，通通过单独增长长每个服务而而使得这些系系统具有极大大的可伸缩性性。可用性通过使用多个克克隆服务器（所所有服务器均均为其客户机机提供唯一的的地址）使得得前端系统具具有高度可用用性和可伸缩缩性。负荷平平衡用于在克克隆体之间分

14、分配负荷。将将故障检测功功能置入负荷荷平衡系统提提高了服务的的可用性。不不再提供服务务的克隆体将将自动从负荷荷平衡集合中中删除，而剩剩下的克隆体体将继续提供供服务。使后后端系统具有有高度可用性性更具挑战性性，主要是因因为它们维护护着数据或状状态。它们通通过对每个分分区使用故障障转移群集 (faillover clustteringg) 来实现现高度可用。故故障转移群集集假定应用程程序能够在可可以访问故障障系统的磁盘盘子系统的其其他计算机上上继续运行。分分割故障转移移发生在支持持分区请求的的主节点故障障时，此时分分区请求自动动切换到二级级节点。二级级节点必须有有权访问与故故障节点同样样的数据存储

15、储，该数据存存储也应该是是复制的。复复制品还可通通过在远程位位置上成为可可用，来提高高站点的可用用性。可用性性在很大程度度上还取决于于企业级 IIT 规则，包包括更改控制制、严格测试试和快速升级级以及反馈机机制。安全性安全性 通通过为信息的的机密性、保保密性、完整整性和可用性性提供充分的的保护来管理理风险 是任何商务务站点成功的的基本要素。商商务站点使用用多个安全域域，其中包括括具有不同安安全性需求的的系统，每个个域均受到网网络过滤器或或防火墙保护护。有三种主主要的域，互互相用防火墙墙隔离，它们们是：公共网网络；DMZZ（由军事术术语“非军事区域域”派生而来），是是前端和内容容服务器所在在之处

16、；以及及安全网络，是是创建或使用用内容的地方方，也是管理理和存储安全全数据的地方方。管理管理和运作广泛泛涉及维护商商务站点及其其服务正常工工作所需的基基础结构、工工具以及管理理员和技术人人员。许多站站点均位于常常称作宿主环环境的地方。也也就是说，这这些系统配置置有“Interrnet 服服务提供商 (ISP)”或专家宿宿主服务，这这里可提供丰丰富的 Innterneet 连通性性。因此，系系统的管理和和监控必须远远程完成。在在这种体系结结构中，我们们将描述这种种管理网络和和网络必须支支持的管理功功能类型。体系结构元素本节要突出的商商务 Webb 站点的关关键体系结构构元素包括：客户机系统统；负

17、荷平衡衡的、克隆的的前端系统（客客户机系统可可用访问的）；负荷平衡的的、分区的后后端系统（前前端系统可用用访问这里的的永久存储）；以及三种拱拱形体系结构构考虑：灾难难承受能力、安安全域及管理理和运作。大型商务 Weeb 站点的的原理图 1 展示了了商务 Weeb 站点的的概念和基本本原理，这些些内容将在本本节的以下部部分详细说明明。 图 1. 体系系结构的原理理图 1 显示了了前端、后端端和负荷平衡衡层的划分，正正如本文档所所述。防火墙墙和网段分区区为安全原理理的关键。客户机在这种站点体系系结构中，客客户机向某服服务名称发送送请求，该服服务名称代表表提供给客户户机的应用程程序。最终用用户和客户

18、机机软件不知道道提供服务的的系统的内部部运作方式。通通常，最终用用户键入第一一个 URLL，例如，htttp:/，然后单击击超级链接或或完成 Weeb 页上的的表单以便向向站点深处导导航。对于范围广泛的的 Web 站点，一个个重要的决定定就是是否在在浏览器中支支持功能的最最低公共集，或或是否为不同同的浏览器版版本提供不同同的内容。目目前，尽管还还有更旧的浏浏览器在使用用，但 HTTML 3.2 通常为为所支持的最最低版本。例例如，浏览器器可如此分类类：支持 HHTML 33.2 的，如如 Microosoft Interrnet EExplorrer 3.0；支持动动态 HTMML (DHHT

19、ML) 的，如 Innterneet Expplorerr 4.0；以及支持 Extennsiblee Markkup Laanguagge (XMML) 的，如如 Inteernet Exploorer 55.0。然后后为每个类提提供不同的内内容。IISS 和工具，能能够创建可动动态呈现给不不同浏览器的的页面。前端系统前端系统由向 Web 客客户机提供核核心 Webb 服务（如如 HTTPP/HTTPPS、LDAP 和 FTP）的的服务器组成成。开发人员员通常将这些些前端系统分分为一系列称称作克隆体的的相同系统的的集。它们运运行相同的软软件，并通过过内容复制或或高度可用的的文件共享访访问相同

20、的 Web 内内容、HTMML 文件、ASPP、脚本等。通通过克隆体之之间的负荷平平衡请求，以以及通过检测测故障克隆体体并将其从工工作的克隆体体中删除，可可实现高度可可伸缩性和可可用性。 克隆体（无状态态前端）克隆是为 Weeb 站点增增加处理能力力、网络带宽宽和存储带宽宽的良好手段段。由于每个个克隆体在本本地复制存储储，因此，所所有更新必须须应用到所有有克隆体上。但但是，由于与与负荷平衡、故故障检测和消消除客户机状状态的耦合，克克隆的确是扩扩展站点和提提高可用性的的良好方法。无状态负荷平衡衡负荷平衡层向用用户提供一个个服务名称并并将客户机负负荷分配给多多个 Webb 服务器。这这将为服务器器

21、集提供可用用性、可伸缩缩性和某种程程度的可管理理性。负荷平平衡手段有多多种，包括“Roundd Robiin 域名服服务器 (RRRDNS)”及各种基基于网络的和和基于主机的的负荷平衡技技术。维护客户机状态态我们不希望在克克隆前端系统统中维护客户户机状态，因因为这与透明明客户机故障障转移和负荷荷平衡相抵触触。在会话间间维护客户机机状态的基本本方法有两种种。一种是将将客户机状态态存储在分区区的后端服务务器中。（由由于客户机状状态可以完全全分区，因此此也易于扩展展。但是，需需要对每个客客户机请求检检索该状态）。在在会话间维护护客户机状态态的另一种方方法是使用 cookiie 和/或 URL。Coo

22、kiie 是由客客户机 Weeb 浏览器器管理的小文文件。它们无无益于减小带带状态服务器器的负荷和增增加无状态前前端系统的实实用性。数据据还可以存储储在 URLL 中，并在在用户单击显显示的 Weeb 页上的的链接时返回回。前端可用性当在这些前端服服务器上运行行应用程序代代码时，无论论是用 Miicrosooft Viisual Basicc(R) 或或 C+ 等高级语言言还是用脚本本编写，从不不同的 Weeb 应用程程序隔离编程程错误是非常常重要的。使使应用程序代代码在 Weeb 服务器器的进程外运运行，是相互互隔离编程错错误和避免 Web 服服务器故障的的最佳方法。后端系统后端系统是维护护

23、应用程序数数据的数据存存储，也是启启用与其他维维护数据资源源的系统的连连通性的数据据存储。数据据可以存储在在普通文件、数数据库系统（如如 Micrrosoftt SQL Serveer(TM)）或其他应应用程序中，如如下表所示。表 1. 数据据存储的不同同类型文件系统数据库其他应用程序示例文件共享SQLAd inseertionn、SAP、Siebeel数据HTML、图像像、可执行文文件、脚本、COM 对象类别、用户信息息、日志、帐帐单信息、价价格表库存目录/库存存、标语广告告、帐目信息息使后端系统扩展展和具有高度度可用性更具具挑战性，主主要因为它们们必须维护数数据和状态。一一旦单一系统统的可

24、伸缩性性已经达到，就就必须分区数数据并使用多多台服务器。因因此，持续的的可伸缩性是是通过数据分分区和将逻辑辑数据映射到到正确的物理理分区的数据据相关路由层层或带状态负负荷平衡系统统来实现的。对于提高的可用用性，群集 通常由由两个访问公公共的、复制制的或 RAAID （独独立盘的冗余余数组）保护护的存储器的的节点组成 将支持持每个分区。当当一个节点上上的服务失败败时，另一个个节点将接管管分区并提供供服务。分区（带状态的的后端系统）通过复制硬件和和软件及在各各节点之间划划分数据，分分区增强了服服务能力。通通常，数据是是按对象分区区的，如邮箱箱、用户帐户户或生产线等等。在某些应应用程序中分分区是按时

25、间间进行的，例例如按天或按按季度。也可可能用随机分分区的方法分分布对象。拆拆分和合并分分区需要工具具，最好是联联机的（不用用中断服务），符符合系统变化化的需要。增增加宿主分区区的服务器数数量，提高了了服务的可伸伸缩性。不过过，分区的选选择将决定访访问模式及其其产生的负荷荷。甚至在分分布请求时也也要避免出现现热点（一个个分区接收的的请求数量不不成比例），这这对设计数据据分区也很重重要。有时这这很难避免，而而且必须有大大型多处理器器系统宿主分分区。分区故故障转移，即即服务自动切切换到二级节节点（退回未未完成的事务务），可提供供持续的分区区可用性。带状态负荷平衡衡如果数据按多个个数据服务器器分区，或

26、开开发提供专用用功能的服务务器来处理特特定类型的 Web 请请求，必须编编写相应的软软件将请求路路由到相应的的数据分区或或专用服务器器。通常，该该应用程序逻逻辑是由 WWeb 服务务器运行的。其其编制目的是是确定相关数数据的位置，并并且根据客户户机请求的内内容、客户机机 ID 或客客户机提供的的 cookkie 将请请求路由到数数据分区所在在的相应服务务器。它还知知道提供专用用功能的服务务器位置并将将请求发送到到那里进行处处理。该应用用程序软件完完成带状态负负荷平衡。称称其为带状态态的原因是，根根据客户机状状态或请求中中的状态才能能决定将请求求路由至何方方。后端服务的可用用性除了使用故障转转移

27、和群集提提高可用性外外，整个系统统体系结构的的一个重要因因素，就是站站点提供某些些有限程度服服务的能力，甚甚至在多种服服务失效的情情况下。例如如，用户应该该总能通过用用户凭据的复复制登录至联联机邮件服务务，然后使用用克隆的“简单邮件传传输协议 (SMTP)”路由器发发送邮件，即即使用户的邮邮件文件是无无效的。相类类似，在商务务站点中用户户应该可以浏浏览目录，即即使暂时不能能处理事务。这这要求系统体体系结构设计计者要设计出出“当个别部件件发生故障时时工作可靠但但性能下降”的服务，以以避免由于局局部故障而使使终端用户感感觉为整个站站点故障。灾难承受能力某些商务 Weeb 站点需需要持续的服服务可用

28、性，即即使在灾难发发生时：他们们的全球商务务活动依赖于于可用的服务务。灾难可能能是自然灾害害（地震、火火灾或洪水），也也可能是恶意意操作（如恐恐怖活动或心心怀不满的员员工）的结果果。灾难承受受系统要求将将站点的副本本或部分副本本放在离主站站点足够远的的地方，这样样，在整个灾灾难中失去多多个站点的概概率会小到可可承受的程度度。在最高级级别有两种复复制的站点类类型。主动站站点分担部分分负荷。被动动站点在发生生灾难后才提提供服务。在在需要快速故故障转移的场场合通常使用用主动站点。被被动站点可能能只是由租用用服务器和远远程的、位于于备份磁带所所在地的连接接组成，这些些连接可在需需要时应用于于上述服务器

29、器。像这种最最小限度的规规划应该为任任何商务考虑虑之列。更新复制的站点点，使它们的的内容保持一一致是很具挑挑战性的。此此处的基本方方法是：将内内容从中央升升级服务器复复制到远程站站点的升级服服务器，更新新每个站点的的内容。对于于只读内容该该方法已足够够。但是，对对于更多的执执行事务的高高级站点，还还需要保持数数据库为最新新。数据库复复制和日志转转移通常用于于将对数据库库的事务性更更新转移到远远程站点的地地方。典型情情况下，数据据库将出现几几分钟不同步步。但是，这这比站点完全全失效要好。安全域安全性机制用于于保护敏感信信息的保密性性和机密性，使使其免受未经经许可的访问问；通过防止止未经许可的的修

30、改或破坏坏，保护系统统和数据的完完整性；并通通过防止拒绝绝服务攻击和和提供意外或或灾难计划，来来帮助确保可可用性。安全域是一致的的安全性区域域，区域之间间有定义明确确的保护接口口。这一概念念的应用程序序有助于确保保在正确的场场合应用正确确的保护级别别。复杂系统统（如大型商商务站点及其其环境）可划划分为多个安安全域。区域域表示任何所所希望的划分分 例如，按按地域、按组组织、按物理理网络或者服服务器或按数数据类型。对对于商务站点点，主要的划划分方式可适适当按照 IInternnet、站点点的 DMZZ、安全性、企企业和管理网网络。域还可可能相互交叉叉或重叠。例例如数据库中中的信用卡号号码可能需要要

31、附加保护。附附加的安全性性控制，如卡卡号的加密，可可提供这种保保护。下面的比喻有助助于形象说明明安全域。IInternnet 好象象中世纪的城城堡及其周边边环境：在其其城墙之外，很很少有法律约约束并有各种种不拘一格的的个性。根据据这个城堡模模型，用于保保护 Webb 站点的关关键结构元素素是在其周围围构筑城墙，有有重兵把守的的主城门禁止止闲杂的人进进入。需要构构建的城墙及及城门等效于于维护给定安安全级的标准准。当然，不不会有没有保保护的后门！对于大型商商务站点，城城墙称为站点点的边界。在在网络术语中中，表示站点点的内部通信信设备是专用用的并与 IInternnet 隔离离，指定的入入口除外。站

32、站点的主城门门称作防火墙墙。防火墙将将检测每一通通信包，确保保只允许希望望的信息进入入。继续这个个比喻，城堡堡中的要塞保保护着皇冠宝宝石。附加的的围墙和加锁锁的门或墙中中墙，提供了了附加保护。与与此类似，商商务站点通过过提供附加的的防火墙和内内部网络，保保护着非常敏敏感的数据。图 2. 防火火墙/DMZZ防火墙是一种控控制网络中处处于不同可信信级别的两部部分之间的数数据流的机制制。防火墙的的范围可以从从数据包过滤滤器（只允许许指定 IPP 端口和/或一系列 IIP 地址之之间的数据通通信）到应用用程序级防火火墙（实际检检查数据的内内容并决定是是否让其通过过）。站点通通常将过滤数数据包的外向向防

33、火墙和过过滤协议和端端口层数据的的内向防火墙墙结合使用。 保护站点的安全全性很复杂，但但防火墙/DDMZ 是关关键结构组件件（实际上是是网段中的子子网）。对于于保证期望的的站点保护级级别，它是必必要但绝不充充分的安全性性机制。本文文档的“安全性”章节专门叙叙述如何保护护站点的安全全。管理基础结构站点管理系统通通常构建在单单独的网络上上，以确保高高度可用。管管理系统使用用单独网络，还还可以减轻管管理通信量的的后端网络的的负荷，从而而提高整体性性能和响应时时间。管理和和运作有时也也使用后端网网络，但对于于大型的、高高可用度的站站点，不建议议这样做。 管理系统的核心心结构组件为为管理控制台台、管理服

34、务务器和管理代代理。所有核核心组件均可可独立扩展。管管理控制台是是管理员访问问和操纵被管管理系统的入入口。管理服服务器时刻监监控着所管理理的系统、接接收报警和通通知、记录事事件和性能数数据，并作为为响应预定事事件的第一防防线。管理代代理为在其驻驻留的设备内内部执行主要要管理功能的的程序。管理理代理与管理理服务器使用用标准的或专专用的协议相相互通信。当系统达到一定定的规模和变变化率时，WWeb 站点点的管理和运运作成为关键键因素。管理理的简便性、易易于配置、持持续的健康监监控和故障检检测可能比添添加应用程序序功能或新服服务更为重要要。因此，应应用程序工程程师必须十分分熟悉部署和和运行应用程程序的

35、操作环环境。另外，操操作人员还必必须十分熟悉悉克隆和分区区方案、管理理工具和安全全机制，以维维持持续可用用的、基于 Interrnet 的的服务。示例站点简介本示例站点力求求通用，以说说明核心结构构组件和基础础结构。但是是，它是我们们曾讨论过的的许多运行站站点的关键结结构特性的代代表。出于竞竞争和安全原原因，站点所所有者通常不不愿展示其站站点的实际详详细内幕。我们的示例以一一个大型站点点为例，并展展示了拓扑结结构和组件冗冗余。它是一一个高度可用用系统：紧急急服务可拯救救大部分故障障模式，减轻轻重大灾难。从从 ISP 1 到 ISP N 的每个个分组中的服服务器均支持持所有站点紧紧急处理功能能，

36、因此，即即使失去一个个 ISP 也不会使站站点瘫痪。在在大部分灾难难情况下，提提供不间断的的服务需要在在多个地理位位置 (geeoplexx) 上复制制整个站点。Cisco 的“分布式控制器”通常用于支持 geoplex。遗憾的是，站点复制的成本将超出构建站点的两倍，并且可能导致 Web 应用程序的数据一致性问题。从该示例可派生生出较小的和和大得多的站站点。较小站站点可能不需需要在每个群群集中有如此此多的服务器器。不需要很很高可用性的的站点只要删删除冗余的元元素，特别是是图中从 IInternnet ISSP 1 开开始的整个上上半部分。没没有很高数据据库安全性的的站点可以在在安全网络中中删除

37、安全 SQL 群群集。另一方方面，非常大大的站点可以以添加下列内内容充分地扩扩展： 每个 IIS Web 群群集的克隆体体。Web 群集数数量。Interneet 连接访访问点。前端组件，如防防火墙。更进一步，随着着网络通信量量和要管理的的设备数量的的增加，管理理网络也必须须增加规模和和复杂性。图 3 展示了了示例站点的的体系结构。图 3. 大型型 Web 站点网络络拓扑结构示示例在图 3 中，不不同的线形、粗粗细和注释显显示了网络不不同部分的 IP 地址址和连接。特特别是：外部（面向 IInternnet）网络络（细）。DMZ 网络（中中）。安全（内部）网网络（粗）。管理网络（细虚虚线）。群

38、集核心专用网网络（细 每个群集集本地专用）。与企业网的连接接（闪电状）。本节的其他内容容将提供示例例站点的教程程，从 Innterneet 开始经经 DMZ 直到安全网网络，包括企企业网和管理理网络。Interneet教程从连接一个个或多个“Interrnet 服服务提供商 (ISP)”开始。我我们的示例列列举了多个标标记为 ISSP 1 - ISP N 的冗余余连接。这些些连接应该来来自不同（物物理上独立）的的网络。域名名服务器（DDNS，图 3 中没有有展示）提供供了域名与一一个或多个 TCP/IIP 地址之之间的正向和和反向映射。例例如，htttp:/wwww.miicrosooft.c

39、oom/ 当前前映射下列地地址，每组地地址均为一个个群集。14 2077.46.1131.288149 207.46.1331.30150 207.46.1331.1377如果有多个 IIP 地址，DNSS 将浏览地地址列表来处处理对 m IP 地地址的不断查查询 因此，得得名为“Roundd Robiin DNSS (RRDDNS)”。RRDNSS 的缺点是是不能检测出出 ISP 连接的消失失而继续为不不再工作的 IP 地址址提供服务。但但是这并不非非常严重，因因为用户只需需请求重载 Web 页页。第三方解解决方案，如如

40、 Ciscco 的 Locall Direector或或 F5 NNetworrks 的 BigIPP 提供了动动态路由连接接的更好解决决方案。DMZ前端网络上的服服务器是面向向 Inteernet 的。防火墙墙是基本的安安全性组件，通通过按数据包包类型、源和和目的地址过过滤数据通信信量，来提供供网络隔离。它它们形成了由由双向箭头描描述的 DMMZ（非军事事区）边界。防火墙路径中的第一个个组件就是路路由器/防火墙，它它们的功能是是截然不同的的或组合在一一个设备中。面向 Internet 的路由器支持“边界网关协议”(/rfc/rfc1654.txt)。高速前端交换机支持到前端 Web 群集中的

41、每台服务器的连接。与路由器/防火墙的交叉连接为在 ISP 连接失效时，或路径上任何组件失效时，提供了另一条路径。前端网络前端提供核心 Web 服服务，如 HHTTP/HHTTPS，使使用 Miccrosofft Intternett Infoormatiion Seerver (IIS) 提供 HTMML 和 ASP 页面服务，使使用 LDAAP（Lighttweighht Dirrectorry Acccess PProtoccol）进行行用户身份验验证。还可以以将“站点服务器器商业版”装载到前端端服务器上，以以提供附加的的数据库驱动动的服务。前端服务器按服服务和功能分分组 例如 htttp

42、:/wwww.miicrosooft.coom/、http:/seaarch.mmicrossoft.ccom/、SMTP（电电子邮件）或或 FTP（下下载）。SSSL 服务 (HTTTPS) 同样是从普普通 HTTTP 通信中中隔离出来的的。这使得经经过特殊配置置的、带有高高成本的硬件件安全加速器器模块的服务务器，可支持持高速加密功功能。更进一一步，SSLL 会话继承承了带状态性性，并可能需需要特殊的故故障转移处理理。在示例站点中运运行 Winndows 2000 的每个 Weeb 群集均均使用 NLLBS（网络络负荷平衡服服务 在 Winddows NNT 中也称称为 Winndows 负

43、荷平衡服服务）。每个个克隆体在每每个发布相同同内容的 NNLBS WWeb 群集集中有相同的的配置。这将将为无状态 Web 应应用程序提供供透明的故障障转移，与单单个服务器相相比从根本上上提高了服务务能力。Weeb 群集通通过添加克隆隆体分担群集集的负荷来支支持广阔的可可伸缩性。客户机向使用虚虚拟 IP 地址的每个个 Web 群集提出请请求，该虚拟拟 IP 地址址是 NLBBS 群集中中的所有前端端服务器均可可以响应的。前前端服务器则则访问位于后后端群集文件件共享服务器器和后端群集集 SQL 服务器上的的站点内容。提供 Web 服务所需的的所有 COOM 对象，包包括从 ASSP 页调用用的对

44、象，均均安装并注册册在每个前端端服务器上。该该站点的 AASP 页可以装装载在前端服服务器的本地地磁盘上，也也可以保持在在后端群集文文件共享服务务器上。每个前端服务器器均特殊加强强了安全性并并连接到三个个网络：前端网络 Interrnet 访访问。后端网络 访问 DMZZ 服务器，并并通过内部防防火墙访问安安全网络。管理网络 支持管理和和运作功能。这种网络隔离，在在提高总体可可用带宽和冗冗余的同时提提高了安全性性。注意该站点中任任何服务器上上唯一可公共共访问的 IIP 地址为为 NLBSS 虚拟 IP 地址，只有有前端服务器器才可以响应应的这个地址址。用于面向向 Inteernet 的 NIC

45、（网网络接口卡）的的 IP 过滤，可可确保只有被被支持的功能能的正确通信信类型和源，才才能进入前端端服务器。这这些网络之间间的 IP 转发也已禁禁用。 后端网络后端网络通过使使用高速、私私用的 100.10.11.x LAAN 支持所所有 DMZZ 服务器。这这种体系结构构可防止从 Interrnet 直直接访问 DDMZ 服务务器，即使防防火墙被突破破，因为不允允许 Intternett 路由器转转发指定的 IP 地址址范围（请参参阅 htttp:/wwww.ieetf.orrg/rfcc/rfc11918.ttxt 上的的 Addrress AAllocaation for PPrivat

46、te Intternetts（专用 Innterneet 的地址址分配），包包括范围 110.x.xx.x。当使使用前端网络络时，冗余交交换机可提供供对所有前端端和后端服务务器的访问。所所有后端交换换机共享公共共网络，因此此后端通信量量负荷将成为为主动站点的的问题，特别别是单独的管管理网络不能能进行记录并并且其他前端端管理网络还还在通信。后端网络的主要要组件为加强强了安全性的的服务器群集集，它们提供供对 Webb 内容和临临时永久状态态，如会话内内事务性数据据（例如购物物推车内容），的的存储服务。由由于所有永久久数据随处可可得，因此没没有必要提供供备份工具。通通过添加群集集和分区数据据库可实现

47、可可伸缩性。这些服务器使用用了 Winndows 2000 上的“Microosoft 群集服务”，实现了带带故障转移能能力的高度可可用性。一个个服务器失效效不会导致数数据服务的失失效甚至服务务的中断。当当失效的服务务器恢复联机机时，可以继继续数据服务务。由于硬盘盘的确会失效效，因此使用用 RAIDD 驱动器阵阵列可提供必必要的数据冗冗余保护。群集内的文件共共享支持文件件存储服务。群群集上运行的的 Micrrosoftt SQL Serveer 提供数数据库服务。每每个群集服务务器至少使用用了四个 NNIC：一个个用于每个交交换机、一个个用于专用核核心 LANN（应该使用用其他专用网网络地址，

48、如如 192.1168.100.x）、一一个用于管理理 LAN。除除服务器物理理地址外，群群集还具有多多个虚拟 IIP 地址，以以支持群集本本身和每个群群集服务地址址对（用于冗冗余）。加强 DMZ 实用程序 DDC 的服务务器支持所有有 DMZ 服务器的本本地域帐户、本本地 DHCCP 和名称称服务（WIINS，或最最好为 DNNS）以及本本地实用程序序文件服务。对对内部企业域域的单向信任任关系，提供供了对安全的的内部系统的的身份验证式式访问。安全网络另一道防火墙形形成了 DMMZ 的内部部边界，并将将所谓的安全全网络与后端端网络隔离开开。防火墙配配置成只允许许端口与源/目的对之间间所要求的通

49、通信。安全网网络又由一个个专用网络（本本例中为 ）、一一对耦合的交交换机、各种种服务器和标标记为 VPPN/路由器器的设备组成成，这个标记记为 VPNN/路由器的的设备提供了了与内部企业业网的连接。安安全网络在逻逻辑上为企业业网的一部分分。安全网络络上的服务器器通常也是内内部企业域的的成员，因此此域控制器和和地址及名称称服务器也假假定是内部的的。为了支持其他功功能，在本节节中可能还需需要其他服务务器。有多种种可能的处理理方法，然后后在安全性数数据存储与内内部系统之间间传输事务性性数据。事务务的范围是从从传统的同步步 (MTSS Miicrosooft Trransaccti

50、on Serviice) 到到异步 (MMSMQ - Micrrosoftt Messsage QQueue) 乃至基于于批处理或基基于电子邮件件的存储和转转寄。这些内内容已超出本本文档的范围围。但请注意，对于于许多组织来来说，Intternett 是许多通通道中唯一提提供用户服务务的传送通道道，这很重要要。以书店或或银行为例。大大部分业务逻逻辑和处理发发生在内部的的现有系统内内。Inteernet 解决方案必必须与这些现现有系统协作作并为其提供供服务。安全数据存储安全 SQL 群集是可选选的，并只为为更复杂的事事务性站点中中所需。它们们提供了高度度可用性、身身份验证数据据库的永久存存储、长期

51、事事务存储，并并保证客户信信息和帐户数数据的机密性性。与 DMMZ 中的服服务器群集不不同，这些服服务器必须备备份，既可以以使用直接连连接的可移动动存储设备，也也可以通过企企业网进行备备份。其他功功能与 DMMZ 群集类类似。为了冗冗余，每个服服务器将重复复连接到安全全网络的两个个交换机上。同同样又是通过过分区数据库库和添加群集集，来实现可可伸缩性。升级服务器升级服务器出现现在安全网络络部分，尽管管它们可能位位于企业网或或甚至位于 DMZ 中中。它们接受受和升级来自自企业网或外外部内容提供供商的内容，然然后将内容部部署到 Weeb 服务器器，以使站点点保持一致状状态。通常有有很多机制可可用，包

52、括 Microosoft Conteent Reeplicaation（Microosoft 内容复制系系统）和诸如如 RobooCopy 等工具。企业网连通性示为 VPN/路由器的、将将站点与企业业网相连的设设备实际上是是个路由器，如如果需要，它它可以和 VVPN 安全全性功能结合合，来签署和和加密通信。另另外，使用 Windoows 20000 内置置 IPSeec 特性也也可添加 VVPN 功能能。这将在根根据需求的基基础上支持端端对端的安全全性，这样可可以节约 VVPN 硬件件支持的成本本。 就企业数据中心心中宿主的站站点而言，连连接企业网易易如反掌。在在这种情况下下，VPN/路由器直

53、直接与企业网网相连。大型商务站点经经常由远程的的企业数据中中心宿主。专专用热线经常常用来连接站站点与企业网网，特别是在在需要高性能能、低响应时时间的情况。另另外，Intternett 本身也可可能用于传输输，这种情况况下使用 VVPN 技术术确保所有通通信的安全非非常重要。管理网络连通性性我们以管理网络络的讨论来结结束我们的教教程，管理网网络提供了监监控和管理站站点的基本功功能。为简单单起见，我们们只演示用 LAN 连连接单独管理理网络的计算算机。这些是是用单独的 NIC 实实现的。某些些站点没有使使用单独的管管理网络。相相反，它们瓦瓦解后端网络络上的管理通通信。为安全全性、网络负负荷和管理起

54、起见，我们不不建议这样做做。与路由器、交换换机和防火墙墙的管理连接接没有显示。用用于紧急带外外 (OOBB) 访问的的串口拨号连连接也没有显显示。这并不不表示不需要要它们。当管管理网络（或或用于管理的的后端网络）不不可用时，仍仍然可以通过过这种设置访访问每个主机机。摘要下面章节使用前前例的模型，详详细讨论本文文档所描述的的体系结构如如何满足这四四个目标：线性可伸缩性 可持续续增长以满足足用户需求和和业务复杂性性。持续服务可用性性 使用冗冗余和功能专专业化来提高高容错能力。数据和基础结构构的安全性 保护数数据和基础结结构免受恶意意攻击或盗用用。管理的简便性和和完整性 确保运作作能够满足增增长的需

55、求。可伸缩性简介图 4 例举了了站点可伸缩缩性的两个不不同维度。第第一个维度，即即水平轴，表表示在有代表表性的一天，访访问站点的独独特客户机的的数量。随着着独特客户数数量的增加，配配置用于支持持增加的客户户库的系统数数量也将增加加。典型情况况下，支持客客户库所需的的站点上的内内容也必须增增加。第二个维度，即即垂直轴，表表示站点的业业务复杂性程程度。我们已已经标识了三三个主要类别别。当然，在在它们之间还还有许多变种种。类别之间间通常通过包包含下级分类类的功能而互互为基础。最最底层分类，和和在业务逻辑辑复杂方面最最简单的，是是内容提供商商类。上一层层的分类，除除来内容外还还有事务处理理，但许多业业

56、务处理是脱脱机完成的。而而最上层的分分类既有内容容还有事务，而而且许多业务务处理逻辑完完全集成在联联机处理中。随着站点在图中中从左到右、从从下向上移动动，站点的运运行和应用程程序部署的难难度明显增加加。图 4. 扩展展维度在本节的其余部部分，我们考考虑图 4 环境中的可可伸缩性。首首先，我们关关注扩展独特特客户和内容容，然后再看看业务复杂性性的增加。扩展客户和内容容接下来的图 55 和图 6 两个图图例，说明了了前端系统的的数量如何变变化，以满足足客户不断增增长的需求，以以及如何增加加分区的数据据存储的数量量来扩展联机机内容。图 5. 小型型站点上图表示了具有有一个 IIIS Webb 服务器

57、，一一个文件或 SQL SServerr 和一个在在 DMZ 内的实用程程序服务器的的基本站点，它它连接安全 SQL SServerr 或文件服服务器和安全全升级服务器器。下图表示示，如图 55 所示的小小型站点，应应如何扩大才才能支持更多多客户和更多多内容。图 6. 扩大大的站点在前端，IISS Web 服务器的数数量和这些服服务器的 WWeb 群集集的数量有所所增加，并使使用 NLBBS 在它们们之间平衡了了负荷。在后后端，文件服服务器和 SSQL Seerver 群集的数量量有所增加，因因此，逻辑需需要包括在前前端 Webb 服务器中中，才能将数数据请求路由由到正确的后后端数据分区区。我

58、们下一一步再说明这这两种技术。. 扩展前端系统增加克隆的 IIIS Weeb 服务器器的数量、将将其分组为 Web 群群集和使用负负荷平衡系统统，是增加支支持的独特客客户数量的主主要技术。但但请注意，这这涉及重要的的应用程序状状态考虑，我我们将在后面面讨论。除增加 IISS Web 服务器的数数量外，优化化 Web 服务器执行行的 Webb 应用程序序代码也很重重要（这超出出了本文档的的范围）。针对可伸缩性的的 Web 前端负荷平平衡负荷平衡以虚拟拟 IP 地址址的形式，向向客户机提供供了单一的服服务名称，然然后将客户机机分布于提供供该服务的服服务器集上。进行负荷平衡有有三种主要技技术：Rou

59、nd RRobin DNS (RRDNSS)。带有专用的第三三方外挂盒的的智能 IPP 负荷平衡衡。服务器内部使用用 Winddows 22000 的的 NLBSS 的智能 IPP 负荷平衡衡。RRDNS 是是配置“域名服务器器 (DNSS)”的一种种方法，以使使 DNS 对主机名的的查询在一系系列提供相同同服务的 IIP 地址中中顺序分布。这是负荷平衡的基本形式。该方法的优点是：无成本、易于实现，并且不需要变动服务器。缺点是：没有关于单个服务器负荷或可用性的反馈机制，并且由于 DNS 更改的传播延迟导致将请求继续发往故障的服务器，从而没有办法从可用的服务器集中快速删除故障的服务器。基于服务器

60、的负负荷平衡将一一组服务器组组成 NLBBS 群集，然然后令群集中中的每个服务务器根据源的的 IP 地址址决定是否处处理该请求，来来完成负荷平平衡。如果群群集中的一个个服务器故障障，则群集中中的其他成员员重新分组并并调整源 IIP 地址范范围的分区。NLBS 的优点是低成本（NLBS 是 Windows 2000 操作系统的一部分），不需要特殊硬件或更改网络基础结构，而且没有单个故障点。目前的限制是服务器不能动态调整负荷，重组是根据服务器故障进行的而不是根据应用程序失效进行的（尽管第三方工具，如 NetIQ 和 Microsoft 的 HTTPMon，可用于削弱这些限制）。将 RRDNSS 与