公司数据中心建设应用服务控制与负载均衡设计方案

公司数据中心建设应用服务控制与负载均衡设计方案1.1功能介绍基本功能本项目我们在数据中心的分布汇聚层的智能服务机箱内配置了Cisco应用控制模块(ApplicationControlEngine,ACE)，作为数据中心的重要网络智能服务， 该模块可为后台应用服务器提供高性能表现和最高级别的体系控制和安全保护。ACE主要针对大型企业和电信用户的服务器集群环境，可以有效地对重要应用数据的传送进行优化和简化，同时具备良好的性价比。ACE提供了如下的性能和功能：ACE提供四到七层数据包的内容交换和负载均衡功能，为服务器机群提供虚拟地址和端口。 ACE在插入Catalyst6500后，交换机上的所有端口即可成为四层交换端口。ACE与Catalyst6509数据总线和交换矩阵都有连接，最高带宽为 16Gbps,每秒连接数为345000个。ACE不仅为服务器提供负载均衡，还可为外部的防火墙、VPN集中器……等等网络服务设施提供负载均衡。ACE具备资源分配和隔离功能，是服务器虚拟化的重要手段之一。在一个物理模块中，ACE可以划分为多个独立的分区，每一个分区都可以分配给一个应用或者一个用户使用。另外，每一个分区都支持层次化的管理模式，提供了资源管理的灵活性和安全性。 ACE支持基于角色的访问控制(role-basedaccesscontrol),所有的用户都被分配了相应的角色 (role),每个角色在分区内被允许执行相关的命令集。例如系统管理员角色(systemadminrole)可以执行ACE所有的命令而应用程序管理员角色(applicationadminrole)只能执行和后台应用及内容交换的命令等。ACE具有强大的安全功能，可以有效地保护后台的应用程序免受恶意攻击。主要的技术包括： HTTP深层包检测、双向动态、静态和基于策略的地址转换(NAT/PAT)，访问控制列表、TCP包头验证、TCP连接状态监控等。ACE支持多层次的冗余性，对关键业务提供最高等级的可用性保护。ACE是目前业界唯一可以实现以下三种高可用性保护的四层交换机机箱间冗余---两台机箱间的ACE板卡可互为冗余保护板卡间冗余---同一机箱内的多个ACE板卡可互为冗余保护虚拟分区前冗余-同一ACE板卡内的不同虚拟分区之前可互为保护ACE的冗余保护对动态的连接进行保护， 保证当主业务板卡故障时业务连接仍然得以保持。硬件加速方式的协议控制，对常见协议提供有效的检查、过滤和绑定。 这些协议包括HTTP,RTSP,DNS,FTP,ICMP等。硬件方式实现ACL和NAT功能，最多支持一百万个NAT转换表项。应用特点虚拟化分区虚拟分区实现了资源分段和隔离，使思科 ACE可作为一个物理模块中的多个独立虚拟模块运行。凭借这个解决方案，企业能够利用一个思科ACE模块，为多达250个不同的企业机构、应用、或客户和合作伙伴提供事先定义的服务水平。虚拟分区使应用基础设施能更好地用于业务运营，同时减少设备并实现出色的控制。另外，每个虚拟分区还包括分级管理域，既能确保应用的性能水平，又可使ACE模块中的可用资源得到最大限度的利用。思科ACE为分散的管理提供集中的控制，从而为每个虚拟分区提供了基于模板的或可自定义的用户访问权限。基于角色的访问控制(RoleBasedAccessControl,RBAC)特性允许企业对管理角色进行定义，限定管理员对模块或虚拟分区内特定功能的使用权。由于一个机构中可能有多位管理员需要以不同级别（例如，应用管理、服务器管理、网络管理、安全管理等）与思科ACE模块互动，因此，对这些管理角色进行准确定义，使每个管理员群组都能够在不影响其他群组的情况下顺利地执行任务，无疑是一项重要工作。通过与CiscoCatalyst6500的虚拟路由转发（VRF）、防火墙模块的虚拟化相集成，可支持从路由功能、防火墙到应用控制负载均衡的端到端的智能服务虚拟化 （如下图所示）。8022的端口Catalyst8022的端口Catalyst6500虚拟為CEVRFi虚拟防火墙iI性能和扩展性思科ACE提供了业界最高水平的应用供应能力。每个思科ACE模块的吞吐率可高达16Gbps，每秒支持345,000个持续连接，可以轻松地处理大量数据文件、多媒体应用和庞大的用户群体。ACE系列模块配备了“随增长而投资” 的付费许可证，提供了最高16Gbps的可扩展吞吐率，客户无需为扩充容量而全面升级系统。 在设计上，ACE也为未来的增值服务和扩展功能预留了空间。 实际上，通过在单一CiscoCatalyst6500机箱中安装四个ACE模块，它提供了业界最高水平的可扩展性。思科ACE还提供了多层冗余性、可用性和可扩展性，为您的关键业务提供最大限度的保护。它还是业内唯一提供三种高可用性模式的产品：机箱间高可用性：一台CiscoCatalyst6500中的ACE由对等CiscoCatalyst6500中的ACE保护。机箱内高可用性：CiscoCatalyst6500中的一个ACE由同一CiscoCatalyst6500中的另一个ACE保护(CiscoCatalyst6500内置了强大的冗余性)。分区之间高可用性：思科ACE支持在两个模块上配置的虚拟分区之间的高可用性，使特定分区能够在不影响模块中其他分区和应用的基础上执行故障切换。所有这些可用性模式均通过复制连接状态和连接表，提供了快速的状态化应用冗余性。安全功能思科自防御网络提供了多个级别的防御功能，使客户可以高枕无忧。思科ACE可通过以下特性，保护数据中心和关键应用免受恶意流量的影响：HTTP深度包检测一一HTTP报头、URL和净负荷双向网络地址转换(NAT)和端口地址转换(PAT)支持静态、动态和基于策略的 NAT/PAT访问控制列表（ACL）可选择地允许端口间的哪些流量通过TCP连接状态跟踪用于UDP的虚拟连接状态序列号随机生成TCP报头验证TCP窗口尺寸检查在建立会话时检查单播反向路径转发 （URPF）集成硬件加速协议控制功能在应用供应领域尚属首次面世，为许多常用数据中心协议，女口HTTP、实时流协议（RTSP）、域名系统（DNS）、FTP和互联网控制消息协议（ICMP），提供了有效的检测、过滤和修复功能。拥有多达256,000个条目的大型可扩展ACL能够同时支持应用希望获得的前端可扩展性（用户 /客户端应用数量）和后端可扩展性（服务器/服务器群数量）。此外，多达1,000,000个条目的高性能、可扩展NAT事件处理功能也支持许多大型数据中心的整合和应用更快速的面世。虚拟分区则可以使所有重叠的IP子网保持独立，无需为保护数据中心而进行费用高昂的网络重新设计、重新配置，或添加额外的设备。思科ACE也支持对于协议符合性的检查，且可为安全分析提供事件记录和报告。基础设施简化第二至七层网络集成一一作为 CiscoCatalyst6500机箱的一个模块，思科ACE可以轻松地插入任何新型或现有的网络，提供了一个第二至七层全面而丰富的解决方案。该解决方案支持Catalyst6500所支持的所有端口类型和数量，支持高达720Gbps的机箱吞吐率，可以轻松扩展，来满足最大型网络的要求，此外，该集成解决方案也节省了所占空间。利用路由状态注入 （RHI）和自动状态集成，可支持应用和数据中心高可用性，而ACE虚拟分区通过开启或关闭网络中的物理接口可强制进行故障切换。功能整合通过在一台设备上整合内容交换、 SSL加速、数据中心安全等功能，思科ACE获得了从bps到pps的性能显著提升，缩短了应用延迟。利用功能整合， TCP信息流只需终结一次，而无需在网络上的四个或四个以上的位置进行终结，既节省了时间，又减少了处理工作和内存占用。 加密和解密、负载均衡决策、安全性检查和业务策略分配及验证均在网络中的单一地点完成，以较少的设备、简化的网络设计和更方便的管理，实现了更理想的应用性能。1.127.管理功能思科ANM可对多个ACE模块上的虚拟分区和层次化管理域进行管理。这个基于服务器的管理套件能对多个 ACE模块上的大量虚拟分区进行发现、配置、监控和报告，使部署完全透明化。基于模板的配置和审计与服务激活/中止功能相配合，可快速实施应用。通过匹配服务API，可配置任务的RBAC组，允许多位管理员群组在多个ACE模块和虚拟分区上同时进行操作。.SSL力口速思科ACE解决方案集成了SSL加速技术，可卸载外部设备（服务器、设备等）的SSL流量加密和解密工作，允许思科ACE对加密数据进行更深入的检查，并应用安全和内容交换策略。这一设置不仅使思科 ACE可以作出更明智的策略决策，还可确保您的应用供应平台遵守内部和外部法规。利用重加密功能，思科ACE解决方案在确保敏感数据端到端加密的同时，还可执行智能策略。1.129.事务处理可视性凭借每秒处理350,000个系统日志的业界领先速度， 思科ACE解决方案可记录大量连接设置和断接，它提供了事务处理级可视性，且不会影响数据传输性能。0.开放的硬