AppDirector产品解决方案

AppDirector解决方案PageAppDirector解决方案PAGE16-PAGE16NorthAmericaNorthAmericaRadwareInc.575CorporateDr.Suite205MahwahTel8882345763InternationalRadwareLtd.22RaoulWallenbergSt.TelAvivTel97237668666RadwareAppDirector应用前端解决方案目录TOC\o"1-5"\h\z1 简介 32 关键业务应用架构面临的挑战 43 RadwareAppDirector应用交付解决方案 53.1 高可用性 53.2 快速响应和性能加速 63.2.1 高性能硬件平台 63.2.2 负载均衡和对话保持 73.2.3 交易加速 83.3 便捷高性价比的按需拓展能力 103.3.1 吞吐能力按需拓展 103.3.2 交易加速能力按需拓展 113.3.3 GSLB按需拓展 113.3.4 高级ADC功能按需拓展——带宽管理和IPS 113.3.5 高级ADC功能按需拓展——DDOS攻击防范 123.4 灵活的部署方式 134 总结 145 AppDirector型号与技术规格简介 155.1 OnDemandSwitchVL

（XL） 155.2 OnDemandSwitch3

（XL） 155.3 OnDemandSwitch1

（XL） 165.4 OnDemandSwitch2（XL） 16

简介随着各类用户持续追求面向业务的IT战略，IT部门的主要目标已从维护IT基础设施正常运行转变为推动并帮助业务发展，这就迫使IT机构必须要能以更低成本达成以下目标：服务等级协议(SLA)要求；遵从法规要求；实现新服务的快速开发和部署以获得业务敏捷性，从而最终提高投资回报率(ROI)。越来越多的用户的关键业务应用逐渐网络化和Web化，这类应用包括：ERP、CRM、企业门户以及各类专业应用系统。而部署此类系统时，所有用户都会面临以下全部或部分挑战：应用架构必须能够帮助关键业务应用实现最高的可用性和稳定性；可按照应用需求实现平台和性能的灵活拓展；必须避免性能瓶颈；为所有用户（包括远程用户和使用移动终端的用户）提供快速响应，保证SLA；能够有效识别和防范恶意攻击，并保证遭受攻击时正常应用的响应能力。本文将进一步讨论各类关键业务应用面临的挑战，并介绍Radware的应用交付产品及相关解决方案。通过本文，读者可以了解到Radware的AppDirector产品是如何应对各类挑战，并最终为用户带来业务利益和成本节约。

关键业务应用架构面临的挑战高可用性挑战所有关键业务应用系统的正常运行，例如金融行业的网上银行、企业的ERP、CRM、电子商务的网上交易平台、医疗系统的HIS系统、高校的学籍管理系统、公安部门的警务系统等，都和各类用户的经济利益和信誉密切相关。有调查表明，中小企业的关键业务系统宕机所导致损失约为年利润的1%，而大型企业的类似损失可能高达3.6%，而信誉方面的潜在影响则是无法估量的。因此，IT架构必须为关键业务应用系统提供最高等级的可用性和可靠性保证。响应速度和性能挑战关键业务应用的性能和响应速度是影响用户体验和企业生产力的重要因素。在业务加密、用户终端类型不断丰富以及网络覆盖地域越来越广泛的今天，如何在任意时间、为处于任意位置的任意类型用户提供快速响应和高品质的服务，是每个应用架构面临的重要挑战之一。按需动态扩展挑战通常，各类关键业务应用系统会随着业务规模的拓展和用户数量的变化处于动态变化的状态。用户数量的增长会要求应用系统提供更高的承载能力；而在业务所固有的季节性高峰时期，对关键业务应用的承载能力也会有更高的要求。如何应对需求增长提出的升级要求，同时要尽可能的节约成本？这类动态按需拓展的需求不仅存在于服务器端和应用软件平台，同样存在于应用交付（ADC）架构中。安全性挑战很多关键业务应用系统都必须为处于Internet中的客户端提供服务，此类业务很有可能成为各类DDOS攻击的目标。DOS和DDOS攻击可能来自于公网的任意角落，SynFlood和TCPFlood等攻击会严重消耗服务器和网络资源，常常导致应用架构完全丧失服务和业务能力。如何抵御DDOS攻击是任何应用架构在实现业务连续性时都必须考虑的问题。

RadwareAppDirector应用交付解决方案AppDirector™智能应用交付控制器(ADC)通过消除应用和网络间的鸿沟，增强了IP网络应用交付能力。Radware将其专用的高速应用交换硬件与APSolute™操作系统“分类器”和“流量管理”引擎的强大功能完美结合起来，构成了这一款AppDirector。AppDirector系列应用交付交换机可无缝集成到任何应用架构中，确保用户关键业务7×24×365的连续性，随时为用户提供最高品质的服务。下图是AppDirector解决方案示意图。AppDirector解决方案能够优化和加速用户的关键业务应用，使应用服务系统得到更高的可用性、性能，以及更加经济和无懈可击的安全性，以便令客户获得更快的响应时间。高可用性RadwarewAppDirector系列产品可通过以下功能为用户的关键业务系统提供最高等级的可用性和稳定性保证：先进的健康检查Appdirector产品内置了先进的应用健康检查模块，该模块包含了丰富的预定义健康检查手段。通过该模块，AppDirector可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障，用户即被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得所需信息。为了确保服务正常运行，AppDirector还可以监控从Web服务器、中间件服务器到后端数据库服务器的整个路径上工作状态，确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器，AppDirector则不会将用户分配到这个发生故障路径的服务器，从而保证为用户提供透明的数据完整性保障。透明故障规避——实现本地7×24高可用性AppDirector一旦确认业务故障（网络、服务器、系统或业务应用），会立即将访问流量重新发送到可用的后台业务资源。后台服务可按照业务需求工作在集群或主备模式下，确保任何情况下的业务可用和交易完整。全面的灾备解决方案——实现全局7×24高可用性单一的数据中心无法解决突发（灾难或人为）事件带来服务中断问题，AppDirector提供了一套完整的全局灾备解决方案，可从网络级到应用级实现异地数据中心之间的灾备和平滑切换。详情请参考：《RadwareGSLB解决方案》。快速响应和性能加速客户端数量的不断增长，业务应用的多样性和复杂化，以及流媒体内容的极大丰富，对IT架构本身的性能提出了更高的要求，对于ADC设备也是如此。客户端需要在任意事件、任意地点访问关键业务资源，尤其在业务全球化的今天，远程访问已成为客户接入关键业务系统的主要方式之一。因此，ADC设备必须为多有用户提供响应速度的保证。AppDirector系列产品已在硬件和功能上为此做好了准备。高性能硬件平台RadwareODS（OnDemandSwitch™）是Radware公司推出的具有强大竞争力的硬件平台，其能提供500M-20Gbps的吞吐量，具备高扩展性、高可用性和高性能。避免了ADC设备成为关键业务应用架构中的瓶颈。RadwareODS卓越的性能使其在各类专业测试中取得了良好的成绩，在L7吞吐、L7TPS、并发连接数、新建连接数、响应时间等多个技术指标上都优于同类竞争产品。产品详细规格请参照后续章节。OnDemandSwitch的可靠性、定制性和嵌入式组件提供了极高的平均无故障时间（MTBF），还提供可信赖的双交/直流电源。OnDemandSwitch的推出代表着应用交付市场发展的一个深刻变革，自此确立了一个新型、极具成本效益和可轻松升级的新标准。上图为AppDirectorX08系列的性能参数，无论是L7每秒交易还是L7吞吐量上都远高于竞争对手的同级别产品。负载均衡和对话保持单台服务器的处理能力通常无法满足业务应用的性能需求。AppDirector设备通过实现服务器的集群，并将客户按照用户要求透明分配到集群中的服务器上，从而使应用架构的整体性能得到提升，保证业务的承载能力。本地负载均衡和对话保持凭借完善的负载均衡机制，Appdirector可将客户请求分配到最佳的后台服务器，来确保最快的响应速度。关键业务系统通常是由一组不同的应用构成的，不同应用可能为特定的用户类型服务，或者提供特定类型的内容。Appdirector可根据客户端IP地址、应用类型和内容来决定流量分配。这样，管理员就可以为不同类型的应用程序分配不同的服务器资源。应用交换支持不同协议上的各种应用，包括TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动FTP、HTTP、e-mail、DNS、VOIP等等。特别针对愈来愈得到广泛接受的Web应用，AppDirector完全支持HTPP内容交换，可根据URL等HTTP信息实现流量分配。例如，每个URL都可以重定向到某服务器，或在多个服务器之间进行负载均衡，从而提供优化的Web交换性能。为了保证用户在访问具有会话连续性业务时不会被负载均衡器分配到不同的服务器上，AppDirector在提供本地负载均衡的同时，还可以具备基于cookie,sessionID,SIP,SSLID,源IP等方式将用户的请求定位在相同的服务器上。

全局（广域）负载均衡Appdirector可为部署在不同地理位置的关键业务提供最佳的站点选择，从而保证响应速度和服务质量。而最佳站点的选择方式可以基于站点的负载，也可以基于Radware的专利技术：就近性选择，考虑用户和各站点之间的路由跳数和延迟。详情请参考《RadwareGSLB解决方案》。交易加速AppDirector不但为整体应用架构提供了集群性能优化解决方案，还借助自身高性能硬件平台的优势，从服务器压力分担和内容传输角度优化交易速度。使所有客户端，特别是远程用户的交易速度得到了大幅度提高。SSL加速AppDirector能够在不降低网络性能的情况下为用户提供快速的SSL交易，从而有效降低服务器端消耗。凭借硬件平台的性能优势，提供同级别产品中最强的SSL加解密能力。AppDirector的SSL加密/解密功能与Radware的流量管理解决方案相结合，在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。简单流程如下：HTTPS的流量通过AppDirector，AppDirector把HTTPS流量解密成HTTP流量后，再由AppDirector负载均衡到后端的HTTP服务器。Web和图像压缩AppDirector支持Gzip、deflate方式的压缩功能。AppDirector会自动检测并部署预先配置的压缩程序，让内容尺寸与终端用户设备功能保持一致（如：访问速度、图片显示分辨率等），从而加速各类用户的内容交付并缩小图片尺寸达1000%。通过web压缩（平均文件压缩率为其原始尺寸的4-5倍），实现更快下载和更短响应时间；可选的基于硬件的压缩卡，通过文本(HTTP/HTTPS)和图片(.jpeg)的压缩来确保最佳内容交付和带宽节省。高速动态缓存AppDirector基于内存方式的快速缓存功能，可以从后台基础设施中卸载对内容的重复请求，从而提高应用和服务器的性能，这种性能改善是以逐个应用为基础，智能进行的。快速缓存提供出色的灵活性和控制能力，确保组织机构实现更大的卸载量，为他们的客户基群提供更快捷的服务。TCP优化AppDirector提供的TCP优化技术执行TCP协议的RFCs：1323（性能扩展）、2018，2883（选择性ACK）、2414,3390(WTCP)、2581，2582（防堵塞）、2861（拥塞窗口检验）、RFC3042（限速传送），还包括：提前确认技术(FACK),可设置最大传输单位（MTU）和TCP记录器等技术，以充分利用可用带宽。这样，AppDirector能够实时适应广域网链路的延迟、数据包丢失及阻塞特征，并从根本上加速所有应用流量，加速用户的访问速度。多路HTTP/s协议“HTTP/S多路HTTP协议”是一种提高Web服务器性能的技术。它可以将入站的HTTP/S请求汇总，充分利用服务器端的现有连接来传输用户请求，从而减少服务器的连接次数，以达到提高整体系统的性能的目标。实际环境测试已证实：通过上述技术，可加速应用响应速度达500%。上图列举的常见关键业务系统的加速效果，提速可达3.5倍。

便捷高性价比的按需拓展能力客户端数量的不断增长，业务应用的拓展，都要求IT应用架构具备灵活便捷的按需拓展能力，同时扩展必须考虑到成本。Radware率先在业界推出了ADC吞吐能力按需拓展解决方案，在此基础上形成了业界最全面的ADC性能和功能拓展能力，包括：吞吐能力按需拓展交易加速能力按需拓展GSLB全局负载均衡按需拓展高级ADC服务按需拓展：带宽管理和IPS高级ADC服务按需拓展：DDOS攻击防范吞吐能力按需拓展AppDirectorODS（OnDemandSwitch™）是业界首款可按需扩展吞吐能力的应用交付设备系列。随着用户业务的发展，当已购的ODS设备不能满足用户需求时，用户无需更换硬件设备，无需中断业务运行，只需购买软件License即可将现有设备的吞吐量无缝升级至最大20Gbps。由于升级扩展时无需更换硬件设备，避免了进行硬件升级时的设计、测试、重新安装及排错等繁复操作，大幅降低了系统升级所需的高额成本和时间。升级范围如下：且购买升级软件License的费用与现有ODS平台和升级后ODS平台的差价相当，有效地保护了用户的投资，节省了用户在固定资产上的投入成本。交易加速能力按需拓展AppDirectorODS的交易加速能力（SSL加解密/压缩）也可实现按需扩展。随着用户业务的发展，当已购的加速能力不能满足用户需求时，用户无需更换硬件设备，无需中断业务运行，只需购买软件License即可将现有设备的交易加速能力无缝升级（硬件加速卡需另行订购和出厂安装）。由于加速能力升级扩展时无需更换硬件设备，避免了进行硬件升级时的设计、测试、重新安装及排错等繁复操作，大幅降低了系统升级所需的高额成本和时间。升级范围如下：GSLB按需拓展只需激活GSLBLicense，AppDirecot即可实现灾备和全局负载均衡功能，为用户全球范围内的业务提供连续性和性能保证。详情请参考《RadwareGSLB解决方案》。高级ADC功能按需拓展——带宽管理和IPS只需激活BWM&IPSLicense，AppDirector即可实现基于策略的带宽管理和应用拥挤防范，为关键业务应用实现带宽和安全保证。带宽管理软件模块能够按照一系列标准区分用户流量，然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。它允许网络管理者完全而有效的控制他们可用的带宽，使用这些功能可以按照一系列标准，指定应用程序的优先次序，同时还考虑了每个应用程序已使用的带宽。在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。IPS模块能够为敏感资源提供高级的安全性，这包括检测并预防1500多个恶意攻击信息，包括特洛伊木马、后门、DoS和DdoS攻击。此模块能够处理以下攻击：缓冲区溢出/超限利用已知的Bugs，误配置和默认的安装问题来进行攻击在攻击前探测流量未授权的网络流量后门/特洛伊木马端口扫描(Connect&Stealth)高级ADC功能按需拓展——DDOS攻击防范只需激活DOS攻击防范的License，AppDirector即可利用Radware公司先进成熟的BehavioralDOS攻击防范模块，通过分析网络中的流量状况，实时发现并阻止各类DOS和DDOS攻击。攻击发现和阻止的流程完全自动化，而且响应迅速，18秒内即可实现攻击的防范。整个过程的主要步骤如下：自动学习发现攻击自动生成实时特征优化特征阻止攻击Radware公司的BehavioralDOS攻击防范技术能够有效防范各类已知和未知的DOS攻击，包括：TCPFlood,包括Reset、AckFlood等UDPFlood，包括DNSFlood等应用层攻击，如HTTPFlood在攻击前探测流量端口扫描(Connect&Stealth)灵活的部署方式凭借出色的硬件平台设计，AppDirector设备可灵活部署在各种应用网络架构中。部署方式主要有以下两种：In-Line转发模式；Out-of-Path旁路（单臂）代理模式；AppDirector的配置提供设备间的完全容错，以确保网络最大的可用性。通过VRRP（VirtualRouterRedundancyProtocol）协议，两台AppDirector设备工作在冗余模式下，通过网络相互检查各自的工作状态，为其所管理的应用保障完全的网络可用性。它们可工作于“主用-备用”模式或“主用-主用”模式，在“主用-主用”模式下，因为两个设备都处于工作状态，从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像，从而提供透明的冗余和完全的容错，确保在任何时候用户都可以获得从点击到内容的最佳服务。VRRP协议更可支持两台设备以上的多级冗余机制。下图为AppDirector的典型冗余部署方式。

总结AppDirector使我们用一个产品就能解决应用可用性和连续性、加速应用性能、保障服务水平、应用安全、IT服务器基础架构的整合和扩展性。AppDirector解决方案具有几大优点：按需扩展的硬件平台：按需扩展的特性使用户能“用多少买多少”，后期根据扩展需求再购买相应的License进行设备吞吐量的升级，有效地保护了用户的IT投资。高可用性、高性能的完美体现：AppDirector使用先进的4-7层策略和粒状控制智能应用，以便将服务器基础设施操作和应用前端要求结合在一起，从而消除流量拥塞、服务器瓶颈和故障时间以实现数据中心的业务连续性。AppDirector能够对网络通信进行微调，以便使多种企业网络应用最优化，例如SAP、Oracle、BEA、Citrix和其他基于Web的应用(包括VoIP支持、流媒体和安全的LDAP应用)业界最佳的GSLB解决方案：实现全局站点灾备和就近访问，实现广域网范围的高可用性和性能保证。加速应用响应时间：使用TCP优化和HTTP多路复用进行的应用加速和WAN最优化，在整个WAN范围内消除Web应用等待时间，将应用响应时间加快500%。降低带宽占用 ：通过“无限制”压缩(无需客户端设备或软件)和内容高速缓存(使用AppDir