李飞：深信服应用交付网络技术应用与实践

应用交付网络技术应用与实践ApplicationDeliveryNetworking2012/9/17SACC2012SACC2012A-PDFWatermarkDEMO:Purchasefrom用户网络应用系统用户网络应用系统潜在风险用户端网络中断终端性能不足终端类型用户出口带宽不足跨运营商、移动互联网网络时延过大TCP重传率过高上下行带宽利用率过高WEB、数据库故障服务器性能瓶颈HTTP4XX/5XX错误页面元素过大一次完整的业务交付过程，涉及从用户到网络、应用系统的端到端过程，任何一段的风险都会对业务成功交付造成影响应用交付的网络挑战应用交付网络应用交付网络(ApplicationDeliveryNetworking，简称ADN)利用相应的网络优化技术，确保用户的业务应用能够稳定、快速、安全地交付给业务应用的使用者手中。高可靠：L4/L7SW智能DNS快速：单边加速双边加速智能DNS高性能：服务器集群TCP连接池SSL加速Cache、GzipSACC2012SACC2012业务保障高性能硬件平台动态负载均衡策略会话保持应用级健康检查SANGFORAD提供应用级的负载均衡•负载算法：多种静态、动态的L4-L7负载算法，基于选择最佳计算资源进行分配•应用级深度健康检查：基于应用协议和应用内容的健康检测•会话保持：IP、Cookie、HTTP-Header、Radius减少宕机时间、动态增减资源L4/L7SW只能依据服务器的连接数或流量执行负载均衡算法,比如轮转,加权轮转,最小流量等算法。会话保持只能使用源IPL4SW只能依据4层及以下的信息执行负载均衡和会话保持,LB执行NAT以及CHECKSUM的动作。L4SW原理SACC2012SACC2012按7层信息执行交换及会话保持.相对L4SW更灵活.URLHASH,COOKIE等分析应用层信息,实现按内容调度。执行TCP代理。index.htma.gifc.jspindex.htma.gifc.jspJSPserverGIFserverHTMLserverL7SW原理软硬件L4/L7SW简单对比硬件设备（SANGFOR、F5、Citrix等）软件+Linux（Nginx、LVS等）LoadBalance算法丰富：如最小用户数\流量\连接数等。支持应用丰富：web、数据库等算法：轮询支持应用：web健康检查支持：TCP、HTTP、自定义等简单健康检查其他功能支持IPv6网关不支持支持性能优化功能部分支持费用较高便宜服务购买服务无SACC2012SACC2012实践——某网站典型L4/L7SW架构外网IP：61.1.1.1虚拟服务：vs_squidL7SW，需被缓存的URL分到Squid服务器群Squid缓存未命中，请求后端Nginx虚拟IPL7SW，动态PHP请求分配到Nginx服务器群内网IP：192.168.1.1默认网关内网虚拟IP：192.168.1.2虚拟服务：vs_web内网虚拟IP：192.168.1.3虚拟服务：vs_MySql_slaveMemcached实时读写MySQL只写操作L4SW、健康检查MySQL只读操作同步•降低服务器负载•减少服务器访问量•集中卸载管理SSL•有效提升用户访问速度TCP复用RamCacheSSL加速HTTP压缩性能优化SACC2012SACC2012TCP连接复用SANGFORAD提供基于连接的TCP复用机制•通过将众多客户端连接请求捆绑后，复用相对较少的服务器TCP连接。•不需要改变任何网络构造，也不需要增加组织的硬件投资成本。•减少服务器的工作负荷，从而提高服务器的处理能力。•适用与大量的连接建立/拆卸的应用。HTTP1.1基于连接的TCP复用机制clientAclientBADServer1tcp三次握手5http_rply#12http_rqst#13tcp三次握手4http_rqst#16http_rply#17tcp三次握手只要rply发送完成，AD就可以复用这条连接了自始至终，server只建立了一条连接8http_rqst#29http_rqst#210http_rply#211http_rqst#312http_rqst#313http_rply#314http_rply#3TCP连接复用原理SACC2012SACC2012实践——某旅游网站直接访问服务器通过AD发送请求总数17347901739654成功请求数8944641739418性能提升效果N/A95%不成功请求数840326236不成功请求比例48.4%0.0%页面响应时间注1(ms)1176925478设备CPU利用率N/A10%服务器并发连接数60000576客户端并发连接数80000140000TCP复用效率N/A243:1•服务器：Dell710，4x4核IntelE5620CPU，主频2.4GHz，内存16GB•软件平台：Window2003/IIS6.0•测试工具:SpirentAvalanche2700CSANGFORAD提供基于内存的HTTP缓存•基于内存的反向代理Cache功能，在内存中以数据包的形式缓存网站等相关资源的页面内容；•采用内存缓存和包存储结构的方式，通过动态调整缓存空间提供远比其它缓存产品更快速的响应速度；•降低用户访问对后台服务器的负载压力。内存缓存Get/images/a.gifHTTP200a.gifGet/images/a.gifHTTP200a.gifGet/images/a.gifHTTP200a.gif降低服务器负载提升响应速度SACC2012SACC2012HTTP压缩Response:20KB压缩数据：×&×…&%…&Ygh’gThkjdf*&明文数据：acc2234234234234234234234James23423423423423565679/accSANGFORAD提供HTTP压缩功能•通过标准的HTTP压缩规范自动识别客户端对Gzip或Deflate压缩算法的支持情况，并能够实现对数据动态压缩。•高端平台内置有硬件压缩芯片，可达到上Gbps的实时数据压缩处理•能在最大程度上节省组织的互联网带宽，缩短用户下载内容的等待时间，更减轻了Web服务器的压力，节省硬件投资成本，提升用户的访问体验。Response:100KB减少网络中实际传输数据量提升访问速度SSL卸载CA服务器证书密文数据明文数据SANGFORAD提供SSL卸载功能•SSL加密通道提供高级别安全加密•高端平台内置有SSL卸载芯片，可达到50000TPS•完善的SSL证书验证体系支持，支持标准格式证书导入，提供加密通道•卸载服务器SSL处理性能问题SACC2012SACC2012智能DNS技术ISP1ISP2LocalDNSROOTDNSUser判断LocalDNS所属运营商返回对应IP地址给LocalDNS返回NS记录智能DNS设备智能DNS会判断用户的来路，而做出一些智能化的处理，然后把智能化判断后的IP返回给用户•快速性：实现用户就进接入•稳定性：检查健康状态，实现节点和链路HA智能DNS技术•静态就近性：根据LocalDNS所属运营商的地址返回IP，内置全球地址库，实时动态更新•动态就近性：通过综合考虑与LocalDNS之间的跳数（Hops）、网络延迟（Latency）和链路的实时负载（Load），准确计算出最佳路径。•健康检查：通过链路、应用和设备之间的健康检查，实现HASACC2012SACC2012userLocalDNSSANGFORADSANGFORAD将用户流量无缝导向最优的数据中心•多中心动态切换：全业务实时监测健康•最佳用户体验：动态最优路径选择实践——某第三方支付TCP单边加速TCP单边加速单边加速技术：•跨国、跨运营商、移动互联网访问存在丢包•在存在丢包网络，传统TCP协议效率低下，影响用户访问速度•TCP单边加速改进拥塞控制算法和丢包重传机制，提升TCP协议效率•单边部署，单向加速，对客户端透明网络传输效率提升300%SACC2012SACC2012优化慢启动及拥塞避免算法实时、准确的计算两点之间的带宽，以最合适的速率发送数据准确的丢包判断，只重传实际被丢掉的包,减少CPU、带宽、传输时间的浪费TCP单边加速原理3Mbps专线发送10MB大小文件时延(ms)丢包(%)正常速率(KB/s)加速后(KB/s)正常耗时(秒)加速后(秒)本地网络200.13643692826.82异地网络250244.367115.33234.6689.66异地较差网络250524.1387.23426.67117.6710Mbps专线发送10MB大小文件时延(ms)丢包(%)正常速率(KB/s)加速后(KB/s)正常耗时(秒)加速后(秒)本地网络200.11218.561225.328.47.9异地网络250243.17111.67237.6792异地较差网络250524.8786.23385119TCP单边加速测试效果SACC2012SACC2012实践——某证券双边加速双边加速双边加速技术•双边部署设备，适合数据中心同步，自建CDN•流缓存：削减冗余数据，降低带宽占用，提升应用速度。•流量控制：保障重要应用的带宽，如视频会议。•链路优化：内置HTP（TCP/UDP）技术，能够有效提升链路质量。•应用加速：针对具体应用（HTTP、数据库、FTP、文件共享、视频会议等）进行协议代理，提升具体应用的访问速度SACC2012SACC2012双边加速——流缓存双边加速——TCP代理SACC2012SACC2012Web层：TCP、HTTP连接优化App层：ERP、OA、Mail、Vmotion……Data层：Oracle、MSSQL、DB2、EMC、NetApp……SANGFORWOCInternetorWANSANGFORWOC•数据优化：结合基于码流特征的数据优化、动态流压缩技术，可实现流量30-80%的削减•应用优化：交互优化，加快响应，提升速度•传输优化：针对延时、丢包进行优化，提升访问速度双边加速应用场景实践——某第三方支付文件名称文件类型文件大小无加速加速第一次节省时间不加速网络实际速率加速之后网路实际流速DRBDDB2测试数据数据库文件4.3G1小时3分5654分28秒节省时间9分钟50m/s14m/sHADRDB2测试数据数据库文件4.3G5分53秒5分50秒节省时间3秒40m/s12m/s•两个数据中心分别部署SANGFORWOC设备，专线正常时对专线数据加速，专线故障时切换到VPN。•整网设备启用应用加速、数据削减、网络传输优化等加速优化功能，保障访问效果。SACC2012SACC2012监控应用交付效果28网络业务系统观测点•通过标准协议（如SNMP）以及模拟真实请求（如HTTPGET）获取网络设备和业务系统状态主动监控•采用旁路方式部署，通过对镜像的数据包进行分析，业务系统在网络中的真实应用情况。被动监控多维度维度分析网络性能监控各个用户、分支、专线、应用等网络质量，对用户-观测点段与观测点-服务器段的网络质量进行对比分析，分析时延、抖动、重传等关键指标，对TCP传输的主要指标进行分析。网络性能分析SACC2012SACC2012具体Web应用监控具体IP来源所属分支慢页URL/网页标题慢页加载时间/服务器时间公司规模•2000年成立，总部在深圳；•国内2个分公司、35个直属本事机构，国外7个分支•1200员工•16000家客户，覆盖政府、运营商、金融、电力等研发和服务能力•研发人数占40%，通过CMMI认证•客户服务体系ISO9001认证，深圳、长沙两个CTI呼叫中心•深圳、北京研发中心、大客户需求快速响应•42个分支常驻技术支持工程师，开放深信服工程师认证业界领先•2011年中国ADC市场占有率第第四（Frost&Sullivan）•2011年中国内容安全市场占有率第一（IDC）•2011