公司數(shù)據(jù)中心建設(shè)應(yīng)用服務(wù)控制與負(fù)載均衡設(shè)計方案

公司數(shù)據(jù)中心建設(shè)應(yīng)用服務(wù)控制與負(fù)載均衡設(shè)計方案1.1功能介紹基本功能本項目我們在數(shù)據(jù)中心的分布匯聚層的智能服務(wù)機箱內(nèi)配置了Cisco應(yīng)用控制模塊(ApplicationControlEngine,ACE)，作為數(shù)據(jù)中心的重要網(wǎng)絡(luò)智能服務(wù)， 該模塊可為后臺應(yīng)用服務(wù)器提供高性能表現(xiàn)和最高級別的體系控制和安全保護。ACE主要針對大型企業(yè)和電信用戶的服務(wù)器集群環(huán)境，可以有效地對重要應(yīng)用數(shù)據(jù)的傳送進行優(yōu)化和簡化，同時具備良好的性價比。ACE提供了如下的性能和功能：ACE提供四到七層數(shù)據(jù)包的內(nèi)容交換和負(fù)載均衡功能，為服務(wù)器機群提供虛擬地址和端口。 ACE在插入Catalyst6500后，交換機上的所有端口即可成為四層交換端口。ACE與Catalyst6509數(shù)據(jù)總線和交換矩陣都有連接，最高帶寬為 16Gbps,每秒連接數(shù)為345000個。ACE不僅為服務(wù)器提供負(fù)載均衡，還可為外部的防火墻、VPN集中器……等等網(wǎng)絡(luò)服務(wù)設(shè)施提供負(fù)載均衡。ACE具備資源分配和隔離功能，是服務(wù)器虛擬化的重要手段之一。在一個物理模塊中，ACE可以劃分為多個獨立的分區(qū)，每一個分區(qū)都可以分配給一個應(yīng)用或者一個用戶使用。另外，每一個分區(qū)都支持層次化的管理模式，提供了資源管理的靈活性和安全性。 ACE支持基于角色的訪問控制(role-basedaccesscontrol),所有的用戶都被分配了相應(yīng)的角色 (role),每個角色在分區(qū)內(nèi)被允許執(zhí)行相關(guān)的命令集。例如系統(tǒng)管理員角色(systemadminrole)可以執(zhí)行ACE所有的命令而應(yīng)用程序管理員角色(applicationadminrole)只能執(zhí)行和后臺應(yīng)用及內(nèi)容交換的命令等。ACE具有強大的安全功能，可以有效地保護后臺的應(yīng)用程序免受惡意攻擊。主要的技術(shù)包括： HTTP深層包檢測、雙向動態(tài)、靜態(tài)和基于策略的地址轉(zhuǎn)換(NAT/PAT)，訪問控制列表、TCP包頭驗證、TCP連接狀態(tài)監(jiān)控等。ACE支持多層次的冗余性，對關(guān)鍵業(yè)務(wù)提供最高等級的可用性保護。ACE是目前業(yè)界唯一可以實現(xiàn)以下三種高可用性保護的四層交換機機箱間冗余---兩臺機箱間的ACE板卡可互為冗余保護板卡間冗余---同一機箱內(nèi)的多個ACE板卡可互為冗余保護虛擬分區(qū)前冗余-同一ACE板卡內(nèi)的不同虛擬分區(qū)之前可互為保護ACE的冗余保護對動態(tài)的連接進行保護， 保證當(dāng)主業(yè)務(wù)板卡故障時業(yè)務(wù)連接仍然得以保持。硬件加速方式的協(xié)議控制，對常見協(xié)議提供有效的檢查、過濾和綁定。 這些協(xié)議包括HTTP,RTSP,DNS,FTP,ICMP等。硬件方式實現(xiàn)ACL和NAT功能，最多支持一百萬個NAT轉(zhuǎn)換表項。應(yīng)用特點虛擬化分區(qū)虛擬分區(qū)實現(xiàn)了資源分段和隔離，使思科 ACE可作為一個物理模塊中的多個獨立虛擬模塊運行。憑借這個解決方案，企業(yè)能夠利用一個思科ACE模塊，為多達250個不同的企業(yè)機構(gòu)、應(yīng)用、或客戶和合作伙伴提供事先定義的服務(wù)水平。虛擬分區(qū)使應(yīng)用基礎(chǔ)設(shè)施能更好地用于業(yè)務(wù)運營，同時減少設(shè)備并實現(xiàn)出色的控制。另外，每個虛擬分區(qū)還包括分級管理域，既能確保應(yīng)用的性能水平，又可使ACE模塊中的可用資源得到最大限度的利用。思科ACE為分散的管理提供集中的控制，從而為每個虛擬分區(qū)提供了基于模板的或可自定義的用戶訪問權(quán)限?；诮巧脑L問控制(RoleBasedAccessControl,RBAC)特性允許企業(yè)對管理角色進行定義，限定管理員對模塊或虛擬分區(qū)內(nèi)特定功能的使用權(quán)。由于一個機構(gòu)中可能有多位管理員需要以不同級別（例如，應(yīng)用管理、服務(wù)器管理、網(wǎng)絡(luò)管理、安全管理等）與思科ACE模塊互動，因此，對這些管理角色進行準(zhǔn)確定義，使每個管理員群組都能夠在不影響其他群組的情況下順利地執(zhí)行任務(wù)，無疑是一項重要工作。通過與CiscoCatalyst6500的虛擬路由轉(zhuǎn)發(fā)（VRF）、防火墻模塊的虛擬化相集成，可支持從路由功能、防火墻到應(yīng)用控制負(fù)載均衡的端到端的智能服務(wù)虛擬化 （如下圖所示）。8022的端口Catalyst8022的端口Catalyst6500虛擬為CEVRFi虛擬防火墻iI性能和擴展性思科ACE提供了業(yè)界最高水平的應(yīng)用供應(yīng)能力。每個思科ACE模塊的吞吐率可高達16Gbps，每秒支持345,000個持續(xù)連接，可以輕松地處理大量數(shù)據(jù)文件、多媒體應(yīng)用和龐大的用戶群體。ACE系列模塊配備了“隨增長而投資” 的付費許可證，提供了最高16Gbps的可擴展吞吐率，客戶無需為擴充容量而全面升級系統(tǒng)。 在設(shè)計上，ACE也為未來的增值服務(wù)和擴展功能預(yù)留了空間。 實際上，通過在單一CiscoCatalyst6500機箱中安裝四個ACE模塊，它提供了業(yè)界最高水平的可擴展性。思科ACE還提供了多層冗余性、可用性和可擴展性，為您的關(guān)鍵業(yè)務(wù)提供最大限度的保護。它還是業(yè)內(nèi)唯一提供三種高可用性模式的產(chǎn)品：機箱間高可用性：一臺CiscoCatalyst6500中的ACE由對等CiscoCatalyst6500中的ACE保護。機箱內(nèi)高可用性：CiscoCatalyst6500中的一個ACE由同一CiscoCatalyst6500中的另一個ACE保護(CiscoCatalyst6500內(nèi)置了強大的冗余性)。分區(qū)之間高可用性：思科ACE支持在兩個模塊上配置的虛擬分區(qū)之間的高可用性，使特定分區(qū)能夠在不影響模塊中其他分區(qū)和應(yīng)用的基礎(chǔ)上執(zhí)行故障切換。所有這些可用性模式均通過復(fù)制連接狀態(tài)和連接表，提供了快速的狀態(tài)化應(yīng)用冗余性。安全功能思科自防御網(wǎng)絡(luò)提供了多個級別的防御功能，使客戶可以高枕無憂。思科ACE可通過以下特性，保護數(shù)據(jù)中心和關(guān)鍵應(yīng)用免受惡意流量的影響：HTTP深度包檢測一一HTTP報頭、URL和凈負(fù)荷雙向網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和端口地址轉(zhuǎn)換(PAT)支持靜態(tài)、動態(tài)和基于策略的 NAT/PAT訪問控制列表（ACL）可選擇地允許端口間的哪些流量通過TCP連接狀態(tài)跟蹤用于UDP的虛擬連接狀態(tài)序列號隨機生成TCP報頭驗證TCP窗口尺寸檢查在建立會話時檢查單播反向路徑轉(zhuǎn)發(fā) （URPF）集成硬件加速協(xié)議控制功能在應(yīng)用供應(yīng)領(lǐng)域尚屬首次面世，為許多常用數(shù)據(jù)中心協(xié)議，女口HTTP、實時流協(xié)議（RTSP）、域名系統(tǒng)（DNS）、FTP和互聯(lián)網(wǎng)控制消息協(xié)議（ICMP），提供了有效的檢測、過濾和修復(fù)功能。擁有多達256,000個條目的大型可擴展ACL能夠同時支持應(yīng)用希望獲得的前端可擴展性（用戶 /客戶端應(yīng)用數(shù)量）和后端可擴展性（服務(wù)器/服務(wù)器群數(shù)量）。此外，多達1,000,000個條目的高性能、可擴展NAT事件處理功能也支持許多大型數(shù)據(jù)中心的整合和應(yīng)用更快速的面世。虛擬分區(qū)則可以使所有重疊的IP子網(wǎng)保持獨立，無需為保護數(shù)據(jù)中心而進行費用高昂的網(wǎng)絡(luò)重新設(shè)計、重新配置，或添加額外的設(shè)備。思科ACE也支持對于協(xié)議符合性的檢查，且可為安全分析提供事件記錄和報告?；A(chǔ)設(shè)施簡化第二至七層網(wǎng)絡(luò)集成一一作為 CiscoCatalyst6500機箱的一個模塊，思科ACE可以輕松地插入任何新型或現(xiàn)有的網(wǎng)絡(luò)，提供了一個第二至七層全面而豐富的解決方案。該解決方案支持Catalyst6500所支持的所有端口類型和數(shù)量，支持高達720Gbps的機箱吞吐率，可以輕松擴展，來滿足最大型網(wǎng)絡(luò)的要求，此外，該集成解決方案也節(jié)省了所占空間。利用路由狀態(tài)注入 （RHI）和自動狀態(tài)集成，可支持應(yīng)用和數(shù)據(jù)中心高可用性，而ACE虛擬分區(qū)通過開啟或關(guān)閉網(wǎng)絡(luò)中的物理接口可強制進行故障切換。功能整合通過在一臺設(shè)備上整合內(nèi)容交換、 SSL加速、數(shù)據(jù)中心安全等功能，思科ACE獲得了從bps到pps的性能顯著提升，縮短了應(yīng)用延遲。利用功能整合， TCP信息流只需終結(jié)一次，而無需在網(wǎng)絡(luò)上的四個或四個以上的位置進行終結(jié)，既節(jié)省了時間，又減少了處理工作和內(nèi)存占用。 加密和解密、負(fù)載均衡決策、安全性檢查和業(yè)務(wù)策略分配及驗證均在網(wǎng)絡(luò)中的單一地點完成，以較少的設(shè)備、簡化的網(wǎng)絡(luò)設(shè)計和更方便的管理，實現(xiàn)了更理想的應(yīng)用性能。1.127.管理功能思科ANM可對多個ACE模塊上的虛擬分區(qū)和層次化管理域進行管理。這個基于服務(wù)器的管理套件能對多個 ACE模塊上的大量虛擬分區(qū)進行發(fā)現(xiàn)、配置、監(jiān)控和報告，使部署完全透明化?；谀０宓呐渲煤蛯徲嬇c服務(wù)激活/中止功能相配合，可快速實施應(yīng)用。通過匹配服務(wù)API，可配置任務(wù)的RBAC組，允許多位管理員群組在多個ACE模塊和虛擬分區(qū)上同時進行操作。.SSL力口速思科ACE解決方案集成了SSL加速技術(shù)，可卸載外部設(shè)備（服務(wù)器、設(shè)備等）的SSL流量加密和解密工作，允許思科ACE對加密數(shù)據(jù)進行更深入的檢查，并應(yīng)用安全和內(nèi)容交換策略。這一設(shè)置不僅使思科 ACE可以作出更明智的策略決策，還可確保您的應(yīng)用供應(yīng)平臺遵守內(nèi)部和外部法規(guī)。利用重加密功能，思科ACE解決方案在確保敏感數(shù)據(jù)端到端加密的同時，還可執(zhí)行智能策略。1.129.事務(wù)處理可視性憑借每秒處理350,000個系統(tǒng)日志的業(yè)界領(lǐng)先速度， 思科ACE解決方案可記錄大量連接設(shè)置和斷接，它提供了事務(wù)處理級可視性，且不會影響數(shù)據(jù)傳輸性能。0.開放的硬