- 文档大小:7.25 MB
- 文档格式:docx
- 约 80页
- 2022-08-22 发布
- 举报
试读已结束,还剩70页未读,您可下载完整版后进行离线阅读
- 1、本文档共80页,内容下载后可编辑。
- 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领。
- 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
招标编号:VIP-Pur-377广州唯品会信息科技有限公司负载均衡设备招标采购项目投标方案——技术(正本)投标人:广州华濠数码科技有限公司(盖单位章)法定代表人或其委托代理人(签字)2015年8月26日目录一、企业IT架构发展综述....................................................................................................1二、CitrixNetscaler企业解决方案........................................................................................3三、思杰NetScaler产品优势.............................................................................................7四、NetScaler产品体系架构..............................................................................................14五、产品功能描述..............................................................................................................16六、产品性能数据表..........................................................................................................41七、7Netscaler帮助企业构建灵活的数据中心.................................................................49八、产品部署方案..............................................................................................................51九、产品管理与监控..........................................................................................................55十、第三方评测..................................................................................................................62十一、项目管理及项目的实施计划.......................................................................................66十二、产品部署建议方案.......................................................................................................72一、企业IT架构发展综述随着后PC时代的来临,传统的以PC为主导的访问及其计算在近几年逐渐被各种智能终端所取代,通过智能终端作为应用的前端访问平台来访问后端数据中心上发布的各种应用变得越来越普遍和流行。市场调研分析报告指出用户PC的增长将会呈逐年下降趋势。PC时代逐渐过渡到云时代,在此之际,Citrix解决方案将企业IT架构划分为前端个人云,后端云计算中心,通过这两朵云来实现企业的灵活的IT架构发展,满足业务访问需求。如下图所示----关于云数据中心的那点事古人云“天下大事,合久必分分久必合”。从IT发展至今,数据中心的发展总共经历的三个阶段,阶段一,早期大型机分时复用,用户通过共享机器的方式来使用数据中心部署的大型机,访问系统进行业务处理;阶段二,随着一家伟大公司MicroSoft的出现,桌面操作系统设计的人性化和简单易用,使得个人PC开始广泛普及并被使用,这使得人们可以通过自己的电脑进行办公娱乐;至此,我们可以看到用户在也不在需要依赖数据中心提供的机器来进行访问,这是数据中心分的演变。另一方面,在90年代初中期,在当时美国总统克林顿的首肯和大力支持下,以美国为主导的互联网建设在全球得以快速发展,这其中包括跨国海底光缆的大量铺设,Internet协议的研发。基础建设的大力发展为今后企业业务Web化提供了坚实的平台基础,使得人与人之间沟通变得更加快捷有效,正如托马斯·弗里德曼所写的一样,“世界是平的”。Web2.0时代的到来,传统的个人PC1上的独立应用已经无法满足人们的使用需求,人们需要一种新的应用模式来进行资源共享,协同办公和生活娱乐。B/S架构的交互式应用被大量发布并使用。这其中典型的代表如国内的微信,微博,国外的facebook,Instagram等各种社交应用,这些在线应用无不都是大数据访问的代表。业务的Web化,数据的多样化,规模化,数据中心又重新走上了整合的道路,我们需要一种灵捷的,便于管理维护,可动态按需扩展的安全的数据中心架构来为用户提供服务,其实这就是我们今天所看到的企业建设的公有云,私有云,混合云。----移动办公,让世界触手可及21世纪,一个伟大人物的出现,史蒂夫.乔布斯,如雷贯耳的名字,彻底颠覆了人们传统的使用PC的习惯。iPhone的问世,iPad的发布,颠覆了消费者们传统的使用习惯,为全世界的人们带来了全新的移动设备使用体验,人性化的操作系统,丰富的使用功能,使之瞬间风靡全球。大屏幕的出现让用户的使用体验得到很大的提升。AppStore的运营模式,使得针对IOS的原生应用被大量开发,从办公到娱乐全面覆盖。随后,谷歌安卓操作系统的发布,各种智能手机如雨后春笋般的出现,如SangSung,HTC等大家耳熟能详的智能手机。移动设备的智能化已经是大事所趋,这都极大的推动了移动办公的需求,企业员工希望使用自己喜爱和熟悉的设备来进行办公。BYOD于是开始在企业中广泛流行起来。企业如何来满足员工移动办公的需求,或者说企业如何构建一个基于BYO的业务模式这都将极大的提高企业的生产率。----Citrix解决方案,沟通,联天下Citrix是首个提出个人云的厂商,通过Citrix个人云解决方案(其中CitrixReceiver是一款客户端,它可以安装到当前任何的智能终端上,支持各种移动2OS,实现100%的兼容。通过它来访问Citrix部署在数据中心的虚拟化应用;GoTo系列协同办公平台帮助企业员工轻松实现在线会议,在线协助;Sharefile实现数据共享)来使用户随时随地的通过各种移动终端设备来实现协同办公,安全的访问企业应用和数据,通过个人云解决方案,将应用和数据随时跟员工移动变为可能;与此同时,Citrix在企业数据中心端通过部署各种虚拟化综合解决方案(服务器虚拟化,桌面/应用虚拟化,企业应用商店,云管理平台)来帮助企业架构适合企业发展的数据中心。Citrix提出的个人云及其云数据中心完全符合当前企业IT架构的发展模式。通过Citrix提供的丰富的产品,帮助企业在云中构建服务,并且交付到任何设备上。二、CitrixNetscaler企业解决方案在上文中我们简要的介绍了Citrix的云架构解决方案,Citrix提供了从前端到后端完整的解决方案来帮助我们的企业构建服务。其中Netscaler作为一个最为重要的组成部分可以帮助企业更好地发布和保护应用以及灵活的扩展数据中心规模。2.1统一应用接入点Netscaler部署在数据中心,作为后端应用的统一发布点,让用户在Internet上通过Netscale提供的一个安全,高速,可用的通道来访问数据中心中发布的任何业务,无论是SaaS,还是企业搭建的应用(如中间件架构的应用),甚至是虚拟化应用。2.2数据中心动态扩展随着企业规模的增长,单数据中心也许无法满足业务发展需求,无论是从性能扩展上还是高可用上。Netscaler帮助企业将数据中心无缝扩展到更多的数据中心,又或是扩展到公有云中,如Amazon。弹性的扩展数据中心的计算能力,降低企业的TCO。2.3Netscaler应用交付网络综述传统的数据网络主要关注的是网络的互连互通,而各种新兴繁杂的网络应用,关注的则是业务逻辑和功能。如何将二者铆合在一起呢?目前在业界中,3最为流行,也是最为关注网络和应用的新兴概念就是应用交付网络(ApplicationDeliveryNetworking,ADN)的理念。对于很多企业而言,当千辛万苦完成数据大集中后,另一个两难境地随之而来——应用系统不断增多,分支机构不断增加,需要维护的客户端也呈几何级数攀升,IT架构变得分外复杂。于是,一方面急需快速高效部署各种新的应用系统,以保持业务优势;一方面又要确保IT架构的易管理性,以及降低IT投资的总体拥有成本。这时,就是建立应用交付网络的最佳时机。安全:目前业界已经达成共识,网络安全对于网络应用的保障是至关重要的环节。而在应用交付网络中强调的是应用的安全,无论身居何处,应用交付网络可以预先提供全面的防护措施,以避免那些不正当的恶意访问和攻击。快速及优化:应用交付网络可以优化用户的网络应用,使网络达到更快的速度并能减少资源消耗。无论是在全球的某个角落或者公司总部使用笔记本进行连接,应用交付网络都可以确保应用程序的高速运行。企业规模的扩大和用户群体的全球化,都导致了关键业务访问远程化、窄带化。和最初的应用发布不同,越来越多的应用访问是通过上千公里的广域网访问而非最初的局域网访问。企业应用的大集中趋势,在带来管理、维护和总拥有成本降低的优势的同时,也造成了远程访问所带来的速度降低。应用内容的丰富性也进一步加剧了在广域网上的带宽消耗和资源占用。因此,在一个完善的应用交付网络设计中,应当关注的一个重点就是如何提高广域网用户的访问速度,实现就近访问、更小的带宽占用和应用访问速度的提升。高可用性和应用可视化:应用交付网络所提供的解决方案保证网络应用的持久性与可靠性,在基于安全、正常运行、高可靠基础上允许用户强有力并灵活地来设定各种应用的优先权,从而保证了各种网络应用的高可用性。全球化经济正在逐步加强,用户的使用习惯和时区所带来的访问差异性,必然加大了应用系统的高可用性需求。大量的企业应用从最初的5X8的服务模式,已经提高到了7X24小时不间断业务模式。仅仅靠人员的增加已经完全不能满足应用的高可用性需求。因此,在一个完善的应用交付网络设计中,应该充分考虑到应用的高可用4性需求,通过自动、完善的切换手段,保证业务的不间断性和持续性。同时应用的多样性和复杂性对于用户的管理者来说也是非常棘手的问题,当一套系统出现了性能问题,访问速度问题时,对于问题查找和排除都将变得非常困难。从传统的四层负载均衡在向应用交付网络演进的过程中,共经历了3代的发展更迭来满足整个业务交付的需求变化。2.3.1第一代负载均衡产品第一代产品特点是基于第4层(TCP)的负载平衡器。随着互联网的迅猛发展,受欢迎的网站仅靠一个Web服务器无法承载快速增加的流量负载。第一代第4层负载平衡器可在多个服务器上分配来自客户的连接负载。这些第一代产品能够将多个单独服务器作为一个虚拟的大型服务器有效呈现给外界。它们的方法是:创建一个虚拟互联网协议(IP)地址,这个地址向路由器和浏览器广告自己,然后将浏览器的数据包转发到带真实IP地址的多个真实服务器中。这些设备名为第4层SLB,因为它们依赖数据包的IP地址和TCP端口等简单的TCP/IP信息做出负载平衡决策。2.3.2第二代负载均衡产品第二代产品特点是简单的L4-L7服务器负载均衡。第二代负载平衡器一开始名为Web交换机。由于它们还提供第4层负载平衡功能,因此市场将其归为一类,统称第4层-第7层负载平衡器或流量管理设备。这些附加名称旨在说明这些设备不仅关注通过第4层信息来转发流量,而且还具有一定程度的应用层感知能力,但是智能度不高。第二代SLB通常提供精心定制的硬件或基于ASIC的独特架构,用于提供高速智能数据包处理性能。这些设备也可基于HTTP报头中的一些信息,提供特殊的负载均衡决策。这是一个重要进步,使第7层SLB能够将单个最终用户与其使用的服务器“关联在一起”。第二代SLB还实现了对防火墙、网桥和不带IP地址的设备的负载平衡功能,从而添加了粒度更细的第4层控制能力。但第4层-第7层SLB的基础版本与第4层SLB的基础版本极其相似,其第7层功能也相对简单,而且真正让第7层功能有效展开,实际上它的数据处理也是非常困难的。往往L7层功能的启动会严重影响流量的处理能力。5由于Web-Base的应用在此时已成为主流的应用模式,而且绝大多数负载均衡设备上承载的90%应用流量为HTTP应用,市场对负载均衡设备解决因“Web化”所带来的新问题又基于厚望。因为此时传统的数据中心为保障HTTP应用安全、可用和高性能,在Web服务器前部署了众多繁杂的产品,如服务器负载均衡器(SLB),SSL加速器,Web缓存,应用防火墙以及更多的Web服务器来应对这些挑战。这又使得Web数据中心的架构变的更加复杂,设备互操作性存在隐患,而且投资不断增加,这都是目前用户所不愿意看到的,即便如此,可能性能方面依然不尽人意。因此如何彻底解决Web-Based应用的性能问题和安全问题成为一个热点话题。近2年,第二代负载均衡的市场已经出现严重滑坡,并最终被提供更高级功能(包括SLB功能)的规模更大的新市场所取代。由此进入第三代负载均衡设备时期,业界将新一代具有安全、优化功能的负载均衡设备称为——应用交付控制器(ADCApplicationDeliverController),它们显著的特征真正降低服务器群集上的工作负载,最大限度的发挥Web和应用服务器的处理性能,而不只是简单的均衡负载和转发。2.3.3第三代负载均衡产品最新一代负载均衡设备已经基本放弃负载均衡的称谓,而应用交付的概念日益增强,思杰的目标是通过新一代的技术平台产品为企业建立新兴的数据中心。思杰NetScalerWeb应用交付平台能够在全面考虑用户、会话和业务内容上下文的情况下高效处理应用数据,同时提供对Web服务器的减负功能,提高服务器在HTTP处理上的效率。虽然经历这些复杂的数据处理过程,其性能及吞吐量仍达到网络设备线速高吞吐能力,而集成的第4层-第7层流量管理功能只是该平台的一个特性。由此可见,思杰NetScalerWeb应用交付平台是旨在适应新型数据中心的产品,它在简化数据中心整体架构的同时提供了全面有效的优化功能,并且这些产品的性能不会随功能的添加而降级。它避免了集成多个厂商或多种产品的复杂程度,同时也避免了设备之间相互功能对彼此性能方面的影响。而且思杰NetScaler产品采用真正的平台的方法允许对用户的HTTP请求进行优化整合,代替传统产品进行简单转发的功能,更有效的实现了负载均衡和对后台服务器6的减负作用。除此之外管理员仅通过简单的操作就可以实现功能的启动和关闭,简化了管理和维护方面的复杂性。2.4应用交付网络在各个环节的作用针对应用交付的各个环节中的薄弱点,应用交付网络提供了端到端的解决方案。服务器整合:通过使用本地负载均衡、应用优化设备,实现服务器的高可用性、高安全性和可扩充性。安全攻击:通过网络层安全防护、应用层安全防护和传输通道加密技术,提高系统的整体安全性。用户分散加剧:通过广域网用户引导、多链路用户引导等技术,引导用户选择最佳的数据中心,通过最佳的链路到达应用服务器。SOA建设:通过多协议、多平台的支持,对应用中的各种协议流量进行分析,实现精确引导和应用分布。应用系统复杂性增大:通过对应用系统的深层次识别和各种应用加速技术,提高应用系统的访问效率和响应速度。终端种类增加:应用交付网络通过对各种终端的识别,根据终端的类型对用户进行引导,并通过对各种终端接入设备的支持。增强系统的容错特性和安全性,优化各类终端的访问速度和效率。三、思杰NetScaler产品优势CitrixNetScaler应用交付解决方案将传统数据中心产品的各项特性与功能整合至一个单独的网络设施中,其中包括负载均衡、缓存、SSL加速、攻击防御和SSLVPN等。这一系列的精心设计旨在最大限度地提升应用性能。下文将分别阐述部分思杰NetScaler产品的技术优势。3.1先进的“请求交换”核心技术NetScaler拥有专利的请求交换技术是得到业界广泛认同的,传统负载均衡技术向新一代流量管理技术演进的方向。NetScaler打破了存在于连接和请求之间的关系,并在请求层检测所有的流量,请求交换提供了高性能的,安全的,可扩展的应用层服务。7请求交换技术的核心是一个新的运行范例,正是在这之上,NetScaler系统分开管理每一客户端连接以及服务器端连接。因为NetScaler系统是每个客户端以及服务器端连接的终点,而不是简单的传输连接,所以它能提供以前其他流量管理系统所无法达到的许多加速和优化技术。因为请求交换引擎被专门设计来在请求层检测流量,所以负载均衡以及内容交换可以非常高效的完成。策略以及过滤可以在进入的请求上被应用并且丝毫不影响性能。成熟的负载均衡算法以及健康检查机制保证了服务的均衡性以及持续可靠性。先进的加速和优化技术在降低服务器负载的同时更快的把内容传送给了最终用户。3.2新一代的负载均衡技术与传统负载均衡设备不同,NetScaler基于应用请求而不是网络连接进行负载均衡,最终达到的是服务器负载的均衡而不是服务器连接数量的平衡。真正实现用户对负载均衡效果的预期。3.3提高应用性能2-15倍8利用Citrix独有的请求交换技术,NetScaler在提供负载均衡的同时,对应用进行优化与加速。连接复用和TCP卸载:NetScaler代替服务器终结客户端TCP连接,而且多个客户端请求被复用在少量服务器端连接内发送给应用系统。使用NetScaler进行负载均衡的服务器上的连接数比通过传统负载均衡设备均衡的服务器上的连接数降低几十至几百倍,服务器CPU和内存消耗大幅度降低,应用响应速度提高1-5倍。AppCompress压缩技术:利用NetScaler内置的压缩功能,可以将广域网传输数据量减少3-50倍,提高应用的响应速度。此外,NetScaler还提供AppCache高速内存缓存技术,TCPB网络优化技术等多项优化功能,通过综合应用上述功能,如果用户使用NetScaler作为负载均衡设备,他们就可以在获得负载均衡功能的同时,获得2-15倍的应用速度提升。93.4为应用提供最佳的安全性NetScaler利用先进的请求交换技术,可以有效地抵御L4的DoS/DDoS攻击和各种已知与未来的L7攻击。NetScaler基于请求交换技术的抗攻击能力是采用SynCookie/Delaybinding防御方式的传统负载均衡交换机的10倍以上。3.5业界最全面的解决方案CitrixNetScaler系统把传统数据中心的各种纷繁产品的功能,例如:负载均衡,缓存,压缩,SSL加速,攻击保护,SSLVPN等,融合进了单一的产品中,并利用其专利的“请求交换”技术,从底层整合各种功能,以极高的效率提升应用的性能、可靠性和安全性。通过L4-L7层的SLB功能和智能的服务器健康检查特性,多数据中心和多链路的容灾保障100%的应用可用性通过动,静态缓存,压缩以及当前流行的Speedy,MPTCP等技术实现5倍以上的应用访问加速通过TCP连接复用,SSL卸载等功能来节省平均60%的服务器资源,对于Web2.0这样非常消耗硬件资源的应用这是非常重要的一个特性通过继承的SSLVPN,Web应用防火墙,L3-L7层的安全防护功能保障端到端的访问安全,企业避免信息泄露。CitrixNetscaler的完整功能整合并不是简单的功能叠加,简单的功能叠加的产品在使用中很可能会造成系统性能的严重下降从而导致设备成为性能瓶颈。Netscaler在OS层中进行整合优化,同时针对特定的功能芯片做了更好地驱动优10化,大量的互联网用户的广泛使用证明了NS在面对大流量访问时的高性能和高稳定性。3.6多核并行处理技术(nCore)提高产品性能Citrix®NetScaler®nCore™技术作为一种高性能的并行处理架构,可利用多核技术实现有效扩展,以满足要求最为严苛的Web应用的需求。要构建能有效利用多核处理器的系统必须考虑以下两个问题:(1)系统如何能够确保所有CPU核一直处于工作状态?(2)系统如何消除处理器间的同步损耗?两者是相辅相成的,消除处理器间的同步损耗让每个处理器可尽可能地实现最佳性能。要了解NetScaler如何成功避免同步操作,首先必须掌握NetScaler数据包处理引擎的本质特性。3.6.1NetScaler数据包处理引擎CitrixNetScaler数据包处理引擎的目的是将数据包从网络中分离出来,执行大量TCP/IP处理进程,加速和优化任务,以及执行安全策略。当数据包处理引擎处理完成一组数据包时,便会将回应返回到网络,然后继续处理新的数据包。NetScaler数据包处理引擎的高效率使其可在几微秒内完成数据包的处理。NetScaler超低延迟数据包处理引擎优化了Web应用交付和用户体验。利用精心设计的分段数据包处理,数据包处理引擎即可消除数据同步需求。这样一来,单个CPU核上运行的单个数据包处理引擎可支持几千兆的吞吐量。与基于Linux的传统产品相比,NetScaler数据包处理引擎的高效率所带来11的影响是非常值得赞赏的。传统的LinuxTCP堆栈会让数据包在不同层之间传输时进行排队处理,而每一层在接收数据前都会产生大量的数据同步损耗。正因为如此,一些基于Linux并结合ASIC芯片处理数据交换的产品设计会将这种延迟放大。值得注意的是,随着NetScaler平台的发展,不需要数据同步已变成一个差异化的特征,使得NetScaler能够以极高的效率将数据包处理引擎延伸到多个处理器核心。3.6.2零共享设计提升性能所面临的共同挑战就是共享。多个组件需要共享数据时,性能就成了问题。零共享有以下几大好处:1、无同步化开销2、大幅降低复杂性,从而提高稳定性3、可更妥善地处理故障,因为组件之间不会互相影响nCore架构利用NetScaler数据包处理引擎的关键属性实现了零共享设计。3.6.3零共享的运作原理nCore零共享架构采用了一系列数据包处理引擎,每个引擎都具备完整的NetScaler功能,可通过专用存储空间实现应用优化和加速。由于每个数据包处理引擎都可执行所有的功能,因而可完整进行Web应用交易,无需借助其它数据包处理引擎的力量。引擎之间的相互独立让同步不再成为一个问题。同时,资源争夺让数据包处理引擎再也不用相互等候。如此一来,NetScaler可在极短的延迟时间内实现极高的吞吐量。数据包处理引擎在每个CPU上运行时有两种不同的状态:1)搜寻需要处12理的数据包;2)正在处理数据包。每个数据包处理引擎搜寻的是基于硬件的数据包队列中的数据包。为了支持零共享理念,每个数据包处理引擎都有自己的队列,不和其它CPU核共享。因为硬件部署是完全对称的,因此,出站数据包也将通过每个处理器的专用队列发送出去。由于每个数据包处理引擎可利用整个CPU核,因此每个CPU核与数据包处理引擎之间进行1对1映射,确保硬件提供的每个可用周期都可得到充分利用。随着系统新增CPU核,可大幅提高线性性能,提高平台在将来的可扩展性。3.6.4数据包队列中的流量分配方法在多核CPU系统设计中,CPU核之间分配网络流量有多种方法,常用的三种方法如下:1、功能并行性2、将网络接口映射到处理器3、单独流量分配在应用交付领域,功能并行性的典型实现方法是通过分离多核CPU之间的任务来实现的。结果,指定CPU核只承担相应功能。例如,核1专门用于管理网络流量,核2用于处理TCP/IP,核3用于7层(如HTTP)处理等等。这在表面上似乎也很合理,因为它将一种功能的峰值从另一种中分离了出来。然而,在现实情况下,这种架构通常会大幅降低CPU多核的利用率。例如,如果一个应用要求进行更多的7层处理,而不是SSL处理,它也不会将未使用的CPU资源从SSL转移到7层处理上。将网络接口映射到处理器是传统的网络领域方法,这种方法是将物理口连接到指定CPU核上。更新一些方法则是将IP地址映射到指定CPU核。然而,与功能并行性类似,这也依然无法实现均衡多核CPU之间的负载,单个应用就有可能用尽单一CUP核的容量,而不能利用其它空闲CPU的容量。经过对功能平行性以及将网络接口映射到处理器这两种方法的评估后NetScalernCore技术决定选择单独流量分配的方法。其实,这种方就是最细粒度的负载共享机制,充分利用了单个数据包处理引擎可执产品的每项功能这一能力,最终实现均衡多核CPU之间的负载,确保单个应用或功能不会受制于单个CPU核的容量,仍可以使用其它空闲CPU的能力。13为了以最高速度实现单独流量分配,必须使用对称的流量分配器。这种特殊的硬件可捕获发送到每个网络接口的数据包,并快速确定由哪个数据包处理引擎入站队列来接收指定的网络流量。由于决策的根据是TCP/IP报头信息,因此,分配器必须确保指定流量的数据包会发送到相同的数据包处理引擎。流量分配器使用的算法均衡了所有数据包处理引擎之间的流量分配,从而确保所有数据包处理引擎能支持系统的全部工作负载。在nCore架构中,宝贵的处理器资源决不会用于数据同步损耗,也会均衡地分配网络流量。四、NetScaler产品体系架构CitrixNetScaler是一款智能地分配、优化和保护Web应用的4层-7层(L4-L7)网络流量的应用交换机。除了可以提供多种应用优化,应用安全以及应用高可靠设计等多种上层功能模块外,在产品底层架构上,NetScaler也有具有非常独特的专利架构。NetScaler在底层架构上有两个非常智能,且协调工作的模块-应用交换引擎与AppExpert策略框架。应用交换引擎将HTTP应用层的数据提取出来,根据这些应用的特性,使用14者可在AppExpert策略框架上灵活编写策略调用上层的功能模块(例如压缩,缓存等)。4.1应用交换引擎NetScaler拥有专利的应用交换引擎展示了下一代的流量管理技术。NetScaler打破了存在于连接和请求之间的关系,并在请求层检测所有的流量,应用交换提供了高性能的,安全的,可扩展的应用层服务。基于该引擎,NetScaler系统分开管理每一客户端连接以及服务器端连接。因为NetScaler系统是每个客户端以及服务器端连接的终点,而不是简单的传输连接,所以它能提供以前其他流量管理系统所无法达到的许多加速和优化技术。应用交换引擎被专门设计来在请求层检测流量,所以负载均衡以及内容交换可以非常高效的完成。策略以及过滤可以在进入的请求上被应用并且丝毫不影响性能。成熟的负载均衡算法以及健康检查机制保证了服务的均衡性以及持续可靠性。先进的加速和优化技术在降低服务器负载的同时更快的把内容传送给了最终用户。应用交换引擎是NetScaler应用交付系统的技术核心。基于在请求层管理流量的原理,应用交换引擎可以在最终用户的地理位置和连接速度各不相同的情况下高效的加速和优化内容传输。由于NetScaler系统是一个在客户/服务器端15通信代理,因此NetScaler可以最大限度的利用HTTP1.1对于连接保持的优越特性。多个请求可以在一个客户连接上被复用,这样消除了连接建立的时间以及客户端的延迟。与服务器保持的常连接,可以复用多个客户端来的请求,甚至可以是从不同客户端来的,或者甚至客户端不支持连接保持。这将减少TCP连接在服务器上的消耗,使得服务器可以更有效的专注于内容的服务。此外,应用交换引擎具有优化过的TCP/IP堆栈,确保NetScaler系统消除服务器对于客户端连接速度的依赖性。一旦一个向服务器的请求建立,响应可以线速传递到NetScaler系统。NetScaler系统会缓冲该响应并以客户端连接速度来把内容传递给客户端,这样使得服务器可以持续服务接下来的其他请求。4.2AppExpert策略框架AppExpert策略框架是整个NetScaler功能调用的核心,可提供Web应用流量以及所有NetScaler功能模块如何发挥作用的控制者。AppExpert策略框架定义NetScaler上的流量过滤和管理的特定详细信息。它由两部分组成:表达式和操作。表达式定义策略匹配的请求类型。操作告诉NetScaler当请求匹配表达式时做什么。例如,表达式可能要使特定的URL请求与某种类型的安全攻击相匹配,操作为断开或重置连接。每个策略都有优先级,优先级确定评估策略的顺序。当NetScaler收到流向或来自它管理的任何服务器的流量时,相应的策略列表将确定如何处理流量。五、产品功能描述5.1保障应用可靠性功能16NetScaler的对应用的多种高可靠性保障机制可在不影响应用或用户的情况下自动重新分配资源,并根据流量大小增加或减少容量,从而实现了服务器资源的最佳使用。保障可用性的设计允许用户只会访问到正确的应用资源,因此可确保应用处于100%的可用状态,消除了停机和灾难期间常见的故障时间。5.1.1本地服务器负载均衡用户可根据系统的实际情况,在NetScaler中定义若干个虚拟服务器(也称为vserver或者VIP),其上包括了一个IP地址和端口。这个虚拟服务器被设置成与一组运行在真实服务器群上的真实服务所绑定。真实服务包含了后台真实服务器的IP地址以及端口。在这样的情况下,一个客户发送一个请求到虚拟服务器,然后虚拟服务器在真实服务器群中选择一个并将请求转发到该真实服务器。不同的虚拟服务器可以设置成与不同的真实服务绑定,例如TCP以及UDP服务。虚拟服务器支持的协议和应用包括:HTTP,FTP,SSL,SSLBRIDGE,SSLTCP,NNTP以及DNS等等。同时对于某些特定的服务,我们在虚拟服务器上配置“会话保持”:一旦一个服务器被选择了,后续的从该用户发出的请求都被转发到同一服务器上。“会话保持”对于那些状态需要保存在服务器上的应用,例如:购物系统等是非常重要的。NetScaler主要支持的“会话保持”算法包括:源IPCookieSSL会话IDURL客户化服务器ID策略(可以选择任何HTTPHeader中的对象)源和目的IP目的IPNetScaler系统也负责检查服务器群的服务的健康状况。一旦发现服务有问题,NetScaler系统仍将继续依照负载均衡算法把服务转向到其他正常的服务上去。NetScaler主要支持的健康检查算法包括:PING17TCPHTTPTCP-ECVHTTP-ECVUDP-ECVDNSFTPRADIUSUSERHTTP-INLINESIP-UDPLOADFTP-EXTENDEDSMTPSNMPNNTPMYSQLLDAPPOP3CITRIX-XML-SERVICECITRIX-WEBINTERFACE负载均衡算法指定了负载均衡的标准,也就是说,负载均衡算法选择了一台真实服务器来传递用户的请求。如果这个被算法选定的最合适的服务器达到或者超过了其最大用户连接数(使用-maxClients在CLI命令行中队服务进行设定),那么另外一个连接数比较合适的服务器将被代替。这个方法可以通过在均衡算法中将连接数作为权重设置来实现。NetScaler系统可以设置按照以下这些算法来实现服务器负载均衡:最少连接数轮询(可加权或比率)最少响应时间18最低带宽最少包令牌URL散列法域名称散列法源IP地址散列法目的IP地址散列法源IP-目的IP散列法自定义的基于SNMP的判断5.1.1.1数据库服务器负载均衡数据库的查询是非常消耗服务器的CPU资源的,传统的SLB设备仅能基于TCP连接做数据库的负载均衡,不能做到真正意义上的基于7层应用实现负载均衡,同时对于服务器的健康检查方式也非常单一,仅能检查数据库端口是否正常,无法判断数据库处理是否正常。Netscaler独有的DataStream功能,可以帮助企业实现基于MySQL和SQLServer数据库的负载均衡。可以实现基于数据库的操作内容来进行读写分离,负载均衡,同时通过前述的TCP连接复用等功能显著提成服务器性能。Netscaler特有的数据库健康检查可以更准确的判断数据库是否正常。195.1.2TrafficDomain实现设备虚拟分区在传统的解决方案中,单一设备是不能实现多租户的功能,即一台设备可以给多个不同用户使用,复用相同的IP,路由等。TrafficDomain帮助企业在单一的ADC设备中实现多租户功能,同时其重点是允许路由和IP重用。TrafficDomain使我们的用户可以创建多个逻辑分离租户,所有租户并存同时相互之间不可操作,不可见。在每一个TrafficDomain中,Netscaler的功能模块均可以得以实现。需要说明的是,TrafficDomain并不是真正意义上的做租户设备,所有Domain共享硬件资源,在下文Triscale中,将着重介绍NetscalerSDX多租户解20决方案。5.1.3全局负载均衡NetScaler为数据中心应用交付提供多种优化和提高可用性的功能,但针对全局多站点间负载均衡需求,主要用到了NetScaler的全局负载均衡功能。NetScaler的全局负载均衡功能可以把客户对一个网站的访问请求引导到分布在Internet上多个站点中性能最佳的一个站点。从而实现用户的就近访问,站点之间的负载均衡和远程容灾。下图为典型的全局负载均衡部署NetScaler支持的全局负载均衡算法(量度方法)如下:轮询21源IP地址散列站点服务器连接数最少站点服务器响应最快站点带宽最低站点数据包最少自定义的基于SNMP的判断静态的就近性动态的就近性上述算法中的第1、2种算法的作用主要是将客户端的访问均匀的分散到各个站点,实现站点之间的负载均衡和远程容灾;第3-7种算法可以将用户端的请求引导到服务器性能最好或服务器最空闲的站点,主要用在服务器运算密集型的应用场景;第8-9种算法可以将用户端的请求引导到距离用户最近的站点,实现用户的就近访问。在全局负载均衡中,NetScaler可以根据用户所在的地理位置和用户使用的ISP链路,选择用户访问Web站点接入的ISP链路,NetScaler的全局负载均衡功能是基于DNS实现的,并由NetScaler系统自动智能判断。因此常用的全局负载均衡配置方法如下:部署多台NetScaler,分别用来解析DNS查询请求。当NetScaler收到一个DNS请求后,1.如果该请求是来自网通或电信的IP地址段,则根据静态就近性算法,判断此用户是网通还是电信用户,并返回响应的解析结果给用户,即网通用户使访问网通站点,电信用户访问电信站点。其中,静态就近性算法是指NetScaler依靠一个预先手工配置好的“IP地址与地理位置的映射列表”选择就近的站点,例如,我们可以在NetScaler中配置以下信息100.100.100.0/24中国.网通.北京100.100.101.0/24中国.网通.河北.石家庄100.100.102.0/24中国.网通.河北.保定100.100.103.0/24中国.网通.河北.唐山100.100.111.0/24中国.网通.山东.济南22100.100.112.0/24中国.网通.山东.青岛200.100.100.0/24中国.电信.北京200.100.100.0/24中国.电信.上海……当一个用户访问NetScaler时,NetScaler根据用户端的源IP地址在列表中查询出其所处的地理位置或运营商信息,并与各个站点的地址位置和运营商信息进行匹配,匹配长度最长的站点一定是距离客户端最近的站点或相同的运营商,NetScaler就使用该站点或运营商的IP地址响应DNS请求。2.如果用户请求是来自非列表中的IP地址段,我们不确定该用户访问哪个站点效果更好,则可以让两台NetScaler分别通过动态的就近性算法探测用户的本地DNS服务器,测量由客户端网络到达各站的速度,并依据这个量度,选择访问速度最快的站点,解析域名到该站点对应的IP地址,从而将用户访问引导到该站点。3.如果通过动态就近性算法探测发现用户访问各站点的速度相同,NetScaler则采用轮询算法(ROUNDROBIN)将用户访问平均分配到各站点上,确保入站流量的负载均衡。4.当一个站点发生故障,无法正常工作时,NetScaler会自动发现,并把用户访问全部集中到正常工作的另一站点,从而确保站点的高可用性。5.1.4链路负载均衡NetScaler也可以对相同站点内多个WAN链路实行负载均衡并提供故障转移,从而进一步优化网络性能并确保业务持续性。NetScaler的应用智能流量控制和健康状况检查可以在上联路由器之间有效地分配流量,从而确保网络连接保持高度可用。确定最佳WAN链路以根据策略和网络条件路由入站和出站流量,并通过提供快速的故障检测和故障转移使各项应用免受WAN或Internet链路失效影响。5.1.5多数据中心扩展Netscaler可以将企业多个数据中心实现二层打通,帮助企业构建一个透明的扩展的数据中心。使用Netscaler的CloudBridgeConnector功能在两个数据中心之间建立一个(IPsec+GRE封包)安全二层隧道。通过这样的方式,企业无需23在重新规划IP,修改应用网络设置,只需用现有的架构进行扩展即可。5.1.67层请求交换NetScaler提供的7层请求交换是Web应用系统的基础,它是拥有最佳的性价比,能保证持续,安全的Web应用。基于在网络优化方面的领先研究,请求交换技术以最有效的方法处理Web应用流量:在应用请求层进行分析,然后加入安全性,重定向进入流量,使得优化流向,保护以及控制流量变为可能。基于这些技术,NetScaler打破了应用请求对于传输层的依赖性,从而实现了每个最终用户的请求。这一独特的处理特定应用请求以及响应的能力,使得应用层得到保护,网络基础得到全面优化,而这是其他技术以及方案所不能提供的。下图为一个请求交换的示例:24AppExpertPolicyEngine应用1应用1用户用户应用2应用2根据分析HTTP7层信息将用户访问分配到不同的后台应用服务器组HTTP请求Header字段;HTTP请求body字段;HTTP响应Header;HTTP响应Header字段;……5.1.7浪涌保护由于NetScaler架构工作在应用层面,因此NetScaler能够实施监控服务器的处理能力。通过比较收到请求的速率和服务器响应的速率,能够了解服务器目前的处理能力,如果一组Web服务器已经不能处理更多的请求,NetScaler会拿出自己的内存缓存数据,根据Web服务器的响应速度,适量发送请求给后端的Web服务器。NetScaler的浪涌保护能确保服务器不会在连续高流量作用下出现“雪崩式瘫痪”。CitrixNetScaler过载队列5.1.84–7层带宽控制5.1.8.1优先级队列当用户的Web站点在由于攻击出现浪涌流量的时候,所有客户端对服务器资源的访问出现争抢的现象。NetScaler通过优化流量队列确保重要的流量分配高优先级,同时用户可以通过NetScaler策略引擎定义对重要流量的定义,无论从网络层还是应用层。优先级队列特性区分流量的高优先级和低优先级,确保25重要流量对Web服务器资源的访问。5.1.8.2最大连接与带宽控制用户可以选择采用基于最大连接数或者基于带宽的流量控制,可根据服务器组的处理能力为每个VServer或服务器配置最大连接数或这带宽,当连接数或带宽到达设定的的阈值后,可根据用户自定义的策略重定向流量到备份VServer或者限制用户访问。5.1.8.3HTTP/TCP/DNS请求速率控制NetScaler不仅可以为应用分配优先级,限定最大连接数和带宽,而且可以控制用户访问应用的速率。以HTTP请求为例,当一个客户端的访问速率超过50个请求/秒,NetScaler可以识别访问速率,并根据预先配置好的策略处理超过此速率的请求,例如重定向或阻止,从而确保后台服务器或应用的可靠性。对TCP新建连接速率,以及DNS查询速率同样可以进行控制。5.2提高应用性能功能NetScaler提供加速Web应用性能的多种功能,为企业带来了直接的效益,提高员工生产效率,增强网络通信,并提高用户满意度。下文将介绍NetScaler提供的多种加速Web应用交付技术。5.2.1TCP连接复用对于HTTP流量,NetScaler系统通过利用保持自己与用户端的连接以及保持自己与服务器的常连接的技术来保证了快速的页面下载时间。这个是通过在客户端以及服务器上的HTTP“连接保持”技术来实现的。对于服务器来讲,它永远只感觉到自己在和一个一直保持连接的用户(就算实际上该用户不是一直保持连接的)进行交互。而对于客户端来讲,它永远感觉到自己在和一个保持连接的服务器在进行交互(就算实际上该服务器被设置成例如一个请求一个连接这样的非keep-alive方式).这一常连接保持技术利用在客户系统上,可以显著提高用户客户端的页面下载时间。其原因在于用户不需要再建立新的连接,而一般来讲这些新建连接过程在WAN上通常会带来50到500ms的延迟。服务器端的常连接保持带来的服务器服务卸载。NetScaler保持与服务器的连接,并且所有来自客户端的连接被NetScaler终结。这样的情况下,服务器可26以将更多的资源用在对于用户请求的响应上而不是去浪费在TCP连接的建立和拆除的管理上。常连接保持使得服务器上只存在有较少的连接,服务器CPU/内存使用率被显著降低,其原因是服务器现在处理的连接建立和拆除进程减少很多了。NetScaler连接复用工作原理示意图如下:5.2.2优化TCP协议栈NetScaler设备除了具有TCP连接复用优化技术之外,它还依据IETF的最新研究成果,按照RFC相关标准,提供优化TCP协议栈的一些功能。在基于标准的TCP/IP协议上,创新性地实现了SACK选择性确认(RFC2018)和WindowsSize缩放(RFC1323)等功能。这些技术的支持,极大的提高了TCP/IP协议栈的效率,确保NetScaler在那些广域网链路环境下具有更佳出色的吞吐能力和传输效率。为那些通过广域网访问应用系统的最终用户带来高达5倍的性能提升,并提高广域网链路的使用效率。5.2.2.1SNAKTCP通信时,如果发送序列中间某个数据包丢失,TCP会通过重传最后确认的包开始的后续包,这样原先已经正确传输的包也可能重复发送,急剧降低了TCP性能。为改善这种情况,发展出SACK(SelectiveAcknowledgment,选择性确认)技术,SACK信息是通过TCPHeader的选项(option)部分提供的,该选项参数27告诉对方已经接收到的不连续的数据块,这种机制的好处是接收方能通知发送方哪些数据丢失,哪些数据重发了,哪些数据已经提前收到等。发送方可根据此信息检查究竟是哪个块丢失,从而发送相应的数据块。这样TCP发送方就只重新发送丢失的包,不用发送后续所有的包,显著的提高了有损网络中的数据传输效率。5.2.2.2WindowsScalingWindowsScale窗口缩放因子参数也是通过TCPHeader的选项(option)部分提供,窗口扩大选项使TCP的窗口定义从16位增加为32位。典型的TCP数据包头信息中通过16个bit描述WindowsSize的大小,也就确定了数据发送和接收的容量,按照16bit位计算,最大的WindowsSize是65525字节(2^16=64KBytes)。假设每次WindowsSize都能协商成为最大值(网络条件非常理想的情况),这意味着,数据传输在确认完成64KB后,再发送下一个64KB数据,否则必须等待,在链路延迟较大的情况下,等待Ack的行为会降低传输效率,表现为数据吞吐较低。而RFC1323扩展了这一限制,通过TCP数据包头Option部分定义一个WindowsScaling(窗口缩放因子)参数,将TCPWindowsSize(窗口大小)维持为32个bit的值,达到2^32=4GBytes。NetScaler设备启动WindowsScaling功能后缺省TCP窗口大小扩展为1MBytes,WindowsScale的factor设置最大为14,即支持最大TCP传输窗口尺寸为2^30=1GBytes,这种技术的采用,有效减少了协议交互的次数,使得在广域网上的数据传输吞吐大大提高。5.2.2.3TCPWestwoodTCPWestwood为移动应用提供更好的拥塞控制。无线应用数据传输中Packetloss是一个大麻烦,如Wifi用户在不同的接入点间切换丢包,3G用户在不同的基站间切换丢包。现有解决方法:检测到packetloss,把拥塞窗口大小减半。好处:为宽带用户提供良好服务,更快适应到新的传输速率。坏处:如果丢包频率稍高,如移动用户,将会较大降低传输速度。TCPWestwood:检测到packetloss,将拥塞窗口减少到一个适应的估计值。如何实现:使用“灵敏探针”来跟踪估计带宽28估计带宽=(amountofdataacknowledgedinaninterval)/time可以看到,使用TCPWestwood后,数据传输变得更为平滑稳定。5.2.2.4Multi-pathTCP协议支持TCP传输失败导致最终用户体验变差,并造成重大传输延迟。今天,我们可以看到移动设备可以有多个路径连接到资源,但是,没有什么好办法可以有效地利用多条路径。多路径TCP专注于给最终用户带来最好的多条路径,同时减少延迟和提高最终用户体验。5.2.3SSL卸载SSL卸载可以将CPU密集型的SSL加密或解密任务从本地Web服务器转至NetScaler,从而释放Web服务器资源来处理请求。SSL卸载可以确保Web应用的安全交付,并且不降低性能。在将SSL流量解密之后,所有标准服务都29可以对其进行处理。处理安全SSL事务会消耗Web服务器的CPU能力的很大部分,降低性能并提高最终用户的响应时间。SSL加速会透明地改善进行SSL事务的Web站点性能。SSL协议可以无缝运用于各种类型的HTTP和TCP数据,为使用此类数据的事务提供了安全通道。配置了SSL加速的NetScaler位于Web服务器的前面,它在此代表服务器拦截SSL事务、处理SSL事务、应用负载均衡和内容交换策略,然后将事务传送给服务器。SSL功能的实现如下图:5.2.4HTTP压缩NetScaler提供HTTP压缩功能,压缩功能通过减少下载时间和带宽使用来改善性能。压缩功能在具有HTML或其它可压缩内容(静态或动态生成)的原始站点实施。NetScaler会压MIME类型的内容,例如text/html、text/plain、text/xml、text/css、text/rtf、application/msword、application/vnd.ms-excel、application/vnd.ms-powerpoint、InternetExplorer、Firefox和Netscape等浏览器会拦截HTTP压缩。30NetScaler不压缩属于application/octet-stream、二进制或字节类型的内容,也不压缩GIF或JPEG格式的图像。配置了压缩策略的NetScaler会拦截来自启用压缩的客户端的请求,并应用压缩策略以确定客户端是否可以接受可压缩内容。在收到来自服务器的HTTP响应后,NetScaler检查内容以确定是否可以压缩。如果内容可压缩,NetScaler将对其进行压缩,修改响应标头以指明所执行压缩的类型,并将压缩的内容转发给客户端。NetScaler中压缩功能处理流程如下所示:5.2.5Web缓存利用NetScaler的Web缓存功能,将服务器上最常被访问的Web对象缓存在NetScaler设备的内存中,以极高的效率响应用户的请求。同时,针对这些Web对象的访问将不再发往服务器处理,大幅度降低了服务器的访问次数,降低了服务器负载。进而提高了服务器的处理速度,减少了所需服务器的数量。此外,NetScaler还提供了创新的参数化动态内容缓存功能,可缓存数据库查询等动态的内容,例如对基金证券净值的查询是一个典型的动态应用,传统31缓存设备和负载均衡器根本无法缓存此类内容。而NetScaler使用其参数化动态内容缓存功能,将动态内容转换为可缓存内容,减少了数据库99%的动态运算,大大降低了数据库负载。5.2.6SPDY协议支持一种新的网络协议“SPDY”(发音同“speedy”)由谷歌开发,以最小化网络延迟,提升网络速度,优化用户的网络使用体验。SPDY并不是一种用于替代HTTP的协议,而是对HTTP协议的增强。新协议的功能包括数据流的多路复用、请求优先级,以及HTTP包头压缩。谷歌表示,引入SPDY协议后,在实验室测试中页面加载速度比原先快64%。这一数据基于对全球25大网站的下载测试。目前SPDY团队已经开发了一个可使用的原型产品,谷歌决定开放这一项目,希望“网络社区能积极参与、提供反馈及帮助”。要使用SPDY,浏览器和应用程序都需要支持,目前,主流的浏览器均支持SPDY,后端应用程序需要对SPDY进行支持方才可以工作。但是,现阶段,企业的很多应用已经开发完毕并且在线使用,很难在为了SPDY在对现有应用进行二次开发。Netscaler目前已经支持SPDY协议,可以作为SPDY网关将企业的应用通过SPDY协议让客户端进行访问。5.3增强应用安全性功能NetScaler应用交付系统具备全面的攻击防御系统,可确保系统不受DoS、DDoS、网络蠕虫/病毒和应用专用漏洞的攻击。底层应用交换技术支持NetScaler应用交付系统对应用请求进行检查,辨别恶意内容并阻止其进入应用32服务器。下文将介绍NetScaler提供的多种安全防护机制。5.3.1L4层DOS攻击防护NetScaler系统使用SYNcookies原理来防范SYNFlood等DoS/DDoS攻击。Cookies被发送到发送请求的用户端,该初始会话状态没有被保留在NetScaler系统上。正因如此,NetScaler没有为该会话分配内存,正常的由合法的用户发出的TCP连接并不会被打断。NetScaler系统的SYN-Cookie概念一直是起用的,并不需要其他额外配置。NetScaler系统在收到非HTTP流量的最终ACK包或者收到HTTP流量的HTTP请求包时才为连接分配内存。正因如此,NetScaler系统可以达到非常高的SYN处理能力。NetScaler系统的SYNcookie机制确保了以下几点:1.NetScaler系统的内存不会浪费在非法的SYN包上,实际上,内存只被用来向合法用户提供服务。2.合法用户的普通的TCP对话可以不间断的得到服务,就算系统在SYNFlood攻击下也是如此。3.正由于内存只在收到HTTP请求后才予以分配给连接,NetScaler系统使得Web站点避免受到“空闲连接”攻击。5.3.2L7层DOS攻击防护一般来讲,有两种类型的7层HTTPDoS攻击:Get攻击以及IDLE攻击。对于Get攻击,黑客在一个连接建立后发出非常多的Get请求。对于IDLE攻击,攻击者在连接建立后恶意停止一切活动而空闲等待。NetScaler系统在处理时,当连入的Session速率达到一个预先设定的门限值时,DOS防卫功能就自动触发。NetScaler系统会抽样对一部分客户端请求发送带有SET-COOKIE的响应。恶意攻击主机通常不会响应Set-Cookie,所以这些攻击包就会被丢弃。而普通正常的HTTP请求不会受到影响。这个触发的门限值以及发送Set-Cookie的比例值可以针对每个服务来精细微调。并且,由上所述,连接不会在第一个GET请求到达前建立。所以NetScaler系统也可以有效的防止IDLE攻击。335.3.3内容过滤NetScaler不但支持基于源/目的地址、源/目的端口、协议类型等三、四层基本的过滤功能,而且NetScaler通过分析IP地址等网络层信息和HTTPGet和Post等应用层请求信息,来过滤客户端对Web应用的访问,即七层内容过滤。当出现已知攻击的情况下,NetScaler可以根据其策略引擎灵活定制过滤策略。例如类似Nimda和红色代码等攻击,我们都可以通过定制针对HTTP请求的URL的过滤策略,防止攻击的产生。5.3.4Web应用防火墙Citrix应用防火墙(ApplicationFirewall)作为NetScaler中的一个安全模块,用来防御已知和未知的Web和WebServices应用攻击的高性能且强大的安全设备。Citrix应用防火墙(ApplicationFirewall)实施了只允许正确Web应用行为的积极安全模型,而无需依赖攻击签名。应用防火墙(ApplicationFirewall)分析所有的双向流量,包括SSL加密通信,防御16个层面的Web应用漏洞而无需对应用进行任何修改,可作为能够满足各种部署需求的特制设备,而且它具有两种软件版本以便在威胁、应用和防御变得越来越复杂时能够提供升级功能。345.3.4.1阻止16大类Web漏洞攻击缓冲区溢出CGI-BIN参数处理表单/隐藏字段处理强制浏览消息或会话攻击被破坏的访问控制表或弱口令跨站点脚本攻击(XSS)命令注入SQL注入引发敏感信息泄露的错误不可靠的密码系统应用服务器错误配置后门和调试选项网站涂改已知的平台漏洞未知的应用攻击5.3.4.2采用正向安全模型Citrix应用防火墙(ApplicationFirewall)采用了正向安全模型来确保执行35正确的应用行为。这种安全模式不靠攻击特征符或签名匹配技术就能识别“合法”的应用行为,并阻止任何背离了正确应用交易模式的恶意行为。Citrix应用防火墙(ApplicationFirewall)是经过验证的可对从未出现过的攻击实施全天候防御的软件。5.3.4.3业务对象保护模块Citrix应用防火墙(ApplicationFirewall)实时阻止了敏感应用内容的无意泄露,这种无意的内容泄露会导致身份信息盗用行为。业务对象保护模块可保护像注册用户的账户信息等确定的对象以及其它自定义的数据对象的安全。通过检测错误泄露以及阻止或重写内容,业务对象保护模块协助企业满足了政府或行业委员会制定的行业法规。用户注册IDXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX用户身份证号XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX所有受保护对象仅以“X”输出365.3.4.4应用行为自学习引擎Citrix应用防火墙(ApplicationFirewall)融合了第三代自学习引擎,这种引擎能学习到各个方面的应用行为,即使Web应用允许执行,这些行为也有可能会受到正向安全模型的阻止。一旦检测到应用行为,应用防火墙(ApplicationFirewall)就会生成建议性可读策略,这会帮助应用安全部门能够更清楚地了解实际的应用行为,然后针对每个应用实施自定义安全策略。375.3.4.5应用处理性能Citrix应用防火墙(ApplicationFirewall)的连接处理性能远远高过Web服务器,通过卸载Web服务器的TCP连接,应用防火墙有效地改善了应用性能和响应时间。应用防火墙与服务器之间的通信只采用了少量TCP常连接。基于硅元件开发的专用SSL硬件可检测出加密信道中的恶意流量。通过减少服务器的加解密操作,SSL加密和密钥生成offload改善了综合应用性能。5.3.4.6分类保护Web应用的安全Citrix应用防火墙(ApplicationFirewall)可利用每个Web应用的制定安全策略、控制、详细报告和记录数据来完全分离不同的交易,以确保企业每种Web38应用能够得到量身定做的应用防护。5.3.4.7适应不断变化的业务需求高级Web应用保护配置增加了高级Web应用的会话层分析保护功能,此高级Web应用包括了对敏感数据的已验证访问。而且保护范围扩展到Cookie、格式字段和会话专用URL等动态生成的元素。这种保护对于电子商务、在线金融服务和安全的外联网应用都是强制性的,并且它还具备应用学习能力,针对行为可能会违背默认安全策略的某些应用帮助管理员创建安全策略的可管理例外。5.3.5SSLVPN当用户需要远程访问和管理自己的Web站点时,无需额外的远程客户端软件,而直接采用普通的客户端技术即可为远程用户提供全面的、安全的远程接入技术,同时采用了行业标准的SSL技术保护机密内容。NetScalerSSLVPN技术允许终端用户远程访问任何应用,包括非Web客户端/服务器应用在内。5.4HDXInsight用户体验监控功能当交易请求和响应通过Web应用交付基础架构以及在终端用户的Web浏览器上执行响应时,HDXInsight都能够透明地监测Web应用性能。通过直接监测Web应用交付基础架构和网页本身,HDXInsight为IT管理人员提供了影响应用性能的重要因素的独特的细粒度可视性。当应用性能出现异常时,NetScaler还可以提供定量的报告,帮助运维人员定位出故障出现在服务器,网络还是客户端。3940六、产品性能数据表4142434445464748七、7Netscaler帮助企业构建灵活的数据中心当前,作为企业构建自有数据中心最重要的一点是“灵活”,能够随着业务的增长实现按需扩容,即帮助企业降低了总体拥有成本,又实现了绿色IT。CitrixNetscaler作为企业数据中心的一个重要组成的基础架构平台,能够从三个维度辅助企业构建一个灵活的数据中心。7.1向上扩展在同一个硬件平台上通过license的更新来实现性能提升,不需要重新购买硬件。每款设备都有其所能提供的最大处理性能,超过该型号最大处理性能后需要进行设备型号更换,来满足更高的业务处理需求。Netscaler提供了不同级别的硬件设备来满足用户的需求。497.2向内扩展企业往往因为有多部门,多应用,多安全域的划分,所以针对每种情况,企业通常的做法是购买多个设备来部署到不同的应用前端,不同的区域中,实现AND的功能。这种做法往往要耗费更多的时间和成本,造成数据中心的空间浪费。NetscalerSDX平台,通过在单一设备上创建多个虚拟实例来满足用户的需求,提供更好地性价比。SDX最大的优势在于提供多实例的同时,每个实例都是相互独立的,硬件资源也是独立分配。任何一个虚拟实例的不可用都不会影响其他虚拟实例的工作。7.3向外扩展传统的设备部署模式均为两台设备主备部署或者双活部署,主备模式提供高可用,双活模式在提供高可用的同时,更好地提高设备利用率。但是,当业务增长到一定程度,主备或者双活模式均无法提供更好地服务。NetscalerCluster模式,将多台同型号的Netscaler绑定为一个集群,同时对外提供服务,50即实现了高可用又实现了高性能处理。综上所述,NetscalerTriscale技术帮助企业更好地实现了数据中心的构建,为今后企业的数据中心向云计算数据中心发展提供更有利的基础平台架构。八、产品部署方案在双臂拓扑中,一个网络接口连接至客户端网络,另一个网络接口连接至服务器网络。此拓扑可能要求重新连接网络设备,但对网络中其它设备的配置所做的更改几乎可以忽略。8.1双臂部署模式在双臂拓扑中,一个网络接口连接至客户端网络,另一个网络接口连接至服务器网络。此拓扑可能要求重新连接网络设备,但对网络中其它设备的配置51所做的更改几乎可以忽略。8.1.1双臂部署模式这是一种最常用的拓扑,其中NetScaler内嵌放置在客户端和服务器之间,并配置一个虚拟服务器来处理客户端请求。此拓扑在客户端和服务器位于不同子网时使用。在大多数情况下,客户端和服务器分别位于公共和专用子网上。下图描述了以双臂模式部署NetScaler来管理服务器S1、S2和S3的方案。这些服务器位于公共网络上。NetScaler上配置了一个HTTP类型的虚拟服务器,HTTP服务运行在这些服务器上。这些服务器位于专用子网上,NetScaler上配置了一个SNIP与这些服务器进行通信。NSIP和VIP位于公共子网217.60.10.1上。SNIP和这些服务器位于专用子网192.168.100.1/24上。8.1.2双臂透明部署此拓扑在客户端需要直接访问服务器的情况下使用。此模式中不使用虚拟服务器。服务器IP地址必须为公共IP,因为客户端需要它们。在此示例中,NetScaler放置在客户端和服务器之间,因此流量必须经过NetScaler。必须启用L2模式以桥接数据包。NSIP和MIP位于同一公共子网217.60.10.0/24上,如下图所示:528.2单臂部署模式由于单臂部署模式不会对网络结构有任何改动,因此单臂部署模式是NetScaler最常用的部署模式,本节将探讨两个常用的单臂拓扑,其中一个具有单个子网,另一个具有多个子网。8.2.1单臂单子网部署此拓扑在客户端和服务器位于相同子网时使用。请设想一下以单臂模式部署NetScaler来管理服务器S1、S2和S3的方案。NetScaler上配置了一个HTTP类型的虚拟服务器,HTTP服务运行在这些服务器上。NetScalerIPaddress(NSIP)、映射IP地址(MIP)和服务器IP地址位于同一公共子网217.60.10.0/24上。538.2.2单臂多子网部署此拓扑在客户端和服务器位于不同子网时使用。请设想一下以单臂模式部署NetScaler来管理服务器S1、S2和S3的方案,这些服务器连接至网络上的交换机SW1。NetScaler上配置了一个HTTP类型的虚拟服务器,HTTP服务运行在这些服务器上。这三个服务器位于专用子网上,因此通过NetScaler配置了一个子网IP地址(SNIP)与它们进行通信。8.3高可靠性部署(主备模式与双主模式)8.3.1双机热备模式54为了避免单一NetScaler出现故障,可以中部署两台NetScaler工作在高可用模式,其中一台设备积极地接受连接并管理服务器,辅助设备则监控第一台设备。在高可用性配置中,积极地接受连接并管理服务器的NetScaler被称为主要设备,另一台被称为辅助设备。如果主要设备出现故障,则辅助设备将成为主要设备并开始积极的接受连接。高可用性对中的每台NetScaler通过发送被称为心跳消息或健康状况检查的定期消息来监控另一台设备,从而确定对等节点的健康状况或状态。如果主要设备的健康状况检查失败,则辅助设备将在特定时间期内重试连接。如果在特定时间期内重试不成功,则辅助设备将在被称为故障转移的流程中接管主要设备的职责。下图显示两个高可用性配置,其中一个配置以单臂模式部署NetScaler,另一个配置以双臂模式部署NetScaler。NetScaler进行主备切换的依据为心跳信息是否中断,在NetScaler中用户可以自定义心跳信息发送频率时间范围在200ms-1000ms,默认为200ms。8.3.2双主模式CitrixNetScaler产品除了支持主/备模式的高可靠部署模式外,还支持多台NetScaler设备互备功能,利用这种独特的功能,我们可以将多台(>3)NetScaler设备组成一个NetScaler设备资源池,通过VRRP将整个系统的应用VIP分布在不同的设备上,如果当某台NetScaler设备发生硬件故障时,其上的应用VIP自动切换到其它NetScaler设备上继续对外提供服务。55借助NetScalerNSpool配置,多台设备组成资源池,即可增强NetScaler的可扩展性和整体处理能力,又能够保障个别设备发生故障时进行切换保护。而不像扩展只有主用/备用或主用/主用配置那样,要求成对增加设备并重新设计网络。九、产品管理与监控网络设备集中大量部署,产品易于管理和状态监控非常重要,NetScaler提供管理与监控的多种方法,下文将对这些方法进行描述。9.1产品管理方法9.1.1ConsoleCLI用户可以通过将工作站连接至NetScaler的控制台端口来访问CLI,也可以通过SSH从同一网络中的任何工作站连接。使用交叉电缆将NetScaler的串行端口连接至PC串行端口,然后启动“超级终端”程序或任何其它终端仿真程序。输入登录用户名称和口令,然后按ENTER键。CLI提示(>)将显示在工作站显示器上。9.1.2SSH用户可以通过SSH协议来访问CLI,SSH协议是用于从同一网络中的任何工作站远程访问NetScaler的首选远程访问方法。在在用户的工作站上,运行SSH客户端访问初始配置期间分配给NetScaler的NSIP,并选择SSH1或SSH2作为协议。连接后,以nsroot身份登录,使用在初始配置期间分配的管理密码,以下输出将出现在SSH客户端屏幕上:loginas:nsrootnsroot@10.102.29.60\'spassword:Lastlogin:WedMay2317:18:312007Done9.1.3HTTP/HTTPS56NetScaler支持通过基于Java技术的GUI界面进行配置管理,支持的协议包括HTTP与HTTPS,具体方法如下:在Web浏览器中,输入NetScaler的NSIP和端口号:HTTP(S)://,此时将出现Java插件图标;单击Java插件图标,然后按照屏幕提示将插件安装程序复制到工作站的硬盘中。Java插件安装程序图标(例如j2re-1.4.2_04-win)显示在计算机上的指定位置;双击插件安装程序图标,然后按照屏幕提示安装插件;返回到Web浏览器,然后再次单击Java插件图标以显示GUI登录屏幕,管理与控制界面截屏如下图所示:9.1.4XMLAPINetScaler可以使用外部应用编程接口(API)进行配置。API允许创建自定义客户端应用程序以配置和监控NetScaler的状态。它基于SOAPoverHTTP。同时,NetScaler提供API接口的开发指导。NetScaler对XMLAPI的结构如下图所示:579.1.5集中网管软件Citrix的集中管理软件CommandCenter可对全网部署的NetScaler产品进行集中管理,CommandCenter使网络管理员和运营团队能够轻松地通过单个统一控制台,对其整个全局应用交付基础架构进行集中化控制和管理。集中化管理为管理员提供了整个企业网的可视性以及自动实现多台设备的日常管理任务。CommandCenter是大规模部署思杰应用网络基础架构的理想解决方案,它可扩展到支持数以百计的独立设备,无论这些设备是否处于一个或多个数据中心,或在多个远程分支机构。基于角色的管理策略对用户或用户组可以访问哪些设备或管理功能提供了细粒度的控制。CommandCenter软件可安装在基于Windows或RedHatLinux的服务器上。通过基于浏览器的客户端或通过可下载的Javaapplet都可支持对CommandCenter的访问。在这两种情况下,用户必须进行身份验证,然后才可以访问CommandCenter。这样确保了管理员无论身处何地都可以从任意客户端设备(台式机、笔记本电脑、智能手机)安全地访问CommandCenter控制台,以更改配置或监控系统健康状况。基本管理功能包括:设备发现设备错误管理设备配置管理设备日志审计设备性能监控……58CommandCenter管理界面如下所示:9.1.5.1集中网管软件安装最小硬件支持中央处理器类型:Pentium4处理器主频:1.2GHz内存:1GBRAM硬盘空间:20GB9.1.5.2集中网管软件操作系统支持Windows•Windows2000ServicePack3andServicePack4Windows2003ServicePack2RedHatEnterpriseLinuxAS4.0RedHatEnterpriseLinuxES4.09.1.5.3集中网管软件数据库类型支持MySQLOracleMicrosoftSQLSever9.1.6SFTP用户可以通过SFTP(SecureFileTransferProtocol)协议从同一网络中的任59何工作站连接,连接后可以从NetScaler设备终导入导出各种文件和日志记录。常用的SFTP工具为WinSCP,可从互联网下载,操作界面如下图所示:管理终端磁盘NetScaler文件系统9.2产品监控9.2.1内嵌DeshboardNetScaler设备本身具有实时状态统计的功能,可以从Monitor界面下查看当前的连接数,虚拟服务器访问流量,端口状态等各种统计数据,也可以从Deshboard界面下查看这些数据的图形化表现。NetScaler的Dashboard统计界面如下所示:9.2.2内嵌报表功能60NetScaler设备也会记录长时间的状态统计的信息,可以从Reporting界面下查看一段时间内的CPU利用率,内存利用率,TCP连接数等各种统计数据,以CPU利用率为例,NetScaler的Reporting历史记录图形化界面如下所示:9.2.3标准Syslog日志syslog用来记录用户对设备进行的操作和各种历史事件(例如,某时刻用户创建了一个”Vserver”,或者某时刻一个”Vserver”出现故障标识为”Down”了)。设备本身提供存放和浏览短期内的syslog,如果需要存放长期的syslog记录,可通过关连到任何外部的第三方syslog日志服务器。syslog样例(不换行)Jun517:20:3061.164.41.7506/05/2008:09:20:30GMTns:EVENTDEVICEUP:Device\"server_NSSVC_TCP_61.164.41.75:80(internal)\"-StateUP9.2.4标准Weblog日志weblog用来记录用户对站点进行访问的记录。如果设备本身提供存放和浏览短期内的weblog,如果需要存放长期的weblog记录,可通过关连到外部的web日志服务器,NetScaler随机附带web日志服务器的应用程序,无需安装数据库服务器。Weblog服务器程序支持的操作系统包括Windows,Linux和FreeBSD。weblog样例(不换行)58.38.113.56--[01/Jun/2008:22:14:54+0800]\"GET/ws/configuration.plHTTP/1.1\"2004546\"http://61.164.41.75/ws/Top.pl\"\"Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1;.NETCLR1.1.4322;.NETCLR2.0.50727)\"9.2.5专有的nslog日志61nslog用来记录设备状态信息,每7秒钟,NetScaler抓取设备内部所有对象状态信息(例如吞吐量,CPU利用率等),并且保存到nslog日志里面。每两天设备建立一个单独的日志文件,最多建立100个,即200天的日志记录。当设备出现故障或需要获取设备某一时刻状态信息的时候,可以找到相应的日志文件,下载后从中读取状态记录。9.2.6集中网管软件Citrix的集中管理软件CommandCenter可对全网部署的NetScaler产品进行集中管理和监控。(详细内容请参见7.1.5集中管理软件)9.2.7支持SNMP的第三方网管NetScaler上的SNMP代理支持SNMP版本1(SNMPv1)、SNMP版本2(SNMPv2)和SNMP版本3(SNMPv3)。由于以双模式操作,因此代理可以处理SNMPv2查询,例如Get-Bulk和SNMPv1查询。SNMP代理还发送符合SNMPv2的陷阱并支持SNMPv2数据类型,例如counter64。在处理SNMP查询时,SNMPv1管理器(其它服务器上向NetScaler请求SNMP信息的程序)使用NS-MIB-smiv1.mib文件。SNMPv2管理器使用NS-MIB-smiv2.mib文件。NetScaler支持以下特定于企业的MIB:标准MIB-2组的子集。提供MIB-2组SYSTEM、IF、ICMP、UDP和SNMP。系统企业MIB。提供特定于系统的配置和统计数据SNMP网络管理应用查询NetScaler上的SNMP代理。该代理在管理信息库(MIB)中搜索该网络管理应用请求的数据,并将数据发送给该应用。要配置NetScaler的SNMP监控,用户需要设置陷阱和警报。SNMP陷阱是代理生成的同步事件,用于告知异常条件。例如,如果要在CPU使用率高于90%时获得通知,可以启用陷阱并为该条件设置警报。以下示意图说明了启用并配置了SNMP的NetScaler的网络。62用户可以配置一个运行符合SNMP版本1、2或3的管理应用的工作站以访问NetScaler。该工作站称为SNMP管理器。如果未配置SNMP管理器,NetScaler将接受并响应来自网络上所有IP地址的SNMP查询。如果配置了一个或多个SNMP管理器,NetScaler将仅接受并响应来自那些指定IP地址的SNMP查询。在指定SNMP管理器的IP地址时,可以使用netmask参数从整个子网授予访问权限。最多可以添加100个SNMP管理器或网络。十、第三方评测NetScaler系列产品近年来多次在权威机构的评测中得到好评,本章将选取近两年GartnerGroup(全球最具权威的IT研究与顾问咨询公司)对应用交付控制器市场的评测,NetScaler已经在该评测中连续多年评为业界领导者。10.12012年GartnerGroup应用交付控制器魔术象限63图中两个坐标轴的意思分别为:AbilitytoExecute坐标主要反映目前产品特性,价格以及用户体验等方面,具体评定指标包括,产品和服务,公司生存能力,销售及价格,市场对产品的反应,市场执行能力,客户体验,运营。CompletenessofVision主要反映公司以及产品发展策略各方面因素,具体评定指标包括,对市场的理解,市场策略,销售策略,产品策略,公司业务模型,行业策略,更新与改进能力,区域策略。GartnerGroup对NetScaler的评价为:创新的TriScale架构巩固了CitrixNetScaler灵活的,较高性价比的部署模型:向上扩展(payasyougrow),向内扩展(SDX)向外扩展(Clustering).思杰具备覆盖全球的支持和服务机构思杰具备杰出流量和应用监控报表,具有非常强的SSL优化64(2048/4096位密钥)能力思杰很好的整合了“云策略”,CloudBridge集成易于配置的IpsecVPN,广域网优化技术,实现数据中心连接。CloudConnector加速IaaS/SaaS应用内容摘自《MagicQuadrantforApplicationDeliveryControllers》10.22010年GartnerGroup应用交付控制器魔术象限图中两个坐标轴的意思分别为:AbilitytoExecute坐标主要反映目前产品特性,价格以及用户体验等方面,具体评定指标包括,产品和服务,公司生存能力,销售及价格,市场对产品的反应,市场执行能力,客户体验,运营。CompletenessofVision主要反映公司以及产品发展策略各方面因素,具体评定指标包括,对市场的理解,市场策略,销售策略,产品策略,公司业务模型,行业策略,更新与改进能力,区域策略65GartnerGroup对NetScaler的评价为:CitrixNetScaler比其竞争对手提供更全面的应用交付领域的远景,并且提供业界第一个虚拟ADC解决方案;CitrixNetScaler在高性能ADC中提供大量高级应用交付特性,并且具备良好声誉。同时,NetScalerVPX虚拟化ADC解决方案带来新的机会;Citrix传统软件公司的经验,使其能够更好的理解应用环境;Citrix在ADC市场销售业绩连续增长内容摘自《MagicQuadrantforApplicationDeliveryControllers》10.32009年GartnerGroup应用交付控制器魔术象限图中两个坐标轴的意思分别为:AbilitytoExecute坐标主要反映目前产品特性,价格以及用户体验等方面,具体评定指标包括,产品和服务,公司生存能力,销售及价格,市场对产品的反应,市场执行能力,客户体验,运营。CompletenessofVision主要反映公司以及产品发展策略各方面因素,具体评定指66标包括,对市场的理解,市场策略,销售策略,产品策略,公司业务模型,行业策略,更新与改进能力,区域策略GartnerGroup对NetScaler的评价为:Citrix基于日益丰富的高级产品功能,在高性能ADC市场具有较高的声誉;Citrix具有全球范围的技术支持渠道,利用丰富的产品线如服务器、应用以及桌面虚拟化到应用交付产品和广域网加速产品,形成强大的解决方案能力;Citrix近期发布的基于软件的NetScalerVPX产品增加了在应用交付市场的机会,可以在客户开发/测试环境部署基于XenServer的软件ADC产品NetScalerVPX;Citrix做为传统软件解决方案厂商,对应用软件领域有更深的理解;Citrix公司具有坚固的财务支持,并在不断的增加ADC应用交付市场份额。内容摘自《MagicQuadrantforApplicationDeliveryControllers》十一、项目管理及项目的实施计划11.1项目管理进度与各阶段任务11.1.1项目进度表 订货、前期准备设备部署系统联调初验试运行终验7天14天9天2天2天2天2天1周24周1周项目准备阶段 设备订货与到货 组建工程项目组 编制项目实施计划书 项目启动阶段 工程协调会议(联合项目组) 讨论项目实施计划 用户需求调研阶段 了解用户应用系统架构 确认用户机房场地环境准备情况 编制设备上架安装、走线图 项目实施方案准备阶段 工程文档准备(设备安装配置手册、验收测试文档) 67系统整体IP地址规划确认 设备安装环境准备 设备安装简单培训 运输设备到指定地点 设备开箱验收、加电测试 设备上线部署阶段 工程协调会议(设备上线准备工作确认) 设备上架 网络连通性确认(交换、路由配合) 系统功能配置 与应用系统离线联调 系统调试阶段 应用系统流量部分迁移(通过SLB设备访问应用系统) 应用系统流量全部迁移(通过SLB设备访问应用系统) 初验 制定详细初验报告 组织相关部门进行初验 初验会议,输出初验报告 技术培训 设备试运行 终验 制定详细终验报告 组织相关部门进行终验 出终验报告 11.2项目实施人员单位职责姓名备注华濠数码项目经理肖雄军CitrixCCP认证工程师华濠数码项目实施工程师梁华CitrixCCA认证工程师华濠数码项目实施工程师吴赞斌CitrixCCA认证工程师华濠数码项目实施工程师张湖CitrixCCA认证工程师11.3设备安装与调试设备安装与调试作为项目实施中重要的环节,在用户指定地点进行。11.3.1责任及工程分工界面为保证项目的顺利进行并圆满完成,最终用户、投标方之间将按照以下工程分工界面友好地进行工程配合、沟通,共同完成工程实施。6811.3.1.1投标方投标方工程责任主要内容:A.负责整个项目组织管理按照合同要求供货、验货工程项目总体进度的制定B.负责组织整体技术方案制定与实施设备网络部署规划与设计系统IP地址规划与设计设备安装测试对所供设备的维护、服务和技术支持、技术咨询对用户的现场直接培训提供项目技术文档、使用管理手册等C.负责与设备厂商(Citrix)的接口负责协调与设备厂商的工程技术支持11.3.1.2最终用户最终用户工程责任主要内容:保证机房环境的实施、机架安装、电源提供等应用系统信息整理IP地址资源划分配合联调测试协调组织试运行和验收11.3.2工程实施质量保障为了保证项目实施的质量和进度,本项目将参考并遵守PMI项目管理方法学,并遵循可控性、完整性、最小影响、保密的原则,保障项目的顺利实施。6911.3.2.1工程实施流程图70合同签订合同签订项目内部评审项目内部评审任命项目经理任命项目经理商务设备采购商务设备采购现场勘查现场勘查需求分析、调研需求分析、调研组建项目组组建项目组合同交底合同交底项目经理制定《工程项目计划》项目经理制定《工程项目计划》技术负责人制定《工程实施方案及技术文档》技术负责人制定《工程实施方案及技术文档》召开工程协调会正式启动项目召开工程协调会正式启动项目调整、修改进入工程实施阶段输出《环境验收报告》输出《项目需求分析报告》输出《环境验收报告》输出《项目需求分析报告》输出《评审报告-工程项目计划》输出《工程项目计划》输出《评审报告-工程项目计划》输出《工程项目计划》输出《评审报告-工程实施方案》输出《工程实施方案及技术文档》输出《评审报告-工程实施方案》输出《工程实施方案及技术文档》进入工程准备阶段11.3.2.2工程实施遵循原则可控性原则:人员可控性--最终项目实施组人员的资历将在项目实施前通知最终用户,并经过认可,以确保项目组成员工作的连续性。主要派遣有丰富经验的工程师参加本项目的工作,同时还会安排有经验的项目管理人员、质量保证人员和审核人员等支持项目的管理控制工作。项目过程可控性--本项目的管理将依据PMI项目管理方法学,针对9大71输出《设备验货报告》输出《设备验货报告》工程实施阶段:设备到货设备到货根据《工程实施方案及技术文档》进行任务分解根据《工程实施方案及技术文档》进行任务分解现场安装、调试现场安装、调试环境准备完毕环境准备完毕环境改造环境改造设备验货设备验货不合格产品控制程序不合格产品控制程序输出《任务单》输出《任务单》输出《任务完成报告》输出《任务完成报告》系统功能、性能测试系统功能、性能测试输出《系统功能、性能测试报告》输出《系统功能、性能测试报告》现场培训现场培训系统正式启用系统正式启用进入工程验收测试阶段开工申请开工申请输出《开工报告》输出《开工报告》项目初验项目初验项目终验项目终验管理模块制定相应管理措施。为了保证能够按照工程进度实施,双方项目组应首先确认项目范围,可以通过项目会议,予以讨论,并正式以书面形式确定双方项目组的职责、义务和分共界面等。然后启动项目实施,与此同时通过项目进度报告及时了解项目进展情况。完整性原则:设备将涉及网络和应用的各个层次,因此必须满足项目完整性原则,全面综合的考虑各方面技术细节,积极配合各个方面的资源,以达到最终所要的效果。最小影响原则:本次项目实施会从管理层面和技术层面,无缝的与现有网络集成,将对用户业务系统的影响降低到最低限度。11.3.2.3项目组织结构为了保证高质量的实现本项目,便于把握项目的实施进度,将建立结构严谨,层次清晰的项目组织体系,其中包括:项目管理组(项目经理);项目顾问组(原厂技术顾问);项目实施组(实施工程师);项目经理投标方将委派具备丰富项目管理经验以及相关行业从业资历的专职项目经理,制定项目进度计划,对计划执行情况进行总体管理和控制;协调处理项目实施过程中出现的各种情况;并及时与最终用户进行沟通,及时通报项目的进展。项目经理承担的责任,主要有:保证项目的成功,保证项目按时完成,在预期日期内达到预期的效果对各种项目资源进行适当的管理和充分有效的使用进行及时有效的沟通,及时商讨项目进展状况,以及对可能发生的问题进行预测保证项目的整体性,协调项目中的各个角色和各种关系,为成员创造良好的工作环境项目实施和顾问72投标方委派具备丰富项目实施经验以及相关技术资历的工程师完成项目具体实施工作,同时Citrix原厂将安排资深的技术顾问参与整体方案设计和评审阶段工作,并对具体实施工作提出指导。十二、产品部署建议方案12.12.1NetScaler的典型部署模式NetScaler位于客户端和服务器之间,以便客户端请求和服务器响应都经过它。在典型的安装中,NetScaler上配置的虚拟服务器(vserver)提供连接点,客户端使用这些连接点来访问NetScaler后面的应用。在此情况下,NetScaler拥有与其虚拟服务器关联的公共IP地址,而真实服务器隔离在专用网络中。还可以以透明模式将NetScaler用作L2桥接器或L3路由器,甚至将这些方面和其它模式结合使用。12.1.1双臂多子网部署这是一种最常用的拓扑,其中NetScaler内嵌放置在客户端和服务器之间,并配置一个虚拟服务器来处理客户端请求。此拓扑在客户端和服务器位于不同子网时使用。在大多数情况下,客户端和服务器分别位于公共和专用子网上。下图描述了以双臂模式部署NetScaler来管理服务器S1、S2和S3的方案。这些服务器位于公共网络上。NetScaler上配置了一个HTTP类型的虚拟服务器,HTTP服务运行在这些服务器上。这些服务器位于专用子网上,NetScaler上配置了一个SNIP与这些服务器进行通信。NSIP和VIP位于公共子网217.60.10.1上。SNIP和这些服务器位于专用子网192.168.100.1/24上。7312.1.2双臂透明部署此拓扑在客户端需要直接访问服务器的情况下使用。此模式中不使用虚拟服务器。服务器IP地址必须为公共IP,因为客户端需要它们。在此示例中,NetScaler放置在客户端和服务器之间,因此流量必须经过NetScaler。必须启用L2模式以桥接数据包。NSIP和MIP位于同一公共子网217.60.10.0/24上,如下图所示:12.1.3单臂单子网部署此拓扑在客户端和服务器位于相同子网时使用。请设想一下以单臂模式部74署NetScaler来管理服务器S1、S2和S3的方案。NetScaler上配置了一个HTTP类型的虚拟服务器,HTTP服务运行在这些服务器上。NetScalerIPaddress(NSIP)、映射IP地址(MIP)和服务器IP地址位于同一公共子网217.60.10.0/24上。12.1.4单臂多子网部署此拓扑在客户端和服务器位于不同子网时使用。请设想一下以单臂模式部署NetScaler来管理服务器S1、S2和S3的方案,这些服务器连接至网络上的交换机SW1。NetScaler上配置了一个HTTP类型的虚拟服务器,HTTP服务运行在这些服务器上。这三个服务器位于专用子网上,因此通过NetScaler配置了一个子网IP地址(SNIP)与它们进行通信。7512.2建议唯品会的部署模式针对唯品会的应用系统负载均衡需求,按照针对现有网络环境改动最少的原则,建议部署NetScaler采用单臂单子网的部署模式。NetScaler采用双机冗余。7612.3容量规划与选型建议根据唯品会的需求,吞吐量40G,建议选型为MPX11540共8台,采用两两双机冗余。77
您可能关注的文档
- 安徽省中职院校智慧校园整体规划方案.docx
- 03全国各地市地铁设计及功能分析.pdf
- 负载均衡设备招标采购项目投标方案——商务.docx
- 附件1 青岛地铁APP项目工作任务分解表v2.0.docx
- 附件2 青岛地铁APP项目工作任务说明书.docx
- 附件3 青岛地铁APP乙方人员配置与工作职责.docx
- 赋码系统应急预案.docx
- 光明管控平台试题.docx
- 光明乳业-赋码系统培训测试题.docx
- 光明乳业产线赋码系统施工组织设计(2017.10.12).docx
- 光明乳业产线赋码系统需求规格说明书(2018.01.15).docx
- 光明乳业赋码系统培训记录表.docx
- 光明全程追溯管控平台详细设计说明书.doc
- 光明乳业管控平台施工组织设计.docx
- 光明乳业管控平台需求规格说明书-2018.01.11.docx
- 光明乳业全产业链可追溯体系BI展示及分析系统培训方案.doc
- 光明乳业全产业链可追溯体系BI展示及分析系统培训计划.doc
- 光明乳业全程追溯管控平台培训记录表 .docx
- 光明乳业追溯服务平台培训记录表.docx
- 光明乳业管控平台概要设计说明书..doc
- 周大爷
- 该用户很懒,什么也没介绍