应用交付

最新推荐文章于 2023-05-12 10:01:35 发布

zhangdaisylove

最新推荐文章于 2023-05-12 10:01:35 发布

阅读量2.5k

点赞数 1

文章标签： ADC

本文链接：https://blog.csdn.net/zhangdaisylove/article/details/45891789

版权

工作学习总结专栏收录该内容

13 篇文章 0 订阅

订阅专栏

1.什么是应用交付？

“应用交付”，实际上就是指应用交付网络（Application Delivery Networking，简称ADN），它利用相应的网络优化/加速设备，确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群

这段文字摘自网上，确实应用交付看似很难理解。但是我们知道它是干什么用的就大致会知道它的意思。

2.应用交付功能

5.1 应用交换和流量管理功能

5.1.1 负载均衡

在请求级别管理流量，在服务器之间产生更均衡的流量分配（与在服务器之间分配连接的传统方法相比）。负载均衡决策基于多种策略，包括轮询、最少连接、加权最小带宽、加权最小数据包、最短响应时间以及基于URL、域来源IP 或目标IP 的散列。支持TCP 和UDP 协议，因此应用交换机可以对使用这些协议作为基本载体的所有流量（例如，HTTP、HTTPS、UDP、DNS、FTP、NNTP 和一般防火墙流量）实行负载均衡。此外，应用交换机可以根据来源IP、Cookie、服务器、组或SSL 会话保持会话持久性。它允许用户将自定义扩展内容验证(ECV) 应用于服务器、缓存、防火墙及其它基础设施设备，以确保这些系统正常工作并且为用户提供正确的内容。它还可以使用Ping、TCP 或HTTP URL 执行健康状况检查，用户可以创建基于Perl 脚本的监控程序。

5.1.2 内容交换

确定哪台服务器最能够响应并将各个内容请求转到该服务器。站点规则可以根据URL 或HTTP 标头的任何组合进行配置。这使得交换决策基于用户和设备特性，例如用户的身份、所用代理的类型以及用户所请求的内容。

5.1.3 全局服务器负载均衡(GSLB)

扩展应用交换机的流量管理能力以包括分布式Internet 站点和全球企业。无论安装是分布在多个网络位置还是单个位置中的多个群集，应用交换机都可以保持可用性并在它们之间分配流量。它作出智能的DNS 决策以防止将用户转至关闭或过载的站点。当启用基于邻近度的GSLB 方法时，应用交换机可以根据客户端的本地DNS 服务器(LDNS) 相对于其它站点的邻近度作出负载均衡决策。基于邻近度的GSLB 方法的主要优点是通过选择最接近的可用站点加快响应时间。

5.1.4 动态路由选择

使路由器可以自动从邻近的路由器获得拓扑信息、路由和IP 地址。当启用动态路由选择时，对应的路由选择流程将监听路由更新并广告路由。路由选择流程还可以置于被动模式。路由选择协议使上游路由器可以使用等价多路径技术将流量负载均衡到位于两台独立应用交换机设备上的相同虚拟服务器。

5.1.5 链路负载均衡

对多个WAN 链路实行负载均衡并提供故障转移，从而进一步优化网络性能并确保业务持续性。应用智能流量控制和健康状况检查以在上游路由器之间有效地分配流量，从而确保网络连接保持高度可用。确定最佳WAN 链路以根据策略和网络条件路由入站和出站流量，并通过提供快速的故障检测和故障转移使各项应用免受WAN 或Internet 链路失效影响。

5.1.6 访问控制列表

将传入的数据包与访问控制列表(ACL) 进行比较。如果数据包与ACL 规则相匹配，则规则中指定的操作将应用于该数据包。否则应用默认操作(ALLOW)，数据包通常由系统处理。要使系统将传入的数据包与ACL 进行比较，您需要应用ACL。所有ACL 在默认情况下都处于启用状态，但是要应用交换机将传入的数据包与它们进行比较，您必须应用它们。如果某个ACL 不必作为代码表的一部分，但是仍需保留在配置中，则必须在应用ACL 之前将其禁用。应用交换机不会将传入的数据包与禁用的ACL 进行比较。

5.2 应用加速功能

本节探讨优化功能。

5.2.1 SSL 卸载

从Web 服务器中透明地卸载SSL 加密和解密，释放服务器资源以便为内容请求提供服务。SSL 对应用的性能造成沉重的负担，会导致许多优化措施不起作用。使用SSL 卸载和加速可以将应用交换机请求交换技术的所有优点应用于SSL 流量，确保安全交付Web 应用而不会降低最终用户性能。

5.2.2 应用压缩

使用GZip压缩协议为HTML 和文本文件提供透明的压缩。典型的4:1 压缩比将减少数据中心外50% 的带宽需求。它还可以减少必须传送至用户的浏览器的数据量，从而极大地缩短最终用户响应时间。

5.2.3 缓存重定向

管理至反向代理、透明代理或转发代理缓存群的流量。检查所有请求，并标识不可缓存的请求，然后过持久连接将它们直接发送到原始服务器。通过智能地将不可缓存的请求重定向回原始Web 服务器，应用交换机可在减少这些请求的总带宽消耗和响应延迟的同时释放缓存资源并增加缓存命中率。

5.2.4 应用缓存

通过为静态和动态内容提供快速的内存中HTTP/1.1 和HTTP/1.0 兼容Web 缓存，帮助优化Web 内容和应用数据交付。此机载缓存存储传入的应用请求的结果（即使当传入的请求受保护或数据被压缩时），然后重复利用该数据以满足需要相同信息的后续请求。通过直接从机载缓存提供数据，应用交换机消除了将静态和动态内容请求传送到服务器的需要，可以减少页面重新生成次数。

5.2.5 TCP 缓冲

缓冲服务器的响应并以客户端的速度将其传送给客户端，因此卸载服务器的速度更快，从而改善了Web 站点的性能。

5.2.6 TCP 优化

将某些TCP 任务从您的被管理服务器转移至应用交换机，从而减少被管理服务器上的CPU 负载并改善性能。

5.3 应用安全和防火墙功能

5.3.1 防御拒绝服务攻击(DoS)

检测恶意的分布式拒绝服务(DDoS) 攻击及其它类型的恶意攻击，并在这些攻击到达服务器之前阻止它们，防止它们影响网络和应用性能。应用交换机标识合法的客户端并提升其优先级，使可疑的客户端无法消耗不相称的资源百分比和使您的站点陷于瘫痪。应用交换机提供防止以下类型的恶意攻击的应用级别保护：

· SYN Flood 攻击

· Pipeline 攻击

· Teardrop 攻击

· Land 攻击

· Fraggle攻击

· Zombie 连接攻击

通过防止为这些连接分配服务器资源，应用交换机积极地防御这些类型的攻击。这样可以将服务器从与这些事件关联的势不可挡的数据包洪流中隔离。

通过使用ICMP 速率限制和积极的ICMP 数据包检测，应用交换机还可以保护网络资源免受基于ICMP 的攻击。它执行强大的IP 重组、删除各种可疑和畸形的数据包并将访问控制列表(ACL) 应用于站点流量以进一步提供保护。

5.3.2 内容过滤

在第7 层保护Web 站点免受恶意攻击。应用交换机根据基于HTTP 标头的用户配置规则检查每个传入的请求，并执行用户配置的操作。操作可以包括重置连接、删除请求或向用户的浏览器发送错误消息。这使应用交换机可以屏蔽有害的请求，降低服务器遭受攻击的危险。

此功能还可以分析HTTP GET 和POST 请求并过滤出已知的错误签名，使其可以保护服务器免遭基于HTTP 的攻击，例如Nimda和Code Red 病毒的变种。

5.3.3 响应器

其功能类似于高级内容过滤器，可以用于从系统中将响应生成到客户端。此功能的一些常见用途包括生成重定向响应、自定义响应或重置。仅处理系统的请求端，这与内容过滤功能不同，后者正好在即将把请求发送到后端服务器之前处理请求。

5.3.4 HTTP 重写

修改HTTP 标头和正文文本。您可以使用此功能将HTTP 标头添加至HTTP 请求或响应，对单个HTTP 标头进行修改，或删除HTTP 标头。它还允许您修改请求和响应中的HTTP 正文。

当收到请求或发送响应时，应用交换机会检查重写规则，如果存在适用规则，它会先将这些规则应用于请求或响应，然后再将其继续传递至Web 服务器或客户端计算机。

5.3.5 优先队列

为用户请求设置优先级，以确保在请求量猛增时首先为最重要的流量服务。您可以根据请求URL、Cookie 或各种其它因素确定优先级。应用交换机根据请求配置的优先级将请求置于一个三层队列中，使关键业务事务处理即使在浪涌或站点受到攻击期间也可以平稳地进行。

5.3.6 浪涌保护

调节至服务器的用户请求流并控制可以同时访问服务器资源的用户数，在服务器达到其最大容量时，使任何附加的请求排队等候。通过控制可以建立连接的速率，应用交换机可以阻止猛增的大量请求进入您的服务器，从而防止服务器过载。

5. 3.7 访问网关

使用基于策略的智能访问控制安全地交付任何应用。用户可以对他们需要的所有企业应用和数

据获得易于使用的安全访问。IT 组织可以经济有效地扩展对数据中心外的应用的访问，同时通过智能访问应用层策略保持严格的控制。IT 组织有权以符合成本效益的方式满足所有员工的需求、提供灵活的工作选项并实施业务持续性，同时确保最高级别的信息安全并减少支持呼叫。

5.3.8 应用防火墙

通过过滤每个受保护Web 服务器与连接至该Web 服务器上的任何Web 站点的用户之间的流量，保

护各项应用免遭黑客和恶意软件滥用，例如跨站点脚本攻击、缓冲区溢出攻击、SQL 注入攻击和强制浏览等。应用防火墙会检查所有流量，寻找攻击Web 服务器安全或滥用Web 服务器资源的证据，并采取适当措施以防止这些攻击得逞。

5.3.9 流量管理AAA

AAA是Authentication(认证)，Authorization(授权)，Auditing(审计)的缩写。Authentication主要用于认证用户的身份；Authorization主要用于授权用户的权限；Auditing主要用于审计用户的行为。简单的来概括AAA的主要功能就是①你是谁？②你能干什么？③你干了什么？

认证、授权和审计一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。

说了一大堆，其实说白了，ADC主要包括负载均衡，网络加速和网络安全这几个部分

负载均衡包括全局和局域负载均衡，

全局负载均衡相当与是有一个DNS服务器，根据该DNS可以找到最佳的路由。有时候不一定是地域上最近的，而是反应最快的

局部负载均衡是指有多台服务器的时候，根据算法可以计算上哪台服务器处于空闲，哪台服务器访问比较频繁。这样可以保证资源利用最大化

网络加速会包括SSL加速器，应用压缩算法，TCP缓冲等，主要是为了加快访问的速度，而这些的处理都是ADC设备完成的。

网络安全的功能不言而喻，可以防止服务器的遭受各种攻击。

3.ADC应用前景

由于网络是基于CS模式的，所以以后的服务器只会越来越多。那么ADC的前景只会越来越广阔。