一、客戶(hù)（項(xiàng)目）背景

XXX證券作為本土最大的證券公司，深深根植于中國(guó)本土市場(chǎng)，在金融、電力、交通運(yùn)輸、石油天然氣、石化、鋼鐵等重要領(lǐng)域，與中國(guó)最優(yōu)秀的企業(yè)建立了包括股票、債券發(fā)行與承銷(xiāo)、企業(yè)并購(gòu)等綜合金融服務(wù)的業(yè)務(wù)關(guān)系，協(xié)助客戶(hù)實(shí)現(xiàn)其戰(zhàn)略發(fā)展的目標(biāo)。公司堅(jiān)持規(guī)范、穩(wěn)健的經(jīng)營(yíng)理念，理解金融企業(yè)的風(fēng)險(xiǎn)屬性，始終堅(jiān)持"正視風(fēng)險(xiǎn)，分析和控制風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)做到可測(cè)、可查、可控和可承受"；同時(shí)，建立MD體制管理體系，以人為本，培養(yǎng)和吸引了大量?jī)?yōu)秀人才；積極開(kāi)展業(yè)務(wù)創(chuàng)新，為客戶(hù)提供一流的服務(wù)；努力改善公司收入結(jié)構(gòu)，增強(qiáng)競(jìng)爭(zhēng)實(shí)力，為股東創(chuàng)造更大的價(jià)值。

今年以來(lái)，由于股票市場(chǎng)的交易量的不斷攀升，網(wǎng)上交易和行情查詢(xún)的數(shù)據(jù)量迅猛發(fā)展，面對(duì)爆炸式的行情，對(duì)于服務(wù)器也提出了更高的要求。確保服務(wù)器響應(yīng)快速、順暢網(wǎng)絡(luò)瀏覽成了重中之重。不過(guò)，單純的增加后臺(tái)服務(wù)器的數(shù)量，顯然并不能很好地解決客戶(hù)的訪(fǎng)問(wèn)問(wèn)題。

1. 每增加的一臺(tái)行情或者交易服務(wù)器，都需要增加一個(gè)IP給用戶(hù)訪(fǎng)問(wèn)，這樣用戶(hù)的前臺(tái)應(yīng)用使用的時(shí)候會(huì)感覺(jué)非常麻煩；

2. 由于后臺(tái)的服務(wù)器數(shù)量雖然眾多，但是無(wú)法很好地將用戶(hù)訪(fǎng)問(wèn)進(jìn)行分擔(dān)，導(dǎo)致某些服務(wù)器長(zhǎng)期負(fù)載過(guò)高，某些服務(wù)器長(zhǎng)期空閑；

3. 由于后臺(tái)大量的服務(wù)器需要管理，缺乏一個(gè)直觀的對(duì)后臺(tái)服務(wù)器應(yīng)用的健康狀況的檢查方案。

針對(duì)這些問(wèn)題, XXX證券亟需尋求一種安全、可靠、穩(wěn)定的解決方案來(lái)徹底解決和改善目前的應(yīng)用環(huán)境。#p#

二、客戶(hù)需求

1. 高可用性和熱備功能

能夠在通過(guò)對(duì)多臺(tái)服務(wù)器進(jìn)行負(fù)載均衡的同時(shí)，不會(huì)因?yàn)橐慌_(tái)服務(wù)器的宕機(jī)而導(dǎo)致整個(gè)系統(tǒng)的癱瘓。負(fù)載均衡本身也可實(shí)現(xiàn)冗余，達(dá)到多層冗余，多層熱備。

2. 可擴(kuò)展性

能夠在不改變網(wǎng)路環(huán)境的情況下, 簡(jiǎn)單地添加和移除應(yīng)用服務(wù)器，不影響整體應(yīng)用的性能， 做到透明部署。

3. 安全性

具備IDS/IPS等安全防護(hù)措施, 能夠防范諸如DOS, DDOS等攻擊, 確保后臺(tái)服務(wù)器不會(huì)因?yàn)楹诳凸舻仁录?dǎo)致整個(gè)系統(tǒng)的癱瘓, 影響業(yè)務(wù)流程。

4. 可管理性

豐富的日志、 報(bào)表功能，簡(jiǎn)易高效的操作平臺(tái)，高效集中的管理模式，省去了管理眾多后臺(tái)服務(wù)器而消耗的無(wú)謂時(shí)間以及人力資源。

5. 高配置的硬件設(shè)備

千兆帶寬，多端口交換功能，高容量的內(nèi)存和緩存，能夠?qū)崿F(xiàn)在主干網(wǎng)絡(luò)上的拓?fù)洌辉斐蓡吸c(diǎn)瓶頸。

6. 靈活的負(fù)載均衡算法

靈活豐富的負(fù)載均衡算法能夠確保在不同的應(yīng)用環(huán)境中, 有效地分配網(wǎng)絡(luò)流量, 充分利用服務(wù)器資源。

7. 高帶寬, 高并發(fā)連接能力

能夠?qū)崿F(xiàn)100,000～300,000 用戶(hù)的同時(shí)在線(xiàn)，千兆端口。#p#

三、梭子魚(yú)解決方案

本方案中，考慮到證券行業(yè)目前的特殊性, 梭子魚(yú)向XXX證券公司提供了兩套解決方案, 以供根據(jù)實(shí)際應(yīng)用和網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)更合理化、人性化的配置。

方案1: 

使用兩臺(tái)440梭子魚(yú)負(fù)載均衡機(jī), 以服務(wù)器直接返回模式(DSR)將負(fù)載均衡設(shè)備接入網(wǎng)絡(luò)。

優(yōu)勢(shì):

1. DSR模式為梭子魚(yú)獨(dú)有負(fù)載均衡工作模式，是專(zhuān)門(mén)針對(duì)如證券行業(yè)此種對(duì)高并發(fā)連接數(shù)有嚴(yán)格要求的行業(yè)開(kāi)發(fā)的模式。

2. 簡(jiǎn)單快速的網(wǎng)絡(luò)搭建，實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)淞愀膭?dòng)。

方案2:

使用兩臺(tái)640梭子魚(yú)負(fù)載均衡機(jī)，以路由模式搭建。

優(yōu)勢(shì):

1. 640屬于梭子魚(yú)負(fù)載均衡設(shè)備運(yùn)營(yíng)商級(jí)別的高端型號(hào), 擁有10個(gè)千兆端口, SSL加速, 支持150,000新建連接數(shù), 15,000,000并發(fā)連接數(shù), 無(wú)需交換機(jī)就可以實(shí)現(xiàn)高帶寬的鏈路

2. 除增加IP網(wǎng)段, 無(wú)需改動(dòng)網(wǎng)絡(luò)結(jié)構(gòu)。

梭子魚(yú)負(fù)載均衡機(jī)是提供本地的服務(wù)器群負(fù)載均衡和容錯(cuò)的產(chǎn)品，在充分利用現(xiàn)有資源以及對(duì)IT基礎(chǔ)設(shè)施進(jìn)行最小變動(dòng)的前提下有效地進(jìn)行流量的分配，從而提高服務(wù)器的處理性能。對(duì)客戶(hù)端而言，這一切都是透明的。

兩臺(tái)梭子魚(yú)負(fù)載均衡機(jī)做為一組, 對(duì)后臺(tái)服務(wù)器提供負(fù)載均衡服務(wù), 并且互為備份，采用"心跳"技術(shù)實(shí)時(shí)監(jiān)控伙伴設(shè)備的同時(shí), 也實(shí)現(xiàn)了負(fù)載均衡設(shè)備的負(fù)載均衡。能夠避免SPOF和單點(diǎn)瓶頸的問(wèn)題. 最大限度地發(fā)揮負(fù)載均衡的能力。

方案整體拓樸示意圖如下：

方案1

方案總體設(shè)計(jì)

1. 將負(fù)載均衡機(jī)直接接入分布交換機(jī), 在分布層進(jìn)行負(fù)載均衡

2. 針對(duì)不同的服務(wù)分別架設(shè)兩臺(tái)的負(fù)載均衡設(shè)備以在負(fù)載均衡的同時(shí), 實(shí)現(xiàn)雙機(jī)熱備, 提高整體性能和可用性

3. 在LB中建立虛擬IP，并將后臺(tái)服務(wù)器與之綁定，形成虛擬服務(wù)

方案2

方案總體設(shè)計(jì)

1. 在核心交換機(jī)和接入交換機(jī)之間架設(shè)負(fù)載均衡機(jī)，在分布層進(jìn)行負(fù)載均衡

2. 針對(duì)不同的服務(wù)分別架設(shè)兩臺(tái)的負(fù)載均衡設(shè)備以在負(fù)載均衡的同時(shí), 實(shí)現(xiàn)雙機(jī)熱備, 提高整體性能和可用性

3. 在LB中建立虛擬IP，并將后臺(tái)服務(wù)器與之綁定，形成虛擬服務(wù)。#p#

四、梭子魚(yú)解決方案的優(yōu)勢(shì)

1. IP及Cookie的會(huì)話(huà)保持

梭子魚(yú)負(fù)載均衡機(jī)針對(duì)Windows終端服務(wù)提供了定制的負(fù)載均衡技術(shù)，可以選擇采用IP或Cookie保持的方式，充分保證終端客戶(hù)端的會(huì)話(huà)一致性，為電子商務(wù)等提供可靠的會(huì)話(huà)持續(xù)性。

2. 完全冗余鏡像/"心跳"技術(shù)實(shí)時(shí)監(jiān)控

梭子魚(yú)負(fù)載均衡機(jī)的冗余配置非常簡(jiǎn)單的，它們之間不需要任何的特殊電纜相連，只要可以IP尋址到即可。物理拓樸為簡(jiǎn)單易行的路由模式。當(dāng)一臺(tái)梭子魚(yú)負(fù)載均衡機(jī)由于檢修或故障的原因停機(jī)后，這時(shí)另一臺(tái)梭子魚(yú)負(fù)載均衡機(jī)會(huì)以最快的速度接管其工作。

梭子魚(yú)負(fù)載機(jī)秒級(jí)故障切換技術(shù)，確保了終端服務(wù)系統(tǒng)的不間斷運(yùn)行。

3. 先進(jìn)的服務(wù)器管理技術(shù)

梭子魚(yú)負(fù)載均衡機(jī)可以對(duì)不同性能的服務(wù)器進(jìn)行加權(quán)計(jì)算，對(duì)性能好的服務(wù)器可以多分擔(dān)一些流量。對(duì)有用戶(hù)數(shù)限制的服務(wù)器，梭子魚(yú)負(fù)載均衡機(jī)通過(guò)連接數(shù)限制技術(shù)，從而保證服務(wù)器連接不會(huì)超過(guò)限制，同時(shí)也保證了性能一般的服務(wù)器不會(huì)因?yàn)檫B接太多而宕機(jī)。

梭子魚(yú)負(fù)載均衡主要有兩種調(diào)度類(lèi)型，三種動(dòng)態(tài)權(quán)重調(diào)度方式。

加權(quán)輪巡策略(WRR)

輪巡是指將來(lái)自客戶(hù)端的請(qǐng)求依次分配給服務(wù)器進(jìn)行響應(yīng)。但是由于服務(wù)器的性能并不完全相同，有的性能高，處理能力強(qiáng)；有的性能低，處理能力弱。因此簡(jiǎn)單的輪循對(duì)服務(wù)器不能做到"因材施用"，這就需要引入權(quán)重的概念。權(quán)重高的服務(wù)器將優(yōu)先響應(yīng)連接。

加權(quán)最小連接數(shù)策略(WLC)

最小連接數(shù)策略是指負(fù)載均衡機(jī)總是選擇當(dāng)前連接數(shù)最小的服務(wù)器響應(yīng)客戶(hù)端的請(qǐng)求。同樣這種方式也沒(méi)有考慮到不同服務(wù)器間性能的差異，而且沒(méi)有考慮服務(wù)器當(dāng)前的工作狀態(tài)，因此無(wú)法做到"動(dòng)態(tài)均衡"。

權(quán)重調(diào)度的方式(Adaptive Scheduling)：

(1) 自定義方式。管理員根據(jù)服務(wù)器的性能，指定相應(yīng)服務(wù)器的權(quán)重。

(2) 通過(guò)SNMP_CPU自動(dòng)調(diào)整服務(wù)器權(quán)重。梭子魚(yú)通過(guò)探測(cè)服務(wù)器CPU的負(fù)載自動(dòng)調(diào)整權(quán)重，負(fù)載越低，權(quán)重約大。

(3) 通過(guò)LOAD_URL自動(dòng)調(diào)整服務(wù)器權(quán)重，梭子魚(yú)通過(guò)測(cè)試服務(wù)器打開(kāi)LOAD_URL頁(yè)面，根據(jù)該頁(yè)面返回值（0-100）來(lái)自動(dòng)調(diào)整權(quán)重。

4. 多層實(shí)時(shí)的服務(wù)器健康檢查

梭子魚(yú)負(fù)載均衡機(jī)會(huì)實(shí)時(shí)地對(duì)后臺(tái)服務(wù)器進(jìn)行健康檢查，并決定在真實(shí)服務(wù)器不可用情況下服務(wù)如何處理。梭子魚(yú)負(fù)載均衡機(jī)服務(wù)監(jiān)控機(jī)制可以通過(guò)3/4層上（PING, PORT 等），以及7層 （DNS, HTTP, SMTP 等）來(lái)實(shí)現(xiàn)。

5. 擴(kuò)充能力靈活

梭子魚(yú)負(fù)載均衡機(jī)與任何品牌、使用界面、操作系統(tǒng)的網(wǎng)絡(luò)服務(wù)器均兼容，在安裝時(shí)完全不須改變企業(yè)原有的網(wǎng)路架構(gòu)。當(dāng)您為業(yè)務(wù)擴(kuò)充而更新網(wǎng)絡(luò)服務(wù)器，新設(shè)備只要與梭子魚(yú)負(fù)載均衡機(jī)連接，您不須費(fèi)時(shí)集成新舊設(shè)備、或統(tǒng)合協(xié)定機(jī)制。因此梭子魚(yú)負(fù)載均衡機(jī)使您對(duì)網(wǎng)絡(luò)服務(wù)器的投資更為靈活，隨時(shí)依企業(yè)需求而彈性更新網(wǎng)絡(luò)架構(gòu)；若您的企業(yè)將擴(kuò)張至全球，梭子魚(yú)負(fù)載均衡機(jī)靈活的擴(kuò)充能力，幫助您輕松添加全球服務(wù)的行列。

6. 集成IPS功能

梭子魚(yú)負(fù)載均衡機(jī)裝備了一個(gè)實(shí)時(shí)更新的入侵檢測(cè)系統(tǒng)，通過(guò)梭子魚(yú)動(dòng)態(tài)更新機(jī)制即時(shí)獲攻擊規(guī)則庫(kù)，可以保護(hù)被負(fù)載均衡的服務(wù)器抵御任何最新的基于連接的攻擊，包括以下類(lèi)型：

●病毒擴(kuò)散： 如NIMDA與紅色代碼這樣的網(wǎng)絡(luò)傳播病毒

●緩存區(qū)溢出： 一種常見(jiàn)的獲取控制權(quán)的惡意攻擊方式

● 協(xié)議相關(guān)：針對(duì)一些特定協(xié)議如SMTP、DNS或者LDAP的攻擊.

●應(yīng)用相關(guān)：針對(duì)一些特定應(yīng)用的攻擊如IIS、Websphere、Cold Fusion或者 Exchange.

●操作系統(tǒng)相關(guān)：針對(duì)已知的不同操作系統(tǒng)弱點(diǎn)的攻擊，如微軟Windows系統(tǒng)

7. SSL Offloading

SSL Offloading的加入能夠?qū)㈦娮由虅?wù), 電子政務(wù), 電子稅務(wù)等網(wǎng)站的SSL密鑰計(jì)算在負(fù)載均衡設(shè)備上完成, 有效地減少應(yīng)用服務(wù)器因?yàn)镾SL計(jì)算而產(chǎn)生的負(fù)載，更大程度地提升了整體應(yīng)用性能。