大型网站网络优化应用研究

来源:用户上传      作者: 王宝华 余军

　　大型网站尤其是门户网站经过近10年的发展，目前在运营上已经进入较为成熟稳定的阶段。从网站成立到现在，网站的网络结构和功能随着时间的推移变得复杂，因网络设备造成的网络稳定性、可靠性与网络性能下降等问题也逐渐显露出来。因此，需要在网络正常运行的情况下，对现有网络进行结构和功能上的调整和升级，从而达到减少网站在线故障率和故障影响时间等目的，提高网络利用率，实现链路和应用的负载均衡，为各种应用服务提供稳定、可靠和高效的网络环境。
　　为了解决网站目前存在的网络环境的安全与稳定问题，需要通过对网络结构和应用系统的统一优化调整：
　　1．实现多条网络链路的负载均衡，提高网络链路的可靠性，减少网络故障对网站服务的影响；
　　2．通过升级网络安全设备，增加网络安全设备功能，提供对应用服务攻击的防护，阻止病毒、P2P应用对网络的破坏；
　　3．通过规划内部互联子网，提高网络设备效率，部署静态文件缓存，对静态文件集中存储、归档，根据动态程序进行分类，部署应用程序集群，部署数据库集群；
　　4．通过应用负载均衡器提升网站应用系统的服务能力，对关键应用服务数据进行统一备份和管理，保障网络数据更加安全可靠。
　　通过以上种种策略的部署与实施，从而达到整个网站负载均衡，高效稳定的对外服务，降低运营风险的目标。具体实现措施为：
　　一、实现基于链路的网络负载均衡
　　为了解决大型网站与多家运营商连接，提高各个运营商最终用户访问网站的速度，尤其是解决中国电信和中国联通（前中国网通）的不同用户群访问网站的连接速度，需要增加链路负载均衡器实现如下功能：
　　1.能同时接入2条中国电信链路，定义其中一条链路为主链路，另一条为辅链路。两条链路能同时提供网络互联，链路上分配的IP地址能够一一对应进行静态映射（Static NAT），在任何一条链路出现故障中断的情况时，链路负载均衡器能够即时检测，并且动态转移故障链路连接到能正常连接的链路。两条链路同时正常工作时，链路上的使用带宽能够根据连接数和流量动态调整，实现网络流量的负载均衡。
　　2．能接入中国联通、中国教育网链路，且链路上的IP地址能够与中国电信主链路进行一一对应的静态映射，通过配置中国联通和中国教育网IP段，根据来源来判断优先选择的链路为中国联通或中国教育网。在中国联通或中国教育网链路发生故障时，能够根据链路状态转移到中国电信链路。
　　3．能通过私有IP地址连接长城宽带本地接入商，通过静态路由的方式与长城宽带互联，链路上的私有IP能与中国电信主链路进行对应的静态映射，判断来源IP为长城宽带用户时，优先选择长城宽带链路。因长城宽带连接IP为私有IP，在链路发生故障时，能通过更改配置转移长城宽带连接到中国电信链路。
　　4．对中国联通、中国教育网和长城宽带私有地址以外的其他IP地址，通过链路负载均衡器对外部互联网周期性地进行路由路径检测，建立动态就近性路由表，能根据公网路由变动及时调整就动态近性表。
　　5．从网站办公网段内访问外网时，能根据目的IP地址，通过动态NAT选择不同的链路，解决内部用户访问外网的连接互通。
　　6．在使用内部DNS服务器进行域名解析时，链路负载均衡器能够根据DNS请求的源地址，匹配静态映射或就近性路由表中的对应IP地址，返回DNS请求数据，不同运营商得到的均为最佳链路上所对应的IP地址。
　　二、升级网络安全设备，提升网络安全等级
　　从2008年开始，网络攻击的主要行为从以前的网络端口攻击和网络连接攻击变为根据不同网络应用服务而进行的应用级的入侵，如内容篡改、SQL注入和木马植入等，即网络攻击逐渐由OSI3-4层攻击转为OSI4-7层攻击。因此，原来的防火墙产品已经不能满足现在网络应用的需求，需要对防火墙升级，扩展其功能以防御应用级的入侵，通过以下方式来实现：
　　1．升级防火墙硬件，提高防火墙吞吐率，加大同时会话数，调整防火墙对网络连接攻击的参数以适应大流量的攻击，对防火墙策略进行整理，根据不同的应用服务和连接类型设置对应的防火墙端口策略。
　　2．增加防火墙入侵防御（IPS）功能，对网络应用的连接行为和数据包根据策略库中的特征进行对比，阻止针对网络应用的入侵行为，如：SQL注入、Web应用服务溢出漏洞、Url溢出漏洞和木马植入等。防火墙入侵防御特征库能够每天升级，更新网络应用攻击特征以适应不断变化的网络应用攻击。
　　3．增加防火墙防病毒功能，对经过防火墙的邮件内容进行检测，阻止含有病毒的邮件数据传输，对下载的压缩文件和可执行文件进行检查判断，阻止病毒传播到办公区，对Office文档进行扫描，防止宏病毒感染，提供ARP检查保护，避免内网用户因ARP病毒导致整个网络发生ARP劫持。
　　4．增加网络应用监控和流量管理，对内部办公区P2P下载行为进行限制，防止P2P下载程序占用过多的网络会话数，影响防火墙和其他设备的稳定，保障网站的正常对外发布。
　　三、规划内部数据子网，分离不同的网络应用数据，提高网络利用率
　　根据网站内不同网络应用，分别划分内部办公子网、内网数据交换子网、内网应用服务子网和网络存储子网，功能和特点分别如下：
　　1．内部办公子网的办公电脑使用MAC和IP地址对应绑定到网络设备端口上，避免内部办公电脑因木马或病毒造成ARP欺骗和ARP网关劫持，内部办公子网的用户使用P2P下载软件时，P2P下载软件发送的UDP数据包不会转发到其他子网，避免对其他子网性能的影响，并且内部办公子网的用户需要经过防火墙才能访问其他子网，有效地保证了网站服务器不会被跳板攻击。
　　2．内部数据交换子网的主要作用是提供服务器和集群之间的数据交换，使用静态路由转发数据到内部办公子网，同时也是内部服务器连接外网进行系统更新和时间同步的连接。内部数据交换子网对网络要求质量较高，因此使用多台全千兆交换机组成交换机集群，每台交换机使用链路聚合连接到核心交换机。
　　3．内网应用服务子网的主要作用是提供应用负载均衡器和服务器集群中的服务器之间的连接，以及应用服务器在集群之间的数据请求和数据交换。
　　4．网络存储子网是应用服务集群和数据库服务集群与网络存储进行数据交换的子网，与其他子网完全物理隔离，避免其他子网的广播包对网络存储子网服务器、网络设备和存储设备的干扰，采用2台高性能千兆交换机为网络存储提供了高效稳定安全的网络传输。
　　四、基于OSI4-7层网络应用服务做应用负载均衡，保障网络应用高效可靠
　　随着网站的发展壮大，网站内容需要提供的同时连接数越来越大，单台应用服务器已经无法承受巨大的访问量，需要多台应用服务器同时提供服务，因此通过增加应用负载均衡器，实现多台应用服务器同时在线运行，确保网站应用的高效稳定，满足以下功能：
　　1．多台服务器同时高并发地提供对外服务，在服务器繁忙或出现故障时，能及时切换连接请求到其他可用服务器，切换过程中连接的会话状态不会丢失。
　　2．网站发展过程中服务器是不断增加，运行同一网络服务的服务器性能存在差异，导致服务器所能承受的连接数不同，同一应用所在的服务器组可以由不同配置的服务器组成，应用负载均衡器能根据服务器的性能按照一定的规则分配网络连接，平衡服务器的压力，发挥服务器的有效性能。
　　3．负载均衡器能根据网络应用层（OSI第7层）的不同请求类型，将连接请求分配到特定的服务器。这些类型包括：域名、请求路径、网络协议、网络端口甚至是文件后缀名。
　　4．能够对应用服务器提供完整的健康检查，判断服务器操作系统运行状态、应用服务状态以及应用服务响应速度等，根据这些指标，动态地对服务组中的连接请求进行分配，确保网站用户的连接请求。
　　5．能提供对应用服务后端的数据库服务的负载均衡，保障前端应用程序服务器高效稳定地连接数据库。
　　通过以上4项优化调整，荆楚网目前的网络中断率比调整前降低80%，网络故障影响时间减少90%，网络利用率提高30%，网络稳定性和可靠性得到大幅提高，达到了网络调整的预期效果，也为网站各种应用系统提供了良好的网络环境。
　　（王宝华：武汉东湖学院；余军：荆楚网）

转载注明来源:https://www.xzbu.com/1/view-224809.htm