网上教学系统优化解决方案.docx
- 文档编号:4335084
- 上传时间:2022-11-29
- 格式:DOCX
- 页数:13
- 大小:887.76KB
网上教学系统优化解决方案.docx
《网上教学系统优化解决方案.docx》由会员分享,可在线阅读,更多相关《网上教学系统优化解决方案.docx(13页珍藏版)》请在冰豆网上搜索。
网上教学系统优化解决方案
网上教学平台优化解决方案建议
一当前系统面临的挑战
网络教学平台面向全国的员工提供在线选课、教学、完善的在线教学系统。
随着教学内容的不断丰富,访问者的数量增加,系统的压力也越来越重,具体总结为:
1.优化现有服务器性能,提升系统处理能力
受当前IDC机房的机架空间,电力等物理因素的影响,通过部署更多的服务器来提升整体系统承载能力的方式已经无法满足越来越多的用户访问请求,必需通过优化现有服务器的性能,得升系统处理能力。
2.提高用户的访问速度
由于访平台的访问者分布在全国,虽然用户都是的MDCN网络进行访问,但网络延时,丢包,拥塞等问题将影响用户的访问体验,特别是当某一个内容因为某些原因打开缓慢的情况下,访问者通常的方法都是通过点击“刷新”尝试再次请求,该操作将极大造成后台系统的性能压力更大。
3.加固系统的应用层安全性
防火墙与IPS系统只是查看网络上的数据包,而非对整个请求进行检查,由于缺少特定应用的相关信息,它们无法区分请求的合法性。
而目前在网上可以随意找到很多基于应用层攻击的方式而达到系统侵入,资料偷窃,信息篡改等目的。
4.数据库优化,解决数据库处理性能的瓶颈。
当前Web层,中间件层都可以利用集群的方式来扩展性能,数据库的性能瓶颈越来越明显,而目前传统的数据库集群方式解决的问题更多的是可靠性提升了,但没有真正解决数据库的处理瓶颈。
二F5解决方案概述
针对该系统面临的挑战,我们向用户推荐F5networks公司的应用交付解决方案。
F5作为应用交付领域的先行者和全球领先厂商,始终致力于不断为网络添加更多智能特性来提供先进的应用灵活性,使企业保持领先地位。
F5应用交付控制器可提供多种业界领先的服务器性能优化技术,端到端的安全防护措施,应用加速等功能。
借助其灵活、坚固的体系结构,F5通过显著改善企业服务其员工、客户和合作伙伴的方式来提供卓越的价值,同时显著降低运营成本,为企业成功地提供关键业务应用和最出色的灵活性来充分满足其业务需求。
网络拓扑结构
如上图所示,在当前系统架构中将F5的ADC(应用交付控制器)放置在Web/application服务器与数据库服务器前端,通过强大的应用加速,服务器性能优化,数据库性能提升,端到端的安全防护等技术,解决目前系统所面临的挑战。
三F5技术功能阐述
1.数据传输优化,提升网络传输效率
TCP协议优化
F5ADC可提供广泛的TCP优化功能,如:
拥塞通知,有选择的ACK回应,增强TCP丢包的恢复能力等,减少TCP连接过程中无用的消耗,提升网络传输的性能。
智能的http压缩功能,减少带宽使用
易配置的http压缩功能,只需要在F5ADC上另外购买对应软件模块。
http压缩功能可以减少线路中传输的数据字节。
这个功能可以实现两个目的:
1.更快的页面下载速度;
2.更小的带宽消耗(支持广泛数据类型的压缩:
例如HTTP,XML,Javascript,J2EEapplicationsandmanyothers),启用带宽压缩所带来的带宽节省可以达到80%。
客户端自适应的压缩处理能力(技术专利):
F5F5ADC应用交换机可以通过探测到客户端的RoundTripTime来识别用户是通过宽带还是窄带方式上网,然后决定是否要对该用户启用HTTP压缩功能。
对用户完全透明,不需要在客户端安装程序:
F5F5ADC应用交换机采用的压缩算法是目前常用WEB浏览器广泛支持的GZIP和Deflate算法,因此对用户完全透明,不需要预先安装客户端解压程序。
带宽管理,合理分配带宽
通过为高优先级应用分配带宽,确保获得最佳应用性能;基于第4层或第7层参数来控制峰值流量并确定流量优先级。
F5ADC的带宽控制模块可保证关键应用的稳定性。
在F5ADC带宽控制模块中,可以对基本带宽,限制带宽、突发带宽,控制方向等进行配置。
F5ADC可实现基于IP、端口、应用协议以及七层内容进行带宽控制。
在实现强大功能的同时保持配置的方便性和灵活性。
2.服务器性能优化
连接优化
F5ADC可提供广泛的连接管理以及TCP和内容卸载能力,以优化服务器性能,显著提高页面加载速度。
例如,F5ADC的OneConnect™能通过将数百万条客户机请求汇聚到成百上千个服务器端连接中将服务器容量增加60%,从而确保了后端系统能够高效地处理这些请求。
OneConnect™(连接优化功能)也可减少一个单一的正常的客户所产生的数十个或者甚至数百个TCPsession,同时在一个单一的seesion中进行Web浏览,这就极大限度地减少了网络流量。
如下图:
在我们的测试中,根据测试的流量类型和客户数,在Web服务器上所产生的改进可达2倍到50倍。
RAMCache内存级静态内容缓存功能
通过在F5ADC设备中的内存级缓存功能,可对服务器上被反复存取的静态内容作缓存,可以大大减轻服务器上的压力(可以减轻50%以上的服务器性能压力)。
F5ADC提供了内存缓存的灵活控制能力,可以对指定应用的指定内容在指定条件下进行缓存与刷新。
支持静态与动态内容的缓存,对动态页面(例如动态HTML),可以根据预先定义的缓存内容刷新条件对内容进行刷新。
而每个应用进行高速缓存可以消耗的内存容量也可以灵活定制。
在正常情况下,浏览器对于每一个域名或者IP的访问,只能打开两个连接并行处理所有的HTTP请求。
在一个界面友好的Web页面上,通常包含有几十个Object,这些Object的请求都需要在这两个连接中进行请求,并且由于HTTP的Request-Response机制,导致了用户必须在两个连接中等待所有的Object请求结束。
F5可以通过自动添加子域名的方式,将用户的并发连接数量提升,加快内容的访问。
智能客户端动态内容缓存
F5ADC最为突出的功能是客户端缓存的功能,该功能的工作机制主要是通过控制client端的浏览器行为来达到加速的目的。
在Web服务的页面中,存在大量的动态页面,对于传统的缓存设备或浏览器看来,在这个动态页面中的所有内容都是动态的,不可被缓存的。
然而,在这些动态页面中,实际包含了很多的静态内容。
通过配置策略,F5ADC可以将看似动态的不变数据(包括查询参数,etag,会话ID),而实则是静态的、或者是可识别的数据控制客户端的浏览器对这部份内容进行缓存。
F5ADC可以从动态网络应用中高速缓存更高比例的数据,并保持真正的动态应用行为不受干扰。
实现这些功能主要通过全面检查HTTP请求、控制高速缓存状态以及动态调整高速缓存的数据。
F5ADC可以控制浏览器第一次访问这个页面后,将访问过的图片全都保存在客户端的本地,并定义一个该内容的过期时间,可以最大设置半年的有效期。
而当该用户第二次请求时,相同的图片内容可以直接从客户端本地提取,无需再到server来请求。
因此显示速度会得到极大提升,同时减少对服务器的性能压力。
而当管理员对其中的某些内容进行更新后,为了能够让客户端清空已Cache的内容,F5ADC提供了一个简单的接口,使用一个管理员自定义的URL即可触发F5ADC对相应内容的更新操作。
即:
当管理员更新网站内容时,可在其更新完毕后,通过脚本发送一个URL地址到F5ADC设备上,接到该指令后,F5ADC则会更新相对应的内容。
此时,当用户发起请求时,F5ADC则可以控制其浏览器访问更新过的内容。
3.应用层性能优化
ExpressConnects多线程连接控制
在正常情况下,浏览器对于每一个域名或者IP的访问,只能打开两个连接并行处理所有的HTTP请求。
在一个界面友好的Web页面上,通常包含有几十个Object,这些Object的请求都需要在这两个连接中进行请求,并且由于HTTP的Request-Response机制,导致了用户必须在两个连接中等待所有的Object请求结束。
F5可以通过自动添加子域名的方式,将用户的并发连接数量提升,加快内容的访问。
通过F5ADC的ExpressConnects技术,可以将这些Object进行分组,使浏览器发起多个并行的连接进行请求,就像是通过FlashGet等并行下载软件,可以完全的使用网络带宽来进行内容下载。
借助多线程连接功能,标准浏览器服务器连接的速率获得了极大提升,这就好比是一条破旧狭窄的乡间小径,升级改造成了一条超级洲际高速公路。
与每个浏览器请求进行排队并等待前一个请求返回不同,请求与响应将以并行的方式通过网络发送至F5ADC。
由于F5ADC极为高效,拥有可观的可用周期,因此它能够立刻发起上述请求,并且在多数情况下,无须源服务器的介入。
因此,通过优化就能实现服务器的可扩展性和带宽容量的提升。
据用户反映,性能上的提升甚至远不止这些。
动态线性化PDF文档显示
在正常情况下,用户通过浏览器打开一个PDF文件时,如果PDF有很多页,浏览器必需在将PDF全部下载完毕之后才会显示PDF的内容,而F5ADC则可以提供PDF格式文件的即时浏览,用户无需等待整个文件下载完成,便可即时浏览该文档。
SSL卸载
为了提高数据在网络传输中具有更高的安全性,加密套接(SecureSocket)层即SSL已被广泛采用,但是传统服务器通过CPU的对SSL进行加解密的运算方式,极大的消耗了服务器的性能。
F5内置的SSL加速芯片,可把服务器的CPU从繁重的加密与解密处理负荷中解放出来,从而将宝贵的资源归还给服务器群。
它可与任何操作系统或互联网服务器互操作,而不会出现服务器硬件、软件安装或兼容性问题。
以后各个阶段通过从在这些阶段安装的高速缓存中检索静态且加过密的数据而受益。
4.进一步提升安全防范能力
由于互联网的传播,黑客攻击工具现今十分容易获得,导致针对互联网上的应用服务的攻击日益增加。
同时,各种各样的黑客攻击手段层出不穷,攻击手段越来越隐蔽,破坏能力越来越大,危害也日益严重。
因此,对于安全系统而言,必须在以下几方面进行加强:
1.加强可靠性。
鉴于安全系统产品所处的位置,如果出现因故障而宕机的现象,会影响整个网络的运行,因此,它应该具有双机热备能力和自身抗打击能力,这对高可用环境尤为重要。
2.进一步提高处理速率。
当前对攻击进行的攻击特征模块检测均是基于软件的,为提高处理速度,必须采用硬件构架,借助芯片能力的提升来实现。
将来可能会把这些功能全部移植到芯片上,彻底提升效率。
3.与多种安全产品联动或集成。
由于安全体系是一个整体解决方案,因此F5ADC可以通过与各种防病毒、防火墙和IDS等安全技术的联动,在最大范围或程度上防范DoS/DDoS攻击。
4.提高应用层安全性
这种防护不仅可以阻止攻击,同时还可以为合法用户提供即时服务。
从这两方面来看,F5ADC均提供了一整套安全服务,在提高网络和应用的安全性方面扮演了日益重要的角色。
从增强网络和协议级安全性到过滤应用攻击,F5ADC都可以部署在关键网关上,来出色的保护您的珍贵资源:
运行业务的应用。
资源隐藏-F5ADC将全部应用、服务器错误代码和真实URL地址进行虚拟化并隐藏,因为这些信息可能会给黑客提供攻击其基础设施、服务以及相关漏洞的线索。
定制应用攻击过滤-F5ADC的完整检查能力及基于事件的规则提供了一项强大的能力,可搜索并应用各种规则来阻止L7层攻击-同时也可以定义策略来阻止特定访问或禁止某些命令的执行。
此外,F5ADC在为合法用户持续提供流量的同时,还可提供其它安全保护层,以防范黑客、病毒和蠕虫的攻击(如红色代码蠕虫)。
零日攻击(ZeroDay)的防御-与传统的数字签名检测方法不同,F5ADC不仅仅针对已知的可能攻击进行防御,它采用了一种双向的启发式的安全模型,可以应对各种(已知或未知的)基于HTTP或HTTPS的攻击威胁。
这一解决方案可以应用在生产动态环境中。
精细控制-在采用F5ADC的情况下,可以根据需求有选择地采用数字签名和式样(pattern)监测以强化防火墙和IPS系统的防御能力。
这样,通常这些系统能力所不及的网络协议攻击(networkprotocolattack)也可以得到防范。
此外,F5ADC强大的自适应学习和调整机制可以有效地降低策略制定方面的管理负担。
详细的数据统计和取证信息-F5ADC可以在日志中记录大量应用处理和事件信息,这对于分析应用特征和识别/防止非法的用户行为大有裨益。
即插即用-基于F5ADCTMOS架构的ASM可以十分便捷地融入到企业的网络环境中去。
一经安装,F5ADC模块的自动学习机制便快速准确地建立起一套针对其保护的特殊应用需求的安全策略,显著降低了策略管理和手工配置的工作量。
防火墙-包过滤
现在,F5ADC集成了一个控制点来定义并执行基于第4层的过滤规则(基于PCAP,与网络防火墙类似),以提高网络保护能力。
5.服务器负载均衡
F5ADC利用虚拟IP地址(VIP由IP地址和TCP/UDP应用的端口组成,它是一个地址)来为用户的一个或多个目标服务器(称为节点:
目标服务器的IP地址和TCP/UDP应用的端口组成,它可以是internet的私网地址)提供服务。
因此,它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。
F5ADC连续地对目标服务器进行L4到L7合理性检查,当用户通过VIP请求目标服务器服务时,F5ADC根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。
如果能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器,我们就可以有效地避免“不平衡”现象的发生。
F5ADC是一台对流量和内容进行管理分配的设备。
它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。
而面对用户,只是一台虚拟服务器。
用户此时只须记住一台服务器,即虚拟服务器。
但他们的数据流却被F5ADC灵活地均衡到所有的服务器。
F5ADC包含12种负载均衡算法
Ø轮询(RoundRobin):
顺序循环将请求一次顺序循环地连接每个服务器。
当其中某个服务器发生第二到第7层的故障,F5ADC就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。
Ø比率(Ratio):
给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。
当其中某个服务器发生第二到第7层的故障,F5ADC就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
Ø优先权(Priority):
给所有服务器分组,给每个组定义优先权,F5ADC用户的请求,分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当最高优先级中所有服务器出现故障,F5ADC才将请求送给次优先级的服务器组。
这种方式,实际为用户提供一种热备份的方式。
Ø最少的连接方式(LeastConnection):
传递新的连接给那些进行最少连接处理的服务器。
当其中某个服务器发生第二到第7层的故障,F5ADC就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
Ø最快模式(Fastest):
传递连接给那些响应最快的服务器。
当其中某个服务器发生第二到第7层的故障,F5ADC就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
Ø观察模式(Observed):
连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。
当其中某个服务器发生第二到第7层的故障,F5ADC就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
Ø预测模式(Predictive):
F5ADC利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。
(被F5ADC进行检测)
Ø动态性能分配(DynamicRatio-APM):
F5ADC收集到的应用程序和应用服务器的各项性能参数如CPU、内存和磁盘的占用情况,动态调整流量分配。
动态性能分配可通过标准SNMP或服务器端插件完成。
Ø动态服务器补充(DynamicServerAct.):
当主服务器群中因故障导致数量减少时,动态地将备份服务器补充至主服务器群。
Ø服务质量(QoS):
按不同的优先级对数据流进行分配。
Ø服务类型(ToS):
按不同的服务类型(在TypeofField中标识)对数据流进行分配。
Ø规则模式:
针对不同的数据流设置导向规则,用户可自行编辑流量分配规则,F5ADC利用这些规则对通过的数据流实施导向控制。
当出现流量“峰值”时,如果能调配所有服务器的资源同时提供服务,所谓的“峰值堵塞”压力就会由于系统性能的大大提高而明显减弱。
由于F5ADC优秀的负载均衡能力,所有流量会被均衡的转发到各个服务器,即组织所有服务器提供服务。
这时,系统性能等于所有服务器性能的总和,远大于流量“峰值”。
这样,即缓解了“峰值堵塞”的压力,又降低了为调整系统性能而增加的投资。
服务器健康检查
F5ADC将用户的服务请求均衡到所有的服务器之前,可以在服务器群中的任何一台或多台设备发生故障后,将用户的服务请求被均衡到其它服务器。
而且,当本地服务器群中的服务器数量不能满足系统要求时,F5ADC会利用“动态服务器补充”功能自动调入服务器补充系统性能。
如何有效地确定服务器、应用、内容的状态,使提高系统可靠性的关键。
F5ADC利用其独到的、高效的“健康检测”手段,识别服务器、应用、内容的状态。
它们包括:
●服务器逻辑连接状态检测
●应用类型状态检测
●扩展内容查证(ECV:
ExtendedContentVerification)--ECV是一种非常复杂的服务检查,主要用于确认应用程序能否对请求返回对应的数据。
如果一个应用对该服务检查作出响应并返回对应的数据,则F5ADC控制器将该服务器标识为工作良好。
如果服务器不能返回相应的数据,则将该服务器标识为宕机。
宕机一旦修复,F5ADC就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。
该功能使F5ADC可以将保护延伸到后端应用如Web内容及数据库。
F5ADC的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。
这将有助于确认您为客户提供的内容正是其所需要的。
●扩展应用查证(EAV:
ExtendedApplicationVerification)EAV是另一种服务检查,用于确认运行在某个服务器上的应用能否对客户请求作出响应。
为完成这种检查,F5ADC控制器使用一个被称作外部服务检查者的客户程序,该程序为F5ADC提供完全客户化的服务检查功能,但它位于F5ADC控制器的外部。
例如,该外部服务检查者可以查证一个从后台数据库中取出数据的应用能否正常工作。
EAV是F5ADC提供的非常独特的功能,它提供管理者将F5ADC客户化后访问各种各样应用的能力,该功能使F5ADC在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。
该功能对于提高系统可靠性至关重要,它用于从客户的角度测试您的站点。
例如,您可以模拟客户完成交易所需的所有步骤-连接到前置服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。
一旦F5ADC掌握了该“可用性”信息,即可利用负载平衡使资源达到最高的可用性。
F5ADC已经为测试多种服务的健康情况和状态,预定义了扩展应用验证(EAV),如:
FTP、NNTP、SMTP、POP3和MSSQL等,用户还可依据实际应用,自行编辑EAV脚本。
●响应错误再处理
F5ADC基于双向流量管理机制实现服务器端的事件处理,可依据出错状态编程定制相关动作,对错误信息进行再处理。
会话保持
会话保持技术使得较为复杂的应用如电子商务等应用得以配备负载均衡设备提高系统的可用性,F5ADC的会话保持技术保证一旦用户与某一台服务器建立连接,他们将继续保持与这台服务器的有效连接直到会话结束:
●交易的完整性
●购物车能够继续有效
●安全交易继续保证原有的安全性
●会话,网络电话持续而且不被打断
多种的会话保持技术–结合F5ADC内容交换机技术–F5ADC提供了强有力的和灵活多样的功能使F5的技术在业界遥遥领先:
●简单Persistence
⏹可为每个虚拟服务器设置:
超时时限,地址,掩码
⏹可以智能的与F5ADC内容交换能力结合将会话保持在根据任意独立的或组合的HTTP报头确定的服务器
●SSLSessionIDPersistence
根据SSL会话ID做会话保持
●HTTPCookiePersistence
F5技术支持四中会话保持技术:
插入模式,改写模式,和被动的cookie保持技术,Cookie散列保持技术
●目的地址归类
这是专门针对网站加速器实现的目的地址会话保持技术
●Persistence记录镜像到备份控制器
●iMode会话保持技术
●SIP协议会话保持技术
IPv6网关模块
所有企业都需要制定一套明晰的无缝演进战略,以分阶段进行网络移植,以支持不断增长的IPv6需求。
通过IPv6网关模块,F5ADC提供了完整的v4与v6网络间IP转换与负载平衡能力。
这使得用户移植和混和IPv4与IPv6主机资源的共享更易于管理,同时也更为经济高效。
使用户移植和混和IPv4与IPv6主机资源的共享更易于管理,也更为经济高效。
6.Oracle数据库优化
通常情况下,管理员为了提高数据库的可靠性并满足数据库大容量需求,都采用多节点的OracleRAC部署方式。
然而,当布署于多个节点的OracleRAC节点时,由于客户端访问数据库时,可能从不同的RAC节点进入,当用户访问的表在不同的OracleRAC节点时,Oracle为保证数据从用户进入的RAC节点返回,将在RAC节点间通过局域网进行内存复制。
由于局域网的I/O相比内存的速度相差几个数量级,因此当有大量的用户请求在OracleRAC节点间复制时,将大大降低OracleRAC的效率,该效率的降低将随着OracleRAC节点的增加而愈发明显。
F5可通过可编程7层应用检查应用数据包,根据数据包的不同标识,将同一个表操作请求,导向对应的OracleRAC节点,降低OracleRAC节点间的复制,从而提高OracleRAC的效率。
如下图所示,通过F5UIE对应用内容的判断,根据不同的判断条件将不同的用户请求相对固定的送到对应的RAC节点上,这样RAC节点中的内容相对固定,节点间的复制随之降低。
应用内容的判断条件包括源IP地址、用户名等、应用标识等。
通过F5UIE引擎,通过对OracleRACODBC接口中的标识进行判断后,可以准确的根据用户名将其引导至对应的ORACLERAC节点,有效的降低RAC节点间的复制。
同时对客户端、服务器端、应用都无须做修改。
同时通过对URL的不同注释,可不仅仅根据用户名判断,还可基于其它的字段值进行判断,为今后不同应用判断条件提供良好的扩展性。
四F5解决方案优势
通过在现有系统中全面部署F5ADC应用交付解决方案,可以确保用户获得:
●服务器资源降低80%
●互联网络带宽节省75%
●客户响应速度提高3-7倍
●数据传输速度提升10倍
●网络层到应用层的全方位安全保障
●应用系统达到99.999%的高可用性
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网上 教学 系统 优化 解决方案