赞
踩
目录
针对世联行的实际网络和应用环境,方案主要从网络的稳定性和安全性、应用的负载能力和处理效率、数据的机密性和完整性三个方面综合考虑;
构建一个安全、高效、稳定的系统部署架构。整个系统的基础架构包括机房建设、部署架构、安全保障、后续扩展以及售后服务五大部分。
根据与外网对接入方式的不同,机房的建设可以选用自建机房和托管机房两种方式。两种方式各自有不同的优缺点,主要体现在基础设施和网络建设两个方面;对比情况如表4.1所示。
表4.1 机房建设对比表:
从表中的对比数据可以看出自建机房需要投入大量的基础设施建设成本。
首先机房装修上需要保证绝对的密闭性和热源隔绝性,对信号干扰和静电防护上有很高的要求。其次在电力保障上除了市电供应外,还需要UPS电源的稳定输出和备用发电机组的后备电源。再次是需要有智能空调系统对整个机房的温度和湿度进行稳定保障。而托管机房已经按照国家相应标准完成了相应的基础设施建设,因此使用托管机房可用省去基础设施成本。
无论是自建机房还是托管机房都需要对网络重新进行规划和设计。
因此两种都有一定的硬件设备投入成本,具体所需设备差异如表4.2所示。
表4.2 网络设备对比表:
一个完备的自建机房在网络拓扑上需要考虑链路负载均衡、核心交换的稳定性和可用性、网络安全防护三个方面。
具体网络拓扑如图4.1所示。
首先,在ISP链路选择上至少采用两条以上的链路,且分别属于不同运营商;不同链路之间使用链路负载均衡技术,这样不仅可以通过扩展链路的方式来增加带宽,还可以解决链路的单点故障,并实现不同运营商网络的流量从各自运营商的网络返回用户,提升用户网络访问体验。
其次,核心交换网络的设计上主要网络设备(防火墙、核心交换机)采用双机热备的冗余方式或者动态负载均衡的方式,解决核心网络的单点故障;为了提升核心网络的吞吐量核心交换层统一采用千兆以上的交换设备,优化内部网络之间的传输,通过高速转发数据包提供快速可靠的骨干传输结构,并对网络流量进行数据分组、转发和交换。
再次,针对可能出现的网络攻击方式,整个核心网络可以采用防火墙+DDOS流量清洗的方式来进行安全防御。防火墙采用具有入侵检测功能的高性能防火墙,进行网络行为的入侵检测和外网访问控制。DDOS攻击防护可采用各大厂商的DDOS防御设备,全方位的对网络层、传输层及应用层的拒绝服务攻击进行监测和防护。
托管机房与自建机房的网络建设上,托管机房已有稳定的ISP带宽接入,且支持电信和联通两大运营商的双链路,因此在链路上不需要额外的链路负载均衡投入。具体网络拓扑如图4.2所示
托管机房由于其服务对象是面向大众,同一机房对多个客户授权开放;因此托管在机房的设备和数据存在安全漏洞。
自建机房虽然在投入上高于托管机房,但机房只对本公司提供服务,外部人员无法接触到机房设备,在安全性上远远优于托管机房。
世联行P2P平台的应用部署架构包含分布式应用集群、数据缓存集群、高可用数据库集群、统一资源存储四大部分。
分布式应用集群可以解决静态资源访问效率以及P2P平台的并发处理能力;
数据缓存集群利用内存的高效访问性能来提升数据查询的整体效率;
高可用数据库集群可以确保数据库的可用性和高效性;
利用SAN网络存储可以实现平台静态文件资源和数据库资源的统一管理和机密性。
具体部署架构如图4.3所示。
分布式应用集群分为Web服务器集群和应用服务器集群两个部分。
用户的资源访问请求通过负载均衡将静态资源请求和动态应用处理请求分别转向Web服务器集群和应用服务器集群。
负载均衡采用Nginx+Keepalived的双机热备的方式来实现负载均衡调度器的高可用性;
Web服务器集群采用Nginx+Squid缓存的方式来实现,通过这种方式Web静态资源的访问速度能够得到很大的提升;
应用服务器集群采用WebSphere集群的方式来实现;具体结构如图4.4所示。
高并发访问的情况下数据库的并发查询效率直接影响整个平台的访问速度。
为了减轻数据库的访问压力,提高数据的查询效率,有必要再应用与数据库之间构建一个数据缓存集群。
缓存服务器的数据都是缓存在内存当中,这样能在最大程度上保证数据查询的高效性。
世联行P2P平台使用Redis来实现数据缓存集群。
为了确保数据的可用性和完整性,数据库采用双节点Oracle RAC集群。
Oracle RAC集群的优势是非常明显的,首先RAC数据库集群可以根据设定的调度策略,在集群节点间实现负载均衡,因此,RAC数据库每个节点都是工作的,同时也处于互相监控状态,当某个节点出现故障时,RAC集群自动将失败节点从集群隔离,并将失败节点的请求自动转移到其它健康节点上,从而实现服务透明切换;其次可以提供高可用服务,通过CRS可以实现节点状态监控,故障透明转移,这保证了oracle数据库可以对外不间断的提供服务;再次通过横向扩展提高了并发连接数,利用并行执行技术提高了事务响应时间。
Oracle RAC集群结构如图4.4所示。
整个方案中无论是Web服务器的静态资源还是数据库集群的数据库资源都统一使用网络存储来进行集中管理。
网络存储与数据库集群、Web服务器集群以及应用服务器集群构成一个私有网络;
这样能够最大限度的保证网络存储上的数据安全。
世联行P2P平台的安全主要从应用隔离、攻击防御、异常行为监控三个方面来进行保障。
针对应用集群和数据库集群,从安全的角度来考虑,可以采用物理隔离的方式,对两个集群的服务器分别使用相互独立的交换机来接入网络;
并通过网络层的访问控制策略,开放应用对数据库的点对点访问权限,做到访问权限最小化。
攻击防御以提前预防、及时处理为原则。
通过漏洞扫描提前发现系统和应用上的漏洞并及时进行修复,不给攻击者可乘之机;通过端口探测获取网络当中所有对外开放的服务,对非必须应用进行关闭;通过入侵检测及时发现入侵者的痕迹,针对发现的入侵方式有效的进行安全加固。
网络安全审计采用北塔BTNM运维管理系统。
北塔BTNM是一个通用的IT基础设施和服务应用的管理平台。它从网络和应用的不同层次,收集与业务/服务相关的各种信息:网络设备信息、全网流量信息、服务器内存、I/O的使用情况,甚至应用系统对资源的占用情况等;同时,内置的智能系统对收集到的信息进行综合关联分析;对网络和应用系统的异常行为进行监控,为应对各种攻击行为提供有力的保障。
针对世联行P2P平台的5万注册用户,1万并发请求的应用情况;
整个应用集群采用分布式负载均衡的方式来实现。应用集群的处理性能按80:20的原则进行分配,预留20%的容量作为扩展需求;
单个WebSphere以1500并发处理性能来计算,整个应用服务器集群需要8个WebSphere节点。
售后服务分为应用售后服务、数据库售后服务、硬件售后服务三个部分。
由于应用服务器采用WebSphere商用软件,数据库采用Oracle RAC集群,两者对专业性要求非常高建议购买厂商的专业服务;
方案中涉及到的硬件维护建议以专业的工程师团队和购买厂商服务两者相结合。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。