某中大型网站系统架构--
作者: Luke Lai | 同意转载, 转载时请以超链接形式标明文章原始出处,谢谢!
网址: http://www.it-infra.cn/web_frontend
我们应该把谁放在网站的前方? 防火墙还是负载均衡器?
如果你的单位有些钱,又对安全性及可用性有一定的要求,呵呵,估计负载均衡器(Load Balance)和防火墙(Firewall)都会逐渐添齐,那么怎么在网站这种应用环境中去使用它们?下面的小经验却是血泪换来的,呜呜
我曾经历一段“可怕”的经历,因为单位的业务迅猛发展,网络流量跟会话(Session数)猛增,原来一直放置在前段的防火墙撑不下去,只能临时从厂商借来load balance顶住。后来事后跟厂商的同志们分析,跟网络流量的增长不是太大关系,一般百兆防火墙虽然不能达到线速,但到60~70M问题不太大,当然这属于比较好的牌子的防火墙,当时主要的性能瓶颈在Session数及防火墙上包过滤策略。
Load balance的Session数跟防火墙比起来,那不是一个数量级的,主要原因是load balance处理并发连接的方式对于防火墙来说是一个创新的方式,具体也很难在这个博文中解释清楚,如有兴趣,建议在网上搜取F5与Netscaler相关资料。 记住一点,把负载均衡器(Load balance)放置在面向Internet用户的位置,而把防火墙/VPN搁在内部网与IDC连接中间,作为内部安全设备使用。这样即保持网站的可用性,又保证内网的安全性。具体拓扑结构可以考虑另外一篇博文<<某中大型网站系统架构--实战案例研究>>
网址: http://www.it-infra.cn/web_frontend
我们应该把谁放在网站的前方? 防火墙还是负载均衡器?
如果你的单位有些钱,又对安全性及可用性有一定的要求,呵呵,估计负载均衡器(Load Balance)和防火墙(Firewall)都会逐渐添齐,那么怎么在网站这种应用环境中去使用它们?下面的小经验却是血泪换来的,呜呜
我曾经历一段“可怕”的经历,因为单位的业务迅猛发展,网络流量跟会话(Session数)猛增,原来一直放置在前段的防火墙撑不下去,只能临时从厂商借来load balance顶住。后来事后跟厂商的同志们分析,跟网络流量的增长不是太大关系,一般百兆防火墙虽然不能达到线速,但到60~70M问题不太大,当然这属于比较好的牌子的防火墙,当时主要的性能瓶颈在Session数及防火墙上包过滤策略。
Load balance的Session数跟防火墙比起来,那不是一个数量级的,主要原因是load balance处理并发连接的方式对于防火墙来说是一个创新的方式,具体也很难在这个博文中解释清楚,如有兴趣,建议在网上搜取F5与Netscaler相关资料。 记住一点,把负载均衡器(Load balance)放置在面向Internet用户的位置,而把防火墙/VPN搁在内部网与IDC连接中间,作为内部安全设备使用。这样即保持网站的可用性,又保证内网的安全性。具体拓扑结构可以考虑另外一篇博文<<某中大型网站系统架构--实战案例研究>>
2009/01/25 21:05 | 
