韋嘉2008-07-011min0

決定網路應用效能的關鍵

Internet的流量具有獨特的特性,持續的向上成長,與股市的上上下下的曲線頗為不同,Internet族群的日益龐大造成對各種應用及網路基礎架構的要求越來越高。

A10 Networks
亞太區董事總經理
韋嘉

對今日而言,獲取訊息速度的快慢成為一個關鍵因素,對ISP及企業而言均是一大課題。以新一代所謂的「應用加速交換機(Application Acceleration Switch)」應運而生,事實上這是從傳統4至第7層負載均衡交換機演化革新而來。

網路負載均衡性日益重要

在傳統的負載均衡設備將大量的併發瀏覽量及資料流量分佈到不同的伺服器節點作處理,減少用戶等待及反應時間,使得系統處理能力能得到大幅度的提高。負載均衡(Load Balancing)的解決方案建立在現有網路結構之中,提供了透明有效的方法擴展網路設備及伺服器的頻寬,加大流量,加強資料中新的資料處理能力,擴大網路的靈活性、可用性及安全性。但是近年來因為資料中心(IDC)的高度集中發展,瀏覽量及流量大幅增加,以及網路中的攻擊現象,使得負載均衡性能以及抵抗攻擊能力的功能日形重要,而且成為必備的條件,但是如何來評估負載均衡交換機,或者應用加速交換機的效能呢?

在網路設備基礎架構之中,大眾耳熟能詳的第2層交換機及第3層路由器,早已是成熟技術及產品,衡量產品指標在於背板的大小及是否能達到線速(wire-speed)的埠速率,及整個系統的綜合處理交換能力,但是對於第4至第7層的應用加速交換機,因為涉及更多的應用處理,衡量的標準就有所不同了。

基本來說有下列數項:

  1. 第4層指標(包括每秒新建連線數及第4層流量);
  2. 第7層指標(包括每秒新建連線數、交易數量及第7層流量);
  3. SSL加速處理能力(每秒新建連線數、交易數量及總SSL交易流量);
  4. 交換機所能處理最大併發連線數(Concurrent Sessions);
  5. 防止DDoS攻擊的能力。

市面上有著越來越多的負載均衡交換機,但是基本上存在兩大問題,第1個是許多的用戶並未能深入了解這項第4至第7層解決方案的效能及目的,第2個問題是難以清楚了解到各家產品性能高低及未來發展方向,就筆者前述現今的應用加速交換機以非傳統第一代的負載均衡設備,其中歷經網路技術變革及新的內涵,加上優化TCP/IP傳輸效率,使得應用加速交換機變成了高度技術掌握目前網路應用效能的重要關鍵。

性能指標

筆者藉此一機會對諸項性能指標略作說明。針對第4層性能指標,當然首先看重每秒所能建立新連接數量,第4層的新建連接定義為一個完整的3次hand-shaking過程,包括SYN、ACK,一次HTTP的請求及回應,以及TCP的關閉(包括FIN、ACK)等,在第4層測試時,從Client端發起第4層連接,請求大小不同的內容,伺服器端負責返回Client請求的數據對象。不斷加大Client端請求數量,直到設備出現無法處理或者連接失敗的情形,在設備上最大無失敗的數值連接數及流量,就是第第4層處理的效能,這項指標可看出系統基本效能。

第7層性能指標與應用有著密切的關係,與第4層不同的是,對於第7層處理,交換機需要檢查客戶端及伺服器端資料封包的內容,目前常用的是針對第7層HTTP相關應用的流量分發處理。在第7層每秒新建交易中的定義是一次HTTP的Request及Response的交互過程,交易的發生是建立在第4層TCP連接建立的基礎之上,因此先要有一個連接建立的過程,然後每個連接可能在完成一個或多個交易後關閉,第7層流量的定義跟第4層相同,測試第7層的方法也是由Client端發起併發連接請求大小不同的資料內容。伺服器端處理Client請求並返回請求資料段加大Client數量,直到設備開始出現無法處理或者失敗連接為止,所以最大的無失誤第7層測試數據就是其第7層處理能力。對於第7層交易而言,一個連接可能包含多個交易請求,所以可以測試一個連接一個或多個甚至是無限制數量的交易請求等各種情況下,第7層處理速度及流量。

第4至第7層測試封包可由最小128 byte到最大512 Kbyte,針對不同情形,我們必須知道:

  1. 第4層測試結果在於設備基本load balancing能力,不需檢查封包內容的流量分發能力;
  2. 第7層需用到TCP複用技術,每個TCP連接包含多個HTTP請求,或需檢查應用封包將流量分發到何處,例如對HTTP請求封包做分析;
  3. SSL性能指標,SSL普遍使用保證用戶和應用間的安全傳輸,SSL目前是主流的加密解決方式,SSL性能則能表現出SSL交易加解密的處理能力,與第4層及第7層類似,在每秒分別針對不同資料封包做最大連接數量及流量測試,SSL性能測試又可分為針對無SSL複用及複用多次的情況;
  4. Sync Cookie的指標,主要針對於DDoS攻擊的抵抗機制,這一項指標的意義在於在load balancing交換機正常處理交易情況下,能夠抵抗多大規模的DDoS攻擊。

目前市場上最新的技術在於以ASIC的第4層晶片設計,大幅提升第4層性能及加強DDoS防護能力,以多核心處理器的方式加大CPU能力,用以做為第7層應用分析。軟硬體合一的高效能系統架構將會是決定網路應用效能好壞的關鍵,換言之,是當今網路應用頻寬打通任督二脈之所在。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416