Równoważenie obciążenia serwerów i zapewnienie wysokiej
Transkrypt
Równoważenie obciążenia serwerów i zapewnienie wysokiej
Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Większość firm jest aktualnie w znacznym stopniu uzależniona od poprawnego funkcjonowania komputerów i sieci komputerowych. Duża część aplikacji biznesowych, umożliwiająca sprawne funkcjonowanie firm jest dostępna dla użytkowników poprzez przeglądarki i interfejs „www” udostępniane na odpowiednich serwerach. Pracownicy wykorzystują więc podczas pracy w sposób ciągły wszystkie trzy elementy. Wraz z rozwojem stopnia wykorzystania aplikacji biznesowych w codziennych czynnościach użytkownika, jak również wraz z ciągłym wzrostem ilości przesyłanych danych oraz rosnącym obciążeniem serwerów udostępniających interfejs dla użytkowników systemu, konieczne jest zminimalizowanie czasu niedostępności któregokolwiek z elementów wykorzystywanych w codziennej pracy. Zaplanowane czasy niedostępności któregokolwiek z elementów niezbędnych przy wykorzystywaniu aplikacji, wynikają najczęściej z następujących czynności: uaktualnienia sprzętu/oprogramowania, procedur konserwacyjnych czy też choćby tworzenia kopii zapasowych. Jednakże najbardziej problematyczne są niezaplanowane czasy niedostępności któregokolwiek z elementów, które mogą być wynikiem, np. włamania, uszkodzenia zasilaczy sprzętu, błędu człowieka lub zbyt dużego obciążenia systemów. Niezaplanowany brak dostępności aplikacji pociąga za sobą znaczne koszty dla firm, które bazują na aplikacjach dostępnych poprzez sieć. Powyższy problem dotyczy praktycznie większości firm, których aplikacje biznesowe są dostępne poprzez sieć, a w szczególności tych organizacji, których główna działalności opiera się o zasoby dostępne poprzez sieć i strony „www”. Obecnie sprawdzając pocztę poprzez portal internetowy, kupując cokolwiek w sklepie internetowym, czytając wiadomości dostępne w portalach internetowych czy też chociażby sprawdzając stan konta – wszystko to robimy, będąc online i korzystając z serwerów udostępniających treści z wykorzystaniem protokołów http i https. Zapotrzebowanie na zasoby sprzętowe, programowe i połączenia wykonywane do serwerów rosną w bardzo szybkim tempie przy jednocześnie rosnących wymaganiach ze strony użytkowników. Nikt obecnie nie chce czekać na ładującą się powoli stronę portalu czy też przedstawiającą stan konta, a już w żadnym wypadku nie jest akceptowane opóźnienie w przypadku aplikacji biznesowych. W przypadku występowania opóźnień lub niskich transferów obwiniana jest sieć, jednakże trzeba przy tym pamiętać, iż nie tylko sieć może być odpowiedzialna za taki stan rzeczy, ale problem również może pozostawać po stronie serwera. Dotychczas spotykane architektury często były oparte o pojedynczy serwer o dużych zasobach systemowych, który również mógł być przeciążony i powodować wymienione powyżej problemy. Rozwiązanie oparte o pojedynczy, mocny serwer może być postrzegane jako dobre, jednakże niezależnie Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski od mocy i zasobów serwera, zawsze pozostaje pojedynczym punktem awarii, bardzo drogim i nie posiadającym odpowiednich możliwości skalowania. Szczęśliwie, nie jest to jedyne możliwe rozwiązanie aby zapewnić wysoką wydajność i poprawić jakość usług dla użytkowników. Architektura rozwiązań Chcąc zlikwidować pojedynczy punkt awarii w postaci mocnego serwera, trzeba zapewnić określoną wydajność i czas odpowiedzi dla oferowanych usług. Osiągnięcie wydajności równej bądź wyższej od pojedynczego, mocnego serwera jest możliwe z wykorzystaniem większej ilości słabszych serwerów. Rozwiązanie takie charakteryzuje się znacznie większą odpornością na awarie jak również zapewnia płynne skalowanie wydajności całego rozwiązania. Serwery świadczące te same usługi są grupowane w tzw. farmy serwerów. Patrząc od strony sieci zewnętrznej farma serwerów umieszczana jest za Load Balancer’em i widoczna pod jednym adresem IP, dzięki czemu jest to całkowicie przeźroczyste dla użytkownika, korzystającego z usług świadczonych przez farmę serwerów. Na rynku urządzeń typu Load Balancer obecnych jest aktualnie kilku liczących się producentów tj. Radware, F-5, Nortel (urządzenia poprzednio znane jako Alteon), czy też Cisco. Jednak nie wszystkie dostępne rozwiązania są sobie równe, pomimo iż przeznaczone są do tych samych zastosowań – równoważenia obciążenia serwerów aplikacyjnych i zapewnienia wysokiej dostępności. Radware WSD Cisco – LocalDirector Nortel - Alteon F5 - BigIp Rys. 1 Load balancery usług © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 2 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski Load Balancer’y stojąc na drodze do farm serwerów funkcjonują na warstwie trzeciej i powinny umożliwiać równoważenie oraz klasyfikację ruchu na podstawie parametrów warstw 4-7 oraz warstwy 3. Wśród dostępnych rozwiązań obecne są zarówno produkty oparte o architekturę typowego komputera PC, jak również osadzone na specjalnie zaprojektowanym i zbudowanym sprzęcie zintegrowanym z przełącznikiem warstwy 2. Rozwiązania osadzone na architekturze PC charakteryzują się ograniczoną przepustowością, ze względu na to, iż porty sieciowe przyłączane są do procesora aplikacyjnego poprzez standardową szynę PCI, która ma ograniczoną przepustowość. Dalsza część niniejszego opracowania zostanie oparta o możliwości platformy Radware WSD, ponieważ jest osadzona ona na specjalnie zaprojektowanym i zbudowanym sprzęcie ze zintegrowanym przełącznikiem warstwy drugiej. W chwili obecnej dostępna jest platforma AS III (Application Switch), będąca przełącznikiem aplikacyjnym trzeciej generacji wyposażonym w porty gigabitowe oraz jeden port 10Gigabit ethernet. Architektura wewnętrzna przłącznika aplikacyjnego AS III, na bazie którego funkcjonuje również DefensePro została przedstawiona poniżej. 3 Gbps Forwarding Blocking & SYN Cookies 8 równoległych układów ASIC StringMatc h CPU CPU Zarządza nie sesjami Network Network Processor Processor Network Network Processor Processor 44 GB ASIC W ire Speed Data Tra nsfer & Connectivity 10GE 7X1GE StringMatch Engine 16 Fast Ethernet Rys. 2 Architektura wewnętrzna przełącznika aplikacyjnego Radware ASIII Funkcjonalność Load Balancerów na przykładzie Radware WSD Ochrona przed atakami (IPS, DoS) Wysoce wskazane jest, aby Load Balancer miał możliwość pełnienia roli urządzenia IPS dla farm serwerów umieszczonych za nim. Moduł ochrony przed atakami dostępny na Radware WSD dokonuje inspekcji ruchu przesyłanego w obydwu kierunkach, jak również analizuje ruch na warstwie aplikacyjnej chroniąc przed © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 3 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski atakami opisanymi przez ponad 1300 sygnatur. Sygnatury są tak skonstruowane, iż opisują typy ataków, bez konieczności definiowania osobnych sygnatur dla różnych wersji tych samych ataków – konstrukcja taka znacznie poprawia także wydajność urządzenia. Dostępna jest również usługa uaktualnień SUS (Security Update Service) dostępna w trybie 24/7 z SOC (Security Operation Center) firmy Radware. Centrum wypuszcza uaktualnienia sygnatur wraz z pojawianiem się nowych zagrożeń. Nieznane ataki są wykrywane dzięki inspekcji anomalii w protokołach. Ciągłe monitorowanie ruchu gigabitowego oraz wykrywanie ataków w czasie rzeczywistym pozwala blokować podejrzany ruch. Cały podejrzany ruch jest monitorowany, i raportowany, dzięki czemu mogą zostać podjęte proaktywne działania w stosunku do potencjalnych włamywaczy. Kolejną możliwością dostępną w ramach modułu ochrony przed włamaniami na Radware WSD jest ochrona przez skanowaniem. Moduł ochrony pozwala na wykrycie i zabezpieczenie w czasie rzeczywistym przed skanowaniem tj. stealth i connect oraz z poziomu aplikacyjnego. CertainT 100 Akceleratory SSL 4. Moduł zabezpieczeń wykrywa atak 2. HT TP S TP HT 3. 1. HTTPS Serwery HTTP WSD & z modułem IPS Router 5. Sesja jest zrzucana Rys. 3 Skanowanie ruchu szyfrowanego i wykrywanie zagrożeń Radware oferuje dodatkowo funkcjonalność ochrony przed atakami DoS zapewnianą przez Load Balancer. Funkcjonalność taka nie jest niezbędna w przypadku każdego wdrożenia, jednakże jest bardzo często wykorzystywana. Uaktywnienie funkcjonalności sprowadza się do wpisania kodu licencyjnego i restartu urządzenia. Ochrona SynApps przed atakami DoS identyfikuje i blokuje ataki zapewniając wyższą dostępność usług poprzez minimalizację czasu ewentualnej niedostępności usług. Moduł ochrony przed atakami DoS wykorzystuje zaawansowany algorytm próbkowania, automatycznie wykrywający nietypowe zapytania skierowane do usług i blokujący ataki DoS jeszcze zanim mogłyby wpłynąć na funkcjonowanie normalnych usług. Dodatkowo ochrona przed atakami Syn Flood zapewnia zabezpieczenie przed znanymi, jak i nieznanymi atakami Syn Flood, niwelując ataki do 1.3 miliona pakietów SYN na sekundę. Tak duża wydajność umożliwia zapewnienie ochrony przed atakami DoS w czasie rzeczywistym przy © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 4 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski jednoczesnym zachowaniu normalnej funkcjonalności urządzenia, dzięki czemu cały atak jest przeźroczysty dla użytkowników oraz nie wpływa na funkcjonowanie usług. Klasyfikacja i priorytetyzacja – zarządzenie dostępną przepustowością Często wymagana jest możliwość priorytetyzacji ruchu określonego typu, np. sesje terminalowe Citrix powinny mieć wyższy priorytet niż aplikacje pocztowe. Wykorzystując polityki zarządzania przepustowością możliwa jest klasyfikacja ruchu z dokładnością do użytkownika, aplikacji i typu ruchu, a także w oparciu o Diff-Serv. Do każdej klasy można przyporządkować określoną i gwarantowaną przepustowość, jak również może występować współdzielenie przepustowości pomiędzy klasami. Scheduling jest obecnie możliwy z wykorzystaniem algorytmów tj. WRR1, CBQ2 oraz RED3. Urządzenie znajdujące się najbliżej farmy serwerów jest najodpowiedniejsze do zapewnienia priorytetyzacji ruchu niezależnie od architektury sieci, dlatego też wskazane jest, aby była możliwość implementacji polityki zarządzania przepustowością na urządzeniach typu Load Balancer. Real time ER P Priorytet 0 Priorytet 1 Klasyfikator IP VO SM TP Traffic Priorytet 2 IM Priorytet 3 Priorytet 4 Priorytet 5 p p2 Priorytet 6 Priorytet 7 Rys. 4 Klasyfikacja i priorytetyzacja usług 1 2 3 WRR – Weighted Round Robin CBQ – Class Based Queuing RED – Random Early Drop © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 5 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski Monitorowanie stanu urządzeń i usług Dostępność pojedynczego serwera wchodzącego w skład farmy serwerów nie determinuje jednoznacznie czy określony serwer świadczy poprawnie usługi, które powinien. Dlatego też konieczne jest aby każde urządzenie typu Load Balancer posiadało zaimplementowane funkcje umożliwiające sprawdzanie dostępności wszystkich elementów, z których serwer udostępniający usługi korzysta, np. czy jest dostępny serwer aplikacyjny i serwer bazodanowy wykorzystywany przez serwer odpowiedzialny za bezpośrednią komunikację z użytkownikiem. Mechanizmy tego typu spotykane są pod nazwami Health Checks oraz Health Monitoring. Sprawdzenie stanu poszczególnych elementów możliwe jest w Radware WSD z wykorzystaniem bardzo szerokiego zestawu metod, tj. arp, dns, ftp, http, imap4, ldap, nntp, ping, pop3, radius, rtsp, smtp, snmp, ssl hello, ssl handshake, otwarcie sesji na porcie tcp, sprawdzenie funkcjonowania usługi na porcie udp, a także sprawdzenie fizycznego połączenia na porcie, czy też możliwości zdefiniowania przez użytkownika innych sposobów sprawdzenia dostępności serwera. Przykładowo, aby sprawdzić czy serwer poprawnie funkcjonuje może być pobierana strona o określonym adresie i zdefiniowanej zawartości. Możliwe jest również zdefiniowanie zależności pomiędzy poszczególnymi elementami, które są sprawdzane, dzięki czemu szereg testów może być widziany jako grupa, sprawdzająca kompleksowo dostępność np. serwerów. WSD 1. Sprawdzenie strony 2. Sprawdzenie serwera aplikacyjnego 3. Sprawdzenie bazy danych Server 1 Server 2 App 1 App 2 Database Rys. 5 Sprawdzanie dostępności usług Decyzja o wyborze określonego serwera w procesie loadbalancing’u może być podejmowana na podstawie szeregu algorytmów, kierując nowe sesje użytkowników: cyklicznie, cyklicznie z uwzględnieniem wag serwerów, do serwera o najmniejszej liczbie podłączonych użytkowników, do serwera najmniej obciążonego ruchem © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 6 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski (przepustowość), do serwera o najmniejszym czasie odpowiedzi, z wykorzystaniem algorytmu haszującego, na podstawie parametrów SNMP serwerów Windows NT, a także na podstawie zdefiniowanych przez użytkownika parametrów w oparciu o dowolny schemat wag, bazujący na danych pobieranych z serwerów przez SNMP. Przy podejmowaniu decyzji o skierowaniu nowej sesji do określonego serwera, brane są pod uwagę jedynie serwery dostępne, które poprawnie przeszły testy wykonywane przez moduł Healt Monitoring. Przykładowy zestaw testów zaprezentowany jest na poniższym rysunku (rys. 6). Na podstawie przeprowadzonych testów zostaje podjęta decyzja, iż ruch nie będzie kierowany do Server 2, gdyż serwer aplikacyjny (App2), z którego korzysta nie realizuje poprawnie usługi, w związku z czym Server 2 również nie świadczy poprawnie usług. Superfarmy i maksymalne odciążenie serwerów usługowych Rzeczywiste wdrożenia mogą obejmować scenariusze, w których jeden serwer przynależy do więcej niż jednej farmy, a także rozwiązania w których pod jednym adresem IP widocznych jest wiele farm serwerów świadczących różne usługi. Rozwiązanie takie stosowane jest często przez banki umożliwiające dokonywanie transakcji przez internet. Na standardowym porcie http dostępna jest farma serwerów świadcząca typowe usługi sieciowe, natomiast na porcie https pod tym samym adresem IP i nazwą domenową osiągalna jest całkowicie inna farma serwerów, świadcząca usługi zarządzania kontami klientów banku przez internet. Serwery dostępne poprzez protokół https są odciążane przez terminatory sesji SSL tj. CertainT100, które przejmują na siebie cały ciężar obsługi ruchu szyfrowanego. Ruch do końcowych serwerów może być niezaszyfrowany w przypadku infrastruktury w pełni zaufanej lub też szyfrowany kluczami o mniejszej długości lub symetrycznymi co znacznie odciąża serwery. Stosując CertainT100 można również dokonywać inspekcji ruchu szyfrowanego (w szczególności https), zabezpieczając tym samym serwery usługowe przed atakami enkapsulowanymi w ruchu SSL. Spotykane są również rozwiązania, w których decyzja o tym do której farmy serwerów ma zostać skierowane określone żądanie podejmowane jest na podstawie parametrów z warstwy 7 ISO/OSI, np. zależnie od wersji językowej lub innych nagłówków wewnątrz sesji http, użytkownik kierowany jest do określonej farmy serwerów prezentującej dla treści w jego języku narodowym. © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 7 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski 2. przekierowanie WSD NP Tokio 3 1 1,000 użytkowników Nowy Jork Użytkownik LRP 4 Najwyższa wydajność transakcji, niezależnie od położenia użytkownika WSD Pro 800 użytkowników Londyn Rys. 6 Przekierowanie użytkownika do lokalizacji zapewniającej najwyższą jakość usług Budowane i użytkowane obecnie serwisy e-business, często wymagają aby, użytkownik komunikował się cały czas z jednym i tym samym serwerem aplikacyjnym, z którym rozpoczęta była komunikacja za pierwszym razem. Przykładem może być sytuacja, gdy użytkownik łączy się z serwerami aplikacyjnymi poprzez serwery proxy, wtedy kolejne zapytania od użytkownika mogą przejść przez inne serwery proxy, skutkując innym źródłowym adresem IP, w wyniku czego użytkownik może być przełączony na inny serwer aplikacyjny. Aby uniknąć takich sytuacji konieczne jest stosowanie mechanizmu session persistency. Serwisy internetowe często oferują możliwość personalizacji wyglądu i zawartości zgodnie z gustami użytkowników. Proces personalizacji jest przeprowadzany przy pierwszym podłączeniu użytkownika do serwisu. Przy kolejnym podłączeniu użytkownika do serwisu, przeglądarka przesyła identyfikator sesji http do serwera, a serwer na tej podstawie udostępnia użytkownikowi serwis dostosowany do jego preferencji. Radware WSD posiada możliwość przechwytywania identyfikatorów sesji, zarówno z adresów URL jak i z nagłówków HTTP oraz kierowania użytkownika o określonym identyfikatorze do tego samego serwera. Możliwe jest również kierowanie użytkowników do serwerów bez wykorzystania identyfikatorów sesji. Obsługiwane jest również session persistency dla protokołu wykorzystywanego przez MS Terminal Serwer, SIP, poprzez śledzenie identyfikatorów UDP oraz sesji SSL. © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 8 ie ls k (a n g ed . co m ńs ki ań ) s ki ww w. ue bl .c o m (a ng s ie l ) ki URL – www.red.com Accept- Language: en* ) URL – www.blue.com SuperFarma 1.1.1.100 Accept- Language: es* www.red.com (angielski) w .r pa sz p (hi is z ww (h m Accept- Language: es* m .c o URL – www.red.com d. co lu e .re w .b ww ww w Dawid Kowalski i) Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług www.red.com (hiszpański) www.blue.com (angielski) URL – www.blue.com Accept- Language: en* www.blue.com (hisz pański) Rys. 7 Równoważenie obciążenia z uwzględnieniem parametrów warstwy 7 Duże obciążenie serwerów aplikacyjnych i frontendowych może również wynikać z bardzo dużej ilości połączeń nawiązanych przez użytkowników, w takim przypadku pomocne są mechanizmy multiplexing’u połączeń, dzięki czemu zmniejszana jest ilość połączeń do serwerów, a żądania do serwera są wysyłane w ramach pojedynczego połączenia. Multplexing połączeń może znacząco poprawić wydajność serwerów, dzięki optymalizacji wykorzystania nawiązywanych połączeń, gdyż każde kolejne połączenie może pochłaniać zasoby serwera usługowego. W przypadku dużych instalacji możliwe jest klastrowanie CertainT100, dzięki czemu można płynnie skalować wydajność terminowania sesji SSL. Dodatkowo w konfiguracji Radware WSD i CertainT100 możliwa jest optymalizacja wykorzystania dostępnych łącz poprzez kompresję ruchu http. Kompresja jest dokonywana dynamicznie zawsze wtedy gdy jest to tylko możliwe po automatycznej weryfikacji możliwości jakie oferuje przeglądarka użytkownika4. kompresja ruchu http jest przeźroczysta dla użytkownika końcowego, praktycznie wszystkie obecnie wykorzystywane przeglądarki obsługują kompresję. 4 © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 9 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski TCP Multiplexing Akceleracja SSL (odciążenie serwerów) Serwery Web Web compression CertainT 100 Router WSD Użytkownik Rys. 8 Optymalizacja ruchu i odciążenie serwerów wykorzystując WSD i CertainT 100 Profesjonalne instalacje często oparte są o więcej niż jedną farmę i praktycznie zawsze wykorzystują zespół dwóch urządzeń Radware WSD, które mogą pracować w konfiguracji Active/Active lub Active/HotStandby, zapewniając maksymalną dostępność i wykorzystanie dostępnych zasobów nawet w przypadku awarii jednego z urządzeń. Rozwój rynku i rozwiązań wymusił na korporacjach stosowanie wielu zaawansowanych funkcjonalności oraz rozproszenia geograficznego świadczonych usług, celem zapewnienia optymalnego dostępu dla użytkowników, a także udostępniania usług poprzez wiele łącz od ISP w pojedynczych lokalizacjach bez konieczności stosowania niewygodnego protokołu BGP. Również takie rozwiązania są wspierane przez Radware WSD, dzięki czemu użytkownicy mogą być automatycznie przekierowywani do farm serwerów, które znajdują się np. w różnych rejonach geograficznych, a które to mogą świadczyć najszybciej i najlepiej usługi dla użytkowników. Użytkownicy mogą być również transparentnie przekierowywani, tak że będą wykorzystywali optymalne łącze w przypadku podłączenia więcej niż jednego łącza do miejsca gdzie znajdują się farmy serwerów - przy jednoczesnym braku konieczności korzystania z protokołu BGP, a co za tym idzie ponoszenia dodatkowych kosztów związanych z wdrożeniem oraz utrzymaniem tego typu łącz. © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 10 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług 2.2.2.1 VIP A = 2.2.2.100 WSD 2.2.2.10 Server Farm Dawid Kowalski 1. Client Request VIP A ? 3. Client Request VIP B 2. Redirect to VIP B 3.3.3.10 VIP B = 3.3.3.100 3.3.3.1 VIP A -> ISP A VIP B -> ISP B Rys. 9 Przekierowanie przez WSD użytkownika na łącze oferujące lepsze parametry w danym momencie Zarządzanie urządzeniem Bardzo istotne są funkcje i możliwości oferowane przez urządzenie, jednakże równie ważne są możliwości i użyteczność narzędzi do zarządzania i monitorowania wszystkich aspektów związanych z urządzeniem. Zarządzanie Radware WSD może odbywać się z wykorzystaniem CLI dostępnym przez RS-232c, telnet, ssh2 oraz GUI poprzez http, https, snmp v2c/3. Wraz z urządzeniem dostarczana jest podstawowa licencja ConfigWare Insite, będącego graficznym narzędziem umożliwiającym konfigurację, zarządzanie i monitorowanie pracy urządzeń. Konfiguracja urządzeń z wykorzystaniem ConfigWare Insite jest niezwykle prosta i w sposób graficzny odwzorowuje całą konfigurację urządzenia, jak również można odwzorować architekturę sieci znajdującej się wokół urządzeń. Komunikacja pomiędzy urządzeniami a ConfigWare Insite odbywa się z wykorzystaniem protokołu snmp v2c/3. Aplikacja oferuje możliwość kolekcjonowania danych w celu tworzenia raportów długookresowych, jak również monitorowanie w czasie rzeczywistym dowolnych parametrów pracy. Tworzone wykresy mogą być eksportowane do wielu formatów, tj. Microsoft Excel, XML, HTML. ConfigWare Insite może być zainstalowany na praktycznie każdej platformie udostępniającej interfejs graficzny, jak również na serwerach aplikacyjnych umożliwiających uruchamianie apletów Java. Wykorzystując ConfigWare Insite, można również przeprowadzić konfigurację urządzeń w trybie offline, a następnie załadować konfigurację na urządzenie. © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 11 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski Rys. 10 ConfigWare Insite – konfiguracja, zarządzanie i monitorowanie urządzeń Całość konfiguracji jest przetrzymywana w „pamięci nieulotnej” urządzenia. Również z poziomu CLI możliwa jest zmiana dowolnych parametrów pracy jak i przejrzenie całej konfiguracji zaprezentowanej w formie komend, które należy wprowadzić aby uzyskać bieżącą konfigurację. Podsumowanie Radware WSD jest jednym z produktów firmy Radware, która specjalizuje się w wysokowydajnych przełącznikach aplikacyjnych, oferujących szereg funkcji zabezpieczeń (tj. IPS, DoS), priorytetyzacji usług i zarządzania przepustowością. Chcąc zapewnić wysoką dostępność nie tylko dla serwerów usług, a także dla całych sieci bardzo często wykorzystywane jest rozwiązanie Radware LinkProof umożliwiające wykorzystanie dwóch lub więcej łącz i dynamiczne równoważenie obciążenia zarówno dla ruchu wchodzącego jak i wychodzącego. Radware CID jest z kolei urządzeniem umożliwiającym zapewnienie prostego skalowania, wysokiej wydajności i dostępności rozwiązań zabezpieczeń wiodących producentów, tj. TrendMicro, Aladdin eSafe, itp. Pełna gama urządzeń Radware składa się z: - DefensePro – inline IPS o wydajności 3Gbps, zabezpieczający przed wirusami sieciowymi, włamaniami oraz atakami DoS/DDoS; - FireProof – load balancer rozwiązań firewall i IDS zapewniający wysoką dostępność i wydajność oraz prostotę skalowalności; - CID – Content Inspection Director – umożliwia zapewnienie odporności na awarię oraz wysoką wydajność skanowania, filtrowania URL i rozwiązań antyspam; - WSD – opisany jest w niniejszym opracowaniu; © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 12 Równoważenie obciążenia serwerów i zapewnienie wysokiej dostępności usług Dawid Kowalski - CertainT 100 – akcelerator aplikacji Web, terminator sesji SSL, umożliwia kompresję i multiplexing sesji, zapewniając większą wydajność i szybsze funkcjonowanie obsługiwanych serwisów; - CSD – Cache Server Director – optymalizuje funkcjonowanie serwerów cache, zapewniając większą wydajność użytkownikom i kontrolując ruch, m.in. p2p; - LinkProof i LinkProof Branch – zapewnia najwyższą dostępność łącz 24/7, równoważenie obciążenia i optymalizację wykorzystania posiadanych łącz, a także możliwość sterowania wykorzystaniem łącz w zależności od kosztów poszczególnych łącz bez wykorzystania BGP – w prosty do konfiguracji i wydajny sposób; - Peer Director – umożliwia zarządzanie łączami BGP, optymalizując jednocześnie ich wykorzystanie. Radware LinkProof został zaprezentowany w poprzednich wydaniach biuletynu technicznego Clico Sp. z o.o. © 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE STRONA 13