要对这款产品的形态进行准确定位,还真是件比较复杂的事情。也难怪信安世纪要将NSAE系列归为应用交付类产品,我们在设备上看到了大量的功能特性,分别针对着业务中的不同层面,堪称是一款化零为整的解决方案。简单来说,这款产品提供了服务器负载均衡、SSL加速、链路负载均衡和全局服务负载分担四大功能,以及高速缓存、TCP连接复用、HTTP压缩等辅助性质的优化特性。它们彼此间并不孤立,通过合理部署,用户可以将这些分散的功能点捏合成为针对业务优化的功能模型,起到事半功倍的效果。
应用驱动的测试模型
对于NSAE这样由负载均衡发展而来的应用交付产品,业界并无成熟的或被广泛认可的评估标准,我们在测试时重点向实际应用靠拢。实验室工程师在前期进行了广泛调研,根据众多行业用户的反馈制定了具有代表性的测试方案。从抽象的测试拓扑图中可以看出,无论此类产品的形态如何进化,负载均衡还是用户最基本的部署思路。而SSL加速、业务体验的优化和网络安全因素,在金融(网上银行)、电子商务等领域的用户看来亦是必须考虑的评估指标。我们相信,随着各行业信息化程度的提高,这种应用交付性质的整体解决方案将受到越来越多的重视。
传统模式下,客户端发起SSL请求访问B/S架构的业务网络,服务器要先与之建立TCP连接,经证书验证后再建立SSL隧道,才能开始传输真正的业务数据。在这个过程中,服务器的大量资源都消耗在业务处理以外的步骤,安全性也得不到保证;如果在服务器群组前部署了NSAE系列产品,该设备就可以接管与客户端建立TCP连接及SSL隧道的步骤,再通过普通的HTTP协议与调度策略选定的服务器进行业务数据交互。TCP连接复用可以在后端发挥很好的作用,NSAE可以预先与服务器建立一定数量的TCP长连接,避免业务繁忙时频繁发起TCP请求造成不必要的性能开销。如果检测到HTTP数据未经压缩,设备也可以代为进行,有利于提高带宽利用率及用户访问体验。
性能:堪为大用
了解过NSAE系列产品的种种功能特点,就可以开始有针对性的测试。我们首先使用思博伦通信提供的Avalanche2900应用层性能测试仪,同时模拟海量客户端及Web服务器群组,考察了NSAE 21000在反向代理与透明两种工作模式下,单独开启服务器负载均衡(调度算法:轮询)功能时的性能。这两种工作模式对外都以虚拟IP的形式提供服务,其区别在于前者将中断客户端的连接,代为发起访问请求,充当纯粹的代理服务器的角色;后者只做负载均衡,将客户端的访问请求不经修改直接传递给后端服务器。虽然透明模式相对简单,TCP连接复用等优化特性却无法实现,所以我们建议用户在实际应用中采用反向代理模式。为保证此模式下后台服务器也能得到客户端的真实IP地址,NSAE可以在转发的HTTP包头中插入真实IP字段。
NSAE 21000在这个测试环节中有着比较优异的表现。透明模式下,当采用包含1个请求的HTTP测试模型时,该产品每秒可处理超过5万笔事物,同时维持100万个并发连接。此时换用1MB大小的页面文件,测得的HTTP最大可用带宽高达2.7Gbps。反向代理模式下,虽然数据包需要改动的部分多了不少,实测的性能却没有下降太多。鉴于此,我们在接下来的测试中都使用反向代理模式,并开启了TCP连接复用与HTTP压缩功能。
前文中曾经提到,SSL加速功能已成为一些用户重点考察的指标,我们也对此做了比较详细的性能测试。NSAE 21000每秒可处理超过1万笔单向SSL事物,同时维持超过35万个事物连接,最大HTTPS可用带宽更是高达1.9Gbps;改用双向验证模式后,设备的新建、并发能力都有所下降,最大可用带宽却基本未受影响。我们认为双向验证情况下的性能数据更具实际意义,毕竟在诸多网上银行乃至淘宝、支付宝等具体应用中,双向验证后建立SSL隧道已经成为很普遍的做法。从技术角度分析,双向验证也是个非常消耗系统资源的流程,即便对于主流高性能服务器来说也不是个轻松的任务,NSAE 21000在这一部分的表现值得称道。
测试后记
新的业务理念与运营模式是各行业在信息时代公认的制胜法宝,这也为由负载均衡产品发展而来的应用交付控制器带来了更好的市场前景。对涉足此领域的厂商来说,谁能在业务相关性方面做得更加深入,谁就能在市场竞争中处于领先。信安世纪NSAE 21000应用安全网关在测试中让我们感受到了这一点,文中记录的高性能与完善的基本功能只是一个方面,许多看似不起眼但与应用极度相关的细节特性,才是这款产品令人称道的亮点所在。而链路负载均衡、智能DNS等功能的实现,也让NSAE 21000成为满足用户业务需求的多面手。