实际上,内容分发布网络(CDN)是一种新型的网络构建方式,它是为能在传统的IP网发布宽带丰富媒体而特别优化的网络覆盖层;而从广义的角度, CDN代表了一种基于质量与秩序的网络服务模式。简单地说,内容发布网(CDN)是一个经策略性部署的整体系统,包括分布式存储、负载均衡、网络请求的重定向和内容管理4个要件,而内容管理和全局的网络流量管理(Traffic Management)是CDN的核心所在。通过用户就近性和服务器负载的判断,CDN确保内容以一种极为高效的方式为用户的请求提供服务。总的来说,内容服务基于缓存服务器,也称作代理缓存(Surrogate),它位于网络的边缘,距用户仅有”一跳”(Single Hop)之遥。同时,代理缓存是内容提供商源服务器(通常位于CDN服务提供商的数据中心)的一个透明镜像。这样的架构使得CDN服务提供商能够代表他们客户,即内容供应商,向最终用户提供尽可能好的体验,而这些用户是不能容忍请求响应时间有任何延迟的。据统计,采用CDN技术,能处理整个网站页面的 70%~Array5%的内容访问量,减轻服务器的压力,提升了网站的性能和可扩展性。
与目前现有的内容发布模式相比较,CDN强调了网络在内容发布中的重要性。通过引入主动的内容管理层的和全局负载均衡,CDN从根本上区别于传统的内容发布模式。在传统的内容发布模式中,内容的发布由ICP的应用服务器完成,而网络只表现为一个透明的数据传输通道,这种透明性表现在网络的质量保证仅仅停留在数据包的层面,而不能根据内容对象的不同区分服务质量。此外,由于IP网的”尽力而为”的特性使得其质量保证是依靠在用户和应用服务器之间端到端地提供充分的、远大于实际所需的带宽通量来实现的。在这样的内容发布模式下,不仅大量宝贵的骨干带宽被占用,同时ICP的应用服务器的负载也变得非常重,而且不可预计。当发生一些热点事件和出现浪涌流量时,会产生局部热点效应,从而使应用服务器过载退出服务。这种基于中心的应用服务器的内容发布模式的另外一个缺陷在于个性化服务的缺失和对宽带服务价值链的扭曲,内容提供商承担了他们不该干也干不好的内容发布服务。
纵观整个宽带服务的价值链,内容提供商和用户位于整个价值链的两端,中间依靠网络服务提供商将其串接起来。随着互联网工业的成熟和商业模式的变革,在这条价值链上的角色越来越多也越来越细分。比如内容/应用的运营商、托管服务提供商、骨干网络服务提供商、接入服务提供商等等。在这一条价值链上的每一个角色都要分工合作、各司其职才能为客户提供良好的服务,从而带来多赢的局面。从内容与网络的结合模式上看,内容的发布已经走过了ICP的内容(应用)服务器和IDC这两个阶段。IDC的热潮也催生了托管服务提供商这一角色。但是,IDC并不能解决内容的有效发布问题。内容位于网络的中心并不能解决骨干带宽的占用和建立IP网络上的流量秩序。因此将内容推到网络的边缘,为用户提供就近性的边缘服务,从而保证服务的质量和整个网络上的访问秩序就成了一种显而易见的选择。而这就是内容发布网(CDN)服务模式。CDN的建立解决了困扰内容运营商的内容”集中与分散”的两难选择,无疑对于构建良好的互联网价值链是有价值的,也是不可或缺的最优网站加速服务。
CDN的应用
目前的CDN服务主要应用于证券、金融保险、ISP、ICP、网上交易、门户网站、大中型公司、网络教学等领域。另外在行业专网、互联网中都可以用到,甚至可以对局域网进行网络优化。利用CDN,这些网站无需投资昂贵的各类服务器、设立分站点,特别是流媒体信息的广泛应用、远程教学课件等消耗带宽资源多的媒体信息,应用CDN网络,把内容复制到网络的最边缘,使内容请求点和交付点之间的距离缩至最小,从而促进Web站点性能的提高,具有重要的意义。CDN 网络的建设主要有企业建设的CDN网络,为企业服务;IDC的CDN网络,主要服务于IDC和增值服务;网络运营上主建的CDN网络,主要提供内容推送服务;CDN网络服务商,专门建设的CDN用于做服务,用户通过与CDN机构进行合作,CDN负责信息传递工作,保证信息正常传输,维护传送网络,而网站只需要内容维护,不再需要考虑流量问题。
CDN能够为网络的快速、安全、稳定、可扩展等方面提供保障。
IDC建立CDN网络,IDC运营商一般需要有分布各地的多个IDC中心,服务对象是托管在IDC中心的客户,利用现有的网络资源,投资较少,容易建设。例如某IDC全国有10个机房,加入IDC的CDN网络,托管在一个节点的Web服务器,相当于有了10个镜像服务器,就近供客户访问。宽带城域网,域内网络速度很快,出城带宽一般就会瓶颈,为了体现城域网的高速体验,解决方案就是将Internet网上内容高速缓存到本地,将Cache部署在城域网各POP点上,这样形成高效有序的网络,用户仅一跳就能访问大部分的内容,这也是一种加速所有网站CDN的应用。
CDN的技术原理
在描述CDN的实现原理,让我们先看传统的未加缓存服务的访问过程,以便了解CDN缓存访问方式与未加缓存访问方式的差别:
由上图可见,用户访问未使用CDN缓存网站的过程为:
用户向浏览器提供要访问的域名;
浏览器调用域名解析函数库对域名进行解析,以得到此域名对应的IP地址;
浏览器使用所得到的IP地址,域名的服务主机发出数据访问请求;
浏览器根据域名主机返回的数据显示网页的内容。
通过以上四个步骤,浏览器完成从用户处接收用户要访问的域名到从域名服务主机处获取数据的整个过程。CDN网络是在用户和服务器之间增加Cache 层,如何将用户的请求引导到Cache上获得源服务器的数据,主要是通过接管DNS实现,下面让我们看看访问使用CDN缓存后的网站的过程:
通过上图,我们可以了解到,使用了CDN缓存后的网站的访问过程变为:
用户向浏览器提供要访问的域名;
浏览器调用域名解析库对域名进行解析,由于CDN对域名解析过程进行了调整,所以解析函数库一般得到的是该域名对应的CNAME记录,为了得到实际IP地址,浏览器需要再次对获得的CNAME域名进行解析以得到实际的IP地址;在此过程中,使用的全局负载均衡DNS解析,如根据地理位置信息解析对应的IP 地址,使得用户能就近访问。
此次解析得到CDN缓存服务器的IP地址,浏览器在得到实际的IP地址以后,向缓存服务器发出访问请求;
缓存服务器根据浏览器提供的要访问的域名,通过Cache内部专用DNS解析得到此域名的实际IP地址,再由缓存服务器向此实际IP地址提交访问请求;
缓存服务器从实际IP地址得得到内容以后,一方面在本地进行保存,以备以后使用,二方面把获取的数据返回给客户端,完成数据服务过程;
客户端得到由缓存服务器返回的数据以后显示出来并完成整个浏览的数据请求过程。 通过以上的分析我们可以得到,为了实现既要对普通用户透明(即加入缓存以后用户客户端无需进行任何设置,直接使用被加速网站原有的域名即可访问),又要在为指定的网站提供加速服务的同时降低对ICP的影响,只要修改整个访问过程中的域名解析部分,以实现透明的加速服务,下面是CDN网络实现的具体操作过程。
作为ICP,只需要把域名解释权交给CDN运营商,其他方面不需要进行任何的修改;操作时,ICP修改自己域名的解析记录,一般用cname方式指向CDN网络Cache服务器的地址。
作为CDN运营商,首先需要为ICP的域名提供公开的解析,为了实现sortlist,一般是把ICP的域名解释结果指向一个CNAME记录;
当需要进行sorlist时,CDN运营商可以利用DNS对CNAME指向的域名解析过程进行特殊处理,使DNS服务器在接收到客户端请求时可以根据客户端的IP地址,返回相同域名的不同IP地址;
由于从cname获得的IP地址,并且带有hostname信息,请求到达Cache之后,Cache必须知道源服务器的IP地址,所以在CDN运营商内部维护一个内部DNS服务器,用于解释用户所访问的域名的真实IP地址;
在维护内部DNS服务器时,还需要维护一台授权服务器,控制哪些域名可以进行缓存,而哪些又不进行缓存,以免发生开放代理的情况。
CDN的网络架构
CDN网络架构主要由两大部分,分为中心和边缘两部分,中心指CDN网管中心和DNS重定向解析中心,负责全局负载均衡,设备系统安装在管理中心机房,边缘主要指异地节点,CDN分发的载体,主要由Cache和负载均衡器等组成。
当用户访问加入CDN服务的网站时,域名解析请求将最终交给全局负载均衡DNS进行处理。全局负载均衡DNS通过一组预先定义好的策略,将当时最接近用户的节点地址提供给用户,使用户能够得到快速的服务。同时,它还与分布在世界各地的所有CDNC节点保持通信,搜集各节点的通信状态,确保不将用户的请求分配到不可用的CDN节点上,实际上是通过DNS做全局负载均衡。
对于普通的Internet用户来讲,每个CDN节点就相当于一个放置在它周围的WEB。通过全局负载均衡DNS的控制,用户的请求被透明地指向离他最近的节点,节点中CDN服务器会像网站的原始服务器一样,响应用户的请求。由于它离用户更近,因而响应时间必然更快。
每个CDN节点由两部分组成:负载均衡设备和高速缓存服务器
负载均衡设备负责每个节点中各个Cache的负载均衡,保证节点的工作效率;同时,负载均衡设备还负责收集节点与周围环境的信息,保持与全局负载DNS的通信,实现整个系统的负载均衡。
高速缓存服务器(Cache)负责存储客户网站的大量信息,就像一个靠近用户的网站服务器一样响应本地用户的访问请求。
CDN的管理系统是整个系统能够正常运转的保证。它不仅能对系统中的各个子系统和设备进行实时监控,对各种故障产生相应的告警,还可以实时监测到系统中总的流量和各节点的流量,并保存在系统的数据库中,使网管人员能够方便地进行进一步分析。通过完善的网管系统,用户可以对系统配置进行修改。
理论上,最简单的CDN网络有一个负责全局负载均衡的DNS和各节点一台Cache,即可运行。DNS支持根据用户源IP地址解析不同的IP,实现就近访问。为了保证高可用性等,需要监视各节点的流量、健康状况等。一个节点的单台Cache承载数量不够时,才需要多台Cache,多台Cache同时工作,才需要负载均衡器,使Cache群协同工作。
按理说,BitLocker(驱动器加密)已不算新功能,它在Windows Vista中便已出现。但在Windows 7中,其受关注度居然比在Windows Vista中还高,所以仍值得很多以前对它不感兴趣的企业用户关注。BitLocker是一种可提供磁盘级的数据加密能力的组件,要了解 BitLocker,就需要了解它的前辈EFS(Encrypting File System,加密档案系统)。众所周知,NTFS是Windows NT及之后的操作系统的标准文件系统,支持元数据,并且使用了高级数据结构,以便于改善性能、可靠性和磁盘空间利用率,并提供了若干附加扩展功能,如EFS。在Windows 2000/XP/Server 2003中都配备了EFS,它可以帮助用户针对存储在NTFS磁盘卷上的文件和文件夹执行加密操作。如果硬盘上的文件已经使用EFS进行了加密,即使黑客能访问到硬盘上的文件,由于没有解密的密钥,文件也不可用。当然,EFS并非天下无敌,低于1.5GB的NTFS活动系统分区与高于50GB的启动分区不能被EFS加密,这时便可使用BitLocker 这个工具来进行保护了。使用EFS用户可以有选择地对一些重要的文件或文件夹进行加密,而BitLocker却是无条件地对整个驱动器的全部文件夹加密,BitLocker可弥补EFS的一些不足,能够很好地对非授权访问进行控制。
在默认情况下,Windows操作系统是不启动BitLocker功能的。若要对安装了Windows的驱动器用BitLocker进行加密,计算机必须具有两个分区:系统分区(包含启动计算机所需要的文件)和操作系统分区(包含Windows),操作系统分区会被加密,而系统分区将保持未加密状态,以便可以启动计算机。如果计算机没有系统分区,在Windows 7中BitLocker会自动使用200MB的可用磁盘空间创建一个系统分区,系统将不会为该系统分区分配驱动器号,并且“计算机”文件夹中也不会显示该系统分区。在对安装了Windows的驱动器(操作系统驱动器)加密时,BitLocker会将其自身的加密和解密密钥存储在硬盘之外的某个硬件设备上,因此你必须具有以下硬件设备之一:具有受信任的平台模块 (TPM)(许多计算机中具有的一种支持高级安全功能的特殊微芯片)的计算机可移动的硬盘或U盘。
在启动了BitLocker功能的操作系统所在分区,该功能可对一系列的磁盘错误、BIOS更改、启动配置文件的更改等进行监控,如果这些功能被异常更改,BitLocker会自动将这个磁盘锁住。这时系统管理员便可利用预先设置的密钥来解锁这个驱动器。这对于防止数据丢失、防止被盗窃或防止被黑客攻击等很有帮助作用。并且,BitLocker可以锁定容易被他人看到重要数据的便携式存储设备,如U盘或移动硬盘。
企业应用小管家:AppLocker
AppLocker(应用程序控制策略)是Windows 7中新增加的一项安全功能,利用AppLocker管理员可以非常方便地进行配置。例如,QQ.exe可执行文件在没有进行AppLocker管理前,所有用户都可使用该程序,而在进行应用程序控制策略的相关设置后,被限制的用户就不能使用该程序。
具体方法是,打开“开始→运行”,输入gpedit.msc打开组策略编辑器。在左侧的窗格中依次打开“计算机配置→Windows设置→安全设置→应用程序控制”,可以看到AppLocker组策略配置项——“可执行规则”、“Windows安装程序规则”和“脚本规则”三种类型,在每一种规则上单击鼠标右键都可以创建新规则,用户可根据自己的需要创建相应的操作规则。右击“可执行规则→创建新规则”,点“下一步”,点选“选择”按钮,在弹出的对话框中点“高级”,点选“立即查找”,找到想要禁用的用户,确定后即可将限定的用户加入规则。然后就可将被禁用的对象指向QQ.exe,最后点“创建”即可。
如要防止闪存病毒传播,让AutoRun.inf 文件不要运行即可。对此可选择“脚本规则”→“创建新规则”,在弹出的窗口中选择“权限”→“拒绝”,在“用户或组”里选择“Everyone”,“下一步”在创建条件中选择“路径”,在“路径”框中输入“?:\AutoRun.inf”,继续点“下一步”,最后点“创建”即可。
这样用户如能根据自己的实际情况,设置好Applocker的各种类型的默认规则,便可防止正常系统程序被病毒、木马利用,可阻止通过非正常途径进入电脑的恶意程序运行。
过一段时间的火爆销售后,Windows 7及Windows Server 2008 R2正全面入驻企业计算机。为了更好地满足企业用户的需求,微软在Windows 7企业版/旗舰版及Windows Server 2008 R2中引入了大量的存储、网络访问、安全等功能,成为企业应用的新利器。而这类具备代表性的功能究竟有哪些呢?该如何使用呢?会给企业应用带来什么影响呢?
企业效率倍增器:分支缓存
据微软介绍,Branch Cache(分支缓存)是Windows 7及Windows Server 2008 R2中提供的企业级新功能,启用该功能,在WAN(广域网)中首次访问时可像平常一样根据授权访问数据,而需要再次访问时,则可在就近部门的另一客户端根据验证状况访问相同的内容。通过这种就近访问,可提高网络的带宽利用率,同时提高远程办公网络应用的性能,减少对企业网络带宽的占用。
Branch Cache有两种工作模式:一种为分布式缓存(Distributed Cache),另一种为托管式缓存(Hosted Cache)。分布式缓存使用点对点模式,类似于Ad-hoc网络,它能在较小的应用范畴内获得更快的访问速度。托管式缓存采用服务器/客户端架构,类似于AP中心模式,Windows 7客户端可将内容复制到运行Windows Server 2008 R2的本地计算机,这样其他需要访问同样内容的客户端就能在本地服务器中直接访问该数据,不再依赖最初的服务器。要使用Branch Cache,所有服务器系统都必须为Windows Server 2008 R2,所有客户端都必须采用Windows 7。
用户可以使用组策略设置或Netsh命令行脚本实用程序来管理Branch Cache客户端。可以使用其中任一工具在Branch Cache客户端上执行下列配置任务:启用Branch Cache(默认情况下它处于禁用状态)选择分布式缓存模式或托管式缓存模式指定客户端计算机的缓存的大小(使用分布式缓存模式),默认情况下 Branch Cache最多为该缓存使用硬盘驱动器的5%指定托管缓存的位置(使用托管缓存模式)。对此,在使用该设置时,Windows系统给出了详细直观的设置说明,大家根据说明就能完成设置。
根据微软的测试,从企业远程服务器上下载一个3MB的文件,第一次用了47秒,而第二次只用了2秒,从中可见Branch Cache(分支缓存)功能的效率,它对大中型企业构架分支办公室很有用处。通过压缩、消除冗余、传输优化、缓存和内容分发的联合加速应用,可为企业提供一个易于整合分支服务器、整合存储和备份基础设施的途径,同时确保最终用户的高性能应用。
企业访问新保安:DirectAccess
DirectAccess(直接访问)同样是Windows 7及Windows Server 2008 R2中提供的企业应用新功能。通过该功能,外网的用户可以在不需要建立VPN(虚拟专用网络,VPN的核心就是利用公共网络建立虚拟私有网)连接的情况下,高速、安全地从Internet直接访问公司防火墙后的资源。
DirectAccess功能是怎么实现的呢?为了实现该功能,DirectAccess利用了IPv6技术的一些特性。众所周知,在IPv6 发展初期,如何让众多的局部性的纯IPv6网络“穿越”传统的IPv4骨干网络实现互通呢?为此出现了IPv6“隧道”技术,在IPv6网络与IPv4网络间的隧道入口处,路由器将IPv6的数据分组封装入IPv4中,在隧道的出口处再将IPv6分组取出转发给目的节点,这样就能将类似于孤岛的IPv6网络连接起来。
而DirectAccess正是利用了该技术,它在开启后,可在客户端建立一个通向DirectAccess服务器的并可在普通的IPv4网络上工作的IPv6隧道连接,这样管理人员就可在用户登录之前对相关计算机进行管理,DirectAccess服务器在这个过程中主要担当内外网信息传递的角色(即网关)。而为了获得良好的加密和认证,DirectAccess还利用了IPv4中可选的、IPv6中必备的IPsec(Internet Protocol Security)协议族,以IP Packet(小包)为单位对信息进行暗号化的方式,来对传输途中的信息包进行加密或防止遭到窜改,从而保证安全通信。
据微软介绍,应用DirectAccess,企业用户在远程未登录的情况下,也能通过互联网对计算机进行管理,且具备很强的安全性。通过该功能可为移动办公人员提供高效的工作环境,例如公司员工正在外面进行客户服务,或在一个外部会议上想查找相关的内部资料,就可通过能上网的笔记本电脑在不需要建立VPN连接的情况下,高速、安全地直接访问公司防火墙后的资源。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)