网站解决方案样本.doc

《网站解决方案样本.doc》由会员分享，可在线阅读，更多相关《网站解决方案样本.doc（47页珍藏版）》请在咨信网上搜索。

使用 Microsoft Windows DNA 平台构建 Web 站点蓝图 草图，.9 版 Microsoft Corporation 年 1 月 目录 执行摘要 2 体系构造概述 2 简介 2 体系构造目的 2 体系构造元素 3 示例站点 7 简介 7 Internet 9 DMZ 9 安全网络 10 摘要 11 可伸缩性 12 简介 12 扩展客户和内容 12 扩展业务复杂性 15 可用性 18 简介 18 前端系统可用性 19 网络基本构造可用性 19 后端系统可用性 20 安全性 20 简介 20 网络保护 21 平台保护 23 客户（成员）访问控制 24 要点 25 管理与运作 25 简介 25 管理基本构造 26 管理系统需求 29 摘要 32 执行摘要 商务正迅速发展为原则、基于 Web 计算模型，其特性为重复且针对任务系统松散连接层。很大比例商务 Web 站点 — 提供联机服务服务器、应用程序和数据集合 — 都是用当今 Microsoft Windows DNA 平台构建，成为该计算模型基本。本文档定义了构建 Windows DNA 站点体系构造。读者可以借用这些信息，设计和构建当今基于 Windows DNA 站点。 本文档集中讨论如何使用 Microsoft 技术，特别是 Windows DNA 平台，以尽量有效运用财力和时间办法，构建可伸缩、可用、安全和可管理站点基本构造。强调保持 Web 站点简便灵活运作和应用程序设计，以及“.com”如何可以成功地以必要而有效可伸缩性、可用性、安全性和可管理性来布置和运作站点。另一方面强调当前文档齐全工具和构建 Web 应用程序组件办法。此外还从宏观层次检查 Microsoft Windows DNA 解决方案（使用 Microsoft® Windows NT® 4.0 和/或 Windows ）长处，并逐级进入，以定义如何使用 Microsoft 产品建立站点体系构造中每一层次。最后，将讨论使用 Microsoft 工具和技术管理 Web 站点。 尽管只是个概述，本文档还是检查了一种成功使用布置体系构造示例 Web 站点，它可作为使用 Windows DNA 平台构建站点模型。本文档不涉及（除了与可伸缩性、可用性、安全性和可管理性有关时）诸如应用程序设计、开发工具或数据库设计等主题；但是提供涵盖这些领域相应文档指针。 “体系构造概述”简介某些对于大型 Web 站点很重要体系构造概念。在“示例站点”描述了一种具备代表性站点并解释了它使用基本构造和各层。别的章节讨论了站点四个核心属性 — “可伸缩性”、“可用性”、“安全性”和“可管理性” — 并使用示例站点来阐明这些问题。对有关文档引用贯穿整个文档。 体系构造概述 简介 大型商务站点为动态变化模型：它们普通一开始很小，但随着需求增长而指数增长。不但在支持独特顾客数量上不断增长，这种增长非常迅速，并且在提供顾客服务复杂性和集成性方面也不断增长。经投资者检查，许多站点启动商务筹划可伸缩性为 10-100 倍，这个数据是可信。成功商务站点，通过不断增长向客户机提供逻辑服务服务器数量（即通过服务器提供其自身各种实例（克隆）或通过在自身之间均衡工作负荷），以及创立与已有计算机系统相集成服务来管理这种增长和变化。这种增长基本为支持高度可用性坚实体系构造、安全基本构造和管理基本构造。 体系构造目的 本文档描述体系构造力图达到四个目的： · 线性可伸缩性 — 可持续增长以满足顾客需求和业务复杂性。 · 持续服务可用性 — 使用冗余和功能专业化来提高容错能力。 · 数据和基本构造安全性 — 保护数据和基本构造免受恶意袭击或盗用。 · 管理简便性和完整性 — 保证运作可以满足增长需求。 可伸缩性 为了可以扩展，商务 Web 站点将其体系构造分为两某些：前端（客户机可访问）系统和存储长期永久数据或商务解决系统所在后端系统。负荷平衡系统用于将工作分派到每一层系统中。前端系统普通不保存长期状态。也就是说，前端系统中每次祈求环境普通是暂时。这种体系构造，通过克隆或复制与无状态负荷平衡系统（使负荷在可用克隆体之间分派）相耦合前端系统，扩展其支持独特顾客数量。咱们将克隆体集合中 IIS 服务器集合称为 Web 群集。在各种后端系统之间分区联机内容同样可以扩展。带状态或内容敏感负荷平衡系统则将祈求路由到对的后端系统。通过功能专业化，业务逻辑复杂性以可管理方式增长。专用服务器负责专门服务，涉及与遗留或脱机系统集成。克隆与分区，和功能专业化服务一起，通过单独增长每个服务而使得这些系统具备极大可伸缩性。 可用性 通过使用各种克隆服务器（所有服务器均为其客户机提供唯一地址）使得前端系统具备高度可用性和可伸缩性。负荷平衡用于在克隆体之间分派负荷。将故障检测功能置入负荷平衡系统提高了服务可用性。不再提供服务克隆体将自动从负荷平衡集合中删除，而剩余克隆体将继续提供服务。使后端系统具备高度可用性更具挑战性，重要是由于它们维护着数据或状态。它们通过对每个分区使用故障转移群集 (failover clustering) 来实现高度可用。故障转移群集假定应用程序可以在可以访问故障系统磁盘子系统其她计算机上继续运营。分割故障转移发生在支持分区祈求主节点故障时，此时分区祈求自动切换到二级节点。二级节点必要有权访问与故障节点同样数据存储，该数据存储也应当是复制。复制品还可通过在远程位置上成为可用，来提高站点可用性。可用性在很大限度上还取决于公司级 IT 规则，涉及更改控制、严格测试和迅速升级以及反馈机制。 安全性 安全性 — 通过为信息机密性、保密性、完整性和可用性提供充分保护来管理风险 — 是任何商务站点成功基本要素。商务站点使用各种安全域，其中涉及具备不同安全性需求系统，每个域均受到网络过滤器或防火墙保护。有三种重要域，互相用防火墙隔离，它们是：公共网络；DMZ（由军事术语“非军事区域”派生而来），是前端和内容服务器所在之处；以及安全网络，是创立或使用内容地方，也是管理和存储安全数据地方。 管理 管理和运作广泛涉及维护商务站点及其服务正常工作所需基本构造、工具以及管理员和技术人员。许多站点均位于常称作宿主环境地方。也就是说，这些系统配备有“Internet 服务提供商 (ISP)”或专家宿主服务，这里可提供丰富 Internet 连通性。因而，系统管理和监控必要远程完毕。在这种体系构造中，咱们将描述这种管理网络和网络必要支持管理功能类型。 体系构造元素 本节要突出商务 Web 站点核心体系构造元素涉及：客户机系统；负荷平衡、克隆前端系统（客户机系统可用访问）；负荷平衡、分区后端系统（前端系统可用访问这里永久存储）；以及三种拱形体系构造考虑：劫难承受能力、安全域及管理和运作。 大型商务 Web 站点原理 图 1 展示了商务 Web 站点概念和基本原理，这些内容将在本节如下某些详细阐明。 图 1. 体系构造原理 图 1 显示了前端、后端和负荷平衡层划分，正如本文档所述。防火墙和网段分区为安全原理核心。 客户机 在这种站点体系构造中，客户机向某服务名称发送祈求，该服务名称代表提供应客户机应用程序。最后顾客和客户机软件不懂得提供服务系统内部运作方式。普通，最后顾客键入第一种 URL，例如，，然后单击超级链接或完毕 Web 页上表单以便向站点深处导航。 对于范畴广泛 Web 站点，一种重要决定就是与否在浏览器中支持功能最低公共集，或与否为不同浏览器版本提供不同内容。当前，尽管尚有更旧浏览器在使用，但 HTML 3.2 普通为所支持最低版本。例如，浏览器可如此分类：支持 HTML 3.2 ，如 Microsoft Internet Explorer 3.0；支持动态 HTML (DHTML) ，如 Internet Explorer 4.0；以及支持 Extensible Markup Language (XML) ，如 Internet Explorer 5.0。然后为每个类提供不同内容。IIS 和工具，可以创立可动态呈现给不同浏览器页面。 前端系统 前端系统由向 Web 客户机提供核心 Web 服务（如 HTTP/HTTPS、LDAP 和 FTP）服务器构成。开发人员普通将这些前端系统分为一系列称作克隆体相似系统集。它们运营相似软件，并通过内容复制或高度可用文献共享访问相似 Web 内容、HTML 文献、ASP、脚本等。通过克隆体之间负荷平衡祈求，以及通过检测故障克隆体并将其从工作克隆体中删除，可实现高度可伸缩性和可用性。 克隆体（无状态前端） 克隆是为 Web 站点增长解决能力、网络带宽和存储带宽良好手段。由于每个克隆体在本地复制存储，因而，所有更新必要应用到所有克隆体上。但是，由于与负荷平衡、故障检测和消除客户机状态耦合，克隆确是扩展站点和提高可用性良好办法。 无状态负荷平衡 负荷平衡层向顾客提供一种服务名称并将客户机负荷分派给各种 Web 服务器。这将为服务器集提供可用性、可伸缩性和某种限度可管理性。负荷平衡手段有各种，涉及“Round Robin 域名服务器 (RRDNS)”及各种基于网络和基于主机负荷平衡技术。 维护客户机状态 咱们不但愿在克隆前端系统中维护客户机状态，由于这与透明客户机故障转移和负荷平衡相抵触。在会话间维护客户机状态基本办法有两种。一种是将客户机状态存储在分区后端服务器中。（由于客户机状态可以完全分区，因而也易于扩展。但是，需要对每个客户机祈求检索该状态）。在会话间维护客户机状态另一种办法是使用 cookie 和/或 URL。Cookie 是由客户机 Web 浏览器管理小文献。它们无益于减小带状态服务器负荷和增长无状态前端系统实用性。数据还可以存储在 URL 中，并在顾客单击显示 Web 页上链接时返回。 前端可用性 当在这些前端服务器上运营应用程序代码时，无论是用 Microsoft Visual Basic(R) 或 C++ 等高档语言还是用脚本编写，从不同 Web 应用程序隔离编程错误是非常重要。使应用程序代码在 Web 服务器进程外运营，是互相隔离编程错误和避免 Web 服务器故障最佳办法。 后端系统 后端系统是维护应用程序数据数据存储，也是启用与其她维护数据资源系统连通性数据存储。数据可以存储在普通文献、数据库系统（如 Microsoft SQL Server(TM)）或其她应用程序中，如下表所示。 表 1. 数据存储不同类型 文献系统 数据库 其她应用程序 示例 文献共享 SQL Ad insertion、SAP、Siebel 数据 HTML、图像、可执行文献、脚本、COM 对象 类别、顾客信息、日记、帐单信息、价格表 库存目录/库存、标语广告、帐目信息 使后端系统扩展和具备高度可用性更具挑战性，重要由于它们必要维护数据和状态。一旦单一系统可伸缩性已经达到，就必要分区数据并使用多台服务器。因而，持续可伸缩性是通过数据分区和将逻辑数据映射到对的物理分区数据有关路由层或带状态负荷平衡系统来实现。 对于提高可用性，群集 — 普通由两个访问公共、复制或 RAID （独立盘冗余数组）保护存储器节点构成 — 将支持每个分区。当一种节点上服务失败时，另一种节点将接管分区并提供服务。 分区（带状态后端系统） 通过复制硬件和软件及在各节点之间划分数据，分区增强了服务能力。普通，数据是按对象分区，如邮箱、顾客帐户或生产线等。在某些应用程序中分区是准时间进行，例如按天或按季度。也也许用随机分区办法分布对象。拆分和合并分区需要工具，最佳是联机（不用中断服务），符合系统变化需要。增长宿主分区服务器数量，提高了服务可伸缩性。但是，分区选取将决定访问模式及其产生负荷。甚至在分布祈求时也要避免浮现热点（一种分区接受祈求数量不成比例），这对设计数据分区也很重要。有时这很难避免，并且必要有大型多解决器系统宿主分区。分区故障转移，即服务自动切换到二级节点（退回未完毕事务），可提供持续分区可用性。 带状态负荷平衡 如果数据按各种数据服务器分区，或开发提供专用功能服务器来解决特定类型 Web 祈求，必要编写相应软件将祈求路由到相应数据分区或专用服务器。普通，该应用程序逻辑是由 Web 服务器运营。其编制目是拟定有关数据位置，并且依照客户机祈求内容、客户机 ID 或客户机提供 cookie 将祈求路由到数据分区所在相应服务器。它还懂得提供专用功能服务器位置并将祈求发送到那里进行解决。该应用程序软件完毕带状态负荷平衡。称其为带状态因素是，依照客户机状态或祈求中状态才干决定将祈求路由至何方。 后端服务可用性 除了使用故障转移和群集提高可用性外，整个系统体系构造一种重要因素，就是站点提供某些有限限度服务能力，甚至在各种服务失效状况下。例如，顾客应当总能通过顾客凭据复制登录至联机邮件服务，然后使用克隆“简朴邮件传播合同 (SMTP)”路由器发送邮件，虽然顾客邮件文献是无效。相类似，在商务站点中顾客应当可以浏览目录，虽然暂时不能解决事务。这规定系统体系构造设计者要设计出“当个别部件发生故障时工作可靠但性能下降”服务，以避免由于局部故障而使终端顾客感觉为整个站点故障。 劫难承受能力 某些商务 Web 站点需要持续服务可用性，虽然在劫难发生时：她们全球商务活动依赖于可用服务。劫难也许是自然灾害（地震、火灾或洪水），也也许是恶意操作（如恐怖活动或心怀不满员工）成果。劫难承受系统规定将站点副本或某些副本放在离主站点足够远地方，这样，在整个劫难中失去各种站点概率会小到可承受限度。在最高档别有两种复制站点类型。积极站点分担某些负荷。被动站点在发生劫难后才提供服务。在需要迅速故障转移场合普通使用积极站点。被动站点也许只是由租用服务器和远程、位于备份磁带所在地连接构成，这些连接可在需要时应用于上述服务器。像这种最小限度规划应当为任何商务考虑之列。 更新复制站点，使它们内容保持一致是很具挑战性。此处基本办法是：将内容从中央升级服务器复制到远程站点升级服务器，更新每个站点内容。对于只读内容该办法已足够。但是，对于更多执行事务高档站点，还需要保持数据库为最新。数据库复制和日记转移通惯用于将对数据库事务性更新转移到远程站点地方。典型状况下，数据库将浮现几分钟不同步。但是，这比站点完全失效要好。 安全域 安全性机制用于保护敏感信息保密性和机密性，使其免受未经允许访问；通过防止未经允许修改或破坏，保护系统和数据完整性；并通过防止回绝服务袭击和提供意外或劫难筹划，来协助保证可用性。 安全域是一致安全性区域，区域之间有定义明保证护接口。这一概念应用程序有助于保证在对的场合应用正保证护级别。复杂系统（如大型商务站点及其环境）可划分为各种安全域。区域表达任何所但愿划分 — 例如，按地区、按组织、按物理网络或者服务器或按数据类型。对于商务站点，重要划分方式可恰当按照 Internet、站点 DMZ、安全性、公司和管理网络。域还也许互相交叉或重叠。例如数据库中信用卡号码也许需要附加保护。附加安全性控制，如卡号加密，可提供这种保护。 下面比喻有助于形象阐明安全域。Internet 好象中世纪城堡及其周边环境：在其城墙之外，很少有法律约束并有各种不拘一格个性。依照这个城堡模型，用于保护 Web 站点核心构造元素是在其周边构筑城墙，有重兵把守主城门禁止闲杂人进入。需要构建城墙及城门等效于维护给定安全级原则。固然，不会有无保护后门！对于大型商务站点，城墙称为站点边界。在网络术语中，表达站点内部通信设备是专用并与 Internet 隔离，指定入口除外。站点主城门称作防火墙。防火墙将检测每一通信包，保证只容许但愿信息进入。继续这个比喻，城堡中要塞保护着皇冠宝石。附加围墙和加锁门或墙中墙，提供了附加保护。与此类似，商务站点通过提供附加防火墙和内部网络，保护着非常敏感数据。 图 2. 防火墙/DMZ 防火墙是一种控制网络中处在不同可信级别两某些之间数据流机制。防火墙范畴可以从数据包过滤器（只容许指定 IP 端口和/或一系列 IP 地址之间数据通信）到应用程序级防火墙（实际检查数据内容并决定与否让其通过）。站点普通将过滤数据包外向防火墙和过滤合同和端口层数据内向防火墙结合使用。 保护站点安全性很复杂，但防火墙/DMZ 是核心构造组件（事实上是网段中子网）。对于保证盼望站点保护级别，它是必要但绝不充分安全性机制。本文档“安全性”章节专门论述如何保护站点安全。 管理基本构造 站点管理系统普通构建在单独网络上，以保证高度可用。管理系统使用单独网络，还可以减轻管理通信量后端网络负荷，从而提高整体性能和响应时间。管理和运作有时也使用后端网络，但对于大型、高可用度站点，不建议这样做。 管理系统核心构造组件为管理控制台、管理服务器和管理代理。所有核心组件均可独立扩展。管理控制台是管理员访问和操纵被管理系统入口。管理服务器时刻监控着所管理系统、接受报警和告知、记录事件和性能数据，并作为响应预定事件第一防线。管理代理为在其驻留设备内部执行重要管理功能程序。管理代理与管理服务器使用原则或专用合同互相通信。 当系统达到一定规模和变化率时，Web 站点管理和运作成为核心因素。管理简便性、易于配备、持续健康监控和故障检测也许比添加应用程序功能或新服务更为重要。因而，应用程序工程师必要十分熟悉布置和运营应用程序操作环境。此外，操作人员还必要十分熟悉克隆和分区方案、管理工具和安全机制，以维持持续可用、基于 Internet 服务。 示例站点 简介 本示例站点力求通用，以阐明核心构造组件和基本构造。但是，它是咱们曾讨论过许多运营站点核心构造特性代表。出于竞争和安全因素，站点所有者普通不肯展示其站点实际详细内幕。 咱们示例以一种大型站点为例，并展示了拓扑构造和组件冗余。它是一种高度可用系统：紧急服务可拯救大某些故障模式，减轻重大劫难。从 ISP 1 到 ISP N 每个分组中服务器均支持所有站点紧急解决功能，因而，虽然失去一种 ISP 也不会使站点瘫痪。在大某些劫难状况下，提供不间断服务需要在各种地理位置 (geoplex) 上复制整个站点。Cisco “分布式控制器”通惯用于支持 geoplex。遗憾是，站点复制成本将超过构建站点两倍，并且也许导致 Web 应用程序数据一致性问题。 从该示例可派生出较小和大得多站点。较小站点也许不需要在每个群集中有如此多服务器。不需要很高可用性站点只要删除冗余元素，特别是图中从 Internet ISP 1 开始整个上半某些。没有很高数据库安全性站点可以在安全网络中删除安全 SQL 群集。另一方面，非常大站点可以添加下列内容充分地扩展： · 每个 IIS Web 群集克隆体。 · Web 群集数量。 · Internet 连接访问点。 · 前端组件，如防火墙。 更进一步，随着网络通信量和要管理设备数量增长，管理网络也必要增长规模和复杂性。 图 3 展示了示例站点体系构造。 图 3. 大型 Web 站点网络拓扑构造示例 在图 3 中，不同线形、粗细和注释显示了网络不同某些 IP 地址和连接。特别是： · 外部（面向 Internet）网络（细）。 · DMZ 网络（中）。 · 安全（内部）网络（粗）。 · 管理网络（细虚线）。 · 群集核心专用网络（细 — 每个群集本地专用）。 · 与公司网连接（闪电状）。 本节其她内容将提供示例站点教程，从 Internet 开始经 DMZ 直到安全网络，涉及公司网和管理网络。 Internet 教程从连接一种或各种“Internet 服务提供商 (ISP)”开始。咱们示例列举了各种标记为 ISP 1 - ISP N 冗余连接。这些连接应当来自不同（物理上独立）网络。域名服务器（DNS，图 3 中没有展示）提供了域名与一种或各种 TCP/IP 地址之间正向和反向映射。例如，，每组地址均为一种群集。 207.46.130.14 207.46.131.28 207.46.130.149 207.46.131.30 207.46.130.150 207.46.131.137 如果有各种 IP 地址，DNS 将浏览地址列表来解决对 .com IP 地址不断查询 — 因而，得名为“Round Robin DNS (RRDNS)”。RRDNS 缺陷是不能检测出 ISP 连接消失而继续为不再工作 IP 地址提供服务。但是这并不非常严重，由于顾客只需祈求重载 Web 页。第三方解决方案，如 Cisco Local Director或 F5 Networks BigIP 提供了动态路由连接更好解决方案。 DMZ 前端网络上服务器是面向 Internet 。防火墙是基本安全性组件，通过按数据包类型、源和目地址过滤数据通信量，来提供网络隔离。它们形成了由双向箭头描述 DMZ（非军事区）边界。 防火墙 途径中第一种组件就是路由器/防火墙，它们功能是截然不同或组合在一种设备中。面向 Internet 路由器支持“边界网关合同”()。高速前端互换机支持到前端 Web 群集中每台服务器连接。与路由器/防火墙交叉连接为在 ISP 连接失效时，或途径上任何组件失效时，提供了另一条途径。 前端网络 前端提供核心 Web 服务，如 HTTP/HTTPS，使用 Microsoft Internet Information Server (IIS) 提供 HTML 和 ASP 页面服务，使用 LDAP（Lightweight Directory Access Protocol）进行顾客身份验证。还可以将“站点服务器商业版”装载到前端服务器上，以提供附加数据库驱动服务。 前端服务器按服务和功能分组 — 例如 、、SMTP（电子邮件）或 FTP（下载）。SSL 服务 (HTTPS) 同样是从普通 HTTP 通信中隔离出来。这使得通过特殊配备、带有高成本硬件安全加速器模块服务器，可支持高速加密功能。更进一步，SSL 会话继承了带状态性，并也许需要特殊故障转移解决。 在示例站点中运营 Windows 每个 Web 群集均使用 NLBS（网络负荷平衡服务 — 在 Windows NT 中也称为 Windows 负荷平衡服务）。每个克隆体在每个发布相似内容 NLBS Web 群集中有相似配备。这将为无状态 Web 应用程序提供透明故障转移，与单个服务器相比从主线上提高了服务能力。Web 群集通过添加克隆体分担群集负荷来支持辽阔可伸缩性。 客户机向使用虚拟 IP 地址每个 Web 群集提出祈求，该虚拟 IP 地址是 NLBS 群集中所有前端服务器均可以响应。前端服务器则访问位于后端群集文献共享服务器和后端群集 SQL 服务器上站点内容。 提供 Web 服务所需所有 COM 对象，涉及从 ASP 页调用对象，均安装并注册在每个前端服务器上。该站点 ASP 页可以装载在前端服务器本地磁盘上，也可以保持在后端群集文献共享服务器上。 每个前端服务器均特殊加强了安全性并连接到三个网络： · 前端网络 — Internet 访问。 · 后端网络 — 访问 DMZ 服务器，并通过内部防火墙访问安全网络。 · 管理网络 — 支持管理和运作功能。 这种网络隔离，在提高总体可用带宽和冗余同步提高了安全性。 注意该站点中任何服务器上唯一可公共访问 IP 地址为 NLBS 虚拟 IP 地址，只有前端服务器才可以响应这个地址。用于面向 Internet NIC（网络接口卡） IP 过滤，可保证只有被支持功能对的通信类型和源，才干进入前端服务器。这些网络之间 IP 转发也已禁用。 后端网络 后端网络通过使用高速、私用 10.10.1.x LAN 支持所有 DMZ 服务器。这种体系构造可防止从 Internet 直接访问 DMZ 服务器，虽然防火墙被突破，由于不容许 Internet 路由器转发指定 IP 地址范畴（请参阅 （专用 Internet 地址分派）），涉及范畴 10.x.x.x。当使用前端网络时，冗余互换机可提供对所有前端和后端服务器访问。所有后端互换机共享公共网络，因而后端通信量负荷将成为积极站点问题，特别是单独管理网络不能进行记录并且其她前端管理网络还在通信。 后端网络重要组件为加强了安全性服务器群集，它们提供对 Web 内容和暂时永久状态，如会话内事务性数据（例如购物推车内容），存储服务。由于所有永久数据随处可得，因而没有必要提供备份工具。通过添加群集和分区数据库可实现可伸缩性。 这些服务器使用了 Windows 上“Microsoft 群集服务”，实现了带故障转移能力高度可用性。一种服务器失效不会导致数据服务失效甚至服务中断。当失效服务器恢复联机时，可以继续数据服务。由于硬盘确会失效，因而使用 RAID 驱动器阵列可提供必要数据冗余保护。 群集内文献共享支持文献存储服务。群集上运营 Microsoft SQL Server 提供数据库服务。每个群集服务器至少使用了四个 NIC：一种用于每个互换机、一种用于专用核心 LAN（应当使用其她专用网络地址，如 192.168.10.x）、一种用于管理 LAN。除服务器物理地址外，群集还具备各种虚拟 IP 地址，以支持群集自身和每个群集服务地址对（用于冗余）。 加强 DMZ 实用程序 DC 服务器支持所有 DMZ 服务器本地区帐户、本地 DHCP 和名称服务（WINS，或最佳为 DNS）以及本地实用程序文献服务。对内部公司域单向信任关系，提供了对安全内部系统身份验证式访问。 安全网络 另一道防火墙形成了 DMZ 内部边界，并将所谓安全网络与后端网络隔离开。防火墙配备成只容许端口与源/目对之间所规定通信。安全网络又由一种专用网络（本例中为 10.10.2.0）、一对耦合互换机、各种服务器和标记为 VPN/路由器设备构成，这个标记为 VPN/路由器设备提供了与内部公司网连接。安全网络在逻辑上为公司网一某些。安全网络上服务器普通也是内部公司域成员，因而域控制器和地址及名称服务器也假定是内部。 为了支持其她功能，在本节中也许还需要其她服务器。有各种也许解决办法，然后在安全性数据存储与内部系统之间传播事务性数据。事务范畴是从老式同步 (MTS — Microsoft Transaction Service) 到异步 (MSMQ - Microsoft Message Queue) 乃至基于批解决或基于电子邮件存储和转寄。这些内容已超过本文档范畴。 但请注意，对于许多组织来说，Internet 是许多通道中唯一提供顾客服务传送通道，这很重要。以书店或银行为例。大某些业务逻辑和解决发生在内部既有系统内。Internet 解决方案必要与这些既有系统协作并为其提供服务。 安全数据存储 安全 SQL 群集是可选，并只为更复杂事务性站点中所需。它们提供了高度可用性、身份验证数据库永久存储、长期事务存储，并保证客户信息和帐户数据机密性。与 DMZ 中服务器群集不同，这些服务器必要备份，既可以使用直接连接可移动存储设备，也可以通过公司网进行备份。其她功能与 DMZ 群集类似。为了冗余，每个服务器将重复连接到安全网络两个互换机上。同样又是通过度区数据库和添加群集，来实现可伸缩性。 升级服务器 升级服务器出当前安全网络某些，尽管它们也许位于公司网或甚至位于 DMZ 中。它们接受和升级来自公司网或外部内容提供商内容，然后将内容布置到 Web 服务器，以使站点保持一致状态。普通有诸多机制可用，涉及 Microsoft Content Replication（Microsoft 内容复制系统）和诸如 RoboCopy 等工具。 公司网连通性 示为 VPN/路由器、将站点与公司网相连设备事实上是个路由器，如果需要，它可以和 VPN 安全性功能结合，来订立和加密通信。此外，使用 Windows 内置 IPSec 特性也可添加 VPN 功能。这将在依照需求基本上支持端对端安全性，这样可以节约 VPN 硬件支持成本。 就公司数据中心中宿主站点而言，连接公司网易如反掌。在这种状况下，VPN/路由器直接与公司网相连。 大型商务站点经常由远程公司数据中心宿主。专用热线经惯用来连接站点与公司网，特别是在需要高性能、低响应时间状况。此外，Internet 自身也也许用于传播，这种状况下使用 VPN 技术保证所有通信安全非常重要。 管理网络连通性 咱们以管理网络讨论来结束咱们教程，管理网络提供了监控和管理站点基本功能。为简朴起见，咱们只演示用 LAN 连接单独管理网络计算机。这些是用单独 NIC 实现。某些站点没有使用单独管理网络。相反，它们崩溃后端网络上管理通信。为安全性、网络负荷和管理起见，咱们不建议这样做。 与路由器、互换机和防火墙管理连接没有显示。用于紧急带外 (OOB) 访问串口拨号连接也没有显示。这并不表达不需要它们。当管理网络（或用于管理后端网络）不可用时，依然可以通过这种设立访问每个主机。 摘要 下面章节使用前例模型，详细讨论本文档所描述体系构造如何满足这四个目的： · 线性可伸缩性 — 可持续增长以满足顾客需求和业务复杂性。 · 持续服务可用性 — 使用冗余和功能专业化来提高容错能力。 · 数据和基本构造安全性 — 保护数据和基本构造免受恶意袭击或盗用。 · 管理简便性和完整性 — 保证运作可以满足增长需求。 可伸缩性 简介 图 4 例举了站点可伸缩性两个不同维度。第一种维度，即水平轴，表达在有代表性一天，访问站点独特客户机数量。随着独特客户数量增长，配备用于支持增长客户库系统数量也将增长。典型状况下，支持客户库所需站点上内容也必要增长。 第二个维度，即垂直轴，表达站点业务复杂性限度。咱们已经标记了三个重要类别。固然，在它们之间尚有许多变种。类别之间普通通过包括下级分类功能而互为基本。最底层分类，和在业务逻辑复杂方面最简朴，是内容提供商类。上一层分类，除来内容外尚有事务解决，但许多业务解决是脱机完毕。而最上层分类既有内容尚有事务，并且许多业务解决逻辑完全集成在联机解决中。 随着站点在图中从左到右、从下向上移动，站点运营和应用程序布置难度明显增长。 图 4. 扩展维度 在本节别的某些，咱们考虑图 4 环境中可伸缩性。一方面，咱们关注扩展独特客户和内容，然后再看业务复杂性增长。 扩展客户和内容 接下来图 5 和图 6 两个图例，阐明了前端系统数量如何变化，以满足客户不断增长需求，以及如何增长分区数据存储数量来扩展联机内容。 图 5. 小型站点 上图表达了具备一种 IIS Web 服务器，一种文献或 SQL Server 和一种在 DMZ 内实用程序服务器基本站点，它连接安全 SQL Server 或文献服务器和安全升级服务器。下图表达，如图 5 所示小型站点，应如何扩大才干支持更多客户和更多内容。 图 6. 扩大站点 在前端，IIS Web 服务器数量和这些服务器 Web 群集数量有所增长，并使用 NLBS 在它们之间平衡了负荷。在后端，文献服务器和 SQL Server 群集数量有所增长，因而，逻辑需要涉及在前端 Web 服务器中，才干将数据祈求路由到对的后端数据分区。咱们下一步再阐明这两种技术。. 扩展前端系统 增长克隆 IIS Web 服务器数量、将其分组为 Web 群集和使用负荷平衡系统，是增长支持独特客户数量重要技术。但请注意，这涉及重要应用程序状态考虑，咱们将在背面讨论。 除增长 IIS Web 服务器数量外，优化 Web 服务器执行 Web 应用程序代码也很重要（这超过了本文档范畴）。 针对可伸缩性 Web 前端负荷平衡 负荷平衡以虚拟 IP 地址形式，向客户机提供了单一服务名称，然后将客户机分布于提供该服务服务器集上。 进行负荷平衡有三种重要技术： · Round Robin DNS (RRDNS)。 · 带有专用第三方外挂盒智能 IP 负荷平衡。 · 服务器内部使用 Windows NLBS 智能 IP 负荷平衡。 RRDNS 是配备“域名服务器 (DNS)”一种办法，以使 DNS 对主机名查询在一系列提供相似服务 IP 地址中顺序分布。这是负荷平衡基本形式。该办法长处是：无成本、易于实现，并且不需要变动服务器。缺陷是：没关于于单个服务器负荷或可用性反馈机制，并且由于 DNS 更改传播延迟导致将祈求继续发往故障服务器，从而没有办法从可用服务器集中迅速删除故障服务器。 基于服务器负荷平衡将一组服务器构成 NLBS 群集，然后令群集中每个服务器依照源 IP 地址决定与否解决该祈求，来完毕负荷平衡。如果群集中一种服务器故障，则群集中其她成员重新分组并调节源 IP 地址范畴分区。NLBS 长处是低成本（NLBS 是 Windows 操作系统一某些），不需要特殊硬件或更改网络基本构造，并且没有单个故障点。当前限制是服务器不能动态调节负荷，重组是依照服务器故障进行而不是依照应用程序失效进行（尽管第三方工具，如 NetIQ 和 Microsoft HTTPMon，可用于削弱这些限制）。 将 RRDNS 与 NLBS 组合可产生更好扩展和可用配备。NLBS 群集中所有节点必要在同一 LAN 子网上，并响应同一 IP 地址。配备不同子网上各种 NLBS 群集，并将 DNS 配备为在各种 NBLS 群集顺序分布祈求，是也许。这增强了 NLBS 可伸缩性并避免了 RRDNS 缺陷，由于有多台计算机可用于响应发往每个 NLBS 群集每个祈求。M 便以这种方式工作。 图 7. RRDNS & NLBS：三个独立 LAN 网段，一种域名 应用程序状态考虑 T为了向客户机屏蔽服务器故障，请不要将应用程序客户机状态存储在 IIS Web 服务器上。不能动态平衡客户机祈求负荷。最佳是将客户机状态存储在数据存储器中，并在需要时，依照 URL 编码数据或客户机 cookie，对每个客户机祈求检索客户机状态。带客户机高速缓存 cookie 也是一种很有效扩展办法，该办法在每个客户机系统中存储各自客户机信息，在每个客户机祈求中向 Web 服务器发送该信息，并使用该数据将内容专用化或采用其她客户机指定操作。RFC 2109（“HTTP State Management Mechanism”（HTTP 状态管理机制），可从 .org/rfc/rfc2109.txt 中找到）描述了 HTTP cookie 合同。 但是，某些应用程序和合同规定长期从客户机到服务器连接。使用“Secure Sockets Layer (SSL)”发送加密数据并验证服务器身份，就是一种重要示例。大某些 IP 负荷平衡产品支持容许应用程序或合同维持与同一服务器连接机制，以便它们正常工作，尽管没有故障透明性 扩展后端系统 增长多解决器系统内存和解决器可扩展后端系统。Windows Advanced Server 操作系统支持多达 8 CPU 和 8 GB 内存。但是，在某些状况这不再也许，或不但愿对单个系统可用性有如此大数据依赖性。基于这一点，通过对其服务数据或提供逻辑服务进行分区，来扩展后端系统，是十分必要。咱们将此称为分区。与用于扩展前端系统克隆（复制硬件、软件和数据）不同，分区只复制硬件和软件，而将数据分布在各个节点。对特定数据对象祈求则需要路由到存储相应数据对的分区。这种由数据决定路由，需要运营在 Web 服务器上应用程序软件来完毕。可将由数据决定路由层视为：与无状态负荷平衡相对带状态负荷平衡，前者用于克隆前端系统扩展。还需要开发管理分区拆分和合并软件，以使负荷均匀分散在所有分区之上，这样可避免任何单个分区成为热点。 但是，这种责任普通落在应用程序工程师头上，她们