上述我们讲了第一个维度,现在继续讲解第二个维度。在这个模块中我们会介绍在整个电信网络中我们会有哪些提升。下图是介绍的内容目录:
CGNAT是针对于NAT推出的解决方案,目前国内来讲,一些特定的园区里面有在小范围的使用。对于IPv6来说,存在两个问题:IPv4的地址越来越少,这是一个问题。第二问题来讲,IPv6使用起来非常的缓慢,毕竟IPv6如皋靠人手动去配置的话还是繁杂的事情。
那么NetScaler针对于NAT推出的CGNAT,是如果做到地址的转发转换的。
如上图,这是属于传统的IPv4的一个问题,如果我们现在要发布一个服务到公网,那么我们首先拿到了运营商给予我们的一个公网IP地址。但是因为IPv4的地址空间已经不够了,那么这个公网IP地址就不是全局的IP地址,而是只能在运营商的本地。也就是说,比如电信给了我们一个公网的IP地址,我们的这个公网Ip地址其实是只能跟电信的运营商的内部IP进行通信,没办法跟联通进行通信,如果需要通信那么就需要通过电信的网关出去。通过外也是类似的情况,通过其出口的网关出去,这个网关也做类似的NAT的技术来实现。因为给到我们的公网IP地址在全球范围内来说并不是真正在全球上可以使用的公网Ip地址,而是电信通过技术实现的所谓公网IP地址。
如上图,我们说在电信运营商那边也需要通过NAT出运营商的大内网。所以NAT技术其实在现今的网络环境这中非常的重要。也是应对IPv4减少的一种有效的方法。
那么实际上NetScaler设备是可以针对电信运营商的这个情况,提供专门的NAT优化技术来做这个事情的。
如上图,就是NetScaler的CGNAT转发图。在NetScaler的CGNAT中我们可以做很多的事情,如下图:
我们可以做到IPv4到IPv4的NAT,IPv4到IPv6的NAT以及IPv6到IPv4的NAT以及整个IPv6的NAT。
首先就现目前来说,IPv6是比较多的,那么我们以后的模式就是内部IPv4,出去之后是IPv6。
接下来NetScaler还提供了对于DNS的一个审计功能,我们知道NEtScaler本身带有一个ADNS的这样一个功能,我们可以针对于DNS的策略,我们通过NetScaler的DNS做策略好什么好处呢?好处就是在默写场景下我们可以阻挡来自于DNS的攻击。通过DNS策略我们还可以做更多的东西,做了这些东西之后,其实最重要的还是针对于这些功能的审计。NetScaler可能说我防护了一个DNS攻击,那么用户不知道你到底做了啥事情,用户不清楚。针对于用户来说就像是一个黑盒一样,不知道里面内部的情况。之前的很多NetScaler的日志都是基于Http、Web等这些友好的功能来做的。选择在NetScaler 11当中来讲的话,我们就会有DNS的一个日志记录以及GSLB的日志。其中对于GSLB的日志其实是蛮重要的。如果用户做了GSLB之后,用户需要知道访问的客户到底被分配到了那个站点。在原来的版本,我们只能告诉客户你想要通过网络抓包自己看,选择是话通过日志就能查看。当然通过命令也可以实现查看,但是前提是我们做流量会话保持,通过查看会话的方式来查看GSLB的用户访问分配流程。但是这些方式其实都是及其不友好的,有些用户就会去抱怨这个事情,NetScaler没有专门针对于GSLB的日志记录。所以我没有办法看见你解析到了哪里去,到底解析的对不对。同时在一些压力测试的场景下,我们和友商的PK就非常吃亏。
同时版本针对移动端也有一些感知,在上图中,左边是用户存在的一些需求,每个用户的一些具体的需求,在右边就是我们具体的解决方案。这是充分从用户的角度提交需求之后,以需求驱动进行的相应功能的开发。
同时对于NetScaler的有时功能TCP优化技术,也有提升:
加速对于用户来讲,广域网环境下的加速必须是端到端的加速,即两端之间必须分别都有加速设备。如果我们在只有一台NetScale的情况下,我们怎么来做TCP的加速。在NetScaler 11当中来讲,我们增强了原有的TCP优化功能。将更多单边加速的功能放置到了这里面。这个其中着重点是针对于于移动端的优化和加速。比方说你是属于3G4G网络上来的还是属于WIFI上来的,我们可以调整在NetScaler对其进行调整,这些调整的参数大概就有50多项,调整之后,最终的目的是用户的访问体验可以增加30%。相对于端到端的加速解决来说,30%可能不算什么,但是如果去考虑单边加速的前提,其实这个提升是非常的多了。而且这个加速本身来说是针对TCP,所以我们不管你的应用到底是什么,在TCP层面我们都可以给你做这样的一个优化。
有这这些功能之后就方便我们去做SLA的管理。NetScaler可以生成很多SLA的一些出发的SLA metrics,可以把这些东西放置到Insight Center当中,那么对于用户来讲就可用通过Insight Center来看到我们的应用还SLA是怎么样的一个状态。
接下来介绍NetScaler 11的第三个维度。
首先对于NetScaler的集群,不知道大家是否部署过,Citrix NetScaler的集群到目前为止也只有Citrix有这样一种形式的集群模式。集群模式简单来理解,就类似有交换机的堆叠。NetScaler 的集群模式。可以堆叠到32台设备,扛起1TB的流量。所以NetScaler并不是要把机器造得越来越大,而是采用灵活的架构去部署Citrix NetScaler设备。讲到集群的时候,有一些知识点大家可能需要了解,集群有几种组合模式?有几种部署模式?
比如说动态路由模式,在NetScaler的前端要有个路由器,这个路由器和NetScaler之间要设置OSPF的动态路由。这是其中的一种模式了,还有很多的模式。在NetScaler 11当中,在3层的路由模式下,NetScaler 11支持三种模式:Logical Cluster acrosssubnets、Enabling multi-sitedeployments、ECMP mode deploymentonly。其中Enabling multi-sitedeployments从多个站点去部署NetScaler集群在以前的版本中是没有的。现在就可以在不同的网段、不同的站点之间进行部署NetScaler 集群。而且以前做NetScaler的集群都是支持http这样的业务去做的。如果我们的客户环境除了http之外,还有其他的一些服务,I里ftp需要发布的话,就不要在netScaler的集群上进行发布,这会存在一些问题。俺么现在的版本11当中也不存在这样的问题了,我们支持ftp,支持动态路由。
如上图,在配置动态路由的时候版本11支持SNIP来做动态路由,那么我们就可以将流量分配到多个站点。当用户来访问的时候,我们通过ECMP的这样的方式,我们就可以将其进行动态的路由或者说分配。而就这个来讲,我还可以选择高延时的链路还是低延时的链路,能够非常灵活的去选择我们我们说需要的流量特性。因此版本11当中的集群模式就支持更多的场景,因为NetScaler 11的集群支持跨网段了。
NetScaler withoutPartitioning,现在我们来说说这个。大家都知道NetScaler有一款产品叫SDX,SDX是一个纯虚拟化的模式,在SDX的硬件之上运行了一个被优化过的Citrix的XenServer,然后在上放置了不同的Citrix NetScaler VPX。着只是其中的一种虚拟化方式,这种方式借助于底层虚拟化的平台。但是在Citrix的NetScalezr 中,还有另外的一种虚拟化方式可以使得用户将不同的业务在NetScaler上分开,这种方式需要在NetScaler的Web界面里面进行设置。这种模式也就是Partition。如果没有Partition,那么架设上述的这台机器是MPX给到用户,对于一个用户来讲,它需要管理如图所示的这么多应用,这么多的应用放置在一台MPX上,所有的配置都是一个配置文件。稍微的一个全局参数发送变化可能都会影响这些应用。那么有了Partition之后呢?
所有的这些应用都是隔离的,而且都是自己独立的配置文件,也就是说SharePoint就是一个单独的服务,你登录进去配置SharePoint,就感觉这是一台单独的独立给SharePoint使用的NetScaler设备一样。那么使用了Partition,我们还可以给每个应用分配一个管理员,这样我们其实就可以进行权限的委派,不同的人员去做不同的事情。这个功能主要去从管理界面上的一个区分,实质在底层还是属于同一个操作系统同一台硬件设备。也可以称呼为管理界面虚拟化。
那么有了这么一个功能了之后,其实MPX有就可以在云上进行使用了。如上图,这样NetScaler MPX可以在这些场景下都可以使用了。在我们的私有云当中来讲,我们有多个配置文件,多个SNMP、多个Logs,我们可以讲不同应用的这些都分隔开。
那么那些东西被隔离了呢?如上图,我们可以看到,Filesystem被隔离了,如果说用户启用了Partition,然后拥有不同的管理员,每个管理员有不同的配置文件。比如说,SSH证书,A管理员是看不到B管理员的SSH证书的。tracing被隔离了,A管理员看不见B管理员的Log,B也看不见A的。除此之外,SNMP不一样,Syslogs不一样以及NS.conf不一样。
那么在版本11当中有哪些提升呢?
如上图所示,这些就是在版本11当中提升的地方。包括GSLB、AAA、内容交换等等功能的提升。其中比如RDP Proxy通过Admin Partition做这样的虚拟化,在安全性上的好处是显而易见的。
接下来我们继续在ADC层面谈谈Insight。在Gateway部分我们着重描述的是HDX Insight,在ADC部分还有一个Web Insight是比较重要的。Web Insight在以前的版本中有一个问题就是,但Appflow的流量超过1GB的时候,Web Insight就特别的慢。甚至于在大型的环境中流量巨大的情况下Web Insight跑不起来。那么这个问题在版本11中是如何解决的?
在11当中,引进了一个新的概念。在原来的Web Insight中,就是一耳光基于虚拟化底层的虚拟机,现在我们把Insight拆分开来,分为三层,数据控制层,报表的引擎以及数据的收集节点。将其变成了一种完全的分布式的部署模式,在这种分布式的部署当中,我们就可以去连接不同的Insight,那个节点寻找瓶颈了,那我们就再增加一个节点好了。这样我们就做到了一个弹性的扩展,完全满足性能增长的需求。
如上图,我们随着设备的扩充,在架构不变的情况下仍然工作的很好。同时,在最新的11当中,我们还可以将这个Insight的数据导入到最新的NetScaler MAS当中。NetScaler MAS会见这些数据统一的整合起来。未来Citrix会将所有的管理平台都会统一到MAS当中。MAS现在对下面的设备是针对所有型号所有版本的NetScaler产品。上接所有的日志、报表引擎、报表生成甚至于是SDN的管理软件、云平台等等。同时MAS也是基于这样的架构,和Insight一样是分布式架构的部署方式。
接下来我们介绍MobileStream。在上述的章节中我们曾经讲述了TCP的优化部分,在NetScaler当中,讲究的是多层的优化。其中MobileStream的优化功能,包括:移动端的协议的优化、多层的网络加速、针对内容的下载流以及内容的排序等等,这些优化可以使得我们在移动端的访问变得十分的便捷。MobileStream通过虚拟方式消除了续存通信技术和网页设计造成的不规则连接影响,从而改善移动性能;借助智能双网模式技术,NetScaler MobileStream得以透明利用无线和蜂窝连接,将移动应用加载和运行速度提升5倍,带来全新的用户体验;NetScaler MobileStream还实现了与NetScaler Insight Center的全面整合,能够简便地监视和控制移动流,应用程序和设备活动模式清晰可见,可迅速解决网络问题并改进服务交付;在安全方面,NetScaler MobileStream提供了灵活的分应用、分用户的访问管理控制,实现了安全移动访问,消除了移动数据泄露给未经授权移动设备的可能性。具体而言,在网络连接方面,NetScaler可以确保移动设备在3G、4G网络和无线Wi-Fi之间无缝切换,而不会出现移动应重启;在协议优化方面,NetScaler支持利用SPDY的协议(SPDY协议与传统的HTTP相比,其传输速度会快几倍),而无论应用是否支持SPDY;在内容优化方面,NetScaler可以根据移动终端的属性(比如设备类型、屏幕大小等),对呈现的内容进行调整,从而改善用户体验,比如,可以在不影响用户体验的前提下降低图片清晰度等。
在11当中,NetScaler的优化和加速完全是充当了Http 2.0的网关的角色。现在的百度也已经启用了http2.0,为什么要启用http2.0,因为启用了http2.0之后,会大大加快我们页面加载的时间。启用http2.0第一步需要做的事情就是,你的网站需要启用https你才可能使用Http2.0。所以从这个角度来讲,NetScaler的SSL加密就显得十分的必要和强大。
所以http2.0到了NetScaler之后,就如上图所示,后面我们的传统的应用程序完全可以不用在进行重新开发,只需要在NetScaler上启用http2.0,将后端的http1.1转换为http2.0发送到前端或者说显示给前端。最大化的和现有环境的系统集成的同时保护现有的投资。
HTTP2.0最大的亮点在于多路复用,而多路复用的好处只有在http请求量大的场景下才明显,所以有人会觉得只适用于浏览器浏览大型站点的时候。这么说其实没错,但http2.0的好处不仅仅是multiplexing,请求压缩,优先级控制,server push等等都是亮点。对于内容型移动端app来说,比如淘宝app,http请求量大,多路复用还是能产生明显的体验提升。
如上图,上述我们讲述了HTTP2.0有诸多的好处,但是企业说我的业务台繁杂和庞大,重新使用http2.0来写需要耗费大量的时间和财力,企业无法承担。那完全可以采用NetScaler来实现。在途中,左边是http2.0的优势,在右边,NetScaler通过这些功能来优化和实现甚至超过http2.0的体验。甚至是将http1.1的类似转化为http2.0转发出去,所以说NetScaler在这里就变成了http2.0的网关,就是这个道理。
同时在多因素认证这一块,也不只是单一的流程,而是根据不同的策略来形成不同的认证模式,这些在NetScaler 11当中都是极大的提升以及增强。
我们也有一个名叫GSS Replacement的功能,这个功能主要解决之前版本中的一些SSL存在的一些问题。
同时在本身的SSL功能面上,有如图所示的提升。比如说VPX,在原来的VPX 10.5当中是不支持TLS 1.2的。就具体来讲,涉及到其中的一些SSL Profiles。
同时针对NetScaler支持的SSL加解密算法,如果客户端上比较老的客户端,那么他本身支持的算法比较旧,NetScale对其的加解密就不会使用太高的算法,因为客户端太老,完全不理解新的算法。上述的这些支持的选项完全是根据用户的需要进行选用的。
同时在有些场景下如果用户使用了NetScaler的AppFW,那么我们的应用会不会变慢呢,可能用户存在这样的担心。我们会肯定的告诉用户,并不会变慢,为什么不会变慢呢?
在NetScaler 11当中增加了一个功能,Do you Trust,也就是信誉库。就这个功能来说,首先会有一个针对于IP的分类:
比如说你的公有云过来的一个IP,或者说是一个私有云过来的IP,那么这些IP过来之后呢,NetScaler就可以帮助用户做到IP的分类,根据这些分类做到一些黑盒子或者白盒子。这一部分完全可以自动化,同时我们也可以进行手动选择,我们可以通过条件表达式去判断哪些IP地址过来之后执行相应的动作,是阻断还是扫描还是直接放行。所有这个是属于非常灵活是去判断NetScaler到底要怎么去做,对于这样的一个信誉库到目前为止有12个Million的收集。
我们还可以Integration。Citrix NetScaler本身有一个生态链,这个生态链是在于说我们可以将NetScaler的数据吐出去,给到我们生态链的上游厂家。
同时我们可以将漏洞扫描软件进行漏洞扫描之后是内容,比如说存在的漏洞在NetScaler上面有进行修补的,可以将其导入到NetScaler设备当中,然后变成一个修补的补丁形式存在,帮助修补这个漏洞。
同时对于所支持的PCI功能,PCI更新到那个版本NetScaler就支持到那个版本,NetScaler会不断的发布小版本进行更新,所有这部分完全是跟着PCI的更新走。PCI是由业内重要的支付产品公司联手创立的支付卡产业安全标准委员会(PCI SSC)—包括美国的Express、JCB、MasterCard和Visa—旨在规范整个产业的安全标准。PCI SSC开发的PCI PIN交易安全(PCI PTS)标准定义了金融终端安全性的要求。攻击行为是试图从POI提取PIN码和加密密钥。NetScaler设备根据PCI标准重点防护了针对于银行卡的各种攻击(物力篡改、环境更改、软件接口攻击、密码分析破解攻击、政策威胁)的安全防护机制。
那么NetScaler的新功能介绍就到这里。总共三个维度的内容。
最后说明一点的是对于学习NetScaler的内容:
上图这些就是学习NetScaler的好去处,比如说在GitHub中,有一些用户就会在他们的blog中更新一些范例。
本文出自 “我拿流年乱了浮生” 博客,请务必保留此出处http://tasnrh.blog.51cto.com/4141731/1792803
Citrix NetScaler 11的新功能 - Master Class【文字版-下】
原文地址:http://tasnrh.blog.51cto.com/4141731/1792803