【正文】 同一管理服務器不與其他區(qū)域的被管理節(jié)點交互（但是，也不排除這樣做）。 管理網(wǎng)絡（粗實線）。集中在一臺或兩臺計算機上的集中管理系統(tǒng)存在嚴重問題：缺乏可伸縮性，產(chǎn)生性能瓶頸，并且具有單個故障點。擴展管理基礎結(jié)構(gòu)為了保護最初投資，管理系統(tǒng)必須能從小做起并與其管理的站點一起擴大。 圖 13. 管理系統(tǒng)組件圖 13 是個簡圖，它說明了核心管理系統(tǒng)組件以及它們之間的通信。 盡可能使用 Microsoft 工具和產(chǎn)品，獲得因與底層平臺緊密結(jié)合而帶來的更高的性能。Microsoft 的“系統(tǒng)管理服務器”可用于系統(tǒng)管理任務，如計劃、部署及更改和配置管理。平臺安全由強化的操作系統(tǒng)和服務組成，還包括實現(xiàn)審核功能和監(jiān)控工具?！罢军c服務器”可在本機 Windows 目錄服務和 — 對大型站點很重要的 — SQL Server 數(shù)據(jù)庫上實現(xiàn) LDAP 協(xié)議。有關(guān)詳細信息，請參閱 MSDN 提供的 SQL Server Books Online。經(jīng)過認真規(guī)劃、實現(xiàn)和維護的 DMZ 是相當安全的。 為保證訪問權(quán)限根據(jù)站點策略只可用于有授權(quán)的人，定期審查管理員、組和服務帳戶也很重要。現(xiàn)在，大多數(shù)操作系統(tǒng)的安全配置設置可在策略模板集中定義。首先，SSL 是帶狀態(tài)的。 為了將管理通信與所有其他通信隔離，我們采用了管理網(wǎng)絡。如果解密高手設法穿過 DMZ，內(nèi)部防火墻則是保護內(nèi)部網(wǎng)絡的關(guān)鍵信息資源的重要手段。某些站點由于性能原因使用路由器，因為非常復雜的防火墻不能支持所需的吞吐量（有時在每秒上千兆的范圍）。 面向 Internet 的防火墻，它過濾 Internet 通信并將其從 DMZ 中的網(wǎng)絡通信分離。許多商業(yè)站點包括多個有不同安全性需要的功能。后端服務器之間將定期發(fā)送稱為心跳的消息，來檢測故障應用程序或服務器。當 Windows 2000 上的 IIS Web 服務器故障時，將自動重新啟動。本模型最為復雜并且難于擴展，因為與內(nèi)部系統(tǒng)的交互必須同步操作，或至少在客戶正與聯(lián)機服務交互時。如前一節(jié)所述，通過增加 Web 群集、增加 Web 群集的克隆、增加后端群集服務器，可擴展該模型。還需要開發(fā)管理分區(qū)的拆分和合并的軟件，以使負荷均勻分散在所有分區(qū)之上，這樣可避免任何單個分區(qū)成為熱點。 NLBS：三個獨立 LAN 網(wǎng)段，一個域名應用程序狀態(tài)考慮T為了向客戶機屏蔽服務器故障，請不要將應用程序客戶機狀態(tài)存儲在 IIS Web 服務器上。圖 4. 擴展維度在本節(jié)的其余部分，我們考慮圖 4 環(huán)境中的可伸縮性。專用熱線經(jīng)常用來連接站點與企業(yè)網(wǎng)，特別是在需要高性能、低響應時間的情況。Internet 解決方案必須與這些現(xiàn)有系統(tǒng)協(xié)作并為其提供服務。每個群集服務器至少使用了四個 NIC：一個用于每個交換機、一個用于專用核心 LAN（應該使用其他專用網(wǎng)絡地址，如 ）、一個用于管理 LAN。注意該站點中任何服務器上唯一可公共訪問的 IP 地址為 NLBS 虛擬 IP 地址，只有前端服務器才可以響應的這個地址。更進一步，SSL 會話繼承了帶狀態(tài)性，并可能需要特殊的故障轉(zhuǎn)移處理。 如果有多個 IP 地址，DNS 將瀏覽地址列表來處理對 IP 地址的不斷查詢 — 因此，得名為“Round Robin DNS (RRDNS)”。較小站點可能不需要在每個群集中有如此多的服務器。管理代理為在其駐留的設備內(nèi)部執(zhí)行主要管理功能的程序。繼續(xù)這個比喻，城堡中的要塞保護著皇冠寶石。安全域是一致的安全性區(qū)域，區(qū)域之間有定義明確的保護接口。災難可能是自然災害（地震、火災或洪水），也可能是惡意操作（如恐怖活動或心懷不滿的員工）的結(jié)果。增加宿主分區(qū)的服務器數(shù)量，提高了服務的可伸縮性。它們無益于減小帶狀態(tài)服務器的負荷和增加無狀態(tài)前端系統(tǒng)的實用性。開發(fā)人員通常將這些前端系統(tǒng)分為一系列稱作克隆體的相同系統(tǒng)的集。也就是說，這些系統(tǒng)配置有“Internet 服務提供商 (ISP)”或?qū)＜宜拗鞣?，這里可提供豐富的 Internet 連通性?？捎眯酝ㄟ^使用多個克隆服務器（所有服務器均為其客戶機提供唯一的地址）使得前端系統(tǒng)具有高度可用性和可伸縮性。 持續(xù)的服務可用性 — 使用冗余和功能專業(yè)化來提高容錯能力。 和/或 Windows 2000）的優(yōu)點，并逐級進入，以定義如何使用 Microsoft 產(chǎn)品建立站點體系結(jié)構(gòu)中的每一層次。其次強調(diào)當前文檔齊全的工具和構(gòu)建 Web 應用程序組件的方法。體系結(jié)構(gòu)目標本文檔描述的體系結(jié)構(gòu)力圖達到四個目標：通過功能專業(yè)化，業(yè)務邏輯復雜性以可管理的方式增長。有三種主要的域，互相用防火墻隔離，它們是：公共網(wǎng)絡；DMZ（由軍事術(shù)語“非軍事區(qū)域”派生而來），是前端和內(nèi)容服務器所在之處；以及安全網(wǎng)絡，是創(chuàng)建或使用內(nèi)容的地方，也是管理和存儲安全數(shù)據(jù)的地方。然后為每個類提供不同的內(nèi)容。但是，需要對每個客戶機請求檢索該狀態(tài)）。在某些應用程序中分區(qū)是按時間進行的，例如按天或按季度。相類似，在商務站點中用戶應該可以瀏覽目錄，即使暫時不能處理事務。典型情況下，數(shù)據(jù)庫將出現(xiàn)幾分鐘不同步。在網(wǎng)絡術(shù)語中，表示站點的內(nèi)部通信設備是專用的并與 Internet 隔離，指定的入口除外。所有核心組件均可獨立擴展。Cisco 的“分布式控制器”通常用于支持 geoplex。圖 3. 大型 Web 站點網(wǎng)絡拓撲結(jié)構(gòu)示例在圖 3 中，不同的線形、粗細和注釋顯示了網(wǎng)絡不同部分的 IP 地址和連接。這些連接應該來自不同（物理上獨立）的網(wǎng)絡。前端服務器按服務和功能分組 — 例如 、SMTP（電子郵件）或 FTP（下載）。由于硬盤的確會失效，因此使用 RAID 驅(qū)動器陣列可提供必要的數(shù)據(jù)冗余保護。但請注意，對于許多組織來說，Internet 是許多通道中唯一提供用戶服務的傳送通道，這很重要。 就企業(yè)數(shù)據(jù)中心中宿主的站點而言，連接企業(yè)網(wǎng)易如反掌。 線性可伸縮性 — 可持續(xù)增長以滿足用戶需求和業(yè)務復雜性。上一層的分類，除來內(nèi)容外還有事務處理，但許多業(yè)務處理是脫機完成的。 Round Robin DNS (RRDNS)。這增強了 NLBS 的可伸縮性并避免了 RRDNS 的缺點，因為有多臺計算機可用于響應發(fā)往每個 NLBS 群集的每個請求。對特定數(shù)據(jù)對象的請求則需要路由到存儲相應數(shù)據(jù)的正確分區(qū)。在這個模型中，不需要訪問內(nèi)部網(wǎng)絡的事務處理。業(yè)務應用程序的功能是在內(nèi)部網(wǎng)絡上實現(xiàn)的，它通常支持多個交付通道。如前所述，如果用 Round Robin DNS 配置多個 NLBS Web 群集，還可使 Web 服務器從網(wǎng)絡基礎結(jié)構(gòu)故障中恢復。如 NLBS 一樣，利用該系統(tǒng)級服務不需要專門的編程。需要在低安全性的域的邊界補償控制將安全性提高到需要的程度。網(wǎng)絡保護DMZ 結(jié)構(gòu)示例站點說明了防火墻和 DMZ 的應用。最簡單的方式是，可從配置了正確的“訪問控制列表 (ACL)”的網(wǎng)絡路由器建立防火墻。認真審查并禁止開放訪問所有的端口，除非有強烈的商業(yè)要求必須如此。使用 128 位密鑰的較強版本，可在美國和國際上指定行業(yè)（如銀行業(yè)和健康衛(wèi)生行業(yè)）自由使用。所有的過濾都在底層進行，所以諸如 IIS 之類的服務根本看不到信息包。許多日志和工具都提供了這一功能，包括 Windows 2000 事件日志、IIS 日志、安全配置和分析以及 sysdiff（NT 資源工具包）。理解了數(shù)據(jù)特征、評估了相關(guān)風險并確定了保護控制的成本后，可靠的商業(yè)判斷應確定所需的保護。為確保嚴格而安全的身份驗證，在 Windows NT 身份驗證模式下運行 SQL Server 非常重要。本身已提供 LDAP 的“Windows 2000 活動目錄”可支持框圍以外的上百萬用戶。安全域模型是保證在站點上實現(xiàn)充分的、節(jié)省成本的安全性的重要工具。Microsoft 和許多第三方廠商提供了大量 Windows NT 系統(tǒng)的管理產(chǎn)品。 安全的含義。 在其權(quán)限內(nèi)接受、過濾和關(guān)聯(lián)來自被管理節(jié)點的事件。某些節(jié)點可能只有一個代理，如 SNMP 管理的網(wǎng)絡路由器。由于集中管理系統(tǒng)簡單、低成本和容易管理，所以它在小型環(huán)境（如只有幾個服務器的啟動站點）中很受歡迎。有關(guān)示例站點體系結(jié)構(gòu)的詳細內(nèi)容，請參閱圖 3。 減少或消除網(wǎng)絡擁堵（就是說，亞洲的 Windows NT 服務器由東京的管理服務器升級，而用不著新澤西的服務器）。Microsoft 提供的服務和應用程序應安裝在管理服務器上（“性能監(jiān)視器”、“系統(tǒng)管理服務 (SMS)”和“事件日志”）。管理控制臺在本示例管理網(wǎng)絡中，管理控制臺是與管理服務器分離的，這樣可將其集中在（高度安全的）“網(wǎng)絡操作中心”。 將管理控制臺從管理服務器分離。最簡單的管理系統(tǒng)是集中系統(tǒng)：少量裝有管理服務器和控制臺軟件的計算機。 更新被管理節(jié)點上的配置參數(shù)。 用戶登錄和身份驗證（網(wǎng)絡操作員、管理員）。本節(jié)專門討論系統(tǒng)和運行管理，而將網(wǎng)絡管理留給 Web 宿主提供商，并說明如何使用 Microsoft 的產(chǎn)品和技術(shù)建立可靠而強大的管理系統(tǒng)。保密的顧客信息，特別是口令和帳戶信息，應該存放在內(nèi)部防火墻之中?！罢军c服務器成員”可大大減輕與客戶訪問功能相關(guān)的負擔，同時提供強大而完全集成的內(nèi)置功能。（客戶的 cookie 還廣泛用于維護客戶身份驗證和授權(quán)的狀態(tài)。 敏感數(shù)據(jù)應存儲在內(nèi)部防火墻之內(nèi)（例如，示例站點的安全網(wǎng)絡）。特大型的站點可能包含上千的服務器。相關(guān)的分析功能允許對服務器的當前安全配置按策略進行分析和驗證，這是驗證持續(xù)符合策略的重要方法。雖然可能來不及防止它們了，但使用第三方服務器日志分析工具可提供有關(guān)入侵信息。硬件加速器可減輕服務器負載，但成本很高，而且只部署在有限的前端服務器。它還消除了管理通信穿越防火墻，這大大減少了弱點。限制為只能訪問極有限的幾組必要端口和目標主機非常重要，這樣才能確保 DMZ 中的泄密系統(tǒng)只有有限的機會攻擊內(nèi)部網(wǎng)絡。它們能檢測已知的服務拒絕的攻擊，并提供附加的安全功能，如網(wǎng)絡地址轉(zhuǎn)換（NAT，它完全隱藏內(nèi)部設備）以及 FTP（動態(tài)選擇數(shù)據(jù)傳輸端口）。安全性策略和物理的安全性程序是有效的安全性程序的重要方面。如果另一臺服務器沒有響應，則自動將故障服務器的資源（如磁盤設備和 IP 地址）的所有權(quán)轉(zhuǎn)移給幸存服務器。網(wǎng)絡基礎結(jié)構(gòu)的可用性網(wǎng)絡基礎結(jié)構(gòu)和站點與 Internet 連接的持續(xù)可用至關(guān)重要。圖 10. “聯(lián)機事務處理”模型可用性簡介增加站點可用性的主要技術(shù)是增加冗余組件。在“內(nèi)容提供商”模型中，復制用于從升級服務器更新 DMZ 服務器內(nèi)容。但是，分區(qū)對象尺度選擇在站點部署完成后很難更改，這使得升級設計決斷尤為重要。帶客戶機高速緩存的 cookie 也是一種很有效的擴展方法，該方法在每個客戶機系統(tǒng)中存儲各自客戶機的信息，在每個客戶機請求中向 Web 服務器發(fā)送該信息，并使用該數(shù)據(jù)將內(nèi)容專用化或采用其他客戶機指定的操作。這是負荷平衡的基本形式。圖 5. 小型站點上圖表示了具有一個 IIS Web 服務器，一個文件或 SQL Server 和一個在 DMZ 內(nèi)的實用程序服務器的基本站點，它連接安全 SQL Server 或文件服務器和安全升級服務器。 管理的簡便性和完整性 — 確保運作能夠滿足增長的需求。為簡單起見，我們只演示用 LAN 連接單獨管理網(wǎng)絡的計算機。與 DMZ 中的服務器群集不同，這些服務器必須備份，既可以使用直接連接的可移動存儲設備，也可以通過企業(yè)網(wǎng)進行備份。對內(nèi)部企業(yè)域的單向信任關(guān)系，提供了對安全的內(nèi)部系統(tǒng)的身份驗證式訪問。 后端網(wǎng)絡后端網(wǎng)絡通過使用高速、私用的 LAN 支持所有 DMZ 服務器。這將為無狀態(tài) Web 應用程序提供透明的故障轉(zhuǎn)移，與單個服務器相比從根本上提高了服務能力。第三方解決方案，如 Cisco 的 Local Director或 F5 Networks 的 BigIP 提供了動態(tài)路由連接的更好解決方案。 安全（內(nèi)部）網(wǎng)絡（粗）。另一方面，非常大的站點可以添加下列內(nèi)容充分地擴展： 管理的簡便性、易于配置、持續(xù)的健康監(jiān)控和故障檢測可能比添加應用程序功能或新服務更為重要。圖 2. 防火墻/DMZ防火墻是一種控制網(wǎng)絡中處于不同可信級別的兩部分之間的數(shù)據(jù)流的機制。區(qū)域表示任何所希望的劃分 — 例如，按地域、按組織、按物理網(wǎng)絡或者服務器或按數(shù)據(jù)類型。主動站點分擔部分負荷。有時這很難避免，而且必須有大型多處理器系統(tǒng)宿主分區(qū)。使應用程序代碼在 Web 服務器的進程外運行，是相互隔離編程錯誤和避免 Web 服務器故障的最佳方法。 克隆體（無狀態(tài)前端）克隆是為 Web 站點增加處理能力、網(wǎng)絡帶寬和存儲帶寬的良好手段。體系結(jié)構(gòu)元素本節(jié)要突出的商務 Web 站點的關(guān)鍵體系結(jié)構(gòu)元素包括：客戶機系統(tǒng)；負荷平衡的、克隆的前端系統(tǒng)（客戶機系統(tǒng)可用訪問的）；負荷平衡的、分區(qū)的后端系統(tǒng)（前端系統(tǒng)可用訪問這里的永久存儲）；以及三種拱形體系結(jié)構(gòu)考慮：災難承受能力、安全域及管理和運作。不再提供服務的克隆體將自動從負荷平衡集合中刪除，而剩下的克隆體將繼續(xù)提供服務。本文檔不涉及（除了與可伸縮性、可用性、安全性和可管理性相關(guān)時）諸如應用程序設計、開發(fā)工具或數(shù)據(jù)庫設計等主題；但是提供涵蓋這些領域的相應文檔的指針。讀者可以借用這些信息，設計和構(gòu)建當今基于 Windows DNA 的站點。經(jīng)投資者的檢查，許多站點啟動的商務計劃的可伸縮性為 10100 倍，這個數(shù)據(jù)是可信的。我們將克隆體集合中的 IIS 服務器集合稱為 Web 群集?？捎眯栽诤艽蟪潭壬线€取決于企業(yè)級 IT 規(guī)則，包括更改控制、嚴格測試和快速升級以及反饋機制。對于范圍廣泛的 Web 站點，一個重要的決定就是是否在瀏覽器中支持功能的最低公共集，或是否為不同的瀏覽器版本提供不同的內(nèi)容。在會話間維護客戶機狀態(tài)的基本方法有兩種。當一個節(jié)點上的服務失敗時，另一個節(jié)點將接管分區(qū)并提供服務。稱其為帶狀態(tài)的原因是，根據(jù)客戶機狀態(tài)或請求中的狀態(tài)才能決定將請求路由至何方。對于只讀內(nèi)容該方法已足夠。根據(jù)這個城堡模型，用于保護 Web 站點的關(guān)鍵結(jié)構(gòu)元素是在其周圍構(gòu)筑城墻，有重兵把守的主城門禁止閑雜的人進入。管理系統(tǒng)使用單獨網(wǎng)絡，還可以減輕管理通信量的后端網(wǎng)絡