网上银行系统应用交付建设案例分析.docxVIP

网上银行系统应用交付建设案例分析 随着互联网和电子商务的发展，越来越多的银行客户喜欢在网上操作银行业务，因此，在各大银行中，网上银行的建设都是重中之重的一个系统。并且，作为一个对internet开放的电子渠道，在网上银行建设中会面临各种复杂的问题。本节就以银行网上银行建设作为一个案例，讨论应用交付网络在银行新一代数据中心建设中的主要作用以及建设规划。 在网银建设中，F5应用交付网络可能会用到以下产品和技术： big-ipgtm:用于数据中心虚拟化建设，通过gtm的统一域名解析，提供网上银行用户的统一接入点。隐藏实际多个物理数据中心概念，实现多数据中心的并行处理和灾难备份。并且通过智能判断实现用户就近接入，提高客户体验。 大iPLC：用于链路虚拟化构建。通过LC的统一域名解析和多链路访问处理，为网银用户提供统一的接入点。隐藏实际多条物理线路的概念，实现多条链路的并行处理和故障备份。通过智能判断，用户可以选择首选链接，改善客户体验。 big-ipltm：用于应用虚拟化建设，通过ltm对服务器应用的虚拟化处理，在同一数据中心中对网上银行用户提供同一的访问地址。隐藏实际多台物理服务器的概念，实现服务器的负载均衡处理和高可用性自动切换。 Big ipsam：用于关键客户的远程安全访问。通过SAM安全访问控制器，位于互联网上的客户可以安全访问银行的安全区域。企业客户可以通过Sam直接与银行服务器建立通信渠道，取代原有的专线接入。 第1页共23页 大ipasm：用于web应用程序安全处理。通过ASM的被动和主动安全模式，它可以针对已知和未知的web应用程序攻击提供应用程序级安全保护。实现代码级应用程序安全。 1.1网上银行系统结构规划 在大型银行的数据中心建设中，通常设计为两个或两个以上的数据中心，数据中心采用超过Gbps的高速连接。 根据银行的网上银行发展战略的不同，通常情况下，网上银行的系统建设分为两种部署结构，初期建设时采用单站点结构，在进一步完善的时候采用多站点结构。 1.1.1单点结构 单站点结构主要用于在系统建设的初期，在数据同步、后台处理的技术手段尚不完善的情况下使用。 第2页，共23页 在单站点结构中，使用一个数据中心作为网银的中心接入点，在系统的最前端，使用多台gtm设备分布在每条链路上，作为用户访问流量选择的控制设备。 在链路的接入层，使用了一对大IP高端设备，并安装了链路控制器模块作为系统的接入点。负责处理链路接入、NAT和安全防护，配合GTM实现接入链路应用的最大优化。高端大ipltm的理论最大吞吐量为36 Gbps，可以满足网银长期扩张的需求。 在前端接入后，采用多台防火墙设备形成防火墙负载均衡结构，多台防火墙同时工作，并通过两端big-ipltm实现负载均衡和高可用性。多台防火墙可以采用同一品牌或者不同品牌的防火墙实现安全和高可用性的最大化。 防火墙负载均衡结构完成后，根据业务类型，建议使用三对大ipltm高端设备分别处理门户，实现公共和个人业务的防火墙负载均衡和服务器负载均衡。这对大ipltm的处理基本上是一种混合模式，包括四层模式和七层工作模式。不同的应用采用不同的工作模式。其余的代理、邮件和其他服务可以使用一对大型ipltm来实现负载平衡。 在web层到应用服务器层之间，可以选用一对f5big-ipltm设备实现对应用服务器的负载均衡，在这对big-ipltm上主要以七层工作模式为主，主要实现对应用服务器的连接优化、七层会话保持等。考虑到系统的风险分担，也可以采用多台big-ipltm按照业务类型进行分别处理。 第3页，共23页 1.1.2多站点结构 网银系统发展到一定规模后，建议采用多站点分布式处理。 多站点分布式处理与单站点处理的主要不同点在于存在两个数据中心，但在大部分的情况下，数据库还是只能使用一个数据库作为主数据库，因此涉及到数据库远程访问的问题。根据应用的类型不同，可能存在两种方式： 网络-通过广域网应用 web-app通过广域网主要适合于一次客户端请求，应用服务器需要对数据库进行多次查询的应用特点。将需要多次交互才能得到结果的这部分工作在局域网内完成。减小在广域网上的多次来回以减小延迟带来的影响。 第4页，共23页 app-db通过广域网 App DB through Wan主要适用于应用服务器在一次查询中获得结果后，客户端需要多次请求才能获得所有结果的应用特点。同样，需要多次交互才能获得结果的部分将在LAN中完成，从而减少wan中的多次往返，以减少延迟的影响。 无