13 dani künzli net scaler news 3
-
Upload
digicomp-academy-ag -
Category
Technology
-
view
1.193 -
download
2
description
Transcript of 13 dani künzli net scaler news 3
NetScaler NewsClaudio Mascaro, BCD-Sintrag AG, SwitzerlandDaniel Künzli, Citrix Systems GmbH, Switzerland
PC Era
ADC’s provide a single point of control
Team Blogs
Wikis
Team Calendar
Mashups
Content Sharing
Microsoft SharePoint 2007
Next Generation Web Apps: Rich, Complex, Demanding
More Protocols
More Connections
More Chatty
More Applications
More Client Types
NetScaler: Simplify Web Application Delivery
Eliminate application downtime
Increase performance by 5x
Block 100% of web attacks
Improve web server utilization by 60%
Performance Offload SecurityAvailability
ADC Provides a Key Point of Control
• World-class L4-L7load balancing
• Intelligent servicehealth monitoring
• Caching
• Compression
• Connectionpooling
• Web 2.0 offload
• SSL processing
• Access GatewaySSL VPN
• Applicationfirewall
● 75% lower Power Consumption● Less Data Center Space● Lower Cooling● Completely Integrated
Going Green with NetScaler
NetScaler Way
~1800 Watts 450 Watts
One Way
Point Products
Load Balancer/L7 Switch
Application Firewall
Caching Appliance
SSL VPN
Global Server Load Balancing
Performance Monitoring
Savings $Thousands/Every Year
50 Gbps
20 Gbps
10 Gbps
5Gbps
20
Nets
cale
rP
erf
orm
an
ce
Number of NetScaler Instances
1Gbps
NetScaler Pay-As-You-Grow – Bringing Optimal Price/Performance
1
License Upgrade
500 Mbps.
5K TPS
10Mb
200Mb
3 Gbps
1 GbpsMPX 5500
1-3Gbps.
20K TPS
MPX 9500
MPX 7500
License Upgrade
License Upgrade
20-50 Gbps
220K TPS
MPX 21500
MPX 175008-40 Gbps
Lights out Mgt.
225K TPS
MPX 20500
MPX 11500
NetScaler SDX
Traditional Multi-tenancy Approach
Common Global Instance
• Virtual appliance
• Runs on std x86 hardware
• Fast, inexpensive, flexible
NetScaler
MPX
Appliances
NetScaler VPX
for
XenServer
NetScaler VPX
for
VMware
NetScaler VPX
for
Hyper-V
Acceleration
Availability
Security
Offload
• Instances, not partitions
• Complete CPU isolation
• Complete memory isolation
• Version independence
• High availability independence
• Lifecycle independence
Introducing NetScaler SDX
Step Forward in NetScaler Platform Evolution
NetScaler SDX
Throughput
Function
Density
2000 2005/06
Throughput
Density
NS-S NS-E NS-P
Density
NS-S NS-E NS-P
20 Gbps 35 Gbps 50 Gbps
NS-S NS-E NS-P
20 Gbps 35 Gbps 50 Gbps
5 20 40
2009 2011
NetScaler Editions Pay/Grow SDX
Network Isolation • Full instance isolation
• Separate routing domain
• Independent routing, IP stack
• Independent connection table, ACLs, etc.
• Per instance network isolation
• Isolation can be enforced at the NIC
• SSL acceleration supported
• SSL allocated to VMs on a per chip basis
• Multiple chips can be mapped to a single instance
SSL Acceleration
• Instance level HA
• Both devices in the pair can have active instances
High Availability
SDX Management
Device Management Instance Management
50 Gb/sSingle VIP
50 Gb/s16 Instances
NetScaler MPX 21500 NetScaler SDX 21500
NetScaler News
NetScaler 9.3
Web Interface Dynamic HTTP request
Pre ICA launch session check
Desktop Delivery
ControllerAuthentication Check (dummy user)
Monitor DDC services via HTTP
New Dynamic XD/XA Health Monitors
NetScaler in Inline deployment; supports multi-Gbps WAN links
Branch Repeater Load Balancing
NetScalers in an
(optional) HA pair
Policy based
“sticky” load
balancing with
health monitoring
To LANWAN
WAN
NetScaler in one-arm deployment; supports multi-Gbps WAN links
Branch Repeater Load Balancing
Use Policy Based
Routing (PBR) to
send traffic to/from
NetScaler
Policy based
“sticky” load
balancing with
health monitoring
To LAN
DNSSEC
• DNSSEC to be widely deployed in .net and .com by Q1 2011 – Verisign
• Federal mandated DNSSEC implementation for .gov in 2009
NetScaler DNSSEC Solution
• Protects against DNS cache poisioning and data spoofing and corruption
• Provides mechanisms to authenticate servers and requests
• Integrated and easy to deploy solution
New Signature Protection for Application Firewall
Enable
Signature
Protection
1.
Tune
Signatures
2.
Enable
Advanced
Security
3.
Tune Security
Policies
4.
Comprehensive Application Protection
• Simplifies detection against known application vulnerabilities
• Shortens Application Firewall deployment cycle
• Updated signatures every 4-6 weeks
• Signatures based on public vulnerability databases (e.g. Snort, CVE, Bugtraq, etc.)
Scale Up Scale Out High-Availability
NetScaler Benefits in Database Tier
• SQL Multiplexing Scale TCP connections
Host more DBs on Server
Reduce # of SQL Licenses
• SQL Conn. Offload Spare memory/cpu
Faster Query execution
• Native SQL LB Request Switching
Fast App response
• SQL aware policies Read/Write Split
Granular Control
• Automated IP failover Virtual IP based
Lower cost HA
• Intelligent Monitoring Replication state aware
Microsoft
SQL Server
Applikations
Infrastruktur
LAN
Mobile User
Zweig-stelle
1. Erhöhen der Anwendungsverfügbarkeit
• Load BalancingDie Information von Layer3(IP)- oder Layer4(TCP/UDP)
entscheidet auf welche Backend-Services weitergeleitet wird
• Content SwitchingDie Information von Layer7(HTTP, FTP…) entscheidet auf
welche Gruppe von Services weitergeleitet wird
• Surge ProtectionDie uneffektive Arbeitsweise der Server an ihrer Lastgrenze wird durch Bildung
einer Warteschlange (Surge Queue) vermieden
• GSLBVerteilung des Verkehrs durch intelligente Namensauflösung des NetScalers
NetScaler Surge Protection…die uneffektive Arbeitsweise der Server an ihrer Lastgrenze wird durch Bildung einer Warteschlange vermieden.
100%
0%
REQUESTS
SURGE
QUEUE
100%
0%
REQUESTS
Mit NetScaler Surge Protection
Ohne NetScaler – Server Überlast
Wie GSLB funktioniert?Verteilung durch intelligente Namensauflösung des NetScalers als ADNS einer Subdomain.
1. Client stellt DNS-Request, der vom Haupt-Domain-DNS-Server an den CNS weiter delegiert
wird.
Auf welchen Standort soll ich gehen?
2. NetScaler gibt IP des am besten erreichbaren Standortes zurück
Gehe zu Standort 3
3. Client verbindet sich zu dieser IP
Standort 1
Standort 2
Standort 3
CNS als
Subdomain-ADNS
GSLB: Global Server Load Balancing
Wenn ein vordefiniertes "Traffic Load Limit" erreicht wurde, werden neue Anfragen an alternative Rechenzentren umgeleitet.
100%
0%
100%
0%
100%
0%
GSLB - was diese Funktion bietet … 1/3„Site Load Distribution“ + „Global Naming“
corp.cps.com
corp.cps.com
GSLB - was diese Funktion bietet … 2/3„Dynamic Proximity“ durch RTT-Messung
Die schnellste Site bedient den User:Der User Traffic wird auf das Rechenzentren geleitet, welches die geringste Umlaufzeit (RTT) aufweist
44 ms
84 ms
92 ms
corp.cps.com
corp.cps.com
Im Falle eines Site-Ausfalls wird der User auf das nächst gelegene Rechenzentrum umgeleitet.
GSLB - was diese Funktion bietet … 3/3„Disaster Recovery“
corp.cps.com
corp.cps.com
GSLB – Loadbalancing von "income Traffic" über Providerzugänge
• "income Traffic" steht dabei für User eine User seitig
initiierte Verbindung – wird über das GSLB Feature
realisiert.
• "outgoing Traffic" hingegen beschreibt eine Server seitig
initiierte Verbindung – wird über das LLB Feature realisiert.
• Funktion: Der NetScaler antwortet auf eine vom ADNS der
Hauptdomain an ihn "delegierten" DNS-Anfrage mit der
VServer-IP des Providers A oder B (im Bild A)
LLB: Link Load Balancing
Anwendungens-Beschleunigung bis zu 5x und mehr
Anwendungs-
Infrastruktur
LAN
Mobiler User
Zweig-stelle
2. Bessere Performance für End-Anwender
• Erweiterte TCP-OptimierungWesentlich effizientere Verbindungen
• TCP OffloadBefreit Server vom Verbindungs-Management
• Integrated CachingDer NetScaler als Caching Instanz im Netzwerk
• HTTP CompressionDaten-Komprimierung vor Daten-Auslieferung
• SSL OffloadBefreit Server vor CPU intensiven Entschlüsselungs-Aufgaben
TCP Connection Offload, Praxis Beispiel
Nur noch 1/5 der User-Sessions zum Server nötig, Reduzierung der
Interrupts am Server..!Diese Statistik besagt, wie viele TCP-Sessions gerade zum User aktiv sind(1007)
und wie viele gerade zwischen NS und Server geöffnet sind(193).
Quelle: NetScaler-Monitoring
AppExpert Templates
• Ermöglicht applikationsnaheNetScaler Konfiguration
• Funktionen: Import, Export, Create, Endpoint Definition, Match Rule pro App-Unit
• Vereinfachung der Configuration für 6 Basis Funktionen
• Templates z.Z. verfügbar fürEasyCall, OWA, Sharepoint, SAP NetWeaver, Oracle, Gereric Web-App
• http://community.citrix.com/display/ns/AppExpertTemplates
AppExpert Visualizer Run-time View
Appl.Template Name
Public Endpoint
(CS-VServer)
Application Unit(RegEX-defined part of traffic)
Backend-Service
& Feature Policy
Monitor
Schutz von sensitiven Unternehmens- und Kundendaten
Applikations-
Infrastruktur
LAN
Mobile User
Zweig-stelle
3. Erhöhte Anwendungs Sicherheit
• Schutz auf Application LayerSchutz vor Datendiebstahl und Ausnutzung
von Sicherheitslöchern
• DoS-AbwehrDoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen
• Filtering, Rewriting, Responder, TransformGranularer Filter in Hin- und Rückrichtung. HTTP Inhalte können modifiziert,
direkt beantwortet oder umgeleitet werden – der NetScaler als Simultan Dolmetscher
• SSL-VPN (AGEE)Verschlüsselung, Authentifizierung , Autorisierung (Smart Access)
und Endgeräte-Scan (EPA) VOR dem Einlass in das Netzwerk