很多業(yè)務(wù)在運行過程中會碰到這樣的矛盾：

為保證數(shù)據(jù)和網(wǎng)絡(luò)安全，進入數(shù)據(jù)中心的流量均需受到安全設(shè)備的層層防護；同時，業(yè)務(wù)要保證7*24小時不中斷，突發(fā)狀況下也需確?！皹I(yè)務(wù)先行”。

但此時如果遇到數(shù)據(jù)中心“網(wǎng)絡(luò)安全設(shè)備故障”和“業(yè)務(wù)停止訪問”同時發(fā)生，想在保證網(wǎng)絡(luò)安全的前提下恢復(fù)業(yè)務(wù)運行，會非常耗時。

為什么會出現(xiàn)這種情況？先來看看現(xiàn)在的數(shù)據(jù)中心架構(gòu)：

↑糖葫蘆串架構(gòu)：所有的網(wǎng)絡(luò)安全設(shè)備以物理串聯(lián)或者邏輯串聯(lián)的形式部署在網(wǎng)絡(luò)出口側(cè)，且按照主備部署的模式提供服務(wù)。這種架構(gòu)主要存在以下問題：

（1）流量流經(jīng)所有安全設(shè)備造成網(wǎng)絡(luò)時延大

串行部署的架構(gòu)中，用戶訪問流量進入數(shù)據(jù)中心，在到達服務(wù)器業(yè)務(wù)系統(tǒng)的過程中需要流經(jīng)所有的安全網(wǎng)絡(luò)設(shè)備，每一個安全設(shè)備需要對流量進行處理。串行架構(gòu)無法根據(jù)訪問類型選擇性地跳過部分安全設(shè)備，進而造成整體訪問網(wǎng)絡(luò)時延的增加。

（2）安全設(shè)備故障后恢復(fù)業(yè)務(wù)慢

傳統(tǒng)串行架構(gòu)中，當(dāng)某一種主備安全設(shè)備均發(fā)生故障后，外部用戶訪問請求阻塞在故障設(shè)備處，訪問流量無法繼續(xù)前進，造成業(yè)務(wù)中斷，且只能通過更換更高性能的設(shè)備恢復(fù)網(wǎng)絡(luò)，業(yè)務(wù)恢復(fù)時間慢。

（3）若使用主備部署，將導(dǎo)致資源利用率低下

安全設(shè)備主備部署，正常情況下只有主安全設(shè)備提供安全服務(wù)，當(dāng)主設(shè)備發(fā)生故障時，熱備設(shè)備接管業(yè)務(wù)流量，為網(wǎng)絡(luò)提供安全能力。設(shè)備資源利用率一般小于50% ，造成安全設(shè)備資源的極大浪費。

如何破解這些問題？

保障業(yè)務(wù)先行，同時提高用戶的訪問速度，

深信服帶來新思路——

深信服SSLo流量編排解決方案

重塑數(shù)據(jù)中心安全架構(gòu)，將傳統(tǒng)的糖葫蘆串網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變成設(shè)備池化、流量可編排的安全新架構(gòu)——

（1）流量編排降低整體時延

通過架構(gòu)重構(gòu)，將“糖葫蘆串架構(gòu)”轉(zhuǎn)變成“菊花鏈架構(gòu)”，安全設(shè)備資源池旁掛在SSLo設(shè)備旁用于統(tǒng)一調(diào)度。SSLo基于事先定好的策略對外部用戶訪問流量進行智能編排，通過區(qū)分不同類別的應(yīng)用流量（如HTTP業(yè)務(wù)、非HTTP業(yè)務(wù)、一般業(yè)務(wù)等），根據(jù)策略控制其流經(jīng)不同的安全設(shè)備，靈活操控網(wǎng)絡(luò)流量，通過減少流經(jīng)的設(shè)備種類降低網(wǎng)絡(luò)整體時延。

（2）設(shè)備故障后啟動逃生機制

通過池化部署的形式，減少設(shè)備集體發(fā)生故障的可能性。當(dāng)極端情況下，某種設(shè)備集體故障時，SSLo通過流量靈活調(diào)度的能力，自動執(zhí)行Bypass機制，主動繞過故障的安全設(shè)備組，單種安全設(shè)備的問題不再影響整個網(wǎng)絡(luò)。

（3）安全設(shè)備資源池化

深信服SSLo通過將安全設(shè)備池化部署的形式，將安全設(shè)備的主備部署模式變成池化集群模式，多臺設(shè)備可同時提供安全能力，從而使安全組性能翻數(shù)倍。通過提升單種設(shè)備的載荷能力減少設(shè)備集體故障的可能性，同時提升設(shè)備資源利用率。

架構(gòu)重塑后，即使安全設(shè)備發(fā)生集體意外導(dǎo)致訪問請求有卡死阻塞的風(fēng)險，深信服SSLo也會以最快速度跳過故障設(shè)備，保證業(yè)務(wù)運行不受影響，不影響客戶體驗。

最后，總結(jié)一下深信服SSLo新架構(gòu)給您帶來的“6可價值”：

1、安全SSL流量可視：消除安全盲點，集中設(shè)備加解密，節(jié)省安全設(shè)備加解密消耗，規(guī)避利用SSL繞過安全設(shè)備。

2、流量智能編排可控：基于策略的流量智能編排快速排障，節(jié)省運維成本；安全測試設(shè)備灰度上線。

3、整體網(wǎng)絡(luò)延遲可降：流量只流經(jīng)必要的安全設(shè)備，減少其他設(shè)備不必要的損耗，降低訪問延遲。

4、安全設(shè)備性能可擴：安全設(shè)備池化，消除閑置，支持平滑擴容。

5、安全設(shè)備間可異構(gòu)：安全設(shè)備松耦合，同種安全設(shè)備實現(xiàn)品牌異構(gòu)，將安全功能與單一廠商解綁。

6、投資回報率可提升：資源池化后，每臺設(shè)備均可提供服務(wù)，提升設(shè)備資源利用率。

在突發(fā)狀況下保證業(yè)務(wù)先行已成剛需，尤其對于金融、能源、交通等行業(yè)及企業(yè)來說，一旦業(yè)務(wù)停轉(zhuǎn)，將會給關(guān)鍵業(yè)務(wù)和客戶體驗帶去不可估量的損失。正因關(guān)注到您的實際需求，深信服AD推出SSLo解決方案，為您的業(yè)務(wù)運行保駕護航。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。