重塑安全架構，看SSLo如何編排流量并保障業務不中斷

很多業務在運行過程中會碰到這樣的矛盾：

為保證數據和網絡安全，進入數據中心的流量均需受到安全設備的層層防護；同時，業務要保證7*24小時不中斷，突發狀況下也需確保“業務先行”。

但此時如果遇到數據中心“網絡安全設備故障”和“業務停止訪問”同時發生，想在保證網絡安全的前提下恢復業務運行，會非常耗時。

為什么會出現這種情況？先來看看現在的數據中心架構：

糖葫蘆串架構：所有的網絡安全設備以物理串聯或者邏輯串聯的形式部署在網絡出口側，且按照主備部署的模式提供服務。這種架構主要存在以下問題：

（1）流量流經所有安全設備造成網絡時延大

串行部署的架構中，用戶訪問流量進入數據中心，在到達服務器業務系統的過程中需要流經所有的安全網絡設備，每一個安全設備需要對流量進行處理。串行架構無法根據訪問類型選擇性地跳過部分安全設備，進而造成整體訪問網絡時延的增加。

（2）安全設備故障后恢復業務慢

傳統串行架構中，當某一種主備安全設備均發生故障后，外部用戶訪問請求阻塞在故障設備處，訪問流量無法繼續前進，造成業務中斷，且只能通過更換更高性能的設備恢復網絡，業務恢復時間慢。

（3）若使用主備部署，將導致資源利用率低下

安全設備主備部署，正常情況下只有主安全設備提供安全服務，當主設備發生故障時，熱備設備接管業務流量，為網絡提供安全能力。設備資源利用率一般小于50% ，造成安全設備資源的極大浪費。

如何破解這些問題？

保障業務先行，同時提高用戶的訪問速度，

信服君帶來新思路——

深信服SSLo流量編排解決方案

點擊播放視頻-深信服SSLo解決方案

重塑數據中心安全架構，將傳統的糖葫蘆串網絡架構轉變成設備池化、流量可編排的安全新架構——

流量編排降低整體時延

通過架構重構，將“糖葫蘆串架構”轉變成“菊花鏈架構”，安全設備資源池旁掛在SSLo設備旁用于統一調度。SSLo基于事先定好的策略對外部用戶訪問流量進行智能編排，通過區分不同類別的應用流量（如HTTP業務、非HTTP業務、一般業務等），根據策略控制其流經不同的安全設備，靈活操控網絡流量，通過減少流經的設備種類降低網絡整體時延。

設備故障后啟動逃生機制

通過池化部署的形式，減少設備集體發生故障的可能性。當極端情況下，某種設備集體故障時，SSLo通過流量靈活調度的能力，自動執行Bypass機制，主動繞過故障的安全設備組，單種安全設備的問題不再影響整個網絡。

安全設備資源池化

深信服SSLo通過將安全設備池化部署的形式，將安全設備的主備部署模式變成池化集群模式，多臺設備可同時提供安全能力，從而使安全組性能翻數倍。通過提升單種設備的載荷能力減少設備集體故障的可能性，同時提升設備資源利用率。

架構重塑后，即使安全設備發生集體意外導致訪問請求有卡死阻塞的風險，深信服SSLo也會以最快速度跳過故障設備，保證業務運行不受影響，不影響客戶體驗。

最后，讓信服君總結一下，深信服SSLo新架構給您帶來的“6可價值”：

• 安全SSL流量可視：消除安全盲點，集中設備加解密，節省安全設備加解密消耗，規避利用SSL繞過安全設備。
• 流量智能編排可控：基于策略的流量智能編排快速排障，節省運維成本；安全測試設備灰度上線。
• 整體網絡延遲可降：流量只流經必要的安全設備，減少其他設備不必要的損耗，降低訪問延遲。
• 安全設備性能可擴：安全設備池化，消除閑置，支持平滑擴容。
• 安全設備間可異構：安全設備松耦合，同種安全設備實現品牌異構，將安全功能與單一廠商解綁。
• 投資回報率可提升：資源池化后，每臺設備均可提供服務，提升設備資源利用率。

在突發狀況下保證業務先行已成剛需，尤其對于金融、能源、交通等行業及企業來說，一旦業務停轉，將會給關鍵業務和客戶體驗帶去不可估量的損失。正因關注到您的實際需求，深信服AD推出SSLo解決方案，為您的業務運行保駕護航。