OSI七层模型
02
TCP/IP四层模型
03
代理是什么
代理(英语:Proxy)也称网络代理,是一种特殊的网络服务,允许一个网络终端(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全,防止攻击。
04
四层代理
如果说网络层通信的粒度是物理终端设备的话,IP就是标记不同物理设备的符号,那么传输层通信的粒度是进程,端口就是标记不同进程的符号。
四层代理的四层就是OSI七层模型中的传输层;四层代理是基于IP+端口做的代理。四层通过虚拟IP+端口接收请求,然后再分配到真实的服务器。
以常见的TCP为例,从三次握手的第一次握手开始,代理设备在接收到第一个来自客户端的SYN 请求时,即按照一定的策略选择一个被代理的后端服务器,并对报文中目标IP地址进行修改(改为后端服务器IP),直接转发给该服务器。
TCP连接建立,即三次握手,实际上是客户端和后端服务器建立的,代理设备只是起到一个类似路由器的转发动作。在某些部署情况下,为保证服务器回包可以正确返回给负载均衡设备,在转发报文的同时可能还会对报文原来的源地址进行修改。
05
七层代理
七层代理的七层就是OSI七层模型中的应用层;七层代理是基于内容数据做的代理(理解应用层中的应用数据),最终的转发规则取决于内容的差异。鉴于七层应用协议非常广泛,现在的七层代理主要是指HTTP代理。
和四层代理不同的是,七层代理必须要先和代理设备三次握手后,才能得到七层(HTTP层)的具体内容,然后再转发。意思就是代理机必须要与客户端和后端服务器的机器都要建立连接。显然,七层代理对代理设备的性能要求要高于四层代理。
我们常使用的Nginx,用作代理服务器的时候,一般都是工作在第七层的。使用Nginx,我们可以代理静态文件、ajax后台接口、CDN重定向等等,都是在传输层之上理解内容后做的工作。
七层应用负载的好处,是使得整个网络更智能化。例如访问一个网站的用户流量,可以通过七层的方式,将对图片类的请求转发到特定的图片服务器并可以使用缓存技术;将对文字类的请求可以转发到特定的文字服务器并可以使用压缩技术。当然这只是七层应用的一个小案例,从技术原理上,这种方式可以对客户端的请求和服务器的响应进行任意意义上的修改,极大的提升了应用系统在网络层的灵活性。很多在后台,例如Nginx或者Apache上部署的功能可以前移到负载均衡设备上,例如客户请求中的Header重写,服务器响应中的关键字过滤或者内容插入等功能。
另外一个常常被提到功能就是安全性。网络中最常见的SYN Flood攻击,即黑客控制众多源客户端,使用虚假IP地址对同一目标发送SYN攻击,通常这种攻击会大量发送SYN报文,耗尽服务器上的相关资源,以达到Denial of Service(DoS)的目的。从技术原理上也可以看出,四层模式下这些SYN攻击都会被转发到后端的服务器上;而七层模式下这些SYN攻击自然在负载均衡设备上就截止,不会影响后台服务器的正常运营。另外负载均衡设备可以在七层层面设定多种策略,过滤特定报文,例如SQL Injection等应用层面的特定攻击手段,从应用层面进一步提高系统整体安全。
现在的七层代理,主要还是着重于应用HTTP协议,所以其应用范围主要是众多的网站或者内部信息平台等基于B/S开发的系统。四层代理则对应其他TCP应用,例如基于C/S开发的系统。
06
常见的代理组件
Nginx
Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上Nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用Nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
这里可以简单对比下Nginx和Apache的区别,在资源上,Nginx占用的内存更少;在性能上,Nginx的并发能力更强;在社区方面,Nginx和Apache都拥有广泛的使用者,Apache的插件会比Nginx丰富一些。另外Nginx的功能比Apache要丰富一些,Nginx除了作为Web服务器以外,也经常作为反向代理服务器等使用,而Apache则主要作为Web服务器去使用。
LVS
LVS这个用的比较少,LVS全称是Linux Virtual Server,也就是Linux虚拟服务器, 是一个由章文嵩博士发起的自由软件项目,它的官方站点是
www.linuxvirtualserver.org。现在LVS已经是 Linux标准内核的一部分,在Linux2.4内核以前,使用LVS时必须要重新编译内核以支持LVS功能模块,但是从Linux2.4内核以后,已经完全内置了LVS的各个功能模块,无需给内核打任何补丁,可以直接使用LVS提供的各种功能。
LVS主要用于服务器集群的负载均衡。它工作在OSI模型第四层传输层,可以实现高性能,高可用的服务器集群技术。它廉价,可把许多低性能的服务器组合在一起形成一个超级服务器。它易用,配置非常简单,且有多种负载均衡的方法。它稳定可靠,即使在集群的服务器中某台服务器无法正常工作,也不影响整体效果。另外可扩展性也非常好。
HAProxy
HAProxy是一个免费的负载均衡软件,可以运行于大部分主流的Linux操作系统上,既可以做四层代理,也可以做七层代理。
HAProxy也是支持虚拟主机的。HAProxy的优点能够补充Nginx的一些缺点,比如支持Session的保持,Cookie的引导;同时支持通过获取指定的url来检测后端服务器的状态。
HAProxy跟LVS类似,本身就只是一款负载均衡软件;单纯从效率上来讲HAProxy会比Nginx有更出色的负载均衡速度,在并发处理上也是优于Nginx的。
HAProxy支持TCP协议的负载均衡转发,比如:可以对MySQL读进行负载均衡,对后端的MySQL节点进行检测和负载均衡,大家可以用LVS+Keepalived对MySQL主从做负载均衡。
以上,希望对同学们有所帮助。
代理服务器是一种位于客户端和目标服务器之间的中间服务器,用于转发客户端的请求和响应。根据代理服务器在网络协议栈中实现的功能层次,代理可以分为4层代理(也称为传输层代理)和7层代理(也称为应用层代理)。
- 4层代理(传输层代理): 4层代理主要在OSI模型的传输层(TCP/UDP)上工作,主要负责端口转发。当客户端向代理服务器发送请求时,代理服务器会根据目标服务器的端口号将请求转发到相应的目标服务器。4层代理不解析HTTP或FTP等应用层协议,因此无法识别具体的应用层内容。
优点:
- 处理速度快,因为不需要解析应用层协议。
- 对于不支持HTTP/HTTPS的应用,如FTP、SMTP等,仍然可以使用4层代理进行访问。
缺点:
- 无法根据应用层内容进行过滤和控制。
- 无法实现对特定应用的负载均衡。
- 7层代理(应用层代理): 7层代理主要在OSI模型的应用层(HTTP、FTP、SMTP等)上工作,可以识别和解析应用层协议。当客户端向代理服务器发送请求时,代理服务器会先解析HTTP请求,然后根据目标服务器的URL将请求转发到相应的目标服务器。7层代理可以实现对应用层的过滤、控制和负载均衡等功能。
优点:
- 可以根据应用层内容进行过滤和控制,例如实现缓存、压缩、SSL终止等功能。
- 可以实现对特定应用的负载均衡,提高系统性能。
缺点:
- 处理速度相对较慢,因为需要解析应用层协议。
- 对于不支持HTTP/HTTPS的应用,如FTP、SMTP等,无法使用7层代理进行访问。
总结: 4层代理和7层代理的主要区别在于它们在网络协议栈中实现的功能层次不同,分别位于传输层和应用层。4层代理主要用于端口转发,处理速度快,但不具有应用层功能;而7层代理可以实现对应用层的过滤、控制和负载均衡等功能,但处理速度相对较慢。在实际应用中,可以根据具体需求选择合适的代理类型。