亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

一、概述

數(shù)據(jù)庫(kù)防火墻和一般的傳統(tǒng)數(shù)據(jù)庫(kù)安全設(shè)備不同，它部署在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間。業(yè)務(wù)系統(tǒng)巨大的流量將穿越數(shù)據(jù)庫(kù)防火墻，數(shù)據(jù)庫(kù)防火墻任何的風(fēng)吹草動(dòng)都會(huì)影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。數(shù)據(jù)庫(kù)防火墻投放市場(chǎng)之前，不管數(shù)據(jù)庫(kù)防火墻功能的多寡，都必須解決兩個(gè)基本問(wèn)題：性能和可靠性。

二、性能

性能主要考慮兩方面的影響：延遲和并發(fā)。

1. 延遲

延遲：業(yè)務(wù)操作從指令發(fā)出到結(jié)果返回之間消耗的時(shí)間。

一般來(lái)說(shuō)，絕大部分客戶(hù)的OLTP（線(xiàn)上交易處理）業(yè)務(wù)要求秒級(jí)響應(yīng)，這個(gè)秒級(jí)響應(yīng)包含了所有的業(yè)務(wù)處理，包括：客戶(hù)端的處理（比如瀏覽器）延遲，業(yè)務(wù)網(wǎng)絡(luò)延遲，應(yīng)用服務(wù)器處理延遲，數(shù)據(jù)庫(kù)網(wǎng)絡(luò)延遲，數(shù)據(jù)庫(kù)處理延遲等。對(duì)于數(shù)據(jù)庫(kù)防火墻來(lái)說(shuō)，應(yīng)用服務(wù)器處理延遲和數(shù)據(jù)庫(kù)處理延遲之間增加了一個(gè)數(shù)據(jù)庫(kù)防火墻處理延遲。

我們來(lái)看看一般OLTP系統(tǒng)的常規(guī)情況，數(shù)據(jù)庫(kù)網(wǎng)絡(luò)延遲一般1ms之內(nèi)，數(shù)據(jù)庫(kù)處理延遲大部分在0.1ms-10ms之間，少部分會(huì)在10ms-100ms之間，極少出現(xiàn)幾百ms以上的延遲。

為了簡(jiǎn)化說(shuō)明，我們把數(shù)據(jù)庫(kù)網(wǎng)絡(luò)延遲標(biāo)定為1ms，每次數(shù)據(jù)庫(kù)響應(yīng)處理延遲時(shí)間標(biāo)定為2ms，每筆業(yè)務(wù)平均由20條SQL語(yǔ)句構(gòu)成，則每次延遲時(shí)間為3ms，每筆業(yè)務(wù)的響應(yīng)時(shí)間為60ms，每秒鐘可以處理16.8筆業(yè)務(wù)。如果數(shù)據(jù)庫(kù)防火墻的處理延遲時(shí)間為1ms，則每次處理延遲增加為4ms，總處理時(shí)間增加為80ms，每秒鐘可以處理12.5筆業(yè)務(wù)。

下面我們從三種不同的業(yè)務(wù)場(chǎng)景來(lái)分析：獨(dú)占數(shù)據(jù)庫(kù)連接（無(wú)數(shù)據(jù)庫(kù)連接池）、數(shù)據(jù)庫(kù)連接池和短連接業(yè)務(wù)。大部分C/S應(yīng)用都獨(dú)占數(shù)據(jù)庫(kù)連接，大部分B/S應(yīng)用都采用數(shù)據(jù)庫(kù)連接池，短連接的應(yīng)用非常少見(jiàn)，只出現(xiàn)在極少數(shù)據(jù)庫(kù)處理的應(yīng)用中。

1.1 獨(dú)占數(shù)據(jù)庫(kù)連接

獨(dú)占數(shù)據(jù)庫(kù)連接應(yīng)用中，數(shù)據(jù)庫(kù)防火墻的接入在每次處理中增加1ms，整體響應(yīng)中增加了20ms，也就是從1000ms增加到了1020ms，這個(gè)延遲增量一般情況下不會(huì)對(duì)于業(yè)務(wù)體驗(yàn)造成任何影響。

1.2 數(shù)據(jù)庫(kù)連接池

不同于獨(dú)占數(shù)據(jù)庫(kù)連接，數(shù)據(jù)庫(kù)連接池為不同業(yè)務(wù)操作的共享單元。假設(shè)數(shù)據(jù)庫(kù)連接池?cái)?shù)量為200個(gè)，冗余20%，可用數(shù)量為160個(gè)。顯然，引進(jìn)數(shù)據(jù)庫(kù)防火墻之后，業(yè)務(wù)處理能力從16.8 * 160 = 2688/s下降為12.5*160＝2000/s，吞吐量下降25.6%。當(dāng)你需要比較2000筆/s更高吞吐量的時(shí)候，數(shù)據(jù)庫(kù)防火墻的接入將帶來(lái)業(yè)務(wù)線(xiàn)的影響。在這種情況下，你需要把數(shù)據(jù)庫(kù)連接池?cái)?shù)量至少增加26％，也就是252個(gè)，這個(gè)時(shí)候數(shù)據(jù)庫(kù)連接池的處理能力將恢復(fù)到2688筆/s，整體業(yè)務(wù)感知的影響也僅僅從1000ms增加到了1020ms，基本可以被忽略。

1.3 短連接業(yè)務(wù)

在短連接業(yè)務(wù)中，數(shù)據(jù)庫(kù)連接消耗的時(shí)間將納入業(yè)務(wù)響應(yīng)時(shí)間。以O(shè)racle數(shù)據(jù)庫(kù)為例子，一個(gè)數(shù)據(jù)庫(kù)連接的建立消耗時(shí)間在120ms-200ms，數(shù)據(jù)庫(kù)防火墻增加的每次1ms延遲和合計(jì)20ms延遲基本不會(huì)產(chǎn)生業(yè)務(wù)層面的影響。

1.4 數(shù)據(jù)庫(kù)響應(yīng)處理的影響

在上面的討論中都假設(shè)了數(shù)據(jù)庫(kù)不會(huì)受到影響，但是事實(shí)上數(shù)據(jù)庫(kù)防火墻的加入會(huì)到數(shù)據(jù)庫(kù)處理產(chǎn)生影響，其影響等同于網(wǎng)絡(luò)速度下降。一般而言，延遲造成的影響主要在于增加了數(shù)據(jù)被鎖定的時(shí)間，從而會(huì)從根本上影響數(shù)據(jù)庫(kù)并發(fā)性。

我們以簡(jiǎn)單的update為例子：

update customer set balance=500 where cust_id=10080;

commit;

可以看到cust_id＝10080這一行的鎖定周期從3ms增加到了4ms，鎖定周期增加了33.3%，這個(gè)增加的鎖定時(shí)間會(huì)在一定時(shí)間影響數(shù)據(jù)庫(kù)的并發(fā)性。

2. 并發(fā)性

對(duì)于一個(gè)企業(yè)級(jí)數(shù)據(jù)庫(kù)，幾千甚至幾萬(wàn)個(gè)數(shù)據(jù)庫(kù)連接是很常見(jiàn)的，數(shù)據(jù)庫(kù)防火墻需要在處理高并發(fā)量的同時(shí)保持延遲時(shí)間的穩(wěn)定。在現(xiàn)實(shí)場(chǎng)景中，隨著業(yè)務(wù)并發(fā)程度的上升，響應(yīng)時(shí)間下跌甚至于非線(xiàn)性下跌都是很常見(jiàn)的事情。我們?cè)谶@里不討論如何實(shí)現(xiàn)高并發(fā)，只是說(shuō)明并發(fā)性會(huì)嚴(yán)重影響響應(yīng)延遲。

3. 性能延遲的可接受性

從上面計(jì)算可以看到，絕大部分的業(yè)務(wù)應(yīng)用在數(shù)據(jù)庫(kù)防火墻增加1ms延遲時(shí)間不會(huì)對(duì)業(yè)務(wù)造成太大影響。對(duì)于高度并發(fā)性或者響應(yīng)時(shí)間極為苛刻的業(yè)務(wù)應(yīng)用，1ms延遲具有比較大的風(fēng)險(xiǎn)，需要更低延遲的數(shù)據(jù)庫(kù)防火墻支持，300us-500us的延遲是一個(gè)相對(duì)合理的數(shù)值。當(dāng)然如果你的網(wǎng)絡(luò)環(huán)境甚至已經(jīng)在多接入一個(gè)網(wǎng)絡(luò)交換機(jī)（延遲時(shí)間一般在100-300us）都會(huì)對(duì)業(yè)務(wù)造成明顯影響的時(shí)候，顯然增加數(shù)據(jù)庫(kù)防火墻接入是不合適的。

三、可靠性

性能是一個(gè)復(fù)雜的問(wèn)題，可靠性對(duì)于數(shù)據(jù)庫(kù)防火墻來(lái)說(shuō)就是一個(gè)極為簡(jiǎn)單的命題。由于數(shù)據(jù)庫(kù)防火墻部署在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間，數(shù)據(jù)庫(kù)防火墻的任何故障顯然會(huì)導(dǎo)致業(yè)務(wù)操作失敗，在數(shù)據(jù)庫(kù)防火墻無(wú)法工作的時(shí)候?qū)е滤袠I(yè)務(wù)中斷。

相信任何用戶(hù)在安全和業(yè)務(wù)保障之間都會(huì)優(yōu)先選擇業(yè)務(wù)保障而暫時(shí)放棄安全。基于這個(gè)考慮，一個(gè)很樸素的需求就是：在數(shù)據(jù)庫(kù)防火墻出現(xiàn)任何故障，包括軟件故障，硬件故障等，依然需要保障業(yè)務(wù)運(yùn)行不要被中斷和影響。

1. bypass

當(dāng)防火墻軟件或者硬件故障的時(shí)候，可以自適應(yīng)降級(jí)成網(wǎng)絡(luò)通路設(shè)備，保證業(yè)務(wù)運(yùn)行不會(huì)受到防火墻軟件或者硬件故障的影響。

2. 可靠性保持

數(shù)據(jù)庫(kù)網(wǎng)絡(luò)往往具有很高的冗余措施，數(shù)據(jù)庫(kù)防火墻的接入要求不會(huì)改變?cè)芯W(wǎng)絡(luò)的冗余結(jié)構(gòu)，保持原有網(wǎng)絡(luò)的可靠性。

四、總結(jié)

數(shù)據(jù)庫(kù)防火墻商業(yè)化需要兩個(gè)基本前提：可以接受的性能和可靠性保障，在這兩個(gè)基本前提解決之前，任何數(shù)據(jù)庫(kù)防火墻產(chǎn)品都只能是實(shí)驗(yàn)室產(chǎn)品而無(wú)法投放市場(chǎng)。

從性能的角度看，絕大部分情況下1ms以下的延遲都可以接受，對(duì)于高并發(fā)的復(fù)雜業(yè)務(wù)或者響應(yīng)苛刻業(yè)務(wù)會(huì)需要更高的延遲性能，要求在500us以下。