Blog

Nespremenljivost in obstojnost aplikacij ali kako mirno spati?

V prvem članku smo se dotaknili tega kaj je F5 BIG-IP Cloud Edition in kakšne so njegove prednosti. Ideja tega članka je predstaviti več podrobnosti o tem, kako to deluje in kako to uporabiti za izboljšanje poslovanja.

Vrnili se bomo ponovno na številke v poročilu  F5 State of Application Delivery, ki pravijo, da 36 % organizacij ščiti manj kot četrtino svojih aplikacij. Čeprav je običajno razmišljanje, da je dovolj zaščititi le najbolj tvegane in najpomembnejše aplikacije, to ni res. Vse aplikacije so ranljive in vnašajo dodatno varnostno tveganje zaradi svojega samega obstoja. Številne aplikacije so medsebojno povezane, kar dejansko pomeni, da eno varnostno tveganje na eni aplikaciji lahko pomeni varnostni problem za drugo aplikacijo.

User-facing aplikacije so tiste, ki veljajo za kritične in tiste, za katere se šteje, da imajo največje varnostno tveganje. Te aplikacije pa potrebujejo nekatere druge aplikacije za pravilno delovanje, kar prinaša dodatno tveganje za celoten sistem. Ravno zaradi teh plasti soodvisnosti se med aplikacijami odpira idealen prostor za različne nevarnosti, kot so:

The BIG-IP Cloud Edition arhitektura

F5 BIG-IP Cloud Edition je sestavljen iz dveh komponent: posebej licencirane virtualne instance BIG-IP Per-App – vsaka za eno aplikacijo ter F5 BIG-IQ Centralized Management, ki zagotavlja upravljanje, nadzor in licenciranje storitev na vseh razpoložljivih virtualnih instancah. Auto Scaling je omogočen v Amazon Web Services (AWS) ali VMware vCentar okoljih. BIG-IP Cloud Edition se lahko uporablja na različici BIG-IP najmanj 13.1.0.5. ter BIG-IQ različici 6.0.

BIG-IP Cloud Edition je sestavljen iz več logičnih komponent, kot je prikazano na spodnji sliki:

BIG-IP Cloud Editions je sestavljen iz več različnih infrastrukturnih komponent, ki skupaj predstavljajo edinstveno rešitev:

Ponudniki cloud storitev

BIG-IP Cloud Edition za zdaj podpira implementacijo in auto scale možnost na naslednjih cloud platformah:

  • Amazon Web Services (AWS)
  • VMware vCenter-based zasebna cloud okolja

V nadaljnjih različicah produkta bo dodana podpora za dodatna javna in zasebna cloud okolja.

Aplikacijske predloge

Aplikacijske predloge (Application Templates) določajo način dostave aplikacij in varnostne možnosti, ki se bodo uporabljale za aplikacijo, vključno z vsemi BIG-IP objekti, kot so virtualni strežniki, profili, monitorji, certifikati SSL, varnostne politike itd. Poleg tega vključujejo nadzor in poročanje za določene dogodke v aplikaciji. Te predloge lahko ustvari sistemski skrbnik in na podlagi teh predlog lahko lastniki aplikacij sami naredijo deployment aplikacije ter uporabljajo BIG-IQ dashboard za nadzor svojih aplikacij. Poleg tega, BIG-IQ prihaja s setom vnaprej definiranih predlog za najpogosteje uporabljene aplikacije.

Service scaling groups

Auto Scaling možnost je, kot smo rekli, na voljo v okoljih AWS in VMware vCenter. Skrbnik mora ustvariti Service scaling group, na podlagi tega pa bo BIG-IQ upošteval razpoložljivost in uporabo virov ter upravljal z upgrade postopkom za naprave BIG-IP.

Upravljanje licenc

V primeru BIG-IP Cloud Editiona, upravljanje licenc za virtualne instance izvaja BIG-IQ. Ta sistem omogoča združevanje licenc v skupine, tako da lahko BIG-IQ aktivira ali deaktivira licence za posamezne virtualne instance, če je potrebno.

Vpogled v zmogljivosti aplikacije

BIG-IQ zbira informacije o zmogljivosti aplikacije in infrastrukture ter jih prikazuje v grafični obliki na dashboardu. Na ta način lahko lastniki aplikacij enostavno nadzorujejo aplikacijo in njene zmogljivosti, pa tudi ugotovijo, kje so vzroki morebitnih težav in zamud.

Granularni nadzor dostopa

BIG-IQ Cloud Edition uporablja granularni nadzor dostopa, da se zagotovi, da imajo vsi dostop do tistega, kar rabijo, nič več in nič manj – lastniki aplikacij lahko, recimo, uporabljajo predloge, ustvarjene s strani NetOps ali SecOps skupin, sistemski administratorji lahko obdržijo nadzor nad omrežjem in sistemom.


Recimo, da bi določeni razpored vlog lahko izgledal takole:

  • Skupina SecOps ustvari nabor varnostnih politik, ki pokriva najpogosteje uporabljene aplikacije in scenarije;
  • Skupina NetOps ustvari aplikacijske predloge, ki se nato združijo z naborom varnostnih politik;
    • Skupina NetOps je hkrati odgovorna za ustvarjanje service scaling skupin in osnovne admin naloge na napravi;
  • Aplikacijska skupina nato uporablja vse ustvarjene predloge, da bi naredili publish svoje aplikacije ter izbere scaling skupino, aplikacija pa lahko uporablja njene vire.

BIG-IP Per-App VE

BIG-IP Per-App je BIG-IP instanca s posebnim modelom licenciranja, ki je posebej ustvarjena, da bi zagotavljala servise, potrebne za eno aplikacijo. Na voljo so vam vse BIG-IP funkcionalnosti, vendar z določenimi omejitvami:

  • en virtualen IP naslov,
  • 2 virtualna strežnika (kombinacija virtualnega IP naslova in porta),
  • pasovna širina lahko znaša 25Mbps ali 200Mbps,
  • dva produkta, ki so na voljo: BIG-IP Local Traffic Manager in F5 Advanced WAF.

Koliko BIG-IP Per-App VE potrebujem?

Obstajata dve omejitvi glede BIG-IP Per-App virtualne instance, kot smo napisali v prejšnjem razdelku:

  • število objektov,
  • pasovna širina.

Za razliko od tradicionalnih okolij se BIG-IP Per-App VEs implementirajo v all-active konfiguraciji, pri čemer se uporablja management naprava, ki upošteva skaliranje in visoko razpoložljivost. V praksi to lahko pomeni več dejanske pasovne širine za vsako ustvarjeno virtualno instanco, kot pri uporabi strojnih naprav v active/standby konfiguraciji, kjer je pomembno del zmogljivosti rezervirati za failover funkcionalnosti. Čeprav prihajajo v dveh modelih pasovne širine, 25 Mbps oz. 200 Mbps, so BIG-IP Per-App VE zasnovane tako, da skaliranje poteka z uporabo service scaling skupin.

Pri izbiri licence je treba upoštevati naslednje:

  • za vsako aplikacijo določiti potrebno pasovno širino, potencialno rast, spremenljivost,
  • za večjo pasovno širino je bolje izbrati licenco 200 Mbps, glede na to, da to pomeni manjše skupno število virtualnih instanc,
  • za manjše pasovne širine in večjo granularnost je primernejša licenca 25 Mbps,
  • znotraj istega okolja imamo lahko mix-and-match tipe licenc, vendar je pomembno opozoriti, da določena aplikacija lahko uporablja le en tip licence.

Ko govorimo o spremenljivosti aplikacije, se predvsem misli na spremenljivost zahteve po virih. Mejne vrednosti za scaling dogodek temeljijo na pasovni širini, zavzetju CPU in pomnilnika najbolj obremenjene naprave v scaling skupini ter se izračunajo vsakih 5 minut. Vsaka nova virtualna instanca rabi določen čas, da postane aktivna, da bi se zagotovili potrebni viri za približno 20 minut največje pričakovane rasti.

Too many people at the party

Pogosto se srečujemo z dvema scenarijema v organizacijah:

  1. pomanjkanje potrebnih storitev in tehnologij za zagotavljanje učinkovite dostave aplikacij in njihovo zaščito,
  2. velika količina različnih storitev in aplikacij, ki se uporabljajo malo ali pa sploh ne.

Noben od dveh omenjenih scenarijev ni pravilen – aplikacije bi morale vedno imeti vse storitve in tehnologije, potrebne za pravilno delovanje, nič več in nič manj kot to. Do zdaj se je izkazalo, da to ni vedno tako preprosto. Vzemimo za primer določeno spletno trgovino. Skozi celo leto ima stalen dotok uporabnikov. Vendar pa se v trenutku določenih praznikov ali posebnih akcij in popustov število uporabnikov lahko močno poveča, in takrat je treba zagotoviti več virov za aplikacijo. In je to idealen scenarij za F5 BIG-IP Cloud Edition, ki omogoča auto scaling aplikacijskih storitev z uporabo BIG-IQ produktov:

  • spremlja delovanje in zmogljivost aplikacij,
  • primerja te podatke s ključnimi parametri, kot so odziv aplikacije, zasedenost CPU, zasedenost pomnilnika, izkoriščeno pasovno širino,
  • administratorji posameznih delov sistema lahko enostavno prepoznajo anomalije ali ugotovijo, da je treba dodati še virov na podlagi zasedenosti CPU in pomnilnika ter uporabljene pasovne širine,
  • samodejno dodajanje/odvzemanje virov na podlagi vnaprej določenih mejnih vrednost sprememb,
  • ni treba razmišljati o licencah, saj BIG-IQ samodejno aplicira licence v primeru potrebe ter jih vrača nazaj v license pool, ko jih ne potrebuje več.

Kaj vse to dejansko pomeni? Pomeni da, ko ugotovite, da potrebujete še virov, BIG-IQ lahko samodejno aktivira dodatno virtualno instanco, da jo aplikacija lahko uporablja in nemoteno nadaljuje z delovanjem, ko pa se stopnja zasedenosti virov vrne na normalno, običajno raven, bo BIG-IQ deaktiviral to instanco. Vse to se dela na per-app podlagi, zato ni interference z ostalimi aplikacijami in viri, ki so namenjeni za njih.

And all your guests are happy. 🙂

Zakaj BIG-IP Cloud Edition?

Nova F5 platforma prinaša moč, varnost in fleksibilnost, na katero smo navajeni, ko gre za F5 produkte, samo v eni novi obliki. To vključuje novo per-app platformo, ki lahko skalira po potrebi, kjer lahko varnostni inženirji ustvarijo varnostne politike, omrežni inženirji pa povežejo te politike s predlogami za implementacijo aplikacij. Lastniki aplikacij nato zelo enostavno naredijo deployment svojih aplikacij ter spremljajo njihovo učinkovitost delovanja.

Rezultat je visoko fleksibilna in skalabilna rešitev, ki omogoča, da se vsaka skupina znotraj organizacije ukvarja s točno določenim delom posla, kar vodi k večji produktivnosti in učinkovitosti, hkrati pa povečuje učinkovitost delovanja, razpoložljivost in varnost vseh aplikacij ter povečanje zadovoljstva končnih uporabnikov.

V primeru kakršnih koli vprašanj ali potrebe po nadaljnji razlagi vas vabimo, da nas kontaktirate.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?
Kontaktirajte nas!