По мере глобализации и укрупнения бизнеса растет масштаб и сложность ИТ-ландшафта предприятий, с каждым днем увеличивается использование виртуализированных и облачных сервисов, расширяются возможности доступа к корпоративным ресурсам. В то же время растут и требования к доступности, защищенности и скорости работы корпоративных приложений, зачастую являющихся важнейшим инструментом ведения бизнеса. В связи с этим возникает потребность в добавлении в существующую инфраструктуру нового ключевого элемента, отвечающего за доставку приложений.
Современная корпоративная ИТ-инфраструктура быстро растет за счет аппаратной базы, числа корпоративных приложений. Свою лепту вносит распространение концепции BYOD (bring your own device), которая постепенно становится стандартом при организации корпоративного ИТ-пространства.
В этой связи поддержание корпоративных политик безопасности с заданными уровнями SLA при доступе пользователей к корпоративным приложениям, а также обеспечение доступности и балансировка нагрузки приложений, становятся ключевыми задачами при построении и сопровождении ИТ-инфраструктуры ЦОД как для корпоративных заказчиков, так и для крупных сервис-провайдеров, предлагающих дополнительные сервисы своим клиентам.
В то же время бюджетные ограничения диктуют необходимость поиска новых путей сокращения расходов на ИТ при сохранении того же уровня производительности и гибкости. Перенос корпоративных приложений в облако обещает решить некоторые из поставленных задач, предоставляя возможность масштабировать и расширять производительность инфраструктуры вместе с ростом бизнеса. Централизованное управление и доставка приложений, развернутых как в локальном дата-центре, так и в публичном облаке, также является первостепенной задачей ИТ-департамента.
Концепция контроллеров доставки приложений (Application Delivery Controllers), возникшая в противовес точечной архитектуре, призвана решить проблемы традиционной ИТ-инфраструктуры, объединяя разрозненные функции, связанные с обеспечением доступности, скорости работы и защищенности приложений, на единой аппаратной платформе. Кроме того, ADC, занимая стратегическою позицию между пользователями и приложениями, становится единой точкой контроля, позволяющей обеспечивать защиту корпоративных приложений от атак, осуществлять контроль доступа согласно корпоративным политикам и предотвращать утечку критических данных вовне.
Компания F5, созданная в 1996 г. и специализирующаяся на разработке и производстве балансировщиков нагрузки, в соответствии с последними отчетами Gartner, является лидером в секторе Application Deliver как по доле рынка, так и по стратегии развития. По оценкам Gartner, F5 занимает около 48% рынка ADC и около 57% рынка Advanced Platform ADC, имея при этом ежегодные темпы роста по каждому из секторов 23%. Общий оборот компании в 2012 г. составил $1,4 млрд.
Принципы построения решений F5 ADC
Платформа F5 BIG-IP представляет собой набор различных компонентов для доставки приложений, которые работают вместе, чтобы обеспечить высокую доступность, лучшую производительность, безопасность приложений и управление доступом.
Основой F5 BIG-IP, с точки зрения программного обеспечения, является операционная система TMOS. Имеющая full-proxy архитектуру, TMOS обеспечивает высокую производительность в текущем режиме, а также реализует модульную функциональность, благодаря которой возможности устройства могут быть расширены. Все это в совокупности выводит доставку приложений на совершенно новый уровень: контроллер доставки приложений адаптирует параметры подключения для каждого клиента независимо, обеспечивает интеллектуальное управление трафиком, защиту от угроз безопасности, предоставляет администраторам неповторимый уровень контроля и многое другое.
Не имеющий аналогов на рынке контроллеров доставки приложений, встроенный язык сценариев iRules в сочетании с архитектурой full-proxy позволяет производить различные манипуляции с IP-трафиком приложений. Очень простой в освоении синтаксис языка iRules позволяет включиться в процесс соединения между клиентом и сервером на любой стадии, реагировать на различные события, перехватывать запросы, фильтровать передачу конфиденциальных данных, тем самым защищая как само приложение, так и пользователей, в том числе и от атак нулевого дня.
Решения F5 позволяют понимать контекст любого пользователя, запрашивающего доступ к приложению, и осуществлять необходимый контроль входящих и исходящих потоков пользовательского трафика. Помимо этого, решения F5 содействуют сокращению расходов на ИТ путем объединения различных точечных решений, относящихся к доставке приложений, на единой консолидированной платформе. Это не только обеспечивает дополнительную гибкость архитектуры, но и помогает уменьшить начальные инвестициии снизить стоимость эксплуатации, а также существенно облегчает управление ИТ-инфраструктурой.
Наиболее часто встречающиеся задачи, решаемые с помощью оборудования F5 Networks: балансировка нагрузки; Disaster Recovery (катастрофо- и отказоустойчивые решения для ЦОД); консолидация ЦОД, приложений, данных; безопасность web-приложений, защита от DDoS (Web Application Firewall); миграция на IPv6, Carrier-Grade NAT; безопасный удаленный доступ к приложениям и сетям с помощью SSL VPN; интеграция с облачной инфраструктурой (IaaS, SaaS); достижение соответствия стандарту PCI DSS.
Особенности решений F5 ADC
Большинство приложений в сети сталкиваются с проблемами скорости, безопасности и доступности. Большие задержки при работе с приложением, его недоступность или некорректная работа могут не только оттолкнуть клиентов, но также снижают эффективность работы сотрудников компании и наносят вред репутации.
Семейство BIG-IP включает в себя множество программных модулей, которые работают вместе на одной из аппаратных платформ F5 в своем классе, а также в виртуальной среде. Большие возможности по балансировке запросов, разгрузке серверов, защите и ускорению обеспечивают быструю и безопасную работу приложений.
Продуктовая линейка BIG-IP
Local Traffic Manager(LTM) обеспечивает балансировку нагрузки и интеллектуальное управление трафиком, а также расширенные возможности по безопасности, ускорению и оптимизации приложений.
Global Traffic Manager(GTM) отвечает за масштабирование DNS-инфраструктуры, минимизацию рисков от DDoS-атак, внедрение DNSSEC без изменения инфраструктуры.
Access Policy Manager(APM) обеспечивает безопасный доступ к бизнес-приложениям и сетям.
Advanced Firewall Manager(AFM) - это масштабируемый межсетевой экран с высокой производительностью.
Application SecurITy Manager(ASM) защищает web-приложения (web application firewall) от огромного числа атак благодаря обновляемым базам сигнатур, а также от атак, направленных на отказ в обслуживании (DoS и DDoS).
Carrier-Grade NAT(CGNAT) поддерживает широкий набор инструментов, адресованных сервис-провайдерам, для минимизации влияния нехватки адресного пространства IPv4 и безболезненной миграции на протокол IPv6.
Policy Enforcement Manager(PEM) предоставляет возможность классификации трафика по категориям приложений и по типам протоколов (P2P: BИТTorrent, Gnutella; VoIP: SIP, Skype, Yahoo!, Jabber; Web: HTTP, HTTPS, FTP, YouTube, Facebook; Streaming: HTTP Streaming, RTSP, HTTP Audio), что позволяет дифференцировать сервисы и управлять доступом к сети в зависимости от типа подписчиков сетевых услуг и конечных устройств, в том числе и в целях монетизации.
WAN Optimization Manager(WOM) оптимизирует протоколы от сетевого до прикладного уровня, что позволяет в полной мере использовать пропускную способность WAN-каналов и добиться многократного ускорения трафика приложений.
WebAcceleratorадаптирует контент web-приложений с целью оптимизации использования каналов связи для каждого клиента (для мобильных и удаленных пользователей), а также функции кэширования и сжатия трафика.
Enterprise Manager просто и гибко управляет инфраструктурой из множества продуктов BIG-IP.
F5 предлагает большой выбор различных аппаратных платформ, на которых заказчик может комбинировать программные модули в зависимости от стоящих перед ним задач. Линейка продуктов представлена моделями с фиксированной конфигурацией, а также модульными блейд-шасси VIPRION.
Гибкие возможности по масштабированию производительности обеспечиваются с помощью технологии ScaleN, которая включает три аспекта: горизонтальная кластеризация - распределение приложений и сервисов между кластером устройств BIG-IP; виртуализация - параллельный запуск нескольких сущностей BIG-IP на одной аппаратной платформе; выделение ресурсов по запросу - платформа VIPRION позволяет гибко распределять ресурсы для обеспечения лучшей работы инфраструктуры.
Множество наиболее востребованных приложений могут быть быстро интегрированы с F5 благодаря большому числу опубликованных документов на портале f5.com, а так же технологии iApps, которая позволяет создавать шаблоны для быстрого развертывания самых разных приложений. Шаблоны iApps для развертывания таких приложений, как CИТrix Xen App, Microsoft Exchange, Lync, Sharepoint, SAP ERP и многих других, уже предустановлены на BIG-IP, дополнительные готовые шаблоны можно загрузить на портале F5 DevCentral (сообщество пользователей и разработчиков F5, где посетители делятся опытом).
Примеры использования
Крупнейшие компании в мире используют решения F5 в качестве ключевого компонента инфраструктуры. Многие из них применяют эти решения для улучшения работы публичных сервисов, к которым ежедневно обращаются миллионы людей. Можно без преувеличения утверждать, что любой человек, активно пользующийся интернетом, регулярно работает с решениями F5, сам того не осознавая, когда он совершает покупки он-лайн, бронирует билеты, пользуется системой интернет-банкинга или социальными сетями. Чтобы понять, какие преимущества дает использование решений F5 своим заказчикам, рассмотрим несколько реальных примеров внедрения.
В ноябре прошлого года социальная сеть Facebook нуждалась в надежном, защищенном от неавторизованного доступа, удаленном доступе к порталу; в быстром надежном доступе к корпоративным приложениям, развернутым на базе платформы CИТrix XenApp; в быстром и безопасном подключении новых партнеров. Было установлено, что существующая VPN-сеть (virtual private network) и двухфакторная аутентификация были не в состоянии решить эти задачи. В частности, VPN была слишком примитивным инструментом для идентификации пользователей и ограничения несанкционированного доступа.
После проведенных сравнительных оценок Facebook выбрал три кластеризованные пары F5 BIG-IP 8900 устройств, управляемых BIG-IP Local Traffic Manager (LTM), и одну пару BIG-IP 3900 устройств, управляемую BIG-IP LTM с BIG-IP Access Policy Manager (APM). Это решение было установлено в качестве front-end для удаленного доступа пользователей и для доступа к партнерскому порталу, где оно оптимизировало производительность приложений XenApp, обеспечивало масштабируемость и надежность, а также поддерживало трехфакторную аутентификацию клиентов по логину, уникальному сертификату и IP-адресу. Дополнительно решение также поддерживало управление персонализированным доступом пользователей к web-сервисам.
Развертывание решения прошло гладко и заняло несколько недель. При этом удалось добиться высокой степени интеграции с XenApp и построить глубоко кастомизированное решение, требовавшееся для аутентификации пользователей. По словам специалистов, большим подспорьем при разработке собственных скриптов iRules стал форум разработчиков DevCentral, предоставляющий огромное количество готовых шаблонов и скриптов, собранных пользователями со всего мира.
За счет того что решение BIG-IP имеет хорошую интеграцию с приложениями, развернутыми на базе XenApp, централизованное использование и применение политик безопасности для обоих решений стало простым. Надежный и быстрый доступ к корпоративным приложениям теперь поддерживается круглосуточно. Трехфакторная аутентификация на основе логина, сертификата и IP-адреса позволила обеспечить удаленный безопасный доступ служащих, разработчиков, консультантов и партнеров к приложениям и услугам сети - быстро и надежно, а также минимизировала риски, связанные с несанкционированным доступом.
В дальнейшем Facebook планирует развертывание BIG-IP Global Traffic Manager (GTM) для поддержки корпоративнойинфраструктурысообщений, а также как часть стратегии развития, предусматривающей миграцию приложений в резервный дата-центр без перерыва в обслуживании пользователей.
Компания Turkish Airlines основана в 1933 г. Она предоставляет клиентам возможность заказывать/резервировать билеты авиакомпании, проходить регистрацию, управлять заказами, проверять состояние рейсов, просматривать расписания и делать платежи через web-сайт. Эти интерактивные услуги должны быть быстрыми и доступными в режиме 24/7, чтобы соответствовать ожиданиям и удовлетворять потребностям пассажиров. Однако с некоторого времени интерактивные сервисы стали работать с неприемлемыми задержками, а в ряде случаев случались отказы в обслуживании, что приводило к снижению имиджа компании и бизнес-потерям.
Чтобы справиться с текущими трудностями, в сентябре 2012 г. Turkish Airlines решила развернуть решение F5 BIG-IP Local Traffic Manager (LTM) Application Delivery Controllers. Компания инсталлировала три отдельных BIG-IP LTM устройства - 6900, 3900 и 1600, которые поддерживают более чем 100 прикладных серверов в двух центрах обработки данных.
Основные приложения компании для бронирования и покупки билетов, прохождения on-line регистрации были построены на .NET- и JAVA. После тестирования компания пришла к выводу, что BIG-IP LTM полностью поддерживает эти приложения и интегрируется с ними, также как и с другими ее бизнес-системами на базе Microsoft SharePoint, Microsoft Exchange и Microsoft Lync.
В результате внедрения решения нагрузка на серверы снизилась примерно на 40%. Основной причиной экономии аппаратных ресурсов стал вынос SSL-шифрования на устройства BIG-IP LTM. В дополнение к этому, за счет компрессии передаваемых данных, значительно снизились требования к полосе пропускания, что немедленно сказалось на ускорении работы клиентских сервисов, а, следовательно, на удовлетворенности клиентов.
В дополнение к этому за счет использования языка программирования iRules удалось закрыть ряд нерешенных до этого проблем. Например, на базе iRules стало осуществляться кэширование клиентских данных, переназначение запросов, аутентификация клиентов, различные манипуляции с запросами и ответами. iRules также был использован, чтобы перенаправлять HTTP-запросы в HTTPS в целях увеличения безопасности web-сервисов. Помимо этого, использование BIG-IP LTM помогло компании обеспечить соответствие требованиям PCI DSS (Payment Card Industry Data SecurИТy Standard).
После развертывания решения было достигнуто 50%-ное улучшение производительности онлайновых приложений, что позволяет предоставлять высокое качество интерактивных услуг более чем 1 млн зарегистрированных пользователей.
В ИТ-департаменте развертывание BIG-IP LTM уменьшило время, требуемое для управления сетью, на 90%. Одновременно стало шифроваться на 200% больше трафика. о Компания получила возможность использовать освободившиеся ресурсы на других проектах. Внедрение BIG-IP LTM также помогло снизить затраты на аренду интернет-канала и позволило отказаться от закупки дополнительных серверов в ближайшей перспективе. По заявлениям руководства компании, период возврата инвестиций в решение составил примерно 1 год.
Решения F5 призваны помочь компаниям решать проблемы, связанные с производительностью приложений, масштабированием инфраструктуры и безопасностью данных и приложений. Задача использования устройств F5 в дата-центре - понять контекст любого пользователя, запрашивающего доступ к приложению, и осуществлять необходимый контроль входящих и исходящих потоков пользовательского трафика.