使用 F5，将第 1 层应用工作负载迁移至 AWS

正在评估迁移或部署公有云中生产工作负载的企业可能会考虑将 Amazon Web Services (AWS) 作为其首选平台。如今，AWS 拥有超过 100 万活跃客户，来自于 190 个国家/地区，包括 2000 个政府机构和 5000 家教育机构¹。根据 Gartner 的数据，在收入 (47%) ² 和公有云基础设施即服务 (IaaS) 部署的应用工作负载份额 (41.5%)² 方面，AWS 仍然是遥遥领先于他人的市场领导者。本文回顾了阻碍企业应用更广泛地采用公有云的许多因素，并介绍了 F5 应用交付服务在加速 AWS 采用方面发挥的关键作用。

对于大多数企业来说，应用并非具有明确定义的性能参数的静态资源；它们必须经常适应意外的需求高峰，确保用户体验不受影响。由于内部 IT 服务的不灵活性和对固定资产投资的需要，IT 团队惯用的方法是通过预配基础设施和应用资源来满足高峰需求（而非平均需求）来应对波动需求。但是，采购和部署新的基础设施、网络和相关的应用资源是一个复杂而耗时的过程，需要大量的资本支出投资。

AWS 已经对基础设施和软件资产进行了必要的投资，使企业能够在不过度预配资源的情况下获得无限容量这样的好处，从部分上解决了这个难题。使用像 AWS 这样的公有云 IaaS 提供商的优势在于，它为企业提供了快速部署新应用的敏捷性，提供了按需分配资源的灵活性，以及 OpEx 与 CapEx 模式的经济性。

在考虑将应用转移到云时，应用的安全性、性能和管理控制自然成为了 IT 部门最关心的问题之一。虽然 AWS 提供了许多本地工具和服务来应对一些牵扯的应用交付因素，但这些工具的功能和特性集各不相同，可能无法满足应用需求。

鉴于当今的威胁态势，大多数企业将安全视为云托管应用的首要关注。在将工作负载转移到任何公有云基础设施时，防范复杂的恶意软件和混合的第 4-7 层安全威胁至关重要，如结合容量耗尽 DDoS 与应用层攻击（OWASP Top 10、跨站脚本、SQL 注入等）。AWS 在安全方面采用责任共担模式，分为两个部分；对云的安全保护和云中安全保护。对云的安全保护与底层 IaaS 基础设施（计算、存储、物理硬件等）的安全有关，这是 AWS 的责任。云中安全保护是关于保护管理程序层以上的一切（操作系统、应用、数据等），这是消费者的责任。

一致的应用访问也是一个要求。不考虑设备或地点，企业如何确保所有用户采用统一方式进行访问，同时也符合内部策略？如果用户的任务是记住多个用户名/密码组合，密码疲劳会影响安全，从而导致效率下降。除了部署在自身数据中心/私有云环境中的工作负载，大多数企业可能还会部署公有云工作负载。因此，这些用户必须能够在其混合云环境中复制和执行一致、经过验证的安全实践/策略。

用户体验和生产力仍然是重要的考虑因素，而两者都取决于云中的应用性能。在某些情况下，云提供商的数据中心与用户相去甚远，这意味着用户和应用之间的延迟会增加，进而会影响性能。此外，AWS 中并不能使用一些常见的延迟处理方法，如缓存、压缩和 TCP 优化。

大多数企业需要在其数据中心为关键业务应用提供高级流量管理（不仅仅是基本的负载均衡）。虽然 AWS 通过 Elastic Load Balancing (ELB) 和 Application Load Balancer (ALB) 可以提供基本的负载均衡服务，但企业应该考虑除了 HTTP/HTTPS 和 TCP 之外，还需要哪些协议支持。基本的健康检查和负载均衡算法是否足够？消费者经常需要操作应用数据，这需要完整的 7 层应用代理功能，如 URL 检查和重写。是否可以掌握含上下文信息的传入客户端流量对于做出细化的流量引导决策至关重要。

解决上述问题需要通过 F5 的 BIG-IP 解决方案这样的统一平台提供先进的、可编程的应用交付和安全服务。该平台可确保所有应用的安全性、性能和可用性，无论其位于何处。它还能在所有混合环境中以一致的方式交付和管理应用服务及其相关策略，包括基于云的新应用和现有应用。

F5 BIG-IP Virtual Edition (VE) 是虚拟的 BIG-IP 设备，可提供与所有 BIG-IP 硬件相同、一致的服务，包括应用和网络服务，范围覆盖从智能流量管理（包括本地和全局）、加速和优化，到 DNS、高级应用访问和复杂的应用安全。这些服务可以作为应用堆栈的一部分完全集成，并自动进行配置。作为硬件和虚拟应用交付控制器 (ADC) 的市场领导者，财富 50 强中有 48 家公司目前依赖 F5 的应用服务。某一企业很有可能是在使用 F5 的服务来支持和保护自己的应用。

BIG-IP VE 提供全面的第 4-7 层安全服务，在无损控制性、灵活性或可见性的情况下，保护云应用。这些服务是对 AWS 产品的补充，通过精密设计的 WAF（Web 应用防火墙），可以防御复杂的 DDoS 攻击、Web 抓取、基于网络的多层应用攻击、数据窃取和泄露。凭借识别异常流量模式的智能和高级行为分析，F5 解决方案可以检测和缓解自动僵尸网络攻击。利用 F5 iRules® 数据路径脚本的强大之处，F5 解决方案可以快速响应对应用漏洞的利用和零日攻击。有了 F5 的帮助，VE 可以利用和重用调整和配置每个内部应用的防火墙规则和策略的精力和专业知识，并将其用于云托管应用。

F5 的身份和访问权限管理架构是基于对用户、设备、环境、应用和网络的全面感知。这意味着 F5 的解决方案能够实现联合身份验证和单点登录，以便在数据中心和云中进行应用访问。同时，通过安全、基于上下文的访问、对基于网络的恶意软件和持久性威胁的保护以及全面的端点设备检查，这些解决方案可以保护应用安全和数据完整性。

除 HTTP/TCP 之外，BIG-IP 高级本地流量管理服务还支持广泛的协议（如 HTTP 2.0、SPDY 和 UDP）和深度应用流畅性。作为一个全代理架构，BIG-IP 平台提供对应用流量的完全可视性，在过程中对 SSL 流量进行解密和重新加密。它还能动态追踪组内服务器的性能水平，并提供深度健康监测和连接状态管理。BIG-IP 应用交付优化服务可以加快应用响应时间，最大限度地减少延迟和延误，并减少完成移动设备 Web 请求所需数据的往返次数。

BIG-IP DNS 和全局服务器负载均衡服务可以将用户引导到最近的云数据中心，提供最佳的用户体验、灾难恢复和故障转移策略。用户的接近程度、地理位置、网络条件和应用可用性都被纳入路由决策之中。该平台采用了一系列全局负载均衡方法和针对每个应用和用户的智能监控。F5 还提供 DNS DDoS 防护，阻止对恶意 IP 地址的访问，并通过 DNSSEC 确保保护响应安全。最重要的是，DNS 查询和健康检查不按使用量计费，避免了在 DNS DDoS 攻击期间对合法和非法查询收取高额费用。

将应用工作负载转移到公有云平台的一个关键好处是，能够将应用扩展到数据中心预配的基本容量之外。通过 AWS 自动扩展，应用可以保持可用性，同时根据预先定义的阈值自动扩大或缩小 Amazon EC2 容量。BIG-IP 解决方案与 AWS Auto Scaling 相集成，实现了动态扩展的 BIG-IP 应用和安全服务。不仅如此，由于 BIG-IP VE 本身就能处理池子成员的增加或删除，因此不需要进行带外编排和配置管理。除了 BIG-IP LTM 的自动扩展外（见图 1），F5 还发布了实现自动扩展应用安全的解决方案，即 BIG-IP LTM 和 BIG-IP ASM，均可在BIG-IP VE 进行预配。

AWS Cloud Formation Templates (CFT) 为自动化部署基础设施（服务器、存储、网络和计算）资源提供了一种脚本化方法。这些模板可以提供一种可重复的方法，可以在 AWS 中多次快速部署相同的 BIG-IP 映像和配置，这意味着可以将宝贵的工作时间重新用来处理更紧迫的业务事项。CFT 由 F5 工程师设计并经过深度测试，消除了与部署或配置 BIG-IP VE 有关的任何顾虑，确保 F5 虚拟设备的预配经过 F5 专家的认证，可以放心采纳。不仅如此，由于与第三方自动化工具（如 Ansible、Chef 和 Puppet）的无缝集成，这些 CFT 可以简化 BIG-IP VE 的自动化和编排过程。所有 F5 CFT 都是开源的，可通过 GitHub 免费获得，允许 F5 忠实使用者修改模板来更好地满足特定的业务需求。

此外，F5 还与 AWS Marketplace 进行了更紧密集成，通过 AWS Marketplace 直接提供其精选的 CFT，让实施变得更快且更方便。例如，可以从市场上选择各种自动扩展解决方案（自动扩展 BIG-IP LTM、自动扩展 WAF 等）进行部署，并可在一小时内在生产环境中启动和运行，F5 用户无需自己配置这些复杂解决方案，可以节省几天甚至几周的工作时间。

DevCentral™ 社区网站提供了 VPC 资源的配置示例（如子网、网络接口和路由表），用于部署 BIG-IP VE。这些示例还说明了如何使用 CloudInit 用户数据脚本来部署 BIG-IP iApps® 模板用于特定的打包应用（Microsoft SharePoint、Exchange 等）和自定义应用。与 AWS CFT 的功能类似，F5 iApps 的创建是为了帮助快速部署每个应用所需的特定服务。iApps 还定义了服务的配置和策略，如流量管理、加密、防火墙和每个应用的性能优化。

通过将公有云资源与现有的私有数据中心进行整合，企业可以根据优先级安排过渡应用工作负载，同时继续利用现有投资。BIG-IP VE、F5 iApps 和 AWS CFT 共同创建了一个集成云配置，允许快速、透明地部署额外的应用资源。这种联合云配置的主要优势包括应用用户的无缝重定向、地理定位和加速技术，以及使用 AWS Direct Connect 的安全连接。无论应用资源是由私有数据中心还是公有云提供，用户体验都不会受到影响。私有云和公有云资源的透明和连续使用可以视需求、是新项目或是已有项目、请求者的具体位置而定。

F5® BIG-IQ® Centralized Management 为云和本地的 F5 物理和虚拟设备提供了一个中央控制点。BIG-IQ Centralized Management 可以简化应用管理，帮助确保合规性，并提供工具来一致且安全地管理 F5 设备和服务，不受位置限制。BIG-IQ Centralized Management 可处理 F5 设备和以下 F5 模块的策略、许可证、SSL 证书、映像和配置：

• BIG-IP® Local Traffic Manager™ (LTM)
• BIG-IP® Application Security Manager™ (ASM)
• BIG-IP® 高级防火墙管理器 (AFM)
• BIG-IP® 接入策略管理器 (APM)
• BIG-IP DNS（仅监控）
• F5 欺诈防护解决方案 WebSafe 和 MobileSafe 的仪表板

BIG-IQ Centralized Management 可作为物理或虚拟设备使用，也可直接从 AWS Marketplace 运行。

BIG-IP 虚拟版（VE）主要以进阶式套餐模式提供，并有三种不同的购买模式：

• 按账单计费。对于测试和开发的预生产工作负载，或临时的云爆发和可扩展性使用案例，F5 提供按小时计费的许可，提供灵活性和按需使用的后付费模式。所有按账单计费模式的报价都包括高级支持和软件升级。
• 自带许可模式 (BYOL)。该选项是混合云环境的理想选择，在这种环境中，现有的 BIG-IP VE 许可从私有数据中心直接迁移到 AWS。
• 年度订阅。除了永久的 VE 许可证之外，F5 还提供年度订阅的 BYOL VE 许可证。这些许可证可以在任何支持的混合云环境中使用，提供更大的可移植性和灵活性。年度订阅是拥有稳定流量的生产工作负载的理想选择，可从 AWS Marketplace 获得。
• 企业许可协议 (ELA)。对于寻求最大灵活性和敏捷性的大型企业环境，ELA 可以在 3 年的协议中购买多个 VE，并包括高级支持和软件升级。

此外，BIG-IQ Centralized Management 许可证管理器可免费用于管理所有混合环境中的 BIG-IP 产品许可证。

在过去的几年里，公有云服务的采用成倍增长，而 AWS 一直是该领域的市场领导者。许多 IT 初创公司，以及更大规模、更知名的企业，在AWS的云中已实现完整部署，并取得了巨大的成功。随着企业计划将应用迁移到云中，F5 应用交付和安全服务可以使用 F5 BIG-IP Virtual Edition 轻松移植到云应用工作负载中。如此可以解决企业客户对公有云中的安全、性能和控制的许多基本担忧。由于 BIG-IP 解决方案在 AWS Marketplace 上有灵活的许可模式，企业可以以最小的财务风险在 AWS 的云中计划、执行和部署应用，并开始受益于 AWS 云的敏捷性和高效。

¹ Amazon 云必读：5 项须知 (https://n2ws.com/blog/5-facts-amazon-cloud-essentials.html)
² 2017 年 AWS、Azure 和 Google 云市场份额对比研究 ("https://www.skyhighnetworks.com/cloud-security-blog/microsoft-azure-closes-iaas-adoption-gap-with-amazon-aws/)