德国服务提供商利用 F5 和 NGINX 确保网络服务安全

SysEleven 实现高可用性、性能、安全性和可扩展性

柏林服务提供商 SysEleven GmbH 成立于 2007 年，拥有 100 多名员工，为德国一些最大的公司提供优质的云服务。 SysEleven 提供完全虚拟化、强大的云平台，自 2018 年起一直是云原生计算基金会 (CNCF) 的成员和经过认证的 Kubernetes 提供商。

SysEleven 为其服务提供垂直技术堆栈，包括托管云服务、OpenStack 公共云、Kubernetes 即服务以及根据要求提供的网络和运营商服务，专门在德国数据中心提供。 该公司为客户提供的不仅仅是服务器容量。 该公司采用广泛的自适应方法分析客户的应用设置，并找到性能、盈利能力和稳定性的最佳解决方案。

“我们的目标是成为应用连续性和云采用领域的顶尖企业。 为了帮助我们的客户取得成功，我们通过提供所有应用层的垂直集成，使我们的公司有别于大多数托管服务提供商。 无论客户需要完全托管的云平台、基础设施即服务、 Kubernetes 即服务还是互联网访问，他们都将获得最高水平的质量和个性化支持。 我们的客户可以自由选择自己的基础设施，从我们自己的云和 Kubernetes 平台到第三方平台，如 AWS 或 Azure。

我们目前为客户管理大约 6,000 个虚拟环境。 “利用我们的 NEO 方法（导航 - 教育 - 运营），我们为客户提供服务咨询和设计、管理员和开发人员培训直至全面托管服务，”SysEleven GmbH 首席执行官 Marc Korthaus 表示。

SysEleven 使用 F5 Networks 和 NGINX 的解决方案来提供多功能且强大的云服务。 这使得这家总部位于柏林的公司能够为自己的应用和客户应用使用具有最佳负载均衡和安全功能的服务。

挑战

作为云合作伙伴和托管服务提供商，高可用性和稳定性对于市场竞争至关重要。 客户的成功取决于 SysEleven 提供多功能且强大的云服务的能力。

“我们的客户相信，新的设置将快速高效地启动并运行——通过及时的微调、故障排除和维护，”基础设施主管 Jens Plogsties 解释道。 “他们依赖我们服务的稳定性和灵活的支持。 我们为每个客户提供独特的、独立的设置，并配备专用的负载均衡器。 这只有通过强大且高度可扩展的解决方案才能实现。”

由于 SysEleven 的解决方案支持客户安装多达 6,000 个虚拟主机，因此它们必须具有高度的可扩展性和适应性，以确保最高的速度和可靠性标准，同时将服务中断降至最低。

该公司面临的挑战之一是管理通常由电视或时事通讯广告引起的客户网络流量的大幅增长。 SysEleven 的云环境必须足够强大和灵活，以处理这些流量高峰，避免任何可能导致收入损失或客户声誉损害的中断。 

解决方案

随着客户需求不断增长，SysEleven 需要更新其基础设施以满足他们的需求。 原有的开源 NGINX 平台通过 NGINX Plus 得到增强，为客户服务提供更多机会，并对传入云环境的请求进行更好的控制。 该解决方案主要用于负载均衡、Kubernetes ingress、容器和安全领域。 此外，SysEleven 现在采用 F5 BIG-IP i5800 集群，其中 LTM（本地流量管理器）模块用于负载均衡，并使用 ASM（应用安全管理器）作为 Web应用防火墙，适用于对 Web应用安全性要求较高的客户。 SysEleven 使用一些带有防火墙的虚拟 F5 实例进行测试和开发。 此外，该公司还在 F5应用交付控制器上运营许多内部和外部服务。

为了防止客户出现服务问题，SysEleven 利用 F5 和 NGINX 的负载均衡网关解决方案来接收传入流量。 云基础设施这一组件所具有的稳定性和灵活性使得服务提供商能够维持客户的信任，并随着时间的推移稳步发展业务。

SysEleven 产品负责人 Simon Pearce 表示：“我们已经成功使用 NGINX 和 F5 多年了。 “NGINX 在我们的基础设施中发挥着重要作用。 我们在整个云平台和 Kubernetes 托管服务 MetaKube 中使用 NGINX Ingress Controller。 NGINX 还在许多虚拟环境中充当负载均衡器和反向代理。 此外，F5应用安全模块 (ASM) 允许我们使用针对特定应用量身定制的综合规则集来保护客户应用的安全。 F5 还适用于所有需要高性能、加密功能和可扩展性的地理冗余设置。 通过无缝故障转移，备用控制器可以无中断地接管活动角色。 一旦发生故障，客户几乎完全不知道请求何时被转移到另一台设备。 根据客户的需求，我们使用 NGINX 或 F5，或者两者结合使用。 对于我们的客户和工程师来说，拥有可靠的负载均衡解决方案至关重要。”

F5 主要作为纯 HTTP 解决方案和协议的负载均衡器。 然而，这些构成了最重要的、对业务至关重要的客户应用和服务，需要最高级别的可靠性和安全性。 为了保证这一级别的服务，SysEleven 使用 F5 集群的动态路由以及互联网上使用的边界网关协议 (BGP)。 在主动模式下，BGP 资源可以在集群之间移动。 这提供了极高的灵活性，因为 SysEleven 对连接到网络的所有解决方案都使用 BGP。

“例如，如果客户受到攻击，我们可以为他们提供他们自己的集群节点，”SysEleven 的 Teamload Network 的 Vincentz Petzholz 说。 “一方面，由于问题流量被隔离，这确保了其他客户不会受到附带损害。 另一方面，受影响的客户可以利用更多的性能来防御攻击，因为他可以在一定时间内使用自己的硬件。 到目前为止，我只看到过使用 F5 的此功能。”

每个 SysEleven 数据中心现在至少有一对 F5 i5800 集群。 该公司拥有两个主要数据中心和十几个纯网络站点，通常处理约 100 GB 的流量 - 具体取决于一天中的时间。 对于 DDoS 攻击等安全相关事件，F5 节点以 80 或 160 GB 连接到网络。 这为 SysEleven 客户提供了性能方面的大量可扩展性。

该公司可以将几乎任何 IP 地址的任何流量路由到 F5 集群。 这也适用于不必位于 F5网络拓扑后面的后端结构，而可以位于网络中的任何位置。 SysEleven 可以随时动态地将服务切换到 F5 集群，并在需要时将其转发到其他数据中心，因为所有数据中心的基础设施都是相同的。 此外，一个 IP 地址可同时在不同位置的多个集群上使用，并实现负载均衡（也称为“任播”）。

结果

高可用性

通过结合当前的 F5 和 NGINX 解决方案，SysEleven 为其客户提供对客户虚拟服务的高性能要求以及管理高流量波动的可扩展性。 此外，它还能为发生故障时每小时收入损失较高的客户提供最大程度的可用性。

Vincentz Petzholz 表示：“同时使用这两种负载均衡器解决方案对我们来说始终具有互补作用。” “它不仅使我们能够为每个价格类别的客户提供最佳解决方案，而且还使我们能够结合两种解决方案的优势。 例如，我们将易于自动化的 NGINX 实例部分定位在强大的 F5 负载均衡器后面进行缓存。”

增强安全性

F5 的一大优势是 Webapplication防火墙 (WAF) 提供的高级别安全性。

Petzholz 解释道：“只有少数解决方案可以利用如此庞大的签名和机制。” “除了 LTM 之外，越来越多的客户正在使用 Web应用防火墙。 毕竟，对于控制哪些内容流经负载均衡器的需求越来越大。 WAF的成熟度非常高；管理员可以根据客户的个性化需求定制解决方案，因为像Web应用防火墙这样的高质量安全解决方案自然需要大量的调整工作。 这使得利用 F5 变得更加容易。”

未来的基础

此外，由于 F5 最近收购了 NGINX，F5 的 WAF 功能将来也会集成到 NGINX Security 中。 这两种解决方案都将有针对性地、持续地得到进一步开发。 SysEleven 还计划利用 F5 与 BGP 的集成。

“F5 解决方案还具有许多其他优势： 其中包括非常简单的管理，可以来回移动实例，”Jens Plogsties 说。 “F5 Clusternodes 可能会由于维护或其他原因而离线 - 而用户甚至感觉不到。 F5 可以实现极快的部署，因为没有第 2 层网络或其他依赖关系。 此外，我们可以简单地将 F5 放大，原则上放大到无穷大。 其性能超过了一些普通商品服务器。 因此 F5 能够处理其他系统无法处理的负载。

与 F5 容器入口服务 (CIS) 的进一步集成正在测试阶段。 这是关于将现有环境无缝集成到新的动态容器基础设施中。 与 SysEleven 和 F5 的实施给我们留下了积极的印象；良好的性能、协议多样性（UDP）以及与传统系统的良好连接令我们信服。 每个默认配置的简单集成和 F5 对开源的承诺，加上对 DevOps 主题的战略定位以及对 Kubernetes 问题的支持尤为值得注意。 这个由容器原生（NGINX）、以数据中心为中心（F5 BIG-IP）的应用服务，以及 Web应用防火墙等安全增值服务组成的整体产品组合，让我们能够认识到整体愿景，从而对未来充满信心。”