BIG-IP 云版本解决方案指南
F5® BIG-IP® Cloud Edition™ 旨在帮助网络运营团队和应用团队更有效地协作,快速交付安全、适当支持的应用。 BIG-IP 云版本简化并集中了核心设备和应用服务管理功能,如设置、许可、升级、分析和扩展。 运营团队可以轻松定义应用服务的自助服务目录,然后开发人员可以根据需要通过仪表板或 API 调用来访问该目录。 这些服务针对每个应用进行定义、更新和部署,这与传统的整合模型(其中单个应用交付控制器 (ADC) 支持多个应用)不同。
BIG-IP 云版本不仅为企业级应用交付和安全服务带来了全新水平的架构灵活性,还提供多种购买方式选项。 BIG-IP 云版本旨在提供与服务灵活性相匹配的财务灵活性,提供订阅、实用程序和企业许可选项,以及传统的永久购买选项。
BIG-IP 云版本经过专门设计和测试,可帮助企业构建提供自助部署和扩展的应用服务交付解决方案 - 从而允许应用团队为其应用提供企业级可用性和安全性。 这种方法使应用所有者能够在敏捷框架内更好地与 NetOps、DevOps 和 SecOps 合作,从而显著提高所有应用的性能、可用性和安全性。
BIG-IP 云版本由两个基础设施组件组成: 1) 特别授权的 BIG-IP Per-App 虚拟版本 (VE),每个版本专用于一个应用;2) F5 BIG-IQ® 集中管理,可为所有实例提供管理、可视性和许可服务 - 无论它们位于何处。 自动扩展解决方案适用于 Amazon Web Services (AWS)、Microsoft Azure 或基于 VMware vCenter 的私有云。
BIG-IP 云版本基于几个关键逻辑组件构建:
BIG-IP 云版本支持在以下云平台上部署和自动扩展 BIG-IP 实例:
- 亚马逊网络服务(AWS)
- 微软 Azure
- 基于 VMware vCenter 的私有云
我们计划在未来版本中支持更多私有云和公共云平台。
BIG-IP 云版本允许开发人员访问按需、自助服务的应用服务目录并选择应用服务部署模板。
应用模板定义将为应用部署的应用交付和安全服务,包括所有 BIG-IP 对象,例如虚拟服务器、配置文件、监视器、SSL 证书、安全策略等。 此外,应用模板还定义了该应用的监控和警报。 这些模板通常由应用服务专家(例如网络和/或安全管理员)定义,他们配置智能默认值并向应用所有者公开一组有限的配置选项。 这种简化消除了对网络和安全操作的依赖,并且消除了对深厚网络领域专业知识的需求,同时确保在应用的开发和部署中一致使用已批准的模板和策略。 这可以加快应用程序部署速度,因为应用所有者使用简单易查看的仪表板或单个 API 调用来部署和管理他们的应用。 此外,BIG-IQ Centralized Management 6.0 还附带一组用于常见应用程序配置的预定义模板。 应用模板可以通过非自动扩展配置中的 BIG-IP 高可用性对或服务扩展组来提供。
除了使用应用模板之外,应用团队还可以通过创建服务扩展组来利用自动扩展功能。 当从应用模板部署应用服务并选择服务扩展组作为目标时,BIG-IP 云版本会管理资源的可用性和弹性扩展以提供服务,并管理提供这些服务的 BIG-IP 设备的生命周期和升级过程。 服务扩展组具有对组中最小和最大设备数量以及用于扩展资源的触发器的策略定义。
还可以使用服务目录中的应用模板将服务部署到传统的 F5 ScaleN® 集群上(但没有扩展和生命周期管理优势)。
设备模板定义了部署 BIG-IP 设备所需的所有基础设施级特征(时区、DNS、主机名、帐户、NTP、许可、网络等)。 组织可以使用设备模板来创建服务扩展组,方法是使用这些模板部署多个新设备。 设备模板也是与 BIG-IP 设备交互的主要方法;如果需要更改 BIG-IP 云版本中的设备(例如由于版本升级),则会更改设备模板并将更改推送到服务扩展组。 设备模板包含实例化 BIG-IP 虚拟版本所需的所有信息,包括许可、配置、网络和其他基本设备需求。
BIG-IP 云版本中的设备管理有所不同。
在大多数情况下,BIG-IP 云版本中提供应用交付和安全服务的设备是不可变的;更改不是直接对设备配置进行,而是对设备模板进行。 然后,BIG-IP 云版本通过部署新设备、将流量切换到新设备,然后移除旧设备,将这些更改推广到服务扩展组中。 此过程(有时称为“BIG-IP Per-App VE 和 nuke”)与传统多租户 BIG-IP 部署的管理方式有着根本的不同。
每个应用程序服务的好处:
- 隔离工作负载
- 合适大小的虚拟环境
- 摆脱传统的就地升级
- 自动配置和配置新实例
使用 BIG-IP 云版本,虚拟实例的许可证授予、升级和撤销由 BIG-IQ 中的许可证管理系统自动处理。 该自动化系统允许在需要的时间和地点汇集和部署许可证。 当不再需要某个设备时,其许可证将返回到池中以供另一个实例使用。 尽管许可模式、功能和吞吐量可能因部署而异,但 BIG-IQ 可以无缝处理许可,因此在部署新的 BIG-IP 实例时无需进行繁琐的手动许可证激活。
为了提供扩展事件的触发器以及对应用和基础设施性能的深入了解,BIG-IQ 收集并可视化对安全和网络管理员以及应用所有者有用的应用程序级分析。 这种可见性可帮助应用程序所有者自我诊断应用性能问题,以确定其应用或网络是否是延迟的根源。
BIG-IP 云版本旨在推动角色的逻辑分离。 应用所有者可以将自助服务应用部署到由基础设施所有者管理的服务扩展组中。 应用所有者使用的模板和安全策略可以由 NetOps 和 SecOps 团队管理。 某些模板可能仅对某些应用所有者可用,而不对其他应用程序所有者可用,并且每个应用程序的统计信息和仪表板可能仅限于应用所有者。 通过细粒度的角色管理,BIG-IP Cloud Edition 使应用团队能够支持他们的应用程序,同时使运营团队能够保持对网络的控制。
BIG-IP 云版本由多个不同的基础设施组件组成,它们协同工作以提供解决方案。
在 BIG-IP Cloud Edition 之外使用 BIG-IP Per-App VE。 BIG-IP Per-App VE 可以在 BIG-IP Cloud Edition 之外购买。 以许可证捆绑包的形式提供,并附带免费的 BIG-IQ 许可证管理器组件、BIG-IP Per-App
BIG-IP Per-App VE 是经过特殊授权的 BIG-IP 实例,旨在为单个应用提供专用服务。 BIG-IP 软件的全部功能均已启用,但其大小适合用作专用设备。
每个 BIG-IP Per-App VE 都附带:
- 单个虚拟 IP 地址
- 三个虚拟服务器(虚拟地址和监听端口的组合)
- 25 Mbps 或 200 Mbps 吞吐量
BIG-IP Per-App VE 中有两个可用的软件模块选项:
F5 BIG-IP 本地流量管理器™ (LTM) 软件提供业界领先的应用流量管理,包括高级负载均衡、速率整形、内容路由、SSL 管理以及对双向应用层流量的完全控制。
F5 Advanced WAF(API 安全 - 新一代 WAF)提供传统 Web应用防火墙 (WAF) 的所有功能,并以第 7 层 DDoS 缓解、高级机器人检测和 API 安全管理的形式提供增强保护。 Advanced WAF(API 安全 - 新一代 WAF)配备一组 BIG-IP LTM 流量管理功能,可有效管理流向下游应用服务器的流量。 Advanced WAF(API 安全 - 新一代 WAF)策略的部署作为应用模板组件的一部分进行管理。
BIG-IP Per-App VE 受益于 BIG-IP 最新版本中出现的映像和磁盘大小的平台简化。 在传统的 BIG-IP 部署中,BIG-IP 软件版本是通过将新的软件映像下载到正在运行的设备上,然后按照升级程序“就地”完成的。 利用 BIG-IP 云版本,提供应用交付和安全服务的设备在大多数情况下都是不可变的,因此不会直接对设备配置进行更改,而是使用设备和应用模板进行部署。 然后旧版本将通过滚动升级淘汰。 因此,不需要为 BIG-IP 软件的多个版本提供额外的存储空间,并且可以缩小磁盘映像大小。
- 在 VMware 部署中,BIG-IP Per-App VE 以不可升级的图像形式提供,且存储占用空间减少。 有关 VMware 中虚拟机规格的详细信息,请参阅ESXi 虚拟版安装指南。
- 对于在 AWS 上进行生产使用,F5 推荐使用 M3 或 M4 映像类型,对于 BIG-IP LTM 部署至少配备两个虚拟核心和 4 GB 内存,对于Advanced WAF(API 安全 - 新一代 WAF)则配备 8 GB 内存。
- 对于在 Microsoft Azure 上进行生产使用,F5 建议使用标准 B2s 和 B2ms 映像类型,对于 BIG-IP LTM 部署至少配备两个虚拟核心和 4 GB 内存,对于Advanced WAF(API 安全 - 新一代 WAF)则配备 8 GB 内存。
VMware–BIG-IP 服务扩展器
在 VMware 中,到 BIG-IP Per-App VE 的每个应用程序流量通过使用 MAC 地址转发的专门 BIG-IP 集群进行扩展,从而保留客户端源 IP 地址和目标 IP 地址。 这对于 BIG-IP Per-App VE 提供的一些第 7 层功能非常重要,同时还能确保 BIG-IQ 提供的可视性服务的数据收集准确。
BIG-IP 服务扩展器在 BIG-IP Per-App VE 之间执行基本负载均衡,并且对吞吐量没有许可限制(但是,虚拟硬件资源显然会限制最大吞吐量)。 或者,服务扩展器可以启用防火墙功能,提供网络 ACL 和第 4 层 DoS 缓解功能。 服务扩展器目前无法执行 SSL 或第 7 层功能。
BIG-IP 服务扩展器需要以下虚拟机规格:
BIG-IP 服务扩展器可以属于多个服务扩展组,并可在多个应用之间共享(而 BIG-IP Per-App VE — 顾名思义 — 专用于单个应用)。
在 AWS 中,服务使用 Elastic Load Balancing (ELB) Classic 实例进行扩展。 ELB Classic 跨 BIG-IP Per-App VE 提供基本的 L4 负载均衡和可用性,并且 ELB 的逻辑实例专用于单个服务扩展组。 因此,每个应用都需要专用的 ELB 配置。 AWS 服务管理 ELB 实例的扩展以满足需求。
BIG-IQ 集中管理中介绍了在服务扩展组中设置 AWS ELB 实例的方法: 在自动扩展的 AWS 云中管理applications。
在 Azure 中,使用 Azure 负载均衡器实例来扩展服务。 负载均衡器跨 BIG-IP Per-App VE 提供基本的 L4 负载均衡和可用性,并且负载均衡器的逻辑实例专用于单个服务扩展组。 因此,每个应用都需要专用的负载均衡器配置。 Azure 服务管理负载均衡器实例的扩展以满足需求。
在服务扩展组中设置 Azure 负载均衡器实例的说明BIG-IQ 集中管理: 在自动扩展的 Azure 云中管理applications。
BIG-IQ 可以管理多个 BIG-IP Per-App VE。
BIG-IQ 可以发现和管理所有受支持软件版本的 BIG-IP 实例 — 无论平台或位置如何。 该平台可以执行设备管理、可视化统计数据,并将模板化应用服务配置部署到物理、虚拟和云部署的 BIG-IP 实例上。 BIG-IQ 甚至可以为受支持的平台(目前为 AWS、Azure 和 VMware)上受支持的传统(非每个应用程序)BIG-IP VE 提供自动扩展功能。
BIG-IQ 为组成 BIG-IP 云版本的所有组件提供集中管理。 所有活动和报告均通过 BIG-IQ 进行管理,不需要对 BIG-IP Per-App VE 进行管理访问。
大智商:
- 创建新的服务扩展组
- 在服务扩展组内,引用设备模板来管理 BIG-IP Per-App VE 的生命周期。 设备模板包含启动 BIG-IP Per-App VE 所需的所有信息,无需人工干预。
- 在应用级别提供深度分析,以便应用所有者可以解决自己的问题。
- 为故障排除和规划提供设备级性能和容量指标。
- 提供基于角色的访问,允许应用所有者通过服务目录中的预定义应用模板以自助服务的方式为应用部署 F5 L4–7 服务。
F5 建议在 BIG-IP Cloud Edition 部署中为 BIG-IQ 使用以下虚拟硬件。
|
最低限度 |
最大限度 |
虚拟 CPU |
4 |
8 |
记忆 |
4GB |
16 GB |
磁盘空间 |
95 GB |
500 GB |
网络接口卡 |
2 |
10 |
安装和配置 BIG-IQ 的内容请参阅规划和实施 F5 BIG-IQ 集中管理部署指南。
BIG-IQ 能够根据需要启动、许可、调配和配置 BIG-IP Per-App VE,作为服务扩展组的一部分或在扩展环境中进行。 这需要对虚拟基础设施环境进行身份验证访问。
在 VMware 中,需要以下内容:访问 vCenter 的凭据、vCenter 主机名、用于安全通信的 SSL 证书以及有关 ESX 环境的其他信息,例如主机/集群、数据存储区、(分布式)虚拟交换机 (vSwitches) 和资源池。
在 AWS 中,需要满足以下要求: 身份和访问权限管理(IAM) 用户访问密钥和相关机密,用于进行 API 调用和 ELB,以提供一级流量分配。 按照AWS 最佳实践来创建和管理密钥。
IAM 用户应该附加管理员访问策略,并有权创建自动扩展组、Amazon Simple Storage Service (S3) 存储桶、实例和 IAM 实例配置文件。 有关权限和整体 AWS 配置的详细信息,请参阅https://aws.amazon.com/documentation 。
由于 BIG-IP 云版本基本上通过 BIG-IQ 管理层路由所有控制平面活动(BIG-IQ 处理实时监控和扩展/缩小事件并管理许可证分配和撤销),因此它成为交付系统的关键部分,因此通常部署在高可用性、冗余的配置中。
因此,规划应包括主动-备用 BIG-IQ 对,以及适合管理的 BIG-IP 实例数量的许可证。
配置 BIG-IQ 以实现高可用性规划和实施 F5 BIG-IQ 集中管理部署指南。
BIG-IQ 数据收集设备
BIG-IQ 中的数据收集设备负责收集、存储和处理来自 BIG-IP Per-App VE 的流量和性能数据。 在 BIG-IP Per-App VE 将性能和流量遥测数据发送到数据收集设备进行处理和存储后,BIG-IQ 会查询数据收集设备以提供可视性和报告。 数据收集设备被排列成集群,它们协同工作并复制存储的数据以实现冗余。
F5 建议在 BIG-IP 云版本中使用以下虚拟硬件作为数据收集设备:
虚拟 CPU |
8 |
记忆 |
32 |
磁盘空间 |
500 GB |
网络接口卡 |
2 |
关于磁盘子系统的说明: BIG-IQ 数据收集设备存储、处理和分析从 BIG-IP Per-App VE 收集的数据,以生成 BIG-IQ 系统的报告和仪表板。 这是一个磁盘 I/O 密集型工作负载,因此底层存储的大小应同时考虑容量和性能。 对于 BIG-IP Per-App VE 的大规模部署或广泛的日志记录和分析,应该部署高性能存储子系统。 捕获搜索和索引操作将生成随机和顺序 I/O,并且通常具有高度并发的任务。
如需更多信息,请参阅BIG-IQ 集中管理数据收集设备尺寸指南。
具有公共云部署的数据收集设备的 VPN
当创建新的 BIG-IP Per-App VE 时,它们会获得应该连接回的数据收集设备的自身 IP 地址。 这是一个固定设置(截至 BIG-IQ 6.0)。 数据收集设备和 BIG-IP Per-App VE 之间需要双向连接。 在许多环境中 - 尤其是当 BIG-IP Per-App VE 位于 AWS 或 Azure 上,而 BIG-IQ 和数据收集设备位于客户场所时 - 需要 VPN 连接才能成功路由两个方向的流量,因为数据收集设备通常具有 RFC 1918 不可路由 IP 地址。 BIG-IP 云版本要求在 Amazon 虚拟私有云 (Amazon VPC) 或 Azure 虚拟网络 (Azure VNet) 中使用唯一的 IP 地址范围,这意味着它们在 Amazon VPC 中不能有重叠的地址空间。
有几种不同的方法可以设置 VPN 或其他与 AWS 的私有连接,包括 AWS Direct Connect 等服务或 Equinix Cloud Exchange 等多云连接服务。 还可以从本地BIG-IP 设备到 AWS VPN 网关建立 IPSEC 隧道。
有关 BIG-IP Cloud Edition 组件之间的端口和协议连接详细信息,请参阅BIG-IQ 6.0 文档。
此外,BIG-IQ 需要通过端口 443 访问所选区域的 AWS API 端点或通过端口 443 访问 vCenter 服务器。
BIG-IQ 提供内置用户帐户管理以及与常见外部协议(如 TACACS、RADIUS 和 LDAP)的集成。
需要多少个 BIG-IP Per-App VE?
BIG-IP Per-App VE 实例有两个关键限制:
- 对象
- 吞吐量
与更传统的部署不同,BIG-IP Per-App VE 通常采用全活动配置部署,并由一级流量管理设备负责高可用性和扩展。 一般来说,这意味着每个配置的 VE 实例的实际吞吐量比以硬件为中心的主动-备用高可用性 (HA) 对更高,即使在主动-主动配置中也需要维持用于故障转移的备用容量。 BIG-IP Per-App VE 提供 25 Mbps 和 200 Mbps 吞吐量许可证,旨在使用服务扩展组进行扩展。
第一步是确定计划进行流量管理的每个应用所需吞吐量的基本估计值。 接下来,决定 25 Mbps 或 200 Mbps 许可证是否合适。 对于每个应用较大的吞吐量要求,由于整体设备较少,200 Mbps 许可证是合适的。 对于较小或更细粒度的需求,25 Mbps 许可证更为合适。 如果最大化利用资源很重要,那么 200 Mbps 许可证将更有效地利用底层硬件来实现特定的吞吐量。
可以在一个环境中混合和匹配许可证类型,但特定的应用只能由一种许可证类型提供服务。
对于每个应用,确定:
- 所需总吞吐量
- 可能的增长
- 挥发性
当考虑波动性时,有几个变量需要考虑。 首先,扩展事件的触发器基于服务扩展组中最繁忙设备的吞吐量、CPU 阈值和/或内存(五分钟平均值)。 由于新的 BIG-IP Per-App VE 实例在启动后需要一小段时间才能激活,因此建议为基本要求配置大约 20 分钟的最大预期增长容量。 这样,服务就可以根据需求进行调整,同时仍具有一定的能力来处理预期的峰值。
尽管确定规模可能很复杂,但使用 BIG-IP 云版本时,每个应用程序的实例都可以根据需要进行灵活调整,因此无需追求完美或构建过多的备用容量。
服务扩展能力在不同环境的实现方式不同。
在 AWS 中,扩展和缩小由易于使用的 AWS ELB Classic 负载均衡器处理。
在 VMware 中,服务扩展、第 4 层 DDoS 和防火墙功能由特殊的 BIG-IP VE 提供。 这些 VE 配置为简单地将流量分发到 BIG-IP Per-App VE,并提供网络层访问控制和 DDoS 缓解。
自动缩放实例设计为高吞吐量、低复杂性,并可在多个应用之间共享。
BIG-IQ 提供 REST API,支持以编程方式从服务目录部署应用服务。 有关 REST API 的详细信息,请参阅BIG-IQ 文档。
BIG-IP 云版本以新的方式提供 F5应用服务的强大功能、安全性和灵活性。 其中包括一个可以根据需求扩大或缩小规模的新应用平台,以及自助服务功能。 安全团队可以创建应用安全和 DDoS 缓解策略,然后网络团队可以将这些策略附加到应用模板并将其添加到特定用户的服务目录中。 应用团队可以从预定义的服务目录中进行选择,并将服务部署到服务扩展组中,以满足其应用程序需求。
最终结果是一个高度灵活、可扩展的解决方案,可提供企业级 F5应用服务(具有专用实例的灵活性),同时显著降低运营开销。 这种方法可以让合适的团队做合适的工作:现在应用所有者可以在敏捷框架内更好地与网络、开发和安全运营团队合作,以显著提高所有应用的性能、可用性和安全性。
