在评估可能满足其要求的各种服务和解决方案时,我们的客户(一家全球性 IT 解决方案公司)对部署和运营一个结合了内容交付网络 (CDN)、Web 应用程序防火墙 (WAF) 以及防御欺诈/Bot 和分布式拒绝服务 (DDoS) 攻击的解决方案所涉及的变量进行了审查。经过大量分析和与多个团队的内部讨论,该客户确定,最佳解决方案是 F5 Silverline 和 Amazon CloudFront 内容交付网络的组合。
该客户选择该解决方案是因为其提供了托管安全服务、部署速度快以及具有较低预配、维护和运营成本。内部客户团队为网站的发展制定了一个计划,并专注于快速完成其计划的每个阶段,而不对日常运营产生重大影响。
该架构的易于实施和综合优势带来了持续的性能改进、额外的安全控制以及广泛的报告和日志记录,并具有向 SIEM 和其他日志分析平台输出数据的功能。因此,该客户的团队能够专注于他们最擅长的事情:提供优质全方位的客户体验。
该客户选择了 F5 和 AWS 解决方案以实施其计划的第四阶段(图 1)主要是因为 F5 和 AWS 解决方案配置中的每种服务都具有灵活性、运营成本低以及可通过多次迭代逐渐加强系统。另一个关键原因是可与 F5 Silverline 安全运营中心 (SOC) 分析师合作,这些分析师会持续监控 Silverline 平台。(Silverline 是 F5 基于云的托管安全服务平台。) 此外,SOC 分析师帮助该客户确定了他们的安全态势,并最大限度地提高了系统的可用性。这使该客户能够提供顺畅体验以及严厉打击欺诈和滥用。
在 Web 应用的发展过程中平衡运营成本和性能改进,同时提供快速、安全、顺畅的客户体验
各公司在架构和设计 Web 应用时会面临一些挑战和限制,其中一个需要考虑的主要因素是如何有效平衡获取、部署和管理技术和人员的成本,以便在应用的生命周期内不断提高性能。我们的客户就平衡发展 Web 应用所需的成本与性能进行的分析如下图所示。
在第一阶段,该客户专注于部署应用和开发客户。他们为实现目标所执行的步骤包括:
在第二阶段,该客户专注于增强和改进应用,以获得客户群并为更多的扩展做准备。
在第三阶段,该客户与我们的 F5 Silverline 客户团队合作部署托管安全组件并配置 Amazon CloudFront,以确保该应用可扩展并容纳所有产生的流量。
在第四阶段,该客户分析了客户源请求并发现许多客户的交易地点为美国以外的国家。这一结论以及对美国需求增加的分析促使我们的客户启用 Amazon CloudFront,以扩大他们的覆盖范围和提高全球性能。
在最后阶段,客户团队专注于部署各种托管服务和 SaaS/IaaS/PaaS 平台的混合环境,以加强其运营能力和更加适应瞬息万变的全球市场环境。
本文将重点介绍该客户为完成第四阶段 Amazon CloudFront 与 F5 Silverline 托管安全服务平台的集成而执行的技术步骤。
确保成功进行服务部署和系统集成的基本要求
为将 Amazon CloudFront 集成到 F5 Silverline 平台,该客户在 Silverline 团队的协助下,预配了以下服务:
建立一个安全、可扩展的网络,使客户在全球范围内获得最佳性能和互动体验
对于任何企业来说,部署一个安全、快速并且具有多宿主链接和多种服务的全球网络都不容易。但是,客户可得益于同时投资 F5 和 AWS 所提供的基础设施和服务。这使客户能够构建一个可快速部署的解决方案,以使用最大功效载入应用并立即实现投资回报。
我们的客户选择部署的架构如下图所示:
易于部署,便于快速集成
各企业急需推出能快速应对市场挑战的应用,以获得竞争优势和/或节约成本。与需要大量资源和额外成本的部署相比,能在短时间内完成的部署具有显著优势。有了 F5 和 AWS,这些配置的部署成为易事;如客户准备好了所有的组件和数据,可在几分钟内完成配置。
随着第三阶段的完成,我们的客户进入第四阶段,这需要集成 Amazon CloudFront 与 F5 Silverline 平台,包括以下步骤:
当我们的 Silverline SOC 团队部署门户账户时,客户可登录并配置代理根对象,对代理显示名称、FQDN(完全限定域名)、源服务器 IP 地址或 ELB CNAME(真实名称记录)、威胁情报配置、WAF 策略、SSL 证书和欺诈/Bot 保护端点进行必要的设置。客户将在载入阶段与 Silverline SOC 分析师一起审查这些步骤。客户也可以邀请 SOC 分析师协助任何代理部署。
代理保存并部署到 Silverline 平台后,客户将收到一个唯一的 CNAME,该 CNAME 即作为 Amazon CloudFront 的源网络。客户可在部署后的主配置面板中找到这个代理 CNAME。
图 4:Silverline 的代理 CNAME
代理启用后可立即接收流量。此外,只要配置了 CloudFront 服务,该代理就可用于路由来自该服务的用户请求。
Amazon CloudFront - 服务配置
为确保顺利集成,客户在进行 CloudFront 集成前应准备好以下组件。
准备并预配好这些组件后,客户可导航到 AWS 管理控制台并进行 CloudFront 配置。在控制台菜单中,找到并选择子类别“网络和内容交付/CloudFront”,接下来找到并选择“分发”链接以建立初始分发。
图 5:AWS 管理控制台和 CloudFront 导航
图 6:CloudFront 分发面板
如需进行对象配置,请选择“建立分发”按钮。系统可能会提示您建立一个“特定交付方式”。我们的客户选择了“Web”交付方式。
选择“开始”按钮,以下面板将出现在浏览器上。源设置的配置方式如下图所示:
图 7:CloudFront 分发配置面板 - 源设置
源连接尝试、源超时、源响应超时、源长连接超时以及 HTTP 和 HTTPS 端口应保持默认状态,除非需要改变。
源客户标头:自定义的标头密钥和标头值将出现在每个对源的请求中。这些设置也可用于过滤 Silverline 代理中所有并非来自 CloudFront 的请求。
默认缓存行为设置可根据应用开发人员、信息技术、DevOps、安全团队和其他利益相关者制定的内部策略进行编程。请务必注意,了解数值改变对应用整体运行可能产生的影响程度非常重要。F5 Silverline 建议循序渐进,因为每项设置都可能造成成本、安全风险、性能影响以及与 Silverline WAF 或 Bot/敲诈保护的交互作用的差异。AWS 在管理控制台提供了实用资料,以帮助企业了解如何应用每项设置以及应用该设置对现有运行方式可能产生的影响。我们的 Silverline SOC 分析师也可提供关于这些设置将如何影响 Silverline 代理、WAF 或 Bot/欺诈防护的资料。
图 8:CloudFront 分发配置面板 - 默认缓存行为设置
分发设置也可能对操作产生显著影响。值得额外考虑的设置如下:
图 9:CloudFront 分发配置面板 - 分发设置
最后一步将是建立分发。
这应该需要几分钟时间。完成后,客户将收到一个 CNAME。
图 10:CloudFront 分发 -“建立分发”按钮
Amazon CloudFront 发出的 CNAME 现可与 AWS Route 53 一起使用,作为所有应用流量的权威解决方案记录。
该客户的内部安全、信息技术、运营和开发团队花费了大量时间对适合其客户互动和营销策略目标的最佳解决方案进行了评估。该客户选择了该解决方案后即可顺利使用,他们在几分钟内就在全球范围内推出了相关服务,运行了相关应用,为他们在全球的客户提供了更顺畅、更快速的参与体验。