将application工作负载迁移到公共云
各行各业的企业和组织都在将新的applications迁移或部署到 IaaS 公共云提供商,以实现更高的灵活性、更快的上市时间和灵活的公用事业付费模式。 无论这些applications是创收应用程序还是关键业务应用程序,它们都必须确保同样出色的用户体验,包括相关的可用性、性能和安全服务。 然而,仍存在一些需要解决的挑战,包括由于云数据中心固有的设计、每个云提供商的application交付和安全功能以及整体缺乏可见性和控制,确定哪些工作负载适合云。
这些挑战可能导致定制云实施缓慢且昂贵,阻碍云供应商的选择和移动性,并增加安全漏洞的风险。 本文将回顾将applications成功迁移到公共云的关键考虑因素和已知阻碍因素,以及如何部署 F5® BIG-IP®application和安全服务(可在领先的云 IaaS 提供商中通过灵活的许可模式获得)成为成功的关键因素。
虽然我们都认识到公共云的好处,但事实上,application在为多个租户设计的公共 IaaS 提供商数据中心中的运行方式与在私有企业数据中心中的运行方式存在显著差异。 公共云提供商在设计其数据中心和网络时会考虑到大规模可扩展性,并使用虚拟化、商品化和标准化来降低成本。 网络控制级别不同,对 L2 功能(例如,多播、802.1q VLAN 标记等)的访问将受到限制,并且每个application可能只能获得一个面向公众的 IP。 增加计算能力是通过扩展许多小实例而不是通过高性能专用硬件进行扩展来实现的,这直接影响维护任何特定元素或节点的状态。
尽管理想的目标是“提升并转移”到公共云,但某些applications可能无法在不进行设计更改或完全重新架构的情况下移动。 决定将哪些applications迁移到公共云以及需要进行哪些更改是关键。 决定移动哪些应用程序的问题和标准应该包括:
- 该application是否已经虚拟化?它可以在云提供商的基础架构上运行吗?
- 云提供商是否满足您严格的数据保护政策?
- 您的application需要什么级别的服务级别协议? 云提供商提供什么类型的正常运行时间保证或高可用性功能?
- 您的网络和管理要求是什么? 它们可以在云环境中复制吗?
无论位于何处,每个application都需要应用和安全服务。 每个云提供商的可用性、性能和安全性工具集和服务在功能和管理上都会有所不同,并且可能会产生需要考虑的额外成本。 学习和配置这些新服务以满足您的需求需要时间、测试和培训。 当使用多云提供商策略时,这可能会产生高昂的转换成本,从而导致云供应商锁定。 最重要的是,根据您的特定application要求,它们可能不够用,也无法提供与您今天使用的相同的功能。 这会限制企业选择云提供商的灵活性,并增加云迁移的风险和复杂性。 主要面临三大挑战:
90% 的组织存在安全问题
确保公共云中的applications安全是大多数组织最关心的问题。 防范复杂的混合 L3-7 安全威胁至关重要,其中多种类型的容量密集型 DDoS 攻击与应用层攻击(OWASP Top Ten、跨站点脚本、SQL 注入等)相结合。 另一个考虑因素是使用云提供商的基本安全工具时访问和application安全策略不一致。 这可能会增加攻击面,并暴露与为用户(尤其是不良行为者)分配和取消分配访问权限相关的漏洞。 组织需要能够在私有数据中心和云中复制并执行一致且经过验证的安全策略和访问。
除基本负载平衡之外的高级流量管理通常部署在业务关键型应用程序和主要企业applications中。 虽然云提供商可能提供基本的负载平衡服务,但您应该考虑除了 HTTP/HTTPS 和 TCP 之外还需要哪些协议支持。 基本的健康检查和基于哈希和循环的负载平衡算法是否足够? 经常需要application数据操作,这需要完整的 L7 代理功能,例如 URL 检查/重写。
云提供商如何解决其基础设施的正常运行时间和弹性? 对于较大的供应商来说,典型的基础设施可用性目标是 99.95%,这可能低于您的要求。 更重要的是,了解风险并找到减轻停电影响的方法至关重要。 一些提供商在多个地理区域拥有冗余的数据中心和位置,以便在发生自然灾害等重大故障模式时保持可用性。 利用冗余需要仔细规划,考虑具体的实施细节、延迟以及故障转移/恢复时间。
最终用户的体验和生产力将继续至关重要,并且取决于application在云中的运行情况。 数据中心可能距离您的用户较远,这意味着最终用户和application之间的延迟增加,从而影响性能。 一些通常使用的方法(例如缓存、压缩和 TCP 优化)可能无法使用。 另一项要求是确保用户被引导到最近的位置。
采用公共云的主要原因之一是获得灵活的、按需的资源分配,以根据预定义的阈值解决计划内和计划外的需求高峰。 预计容量会出现短时间爆发或需求高度变化的applications可能更适合临时迁移到公共云提供商。
不遵循从数据中心到云端的applicationsapplication和安全服务和策略将需要为每个云提供商进行定制实施。 组织需要深入了解application的性能、安全性以及用户对application的访问,以确定何时将工作负载从一个位置移动到另一个位置。 这需要了解用户与applications的交互以及所有部署基础设施中的用户体验。 每个应用程序和每个提供商的政策蔓延、多变和复杂性,加上缺乏连贯的可见性,可能会导致运营成本增加、服务速度降低和客户体验下降。
解决上述挑战需要先进且可编程的application交付服务,这些服务可以跨越私有数据中心和云提供商,提供业务灵活性并实现成功的云迁移。 企业需要一个统一的平台,使他们能够以一致的方式在现有applications以及新的云原生applications的application环境中交付和管理application服务和相关策略。
F5 BIG-IP 虚拟版本 (VE) 提供广泛的智能application和网络服务,从加速、优化和智能流量管理(本地和全局)到 DNS、高级application访问和网络安全。 这些服务可以作为application堆栈的一部分完全集成并自动配置。 作为硬件和虚拟application交付控制器 (ADC) 的市场领导者,这些服务很可能已经部署在您的数据中心,并且现在可以通过 F5 的云许可计划从领先的云提供商处获得。
BIG-IP VE 提供智能、全面的 L3-7 安全服务,可保护云应用程序,同时不会牺牲控制力、灵活性和可见性。 这些服务是对每个云提供商所提供的服务的补充,并提供针对各种 DDoS 攻击、零日威胁、多层基于 Web 的application攻击、数据盗窃和泄露的深度防御。 调整和配置每个application的防火墙规则和策略所涉及的工作量和专业知识可由云提供商利用和重用。
凭借基于完整用户、设备、环境、application和网络情境感知的身份和访问权限管理架构,F5 可实现跨数据中心和云的application访问身份联合和单点登录,同时通过基于情境的安全、差异化访问、防范基于 Web 的恶意软件和持续性威胁以及全面的端点设备检查,确保applications的安全性和数据的完整性。
整个 IT 基础设施的一致安全性和持续的保护是保护云环境的最重要因素。
BIG-IP高级本地流量管理服务支持静态和动态负载平衡以消除单点故障、超出HTTP/TCP的广泛协议(例如HTTP2.0、SPDY、UDP)以及深度application流畅性。 作为完整的application代理,BIG-IP 平台支持内容交换以进行多路复用,从而缓解有限数量的外部 IP。 它还跟踪组中服务器的动态性能水平,并提供深度健康监控和连接状态管理。
BIG-IPapplication交付优化服务可以加快您的application响应时间、最大限度地减少延迟和延误,并减少完成移动设备 Web 请求所需的数据往返次数。
具有 DNS 和全局服务器负载平衡服务的 BIG-IP 平台根据最佳application体验和 DR/故障转移策略(考虑用户接近度、地理位置、网络条件和application可用性)将用户引导到最近的云数据中心。 该平台采用一系列全局负载平衡方法和针对每个application和用户的智能监控。 F5 还提供 DNS DDoS 保护,阻止对恶意 IP 的访问,并使用 DNSSEC 确保响应安全。最重要的是,DNS 查询和运行状况检查不按使用量计费,这与某些云提供商的计费方式不同,在 DNS DDoS 攻击期间,这种计费方式的成本可能非常高昂。
诸如云爆发之类的操作可以使企业按需扩展其application资源,并在这些偶尔的峰值期间临时支付所使用的资源费用。 有效地向云扩展需要 BIG-IP 本地流量管理、全局服务器负载平衡服务和 BIG-IQ 云编排,它们可以提供许多自动发生的、经过严格编排的操作,这些操作对最终用户来说是透明的:
- 当达到预设的阈值时,资源将在云中配置和部署。
- 新的application服务器资源会自动添加到资源池中。
- 用户被重定向到云中的application资源。
- 当application负载低于预设的阈值时,云基础设施资源将被取消配置,并且所有连接将重定向回数据中心。
F5 iApps® 模板使企业能够在几分钟内部署支持其applications所需的application交付服务。iApps 模板定义了每个application的流量管理、加密、防火墙和性能优化等服务的配置和策略。iApps 和内联分析可为您的applications提供完全的控制和可视性,以实现一致性和更好的故障排除。
此外,F5 iRules® 脚本语言(F5 的流量脚本接口)支持对application流量进行编程分析、操作和检测,从而实现对零日威胁、网络状况和业务需求的定制和快速响应。 iApps 和 iRules 的可移植性使得application能够在云提供商之间移动。
集成公共和私有环境之间的管理工具和连接性,可在两者之间创造无缝体验,为数据中心环境提供透明的扩展并避免管理孤岛。
F5 解决方案为云提供商提供了集成、自动化的application交付功能,快速缩短了application网络服务的配置和部署时间。 它通过以下方式实现此目的:
- 企业数据中心集成到第三方云管理工具。
- application交付服务配置的自动化。
- 加快部署时间的编排。
- 通过 REST API 实现可扩展性和无与伦比的灵活性。
BIG-IQ® 是 F5 的智能管理和编排平台,提供开放、可编程的框架来管理私有云和公共云中的物理和虚拟 BIG-IP 解决方案。 BIG-IQ 帮助组织以快速、一致且可重复的方式部署和管理application和安全服务 — 无论底层基础设施如何。 此外,BIG-IQ 通过 REST API 和云连接器与主要的云编排引擎和云提供商集成或交互。
BIG-IQ 提供 iApps 的生命周期管理,从而简化并快速自动化application交付服务的配置。 IT 组织可以定义可用的application交付服务目录,包括定制或多层产品,管理员和application管理员可以根据需要快速选择。
BIG-IP 虚拟版本提供 Good-Better-Best 捆绑套餐,包括公用事业计费(按小时、按天、按月)、年度订阅、自带许可 (BYOL) 和批量许可订阅模式。 对于测试/开发预生产工作负载或临时云爆发和可扩展性用例,F5 提供具有灵活性和按需使用的实用程序许可(仅需在使用后支付使用费用)。
年度订阅非常适合具有稳定状态流量的生产工作负载。 BYOL 非常适合混合云环境,您可以在其中将现有的 BIG-IP VE 许可证从私有数据中心直接带入公共云。 VLS 产品是为需要大量虚拟application和安全服务的企业而设计的。 VLS 为 1 年和 3 年订阅提供折扣价格,其中包括高级支持和软件更新。
| 非生产和爆发 | 生产 | 规模生产 | ||
|---|---|---|---|---|
| 业务场景 |
|
|
|
|
| 执照 | 效用(每小时、每天、每月) | 年度订阅 | BYOL(自带许可证) | VLS(批量许可订阅) |
| 业务场景 | 完全的架构灵活性,可以在需要时部署所需的内容,并且仅需为使用的内容付费。 | 基于 OPEX 的生产,成本可预测 | 优化云中的成本,同时能够灵活地在云和 DC 之间移动许可证 | 价值成本结构使您能够将 BIG-IP 应用服务引入云和 DC 中的所有applications |
过去几年中,公共云服务的采用呈指数级增长。 许多IT初创公司和一些成熟的媒体公司甚至完全部署在公共IaaS云提供商中,并取得了巨大的成功。 随着企业制定计划将更多关键applications迁移到云端,使用 BIG-IP 平台交付application的已证实优势可以轻松移植到云application工作负载。 这样做将解决企业客户在采用公共云方面遇到的许多挑战和担忧,包括所有application基础设施的一致安全性。
F5 云迁移解决方案利用 F5 的 BIG-IPapplication服务和 BIG-IQ 产品来提供关键application的可用性、性能和安全性 — 无论位于何处。 借助领先云市场提供的灵活许可模式,企业可以规划、安排和部署这些服务到公共云。 F5 使企业和组织能够自信地将工作负载转移到单云和多云环境,同时保持可见性、安全性和控制力。
通过 F5 进行连接
