利用 F5 将第 1 层application工作负载迁移到 AWS
对于大多数企业而言,应用不是具有明确定义性能参数的静态资源;它们必须频繁适应意外的需求高峰,以确保用户体验不受影响。 由于内部 IT 服务缺乏灵活性,且需要投资固定资产,IT 组织传统上通过配置基础设施和应用资源来满足峰值而非平均需求,以应对波动的需求。 但是采购和部署新的基础设施、网络和相关的应用资源是一个复杂且耗时的过程,需要大量的资本支出。
AWS 通过已经在基础设施和软件资产上进行了必要的投资,部分解决了这一挑战,使企业能够享受无限容量的好处,而无需过度配置资源。 使用 AWS 等公共云 IaaS 提供商的优势在于,它使企业能够快速部署新的应用,能够灵活地按需分配资源,并且具有 OpEx 与 CapEx 模型的经济性。
当考虑将应用迁移到云端时,应用安全性、性能和管理控制是 IT 部门最关心的问题,这一点毫不奇怪。 虽然 AWS 提供了许多原生工具和服务来解决其中一些应用交付因素,但这些工具的功能和特性集各不相同,可能无法满足应用要求。
鉴于当今的威胁形势,大多数组织将安全性列为云托管应用的首要关注点。 将工作负载转移到任何公共云基础设施时,至关重要的是防范复杂的恶意软件和混合第 4-7 层安全威胁,例如容量耗尽 DDoS 与应用层攻击(OWASP Top 10、跨站点脚本、SQL 注入等)相结合。 AWS 在安全方面采用共享责任模型,分为两个部分:云的安全和云中的安全。 云的安全与底层 IaaS 基础设施(计算、存储、物理硬件等)的安全相关——这是 AWS 的责任。 云中的安全性就是保护虚拟机管理程序层以上的所有内容(操作系统、应用、数据等)——这是消费者的责任。
一致的应用访问也是一项要求。 组织如何确保所有用户的访问都是统一的,无论使用什么设备或位于什么位置,同时还符合内部政策? 如果用户需要记住多个用户名/密码组合,密码疲劳可能会危及安全性,从而导致效率降低。 大多数企业除了在自己的数据中心/私有云环境中部署工作负载外,还可能会部署公共云工作负载。 因此,这些用户必须能够在其混合云环境中复制并实施一致且经过验证的安全实践/策略。
用户体验和生产力仍然是重要的考虑因素,并且两者都依赖于云中应用的性能。 在某些情况下,云提供商的数据中心会距离用户较远,这意味着用户和应用之间的延迟会增加,从而影响性能。 此外,一些通常用于处理延迟的方法(例如缓存、压缩和 TCP 优化)在 AWS 中不可用。
大多数企业都要求其数据中心为其业务关键型应用提供高级流量管理(超越基本的负载均衡)。 虽然 AWS 通过弹性负载均衡 (ELB) 和应用负载均衡器 (ALB) 提供基本的负载均衡服务,但组织应该考虑除了 HTTP/HTTPS 和 TCP 之外还需要哪些协议支持。 基本的健康检查和负载均衡算法是否足够? 消费者经常需要操作应用数据,这需要完整的 L7应用代理功能,例如 URL 检查和重写。 查看传入客户端流量并结合上下文的能力对于制定细致的流量控制决策至关重要。
解决上述问题需要通过 F5 的 BIG-IP 解决方案等统一平台提供先进且可编程的应用交付和安全服务。 该平台确保所有应用的安全性、性能和可用性,无论其位于何处。 它还能够在所有混合环境中以一致的方式交付和管理应用服务及其相关策略,无论是新的基于云的应用还是现有的应用。
F5 BIG-IP 虚拟版 (VE) 是虚拟 BIG-IP 设备,可提供在所有 BIG-IP 硬件中可用的相同、一致的服务集,包括应用和网络服务 - 从智能流量管理(本地和全局)、加速和优化到 DNS、高级应用访问和复杂的应用安全。 这些服务可以作为应用堆栈的一部分完全集成并自动配置。 作为硬件和虚拟应用交付控制器 (ADC) 的市场领导者,并且财富 50 强企业中有 48 家目前依赖 F5应用服务,因此 F5 很可能已在特定业务中用于服务和保护应用。
BIG-IP VE 提供全面的 L4-7 安全服务,可保护云应用,而无需您牺牲控制、灵活性或可见性。 这些服务是对 AWS 产品的补充,通过复杂的 WAF(Web应用防火墙),可以防止复杂的 DDoS 攻击、网络抓取、多层基于 Web 的应用攻击、数据盗窃和泄露。 F5 解决方案利用智能和高级行为分析来识别异常流量模式,可以检测并缓解自动僵尸网络攻击。 利用 F5 iRules®数据路径脚本的强大功能,F5 解决方案可以快速响应应用漏洞和零日攻击。 借助 F5,为每个内部应用调整和配置防火墙规则和策略所投入的精力和专业知识可被 VE 用于云托管应用。
F5 的身份和访问权限管理架构基于完整的用户、设备、环境、应用和网络情境感知。 这意味着 F5 解决方案支持跨数据中心和云的应用访问身份联合和单点登录。 同时,它们通过安全的基于上下文的访问、针对基于网络的恶意软件和持续威胁的防护以及全面的端点设备检查,确保应用的安全性和数据的完整性。
BIG-IP 先进的本地流量管理服务支持除 HTTP/TCP 之外的广泛协议(例如 HTTP 2.0、SPDY 和 UDP)和深度应用流畅性。 作为全代理架构,BIG-IP 平台提供了对应用流量的完整可见性,并在过程中解密和重新加密 SSL 流量。 它还动态跟踪组中服务器的性能水平,并提供深度健康监控和连接状态管理。 BIG-IP应用交付优化服务可以加快应用响应时间、最大限度地减少延迟和延误,并减少完成移动设备 Web 请求所需的数据往返次数。
BIG-IP DNS 和全局服务器负载均衡服务将用户引导至最近的云数据中心,以提供最佳的用户体验、灾难恢复和故障转移策略。 用户接近度、地理位置、网络条件和应用可用性都是路由决策的考虑因素。 该平台采用一系列全局负载均衡方法和针对每个应用和用户的智能监控。 F5 还提供 DNS DDoS 保护,阻止对恶意 IP 地址的访问,并使用 DNSSEC 确保响应安全。最重要的是,DNS 查询和健康检查不按使用量计费,避免在 DNS DDoS 攻击期间对合法和非法查询收取高额费用。
将应用工作负载迁移到公共云平台的一个主要好处是能够将应用扩展到数据中心配置的基本容量之外。 借助 AWS Auto Scaling,应用可以保持可用性,同时根据预定义的阈值自动扩大或缩小 Amazon EC2 容量。 BIG-IP 解决方案与 AWS Auto Scaling 集成,实现动态扩展的 BIG-IP应用和安全服务。 而且由于 BIG-IP VE 本身负责处理池成员的添加或删除,因此无需带外编排和配置管理。 除了 BIG-IP LTM 的自动扩展(见图 1)之外,F5 还发布了支持自动扩展应用安全性的解决方案,其中 BIG-IP LTM 和 BIG-IP ASM 均在 BIG-IP VE 上配置。
AWS 云形成模板 (CFT) 提供了一种脚本方法来自动部署基础设施(服务器、存储、网络和计算)资源。 它们提供了一种可重复的方式,可以在 AWS 内多次快速部署相同的 BIG-IP 映像和配置,这意味着宝贵的工作时间可以重新分配给更紧迫的业务问题。 CFT 经过 F5 工程师的广泛设计和测试,可消除与部署或配置 BIG-IP VE 相关的任何担忧,确保 F5 虚拟设备在 F5 专家的信心下进行配置。 不仅如此,由于与 Ansible、Chef 和 Puppet 等第三方自动化工具的无缝集成,这些 CFT 简化了自动化和编排 BIG-IP VE 的过程。 所有 F5 CFT 都是开源的,可通过 GitHub 免费获取,从而允许 F5 爱好者更改模板以更好地满足特定的业务需求。
此外,F5 通过 AWS Marketplace 直接提供部分 CFT,与 AWS 市场实现了更加紧密的集成,从而实现更快、更轻松的实施。 例如,可以从市场中选择部署各种自动扩展解决方案(自动扩展 BIG-IP LTM、自动扩展 WAF 等),并且可以在不到一小时的时间内将其在生产环境中启动并运行,从而无需 F5 用户自行配置这些复杂的解决方案,从而节省数天甚至数周的工作时间。
DevCentral™ 社区网站提供了用于部署 BIG-IP VE 的 VPC 资源(例如子网、网络接口和路由表)的示例配置。 这些示例还展示了如何使用 CloudInit 用户数据脚本为特定打包应用(Microsoft SharePoint、Exchange 等)和自定义应用部署 BIG-IP iApps® 模板。 F5 iApps 的功能与 AWS CFT 类似,旨在帮助快速部署每个应用所需的特定服务。iApps 还为每个应用定义了流量管理、加密、防火墙和性能优化等服务的配置和策略。
通过将公共云资源与现有的私有数据中心相结合,组织可以根据优先级计划转换应用工作负载,同时继续利用现有投资。 BIG-IP VE、F5 iApps 和 AWS CFT 协同工作以创建集成的云配置,从而允许快速透明地部署其他应用资源。 这种联合云配置的主要优势包括应用用户的无缝重定向、地理定位和加速技术以及使用 AWS Direct Connect 的安全连接。 无论应用资源是从私有数据中心还是公共云提供,用户体验都不会受到影响。 私有云和公共云资源的透明和持续使用可以基于需求、项目是新的还是已经存在,或者请求者的具体位置。
F5® BIG-IQ® 集中管理为云端和本地的 F5 物理和虚拟设备提供了中央控制点。 BIG-IQ 集中管理简化了应用管理,有助于确保合规性,并提供了工具来一致、安全地管理 F5 设备和服务,无论它们位于何处。 BIG-IQ 集中管理可处理 F5 设备和以下 F5 模块的策略、许可证、SSL 证书、图像和配置:
- BIG-IP® 本地流量管理器™ (LTM)
- BIG-IP®application安全管理器™ (ASM)
- BIG-IP® 高级防火墙管理器™ (AFM)
- BIG-IP® 访问策略管理器® (APM)
- BIG-IP DNS(仅监控)
- F5欺诈防护方案 WebSafe 和 MobileSafe 的仪表板
BIG-IQ 集中管理可作为物理或虚拟设备使用,也可以直接从 AWS Marketplace 运行。
BIG-IP 虚拟版主要提供 Good-Better-Best 捆绑包,并有三种不同的购买模式:
- 公用事业账单。 对于测试和开发预生产工作负载或临时云爆发和可扩展性用例,F5 提供按小时计费的许可,可提供灵活性和按需、后付费使用。 所有实用程序产品均包含高级支持和软件升级。
- 自带许可证 (BYOL)。 此选项非常适合混合云环境,在这种环境中,现有的 BIG-IP VE 许可证从私有数据中心直接迁移到 AWS。
- 年度订阅。 除了永久 VE 许可证外,F5 还提供年度订阅 BYOL VE 许可证。 它们可以在任何受支持的混合云环境中使用,提供更高的可移植性和灵活性。 年度订阅非常适合具有稳定状态流量且可从 AWS Marketplace 获得的生产工作负载。
- 企业许可协议 (ELA)。 对于寻求最大灵活性和敏捷性的大型企业环境,ELA 允许以 3 年协议的形式购买多个 VE,其中包括优质支持和软件升级。
此外,BIG-IQ 集中管理许可证管理器可免费使用,用于管理所有混合环境中的 BIG-IP 产品许可证。
过去几年中,公共云服务的采用呈指数级增长,AWS 一直是这些服务的市场领导者。 许多 IT 初创公司以及规模更大、更知名的企业已完全部署在 AWS 云中,并取得了巨大的成功。 随着企业计划将应用迁移到云端,F5应用交付和安全服务可以使用 F5 BIG-IP 虚拟版本轻松移植到云应用工作负载。 这样做可以解决企业客户对公共云的安全性、性能和控制的许多基本担忧。 借助 AWS Marketplace 中针对 BIG-IP 解决方案提供的灵活许可模式,企业可以以最小的财务风险在 AWS 中规划、准备和部署应用,并开始受益于 AWS 云的灵活性和效率。
