白皮书

软件定义的硬件:促进性能和敏捷性的 BIG-IP iSeries 架构

Updated November 11, 2016
  • Share via AddThis

简介

一场完美的市场趋势风暴正在改变应用和 IT 格局。由于移动、流媒体、物联网 (IoT) 和数字化转型正影响着各行各业,流量增长有增无减。随着应用数量的增加,云的采用正在加速,以满足企业对敏捷性和快速部署的需求。伴随着应用和通过互联网连接的一切的增长,安全威胁也随之而来,包括数据泄露和关键业务和个人数据失窃。其中一个结果是对所有传输中的数据进行加密,在过去一年中,SSL 流量翻了一番,从所有流量的 29% 增至 64%。最后,新的应用架构和灵活的开发模式,包括微服务和 DevOps,正在出现。

快速变化的 IT 环境给企业带来了巨大的挑战,包括如何经济有效地扩展应用和相关服务,处理部署私有云的复杂性,并在混合环境中保护应用和数据。架构中增加的每个产品均可解决部分问题,但会导致产品泛滥,从而造成更高的总拥有成本和新的攻击面。

这些挑战需要新一代云就绪的应用交付控制器 (ADC) 平台,该平台可提供类似于 DevOps 的敏捷性,并具备新老应用所需的规模、安全深度和投资保护。F5® BIG-IP® iSeries 是专为应对这些挑战而设计的新一代 ADC 系列产品。这种高性能的可编程 ADC 可以:

  • 在一系列应用交付和安全指标方面实现最佳性能和性价比,为客户端和服务器流量的爆炸式增长提供服务。
  • 性能优于在商品硬件上运行的基于软件的产品。
  • 克服因加密所有流量而对 SSL/TLS 基础设施造成的巨大负载。它通过卸载和加速密码和密钥交换处理,包括椭圆曲线加密法 (ECC) 和向前保密法 (FS) 来实现这一目标。
  • 在私有云的两层架构中提供具有成本效益的共享边缘服务。
  • 通过可通过用户选择的性能优化和软件更新重新使用的硬件,使应用基础设施面向未来。这种重新利用硬件的能力有助于在基础设施中提供敏捷性,以满足不断变化的业务需求。

BIG-IP iSeries 设备是具有高度可扩展性的低延迟应用代理,不仅提供 4-7 层应用交付服务,而且是 F5 未来应用交付架构愿景的基础。该系列优化了在 CPU、内存和协同处理组件的理想组合上运行的专用软硬件的力量和灵活性,而创新的硬件优化提供无与伦比的性能和可扩展性。

BIG-IP iSeries 创新

BIG-IP iSeries 包括通过独特的硬件优化驱动的若干新功能,对这些功能进行整合以满足企业 IT 不断变化的需求,包括向私有云架构的转变、关键数据的保护和应用服务的整合。

可重新编程的性能配置文件

Gordon Moore 有一个著名的观察:在成本不变的情况下,集成电路中的晶体管数量似乎每年都会翻一番。(此观察后来被调整为每两年翻一番)。摩尔定律,正如其名,是如此准确的预测器,以至于被扩展到计算的其他方面,如 CPU 速度、内存速度、网络速度和磁盘驱动器存储密度。虽然晶体管数量和 CPU 速度继续翻倍,但业内人士都知道这一趋势不可能永远持续下去。即便如此,依靠定期的速度和密度增加,可以在软件中实现关键功能。

对于那些软件和 CPU 仍不足以满足性能需求的功能,技术行业的响应措施是为特定应用设计集成电路:特定应用集成电路 (ASIC)。ASIC 的优点是能够以最快的硬件速度提供特定的能力。ASIC 在整个计算领域都有应用,如网卡、内存控制器、图形处理器和加密等,性能非常关键。虽然 ASIC 可以以最快的速度执行任务,但其能力仅限于芯片中的设计。如果一个应用需要 ASIC 无法提供的功能,则该应用必须使用 CPU 来代替,并在软件中执行这些任务。

如今,CPU 的速度不再继续如此快速地翻倍。如果 CPU 可以被看作是灵活但缓慢的,而 ASIC 是不灵活但快速的,那么第三种技术则在中间运作:现场可编程门阵列 (FPGA)。FPGA 比 ASIC 慢,但比 CPU 快得多,可以对它进行编程以执行 FPGA 设计人员没有设想到的任务。

CPU、ASIC 和 FPGA
图 1:CPU、ASIC 和 FPGA

BIG-IP iSeries 中的 FPGA 技术使网络和应用流量处理可以卸载到 FPGA 芯片上。这释放了 CPU 资源,可用于其他需要更大灵活性、更复杂的任务。FPGA 的优势是能够:

  • 根据平台的作用定制卸载功能。
  • 可以重新编程,提供软件灵活性。

平衡的方法利用 ASIC 和 FPGA 的优势。

BIG-IP iSeries 架构采用 FPGA 技术
图 2:BIG-IP iSeries 系统架构是如何采用 FPGA 技术的

FPGA 位于通过设备的流量的中心,检查流量,做出关键的流量管理决策,并卸载协议和安全处理。它提供:

  • 流量聚合和分解,将流量引导到适当的 CPU。(敬请阅读更多关于此功能的信息。)
  • 流量方向为适当的加密硬件,用于 SSL/TLS 处理。
  • 保证将正确的流量发送至压缩硬件。
  • DDoS 缓解,可以吸收更大的攻击规模(与仅有的软件相比,高达 10 倍)。
  • 客户端白名单、灰名单或黑名单(也称为回避)。
  • 私有云隧道协议的性能改进(流量处理量最多增加 50%)。
  • 硬件增强的 L4 负载均衡用于:
    • UDP 和 TCP。
    • IPv4 和 IPv6。
  • 网络叠加封装/解封装。

此外,FPGA 可以对流量做出有限制的延迟响应,确保流量可以得到适当的处理,并具有统一的性能水平,即使在负载下也是如此,与 CPU 不同,在 CPU 中,由于其他软件争夺相同的 CPU 资源,软件的性能会有所不同。具体来说,当软件被用来引导流量,而 CPU 处于负载状态时,例如在 DDoS 或 SSL 协商攻击期间,CPU 和软件的响应性会下降,从而降低 ADC 管理攻击的能力。相反,当 FPGA 指导流量时,无论 CPU 的负载如何,它都会做出可预测的响应。

所有这些流量管理任务都可以在流量被下游组件进一步处理之前执行。FPGA 支持检查和分配给适当的组件,促进硬件速度的智能流量管理。

BIG-IP iSeries 中的 TurboFlex 功能

已将 FPGA 技术纳入前几代 ADC,但 BIG-IP iSeries 通过使用 F5 TurboFlex™ 性能配置文件,大大增强了性能优化的数量和类型以及选择方式。

在其他系统中,设计人员试图创建平衡的功能集,然后专门为这些功能分配 FPGA 资源。FPGA 不能为不同的任务动态分配更多资源,因为 FPGA 的多个部分被静态地分配给特定的任务。这样做的好处是可以实现真正的并行化,但却牺牲了一些灵活性。

BIG-IP iSeries 引入了多种客户可选择的 FPGA 性能配置文件。通过 BIG-IP GUI、命令行或 API 调用启用特定的 TurboFlex 性能配置文件,客户可以以不同的方式分配 FPGA 的资源或卸载额外的任务以满足要求。

例如,如果此平台的主要使用情况是作为以安全为重点的边缘设备,那么 DDoS 缓解、TCP 处理和白名单等功能可能会受到青睐。对于在 OpenStack 支持的云中提供高级应用交付服务的设备,网络覆盖处理,如 VXLAN 或 GRE 封装,将是一个优先事项。选择最合适的性能配置文件将以最佳方式为工作负载分配 FPGA 资源。

将大量但相对简单的任务转移到 FPGA 上,通过以线速执行任务和减少 CPU 负载,提高了整体系统性能。不同的 TurboFlex 配置文件为不同的使用情况优化性能,同时仍然提供全方位的功能。

可以肯定的是,未来几年将带来进一步的变化。基础设施将需要支持新的协议,处理新的威胁,并提供新的服务。对于面向未来的基础设施而言,“静态”和“不可改变”不是好的描述。

通过 BIG-IP iSeries,将通过 BIG-IP 软件更新把更多任务卸载和功能(以新的 TurboFlex 性能配置文件的形式)添加到 FPGA 技术。这些新增功能将提供新的能力,而无需采购新的平台。事实上,BIG-IP iSeries 平台将与您的架构一起发展,您要做的是增加其功能而不是限制它们。

新的硬件 SSL 能力

随着对 SSL/TLS 的攻击不断推进,密钥长度必须继续增加以保持领先于攻击者。更长的密钥必然需要更高的计算能力,如上所述,CPU 的速度不再以所需的速度发展。管理 SSL/TLS 连接的性能问题由于一般互联网使用和安全连接比例的增加而变得更加复杂。由于 HTTP/2 和 Google、Apple、Facebook 和 Microsoft 等超大规模 Web 公司的大力采用,一般流量正在增加,而其中更多的流量正在加密。

虽然现代 CPU 可以很好地处理 TLS 密钥交换,但在硬件 ADC 的上下文中,卸载这些任务仍然是有意义的,特别是当可用的 CPU 被要求用于更高级别任务时,比如 Web 应用防火墙服务,需要更复杂的处理。此外,与 CPU 相比,使用专门的硬件在每次握手时更具成本效益。

当考虑到需要新的密码套件来保护流量时,尤其如此。直到最近,密钥交换的主要密码一直是 RSA。然而,RSA 有一个明显的缺陷。虽然密码本身是安全的,但如果私钥被泄露,第三方则可以用它来重放用该私钥加密的流量记录。

这有一个重要的影响。记录用 RSA 加密的 SSL 流量的人,一旦密钥被泄露,则可以在未来任何时候进行重放。无数私钥因人为错误或软件故障(比如 Heartbleed 漏洞)而被泄露。任何用这些密钥加密的流量均可被密钥持有者读取。

仅仅是这一点,就驱使各组织转向被称为向前保密 (FS) 的概念,使使用暴露私钥的重播受到保护。Diffie-Hellman 密码是第一个广泛使用的提供向前保密的密码,在大多数软件中表现出了实现缺陷,但更先进的 Diffie-Hellman 椭圆曲线加密法 (ECDHE) 密码没有已知的漏洞。朝着向前保密的转变引发了站点对 ECDHE 密码套件的支持和青睐。

老一代的硬件 SSL 加速组件不支持 ECDHE,这意味着处理连接需要消耗软件和 CPU 资源,给系统带来额外的负载。随着 ECDHE 应用的不断增加,在硬件中管理这些连接变得愈发重要。

通过包括最新一代的加密加速硬件并将其谨慎集成到 BIG-IP 系统中,F5 设计的 BIG-IP iSeries 可在所有平台上提供 ECDHE 的硬件卸载。通过为 ECDHE 提供硬件加速以及支持现有密码,甚至在高负载的 TLS 环境中,这使得椭圆曲线加密法 (ECC) 和 ECDHE 密码套件得以快速采用。

为更多对象和更多连接增加内存

互联网流量不断增长。事实上,在 2016 年发布的报告中,Cisco 预测,未来五年的流量将增长三倍 1。这样的流量增长部分是有机的,应归因于更多的消费者连接和更丰富的 Web 体验。一些将来自预测中互连设备的爆炸式增长(物联网)。Gartner 预测到 2020 年互连设备将超过 200 亿台。伴随着设备的增长,基础设施必须支持的连接数量也在增加。由于采用 HTTP/2,每个客户端使用的连接数较少,可能会有平行的缓解效应,但可以肯定的是,前端连接数将大幅上升。

同时,应用架构正在从单一架构转向由多个松散耦合服务组成的系统。服务之间的流量管理(东西向流量)将需要与客户应用(南北向)流量类似的管理和安全服务。这也将导致需要管理的连接数量显著增长。

BIG-IP iSeries 旨在较前代产品支持多得多的连接,最多可达一倍,这是因为内存配置有所增加、连接处理更高效。这将为管理和保护新一代互连设备和应用的流量提供动力和可扩展性。

更广泛愿景的一部分

BIG-IP Series 是 F5 未来架构愿景的核心部分。虽然 iSeries 的新硬件功能使其成为许多用例和情况的理想平台,但其与 F5 生态系统其他部分的集成使部署、集成和管理 BIG-IP 设备变得更加灵活和高效。

结论

BIG-IP iSeries 是新一代的 ADC,其关键创新使客户能够应对快速变化的环境带来的挑战。除了容量的大幅增加,BIG-IP iSeries 还将专用硬件的优势与可编程、可更新平台的灵活性相结合。通过精心整合 CPU 上的软件与最新 ASIC 和 FPGA 技术,BIG-IP iSeries 设备得以提供最佳性能、投资保护以及将多种应用与安全服务整合到统一平台的灵活性。

具体而言,尽早将 FPGA 置于流量路径,为检查和将流量分配到合适组件将提供可预测的延迟,所有这些均无需使用 CPU。可重复编程的 TurboFlex 性能配置文件允许将 FPGA 调整为特定用途,如用于安全边缘的 DDoS 缓解和 TCP 白名单,或用于云的网络覆盖处理。

软件和 TurboFlex 性能配置文件的可编程性确保 BIG-IP iSeries 能够满足如今的需求和未来不可预见的需求。对包括 ECDHE 在内的密码套件硬件加速的支持,以及应对未来几年爆炸式连接增长的能力,使 BIG-IP iSeries 成为了新一代数据中心和私有云架构的核心。整合到更广泛的 F5 架构中,使服务部署速度与流量处理速度相匹配。

BIG-IP iSeries 标志着应用交付控制器取得了巨大的发展。

1 Cisco Visual Networking Index: Forecast and Methodology,2015–2020。2016 年 6 月 1 日更新。