将 NetOps 和 SecOps 纳入应用交付流程
如果 NetOps 和 SecOps 团队不参与应用交付,那么最终部署的应用就会缺乏安全和流量管理控制。将网络和安全策略集成到 CI/CD 管道中,可以确保应用安全性。
挑战:互相隔离的团队
一直以来,NetOps 和 SecOps 团队都将大部分时间和资源投入在人工的、命令行式的任务中,因此无法参与自动化应用交付管道。但问题在于,随着典型的企业中应用数量由数百个迅速增加到数千个,网络和安全团队发现越来越难以跟上开发团队的节奏,更无从在每个版本中都加入合适的流量管理和安全控制。这会增加风险暴露和性能问题的可能性,还会引发严峻的发布后管理挑战。
解决方案:拥抱网络和安全自动化
为了扩大运营规模,NetOps 和 SecOps 的专业人员需要考虑广泛运用自动化。将可复用的安全和网络策略集成到 CI/CD 管道中,实现更加快速高频的部署。您需要重新调整 NetOps 和 SecOps 团队的思想观念,从专注于人工、一次性任务的工单接收员转型为可复用服务的提供者。通过这种方式,您可以释放开发人员的压力,让他们将精力集中于通过新的应用代码创造价值,而不是耗费时间和资源费力地为每个应用手动添加适当的网络和安全保护。
客户选择 F5 的原因
“通过在我们的数千个应用中使用 F5 的自动化功能,我们可以更快速、更可靠地为客户提供高质量的金融服务。以前需要 6 周时间才能完成的安全应用服务部署,现在只需要 5 分钟。”
— Aly Ndiaye,BNP Paribas 托管兼访问业务总监
公司简介:“放眼全球,铸就欧洲银行业典范;面对客户,成为首选长期合作伙伴;对于全球可持续发展,责无旁贷;这是我们一贯的宗旨。而在实现这些目标的道路上,我们具有独特的优势。”
F5 能够提供哪些帮助
F5 有助于您实现多云应用服务自动化,从而缩短部署时间并减少出错机率,同时让您的 NetOps 和 SecOps 团队能够成为应用开发和部署管道中密不可分的一部分。
解决方案指南
挑战
应用程序格局正呈爆炸式发展,未来几年,应用程序工作负载会从数亿增加到数十亿。许多新的应用程序正通过自动化流程得以构建并发布,自动化流程有望加速实现价值,并更快更安全地实现更新和改善。
然而,这些应用程序仍然需要一系列应用程序服务,例如负载均衡、Web 应用程序防火墙和 Bot 检测与缓解。网络运营 (NetOps) 和安全运营 (SecOps) 团队拥有提高应用程序安全性和用户体验的技术和经验,但是这些服务需要作为自动化部署流程的一部分注入。而对于许多组织而言,目前情况并非如此,即使是那些采用 DevOps 方法运营的组织亦然。
如何确保您开发和部署的每个应用程序都能得到适当应用程序交付和安全服务的支持?
相关内容
解决方案
NetOps 和 SecOps 团队必须摆脱手动实施应用程序交付和安全服务,并将接口和自动化构建到他们的服务基础结构中。
在实际操作层面,这些运营团队可以通过一系列工具和实用工具公开其有价值的服务,这些工具和实用工具将应用程序交付控制器(如 BIG-IP 平台)嵌入到 DevOps 团队正在使用的自动化框架或平台中。
F5 自动化工具链产品系列包含基础自动化和编排构建程序块,借此可以轻松将 BIG-IP 应用程序服务集成至 CI/CD 工具链等常见的自动化模式。
相关内容
部署全新应用程序服务
根据您的部署场景,您可能仅需要自动化工具链的部分组件。例如,拥有现有多租户 BIG-IP 平台的客户可能需要创建新的应用程序服务并监控配置,因此他们应当专注于应用程序服务 3 扩展和遥测流式传输扩展。
应用程序服务 3 (AS3) 扩展提供一种简单一致的方式,以通过声明性 REST API 在 BIG-IP 平台上实现第 4-7 层的应用程序服务部署的自动化。AS3 使用表现为 JSON 文档的定义完善的对象模型。通过声明性接口,可以将 F5 应用程序服务部署当成既简单又可靠的代码进行管理。
AS3 扩展摄取并分析声明,并进行适当的 iControl API 调用,以在目标 BIG-IP 实例上创建期望的结束状态。该扩展可以在 BIG-IP 实例上或通过 AS3 容器(一款运行 AS3 扩展的独立容器/VM)运行,然后对 BIG-IP 实例进行外部 API 调用。
遥测流式传输扩展提供声明性接口,以将应用程序的流式传输、安全性以及 BIG-IP 平台生成之网络遥测统计资料和事件配置至第三方使用者,诸如:
- Splunk
- Azure Log Analytics
- AWS CloudWatch
- AWS S3
- Graphite
与自动化工具链系列的其他成员一样,利用简单一致的 JSON 架构通过声明性接口对配置进行管理。
组件
如果您的部署场景需要新的 BIG-IP 实例以进行按需启动,您可以使用 F5 提供的云模板和声明性载入扩展,以启动和配置 BIG-IP 平台。
云模板使用公有云和私有云的部署自动化功能预配和启动 BIG-IP 虚拟设备。F5 目前针对下列云提供受支持的模板:
公有云
- AWS - 云形成模板
- Azure - Azure 资源管理器模板
- Google - Google 部署管理器模板
私有云
- VMware - vCenter 模板
- OpenStack - 热编排模板
F5 积极扩展其云模板,以涵盖更广泛的部署场景。如果您有建议或请求,请通过相关的 github 存储库提交问题或(最好是)拉取请求。
遥测流式传输扩展提供声明性接口,以将应用程序的流式传输、安全性以及 BIG-IP 平台生成之网络遥测统计资料和事件配置至第三方使用者,诸如:
- Splunk
- Azure Log Analytics
- AWS CloudWatch
- AWS S3
- Graphite
与自动化工具链系列的其他成员一样,利用简单一致的 JSON 架构通过声明性接口对配置进行管理。
借助声明性载入扩展,F5 BIG-IP 平台在初始启动后,可以轻松达到系统就绪状态,便于为应用程序部署安全性和流量管理。如果您正在使用多个 BIG-IP 系统,简单的接口可支持您配置系统设置(诸如许可和预配置)、网络设置(诸如 VLAN 和 Self IP)以及群集化设置。
声明性载入扩展使用与 AS3 架构一致的 JSON 架构,并具有类似的架构。该扩展作为独立于 TMOS 的 RPM 提供,其安装在新启动的 BIG-IP 上,作为载入阶段的第一步。载入流程完成后,您就可以利用任何所选的任何自动化(或手动)流程来部署应用程序服务。
结论
部署应用程序时如果没有适当的安全性或应用程序交付服务,则会引入风险,同时维持现有的工作实践也会伴生不兼容的延迟和运营成本。
应用程序应当在正确应用程序到位的情况下进行构建、测试和部署。Ops 团队能够并且应当通过接口公开这些服务,方便其应用程序团队使用这些服务。
F5 自动化工具链提供了一套工具,将强大的 BIG-IP 平台嵌入到一系列自动化部署场景中。
资源
当然,在当今的 IT 格局中没有一劳永逸的情况。幸运的是,有若干额外的自动化接口是可行的,包括集成至容器管理平台和自动化工具。
在实现 F5 应用程序服务自动化:实践指南中进一步了解适合您的选项。
2021 State of Application Strategy Report
Optimizing the customer experience: AI-assisted business activity has tripled.
强大的合作伙伴集成意味着更强大的解决方案
F5 与业内领先的技术伙伴合作,无论您的应用位于何处,都可以大幅提高故障排除效率。
