F5未來說
原創【51CTO.com原創稿件】專家介紹: 吳靜濤,F5大中華區首席技術官。1999年開始進入應用交付的前身-負載均衡領域,2002年加入F5 Networks,能夠從系統架構層面如何進行靈捷部署提出自己的獨到見解,涉及技術包括應用高可用技術,優化技術和應用安全防護技術等,對互聯網的新技術有深入理解與掌控。
在未來科技時代,應用交付應該如何發展?
過去,金融、電信行業的大客戶非常樂意選擇F5的雙活數據中心解決方案,因為F5的這個解決方案能夠快速地把一個容災中心變成可以同時使用的雙活的數據中心,投資回報率等于翻一倍。
隨著時代發展,這些客戶開始希望在公有云、私有云與混合云構建之間,找到一個新的平衡點。有的客戶已經擁有了一個非常好的運行的雙活數據中心,可同時又想選擇另外一個公有云。眾所周知,自己搭建的數據中心和公有云的環境不同,運營方式也不相同,以應用交付的安全策略為例,不同公有云之間的運行方法都不一致。那么究竟該如何保證客戶自己的雙活數據中心、公有云,乃至不同云之間,都能取得一個完全一致的應用交付策略呢?
吳靜濤,F5大中華區首席技術官
這個問題是很多客戶的困惑,也是F5努力的方向之一。F5希望在新科技云集的環境下,幫助企業客戶來解決這樣一個最直接的一個挑戰。
F5認為,第一步客戶需要在傳統的數據中心的南北流量中,能夠享有更好的應用交付服務;第二步是在不同的云環境中,如何能更好地在應用與應用之間進行東西流量的調度。這其中涉及到很多方面的協同,例如如何在同一個平臺上實現DevOp的操作,實現同平臺的交付跟調度、外部移動互聯網用戶如何優化、新的安全隱患如何化解,如何做應用級別甚至API級別的可編程對抗防護,這將是一個探索、研發和產出并進的階段。
當南北流量進入雙活數據中心之后……
當南北流量從外邊的用戶端到達客戶的雙活數據中心之后,用戶應該采用什么樣的應用交付技術?F5最近就在針對全平臺做硬件性能的大幅度提升。過去每過兩三年,F5都會提升一次平臺性能,以配合業界的發展。
BIG-IP的2000系列將慢慢退出市場,新一代的平臺是i2600、i4600一系列的X600為模板的系列,該系列最大的特色就是在價格不變的前提下,性能翻倍。過去F5其產品性能一直引領應用交付市場,現在國家再次在推倡客戶接入帶寬升級,那么隨著越來越多的帶寬的接入,就必然要求客戶的數據中心有更大的吞吐。所以在這個時間段,F5適時推出下一代的高性能平臺,能夠對南北的流量進入提供一個更好的應用交付服務。
除了性能需要提升之外,應用的環境也發生了很大的變化。現在絕大多數應用都不僅僅是一個WEB、APP、DB這樣一個簡單的環境,例如一個用戶在接入的過程中,可能首先通過一個登錄認證的網關,同時還可能涉及到GPS定位的網關、支付的網關,很多都是由API接口構成的一個復雜環境。傳統的負載均衡或者應用交付能力已經不太能滿足實際的需求。
對此F5的構想是希望在云端各個API接口調用的過程中,能夠以虛機的形式,在Docker的環境里實現對東西流量的交付服務。這是一個全新的架構,它在私有云、公有云中,特別是在Docker跟DevOps的環境當中,將會起到非常重要的作用。
如何做同平臺的調度?
有一個現象大家生活中很常見:當人們打開手機端的APP,從辦公室走向停車場時,網絡由Wi-Fi變成普通4G,很明顯,手機端網絡接入的原地址會改變。那么當客戶端的Source IP原地址變更了,在數據中心服務的過程當中,系統是否會認為這不是一個人,從而中斷應用服務?進而要求客戶重新登錄認證?
這樣的處理方式客戶肯定不能接受。那么應該如何處理呢?F5有非常好的解決辦法:在雙活數據中心跟云的過渡過程中,F5可以實現在客戶端第一次進來登錄認證完成之后,F5給他分配了一個DCID,不論接入環境如何改變,只要DCID不變,系統都可以快速判斷出該用戶整個服務鏈路,于是可以仍然在原地址上繼續提供服務,確保用戶應用不中斷。
毫無疑問,這是在多云調度過程中必須實現的一個技術,也是F5在推廣同平臺服務時,客戶經常咨詢的一個現象。F5的愿景是希望讓客戶的應用在數據中心、在不同云環境中,都能夠以統一平臺去做調度實現,而且在每個調度的過程當中都可以經過API接口直接調用,而不是以前的人工手工配置。
移動應用如何優化?
現如今App使用率越來越高,手機銀行短短幾年內就占據了網銀一半的客戶訪問量,而且這個比例還在不斷升高。APP的使用率越來越高,這同時也意味著對移動用戶的優化正在成為一個非常重要的課題。
F5曾在數據中心做應用監控過程中發現,有時候從數據中心的運維角度去看,客戶訪問非常正常,沒有任何問題,但實際上卻不斷接到移動用戶的投訴。這顯然給用戶的使用帶來非常不好的體驗。F5認為,真正以用戶為中心的新的平臺建設過程當中,每一個用戶都非常重要,因此移動應有的優化需要做的更加合理普遍。以一家銀行客戶為例,銀行的外網通過不同的運營商十幾條線路接入互聯網,運營商的路由協議BGP每兩周調整一次,這可能導致有的客戶接入網絡的鏈路會比較曲折,有的山西用戶要通過日本路由地址才能接回數據中心,速度慢,體驗非常差。
為了解決這個問題,F5能夠根據用戶的實際需求,每兩個星期或者每個月進行一次準動態的調整,配合外網真實變化。如此一來,在完全不增加帶寬成本的情況下,就可以提高外網用戶實時體驗。這就是F5為了優化用戶體驗所做的努力。
可編程的現場對抗,帶來更高水準的安全防護
F5目前是全球應用安全防火墻最高出貨量的廠商,沒有之一。在過去的幾年里,F5對應用安全的投入越來越高。那么F5究竟如何在應用安全領域幫助客戶的呢?
首先來看看API和Serverless(無服務器架構)。在過去的兩三個月里,Serverless非常流行,它給大家提供一個可能性,讓應用被越多越多的拆開,變成各個組件跟模塊,各個組件跟模塊之間都以互相調用來組成最后的應用服務。事實上,最初這些模塊都是給內部做調度使用的,并沒有安全方面的考慮,但是當這些API 打包給外部提供服務時,就有可能遭受到安全攻擊,出現異常流量。
那么對 API 的防護應該如何去操作呢?其實客戶真正需要的是在用戶現場,用編程的方式去對應用進行安全加固。每個API都由自己去研發加固的可能性不大,更可行的方法是用一個可編程的對抗體系去在現場根據應用特征,根據API實際需求做好應用安全防護與鏈接管理,以及加固服務,這恰恰是F5的強項。在可編程方面、現場處理方面、應用配合方面,F5可以完全地搭建出API整個安全防護體系,保障應用的安全。
目前市場常規的安全解決方案,無論是防火墻、IPS、IDS、ICS,還是WAF,大多數都只能防范一些固定的、有特征的或者是已知的攻擊與異常流量。如果在一個10G流量的攻擊中,有DDoS攻擊,也有 RST攻擊或半連接攻擊,例如在一個特定的鏈接上有5000個訪問,其中有一條是未知的攻擊流量,那么幾乎沒有任何安全可以進行有效防護。F5認為現在絕大部分態勢感知系統都可以做到非常好的數據收集與分析,但事實上如何去控制現網的業務流量,去控制應用路由,實際上是要通過API接口,能夠讓設備用可編程的方式做現場對抗的一個過程。可編程的現場對抗正是F5在安全防護中更大的一個優勢。
F5現在已經正式的把自己的Application Delivery Controller的名字改成了Integrated Application Service這樣一個完全整合應用服務的新理念。希望能夠幫助大企業客戶在未來發展過程中,特別在交付服務方面能夠沒有后顧之憂,更快速地支持到自己的業務。
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
