Konsolidujte, automatizujte, jděte do cloudu!

 

Dlouhý time-to-market pro nové aplikace. Složitá infrastruktura. Vysoké provozní náklady. Přechod z monolitických aplikací na mikroslužby. Chybějící prvky zajišťující aplikační bezpečnost a ochranu proti DDoS útokům. Nízká nebo žádná úroveň automatizace. Jsou Vám tato témata blízká? Pojďte se podívat na to, jak se na tyto oblasti dívá F5 a jak Vám může pomoci na cestě k digitalizaci s cílem snížit náklady.

 

3 výzvy pro moderní organizaci

Uživatelská zkušenost a bezpečnost. Základním předpokladem je vytvořit uživatelsky přívětivou aplikaci, ale druhá věc je, aby byla dostupná a běžela hladce, aplikace tedy musí škálovat podle potřeby. Každá moderní služba musí být dostupná na webu a jako mobilní aplikace. Musí být tak0 bezpečná, aby nedošlo k úniku citlivých dat, což je kritické v oblasti portálů státní správy.

Rychlost, agilita. Celý svět IT směřuje k digitalizaci. Neustále vznikají potřeby vyvinout nové aplikace, díky nimž bude organizace úspěšnější. V soukromé sféře se to jeví jako samozřejmost, ale ve státním aparátu jde o občany a politické body. Většina organizací dnes využívá monolitický typ aplikací založený na aplikačním vývoji typu “waterfall” trvajícím až 1 rok. Nové služby je ale potřeba spustit do několika týdnů. Moderní aplikace jsou postaveny na mikroslužbách. Pro jejich provozování musí ale organizace přijmout kulturu Dev-Ops, ve které jsou vývojové, bezpečnostní a infrastrukturně-provozní týmy úzce propojené. To umožňuje mnohem rychlejší vývoj a spuštění nového kódu.

Vysoké náklady. Organizace implementující Dev-Op optimalizují také náklady, protože vývoj trvá kratší dobu a příprava aplikační služeb je jednodušší. Každá aplikace, aby korektně fungovala, potřebuje aplikační služby. Dnes je běžné, že části aplikačních služeb jsou zajišťovány různými dodavateli, což zvyšuje investiční i provozní náklady a limituje možnosti automatizace. Navíc potřebujete mít specialisty na každou z těchto technologií.

 

 

3 výzvy = 3 chyby

Zmíněné výzvy poukazují na 3 klíčové chyby, které organizace dnes dělají.

 

Vendor lock-in. Jedna z těchto chyb se vrací do časů mainframů týká se infrastrukturního “lock-inu” nebo-li zamknutí se na konkrétní cloudovou infrastrukturu. To omezuje přenositelnost aplikací mezi cloudy. Každá aplikace vyžaduje zmíněné aplikační služby, bez ohledu na to, kde je umístěná. Poskytovatelé cloudové infrastruktury nabízejí aplikační služby, ale s omezenou a proprietární funkcionalitou. Pokud se zákazník rozhodne přejít např. z AWS do jiného cloudu později nebo rozšířit stávající privátní vmware prostředí o Azure, infrastrukturní “odemknutí” je velkou výzvou a portabilita služeb významně omezená.

Bezpečnost aplikací až na posledním místě. Druhá překážka souvisí se zabezpečením aplikací a s konfigurací sítí. Pokud se v organizaci vyvíjí nová aplikace, vývojáři většinou na její zabezpečení nemyslí, jelikož prioritou je dodat funkcionalitu. Na druhou stranu týmům IT bezpečnosti nejde o rychlost, ale o zabezpečení a spolehlivost sítě. Je tedy potřeba integrovat vývojové, bezpečnostní a síťové týmy a zapojit bezpečnost do procesu už od počáteční fáze definování požadavků.

Příliš mnoho management “toolů”. Třetí chybou je se týká množství nástrojů pro správu a monitoring používaných v organizaci. Různé týmy používají různé nástroje k plnění svých funkcí a povinností, navíc každý dodavatel má svoje API pro integraci, což vede ke složitosti a vyšším nákladům. A je to nepřítel obchodní flexibility.

 

Monolitická architektura vs. Mikroslužby

Pojďme se podívat na možnosti architektury systémů a softwarového kódu aplikace. V tradiční monolitické architektuře potřebujeme webový server, aplikační server a reverzní proxy. Architektura mikroslužeb a kontejnerů je postavená na Ingress Controlleru, reverzní proxy a také Service Mesh (nástroj pro vzájemnou vzájemnou komunikaci mezi mikroslužbami navzájem), mezi sebou komunikující pomocí API.

blobid0.png

Obrázek 1 – Monolitická vs. architektura mikroslužeb na příkladu řešení NGINX Plus a Kubernetes Ingress Controlleru (K8s IC) a Service Mesh (Sidecar proxy)

 

Jednou z věcí, které mají ale všechny aplikace společné, jsou aplikační služby v datové cestě od uživatele k aplikaci, služby, jejichž cílem je poskytovat uživatelům skvělou uživatelskou zkušenost a aplikacím potřebnou ochranu. Tento řetězec služeb zahrnuje L4 a L7 loadbalancing, aplikační bezpečnost, API gateway, ochranu proti DDoS útokům, DNS, případně Content Delivery Network (CDN) pro rychlejší doručování webového obsahu uživateli.

Ve většině případů všechna tato řešení pocházejí od různých dodavatelů a jsou pořizována a provozována různými týmy v organizaci – síťového provozu, vývojáři, architekty, Dev-Ops nebo jsou poskytovány jako služba 3. strany (např. DDoS). Každé z těch “silo” řešení také přidává latenci, která se pohybuje v řádu až stovek milisekund a navíc znamená potenciální “point-of-failure”.

 

blobid1.png

Obrázek 2 – “Silo” aplikační služby na cestě od aplikačního kódu k zákazníkovi

 

Jak v tom všem může pomoci F5 a NGINX?

Tento přístup s sebou nese spoustu komplexity. Vize, kterou mají F5 a NGINX dohromady, je konsolidace těchto aplikačních služeb s cílem snižit složitost, snížit náklady, zkrátit čas uvedení nových služeb na trh a ve finále zjednodušit život firmám a státním organizacím.

 

F5 Networks s produktem BIG-IP je známý jako lídr v oblasti:

  • Loadbalancingu vč. terminace TLS/SSL (Application Deliver Controller - ADC),
  • Bezpečnosti webových aplikací (Web Aplikační Firewall - WAF).

 

Kromě toho na jednom fyzickém nebo virtuálním zařízení BIG-IP jsou dostupné tyto aplikační služby:

  • DNS nebo Global Service Loadbalancing (loadbalancing mezi geo lokacemi),
  • Data-centrový firewall,
  • L3/L4 DDoS ochrana proti volumetrickým útokům,
  • L7 DDoS proti aplikačním DoS útokům včetně mitigace zlých BOTů.

Služby DNS a anti-DDoS lze také konzumovat z cloudu, který umožňuje se lépe vypořádat s provozními špičkami nebo velkými volumetrickými útoky zahlcujícími uplink.

 

NGINX technologie vždy byla přirozenou první volbou pro vývojáře. Právě v Dev-Ops komunitě patřil NGINX k hlavním F5 konkurentům jako jednoduchý softwarový loadbalancer. Dnes je součástí rodiny F5 a s produktem NGINX Plus skvěle doplňuje:

  • NGINX Ingress Controlleru pro Kubernetes, což je nejrozšířenější orchestrační nástroj pro kontejnery v architektuře mikroslužeb. NGINX Ingress controller řeší loadbalancing, terminaci TLS/SSL, modifikace URI, session persistenci apod. u aplikací nasazených v kontejnerech.

blobid2.png

Obrázek 3 – Ingress Controller balancující provoz na vstupu do kontejnerového prostředí

 

  • Řešení API Management a API Gateway. Moderní aplikace postavené na kontejnerech generují velké množství API volání. Tuto komunikaci je potřeba řídit, zabezpečit a monitorovat. Řešení na bázi NGINX Open Source je dnes nejrozšířenější API gateway na světě, využívá ho globálně miliony webových stránek. Na základě toho vznikl enterprise-grade produkt pro zákazníky s kvalitativními požadavky, kteří nechtějí nebo nemohou používat komunitní Open Source technologie.
  • Web Server pro distribuci statického obsahu. Využívá o 90% méně paměti než jiné webové servery a jeho komunitní Open Source verzi vyžívá 400 milionů webových stránek na celém světě, je to celosvětově nejpoužívanější web server.
  • Content Cache pro CDN pro dynamický i statický obsah. NGINX cache používají největší globální CDN.

 

Vítězné skóre 8:2? Konsolidované řešení F5 a NGINX vám tak umožní 8 různých technologií aplikačních služeb snížit na pouhé 2, což znamená mnohem jednodušší způsob správy ekosystému aplikací, nižší náklady a větší agilitu.

 

blobid3.png

 Obrázek 4 – Konsolidace aplikačních služeb a nástrojů pomocí F5 a NGINX

 

Naše finální vize je snížit počet platforem na cestě od aplikačního kódu k zákazníkovi, které lze integrovat s různými nástroji orchestrace, “enterprise-grade” nebo Open Source, počínaje Cisco ACI, Ansible, Openshift apod.

 

Důležitost centralizovaného managementu zaměřeného na aplikace

Pro efektivní správu aplikací je důležité mít nástroje pro analytiku, visibilitu a správu. Dny, kdy vlastník aplikace musel pomocí interního workflow oslovit provozní oddělení, zda je problém s dostupností jeho aplikace způsobený právě F5 či jinde, jsou pryč. Díky nástroji BIG-IQ může provozní oddělení definovat na základě RBAC (Role-Based-Access-Control) přístupy pro administrátory, vlastníky aplikací a vývojáře. Ti pak pomocí přehledného grafického dashboardu vidí status svých aplikací jak z pohledu dostupnosti, tak zabezpečení.

V BIG-IQ jsou pro ně také dostupné administrátory předpřipravené šablony/templaty, pomocí kterých si vývojáři sami nasazují nové aplikace. Pomocí templatů také mohou aplikovat novou bezpečnostní politiku na Web Aplikačním FW nebo nový DoS profil. Tyto templaty definuje a publikuje v BIG-IQ oddělení bezpečnosti.

Cílem je v organizaci nastolit transparentnost, pružnost v komunikaci a hlavně svobodu pro přístupu k aplikacím konkrétním týmům, majitelům aplikací, vývojářům. A odlehčit provozní oddělené sítě a bezpečnosti.

F5 5

           

Obrázek 5 – Ukázka aplikačního dashboardu v F5 BIG-IQ

 

Zatímco BIG-IQ je nástroj pro správu aplikací nasazených pomocí F5 BIG-IP, vývojáři ocení NGINX Controller – identické řešení pro aplikace nasazené přes NGINX Plus, který v poslední verzii 3.0 umožňuje konfiguraci prostřednictvím API, podporu RBAC, API management a po vzoru BIG-IQ přidává management zaměřený na aplikace.

 

Pro zákazníky, kterým dnes chybí jednotná visibilita, monitoring a analytika nad aplikacemi nejen nasazených pomocí F5 a NGINX,  je tu F5 Beacon (česky „Maják“). Ten jako „single pane of glass“ umožňuje pohled na všechny podnikové aplikace přes jedno hledí. F5 Beacon je dispozici jako SaaS, tedy webový portál, který běží v AWS. Umí sbírat telemetrii z F5, NGINX, dále Telegrafu (podporuje sběr z více než 170 zdrojů fungující jako plugin “agent” do serverů) a nástrojů Datadog Synthetics a Uptime Robot (sběr analytiky přes deklarativní API a Webkooky). Díky F5 Beacon výrazně snížíte počet nástrojů pro správu aplikací. Více na beacon.f5.com.

 F5 obrázek 6

Obrázek 6 – F5 Beacon jako Maják nad všemi podnikovými aplikacemi

 

 

Lepší aplikační visibilita ve finále pomůže efektivněji řešit incidenty, protože víte na co se během troubleshootingu máte zaměřit. A také víte, kde se aplikace nachází, kolik konzumuje zdrojů a tedy peněz. Děláte tedy správná rozhodnutí ve správný čas.

 

Aplikační služby v oblacích

F5 jako první firma na světě vynalezla v roce 1996 loadbalancer, jenž vznikl, aby snížil latenci při hraní počítačových her . V roce 2001 F5 uvedla na trh svoji vlastní HW appliance, díky níž se nakonec stala lídrem trhu ADC a WAF.

 

O pár let později F5 představila virtuální edice, které od první chvíle mají stejnou funkcionalitu jako hardware. Virtuální F5 je dnes k dispozici pro všechna klíčové hypervisory a prostředí – v privátním cloudu NSX, Openstack, Hyper-V a ve veřejném cloudu Azure, AWS, Google, IBM cloud, Alibaba Cloud a další. Virtuální edice je možné licencovat na bázi propustnosti nebo podle počtu využitých virtuálních kórů vCPU. Rodina NGINX Plus produktů je dostupná ve formě softwaru a licencování je per instance.

 

Multi-Cloud a výzvy

F5 dělá každý rok průzkum F5 State of Application Services (SOAS) v IT komunitě, nejen tedy mezi F5 zákazníky. Z nedávno publikovaného ročníku 2020 vyplývá, že 87% firem již má “multi-cloud” architekturu. Co to znamená? Stávající on-prem prostředí (nebo privátního cloudu) zákazníci kombinují s nasazením aplikací ve veřejném cloudu – většinou Azure nebo AWS, nebo využívají služby SaaS. Volbu prostředí, do jakého cloudu zákazníci aplikaci umístí, volí podle typu aplikace.

 

V Cloudu pozor na data a nedělejte z pohledu bezpečnosti kompromisy!  58% zákazníků uvedlo jako problém udržet stejnou úroveň zabezpečení a „compliance“ ve veřejném cloudu v porovnáním s tím, co mají nyní v privátním cloudu. V případě veřejného cloudu je potřeba si uvědomit princip sdílené zodpovědnosti (“shared responsibility”). Poskytovatel cloudu poskytuje dostupnost a bezpečnost cloudové infrastruktury. Zákazník si ručí za bezpečnost aplikací a jejích citlivých dat, za ochranu proti DoS/DDoS útokům, zabezpečení API, atd. Z reportu také vyplynulo, že 30% zákazníků čelí problémům, pokud chtějí migrovat aplikace mezi cloudy/datovými centry.

 

Konzistence znamená portabilitu. Společným jmenovatelem řešení těchto problémů je zajištění stejných aplikačních služeb napříč prostředími. Z pohledu bezpečnosti je velkým rizikem mít jinou úroveň zabezpečení ve veřejném cloudu resp. oproti on-premu dělat v cloudu kompromisy. Je potřeba si uvědomit, že za každou aplikací jsou citlivá data a v cloudu je potřeba je mít zabezpečené ideálně stejnými technologiemi jako v on-premu. Stejný rozsah funkcí aplikačních služeb “doma” i v cloudu umožní také zajistit flexibilní portabilitu aplikací mezi cloudy a eliminaci vendor lock-inu, protože ve všech prostředích stavíte aplikace identicky.

 

Automatizace

Multi-cloud je jeden z nástrojů digitální transformace. Organizacím to umožňuje být flexibilnější, protože přidávají kapacitu dle potřeby a stále mají k dispozici moderní infrastrukturu. Být efektivní ve správě multi-cloud architektury vyžaduje nasazení automatizace. Pokud nasazuji, konfiguruji a spravuji aplikační služby pomocí API volání a cloudových templatů, mohu tak činit identickým způsobem ve všech prostředích. To mě činí nezávislým a efektivním.

 

F5 dává zákazníkům k dispozici “F5 Automation Toolchain”, což je sada automatizačních nástrojů, které umožňují rychlejší a snadnější nasazení a konfiguraci aplikačních služeb F5 pomocí jednoduchých, ale výkonných deklarativních rozhraní. Deklarativní rozhraní se od imperativního, které jsme používali pro konfiguraci F5 doposud, liší jako způsob přípravy hamburgeru. Imperativní předpokládá, že všechny ingredience si pořídím sám, naučím se recept a podle něj hamburger připravíme. U deklarativního stačí zajít do McDonaldu a hamburger objednat, v kuchyni ho připraví za vás. Velkou výhodou deklarativního přístupu je, že nepotřebujete být expert na F5, stačí si najít vhodný template na clouddocs.f5.com nebo githubu a v syntaxi jen změnit parametry ve volání.

 

F5 Deklarativní Onboarding zjednodušuje počáteční konfiguraci platformy. Telemetry Streaming zajišťuje agregaci, normalizaci a předávání statistik a událostí analytickým aplikacím třetích stran jako Splunk, Dynatrace apod. Toolchain navíc umožňuje vývojářům flexibilně využívat aplikační služby od F5 pomocí integrace do svých CI/CD pipeline (metodika kontinuálního vývoje), orchestračních systémů a ekosystémů třetích stran. A od teď už vývojáři budou na bezpečnost aplikací myslet od počátku, protože bude součástí automatizovaných deklarativních volání v jejich CI/CD automatizaci, a bez dopadu na harmonogram spuštení nové služby! 

 

Podle F5 SOAS 2020 vývojáři majé jako nejoblíbenější nástroje pro automatizaci a orchestraci CI/CD pipeliny Python (30%), Ansible (25%) a GitHub Enterprise (13%), všechny jsou F5 Automation Toolchainem podporovány. F5 Toolchain je možné take kombinovat s BIG-IQ, NGINX Controllerem nebo F5 Beacon.

 

Z výsledků průzkumu SOAS jsme očekávali, že automatizace bude spojena s moderní architekturou mikrosklužeb, která je typická pro cloud-nativní aplikace. Byli jsme překvapeni, že zákazníci chtějí aplikovat automatizaci také na stávající monolitické aplikace. Vysvětlení? Některé aplikace jsou pro podnikání natolik důležité, že jejich provoz musí být modernizován s cílem zjednodušit operativu kolem upgradů a zvýšit dostupnost. S touto změnou se také zvyšuje potřeba zapojení Dev-Ops týmů.

 

 F5 obrázek 7

Obrázek 7 – Ukázka automatizačních a analytických nástrojů F5 v ekosystému multi-cloudu. F5 BIG-IQ nebo NGINX Controller na bázi GUI pro vlastníky aplikací a CI/CD na bázi deklarativních API volání pro vývojáře.

 

S F5 a NGINX Plus snížíte počet použitých nástrojů a náklady na provozování webových serverů, loadbalancerů, ingress controllerů, API GW, WAF. Zamezíte také vendor-lockinu v multi-cloud prostředí a podstatně zlepšíte spolupráci ve vaší organizaci, protože všechny týmy budou používat stejné nástroje, ale udrží si své vlastní odpovědnosti díky Role-Based-Access-Control. Vývojáři a security budou konečně schopni spolupracovat, aniž by si navzájem zasahovali do práce a spíše se budou doplňovat.

 

Nebojte se změny

Z diskusí se zákazníky víme, že někteří stále přemýšlejí o novém způsobu nasazení aplikací, někteří ale již začali cestu k digitalizaci, softwaru, Dev-Ops a automatizovanému způsobu práce. F5 a NGINX může zákazníkům s takovou transformací pomoci. Doporučujeme zákazníkům nasazovat řešení F5 a NGINX společně díky jedinečnosti této kombinace. Umožní to zlepšit aktuální výkon aplikací a povýšit aplikace na vyšší úroveň díky moderní architektuře a automatizaci přenosné napříč různými cloudovými prostředími.

 

 

 

 

Představení F5

F5 je lídr v oblasti aplikačních služeb. Řešení F5 pro svoje kritické aplikace využívá 25.000 organizací po celém světě. V ČR se na F5 spoléhají státní instituce a polostátní firmy provozující KII státu, kraje, 8 z 9 největších bank, velké komerční firmy, nějvětší čeští operátoři, atd.

 

Představení NGINX

NGNIX je jedním z dosud největších a nejúspěšnějších SW projektů. Má velkou Open Source komunitu a za poslední desetiletí se stal velmi úspěšným. Tak úspěšný, že na NGINX softwaru dnes běží 400M webových serverů a jako základní kámen ho využívají největší světové CDN.

 

 

 

Filip Kolář, F5 Networks ČR, f.kolar@f5.com

 

 

 

 

Představení F5 

F5 je lídr v oblasti aplikačních služeb. Řešení F5 pro svoje kritické aplikace využívá 25 000 organizací po celém světě. V ČR se na F5 spoléhají státní instituce a polostátní firmy provozující KII státu, kraje, 8 z 9 největších bank, velké komerční firmy, nějvětší čeští operátoři atd. 

 

Představení NGINX

NGNIX je jedním z dosud největších a nejúspěšnějších SW projektů. Má velkou Open Source komunitu a za poslední desetiletí se stal velmi úspěšným. Tak úspěšný, že na NGINX softwaru dnes běží 400M webových serverů a jako základní kámen ho využívají největší světové CDN.

 

 

 

EG - 1/2020 

 

 

inPage - webové stránky s AI, doménawebhosting