Konsolidujte, automatizujte, prejdite do cloudu!

Dlhý time-to-market pre nové aplikácie. Zložitá infraštruktúra. Vysoké prevádzkové náklady. Prechod z monolitických na API based aplikácie. Chýbajúce prvky zaisťujúce aplikačnú bezpečnosť a ochranu proti DDoS útokom. Nízka alebo žiadna úroveň automatizácie. Sú Vám tieto témy blízke? Poďte sa pozrieť na to, ako sa na tieto oblasti pozerá F5 a ako Vám môže pomôcť na ceste k digitalizácii s cieľom znížiť náklady.

3 výzvy pre modernú organizáciu

Užívateľská skúsenosť a bezpečnosť. Základným predpokladom je vytvoriť užívateľsky prívetivú aplikáciu, ale druhá vec je, aby bola dostupná a bežala hladko, aplikácia teda musí škálovať podľa potreby. Každá moderná služba musí byť dostupná na webe a ako mobilná aplikácia. V neposlednom rade musí byť bezpečná, aby nedošlo k úniku citlivých dát, čo je kritické najmä v oblasti verejných portálov štátnej správy.

Rýchlosť, agilita. Druhou výzvou je schopnosť rýchlo zavádzať nové služby. Celý svet IT smeruje k digitalizácii. Neustále vzniká potreba vyvinúť nové funkcie, nové aplikácie, vďaka ktorým bude organizácia efektívnejšia a úspešnejšia. V súkromnej sfére sa to javí ako samozrejmosť, ale v štátnom aparáte ide o občanov a vo finále aj o politické body.

Väčšina organizácií dnes využíva monolitický typ aplikácií založený na aplikačnom vývoji typu "waterfall", teda navrhnem, vyviniem, otestujem, až potom nasadím. Celý proces trvá spravidla 6 až 12 mesiacov. V poslednom desaťročí sa to ale mení práve kvôli rastúcim požiadavkám na rýchlosť, keď je potrebné spustiť nové služby do niekoľkých dní alebo týždňov. Novým prístupom sú mikroslužby postavené na API, na základe ktorých je založených veľa moderných aplikácií a služieb ako napr. Netflix a pod. Na prevádzkovanie mikroslužieb sa musí organizácia zmeniť a prijať kultúru Dev-Ops, v ktorej sú vývojové, bezpečnostné a infraštruktúrno-prevádzkové tímy úzko prepojené. To umožňuje oveľa rýchlejší vývoj a spustenie nového kódu.

Vysoké náklady. Organizácie implementujúce Dev-Op optimalizujú aj náklady, pretože vývoj trvá kratší čas a príprava aplikačných služieb je jednoduchšia. Každá aplikácia, aby korektne fungovala, potrebuje sieťové a aplikačné služby (L4-L7) - od loadbalancing, SSL off-load až po aplikačnú bezpečnosť vrátane DDoS ochrany. Dnes je bežné, že časti aplikačných služieb sú zabezpečované rôznymi dodávateľmi, čo zvyšuje investičné aj prevádzkové náklady a limituje možnosti automatizácie. Navyše potrebujete mať špecialistov na každú z týchto technológií.

3 výzvy = 3 chyby

Spomínané výzvy poukazujú na 3 kľúčové chyby, ktoré dnes organizácie robia.

Vendor lock-in. Jedna z týchto chýb sa vracia do čias mainframov, týka sa infraštruktúrneho "lock-inu" alebo zamknutia sa na konkrétnu cloudovú infraštruktúru. A to sa dnes deje aj v prípade prechodu na mikroslužby, keď zákazníci migrujú do cloudu. Problém je však v tom, že infraštruktúrne lock-in obmedzuje prenositeľnosť aplikácií medzi rôznymi poskytovateľmi cloud prostredí. Každá aplikácia vyžaduje už spomínané aplikačné služby, bez ohľadu na to, kde je umiestnená. A to platí tak pre privátny, ako aj pre verejný cloud. Poskytovatelia cloudovej infraštruktúry ponúkajú aplikačné služby, ale s obmedzenou a hlavne proprietárnou funkcionalitou. Ak sa zákazník rozhodne prejsť napr. z AWS do iného cloudu neskôr alebo rozšíriť existujúce privátne vmware prostredie o Azure, infraštruktúrne "odomknutie" je veľkou výzvou a portabilita služieb významne obmedzená.

Bezpečnosť aplikácií až na poslednom mieste. Druhá prekážka súvisí so zabezpečením aplikácií a s konfiguráciou sietí. Ak sa v organizácii vyvíja nová aplikácia, vývojári väčšinou na jej zabezpečenie vôbec nemyslia, pretože prioritou je dodať funkcionalitu. Na druhej strane tímom IT bezpečnosti nejde ani tak o rýchlosť, ale o zabezpečenie a spoľahlivosť siete. Je teda potrebné integrovať vývojové, bezpečnostné a sieťové tímy a zapojiť bezpečnosť do procesu už od počiatočnej fázy definovania požiadaviek.

Príliš veľa manažmentu "Tool". Tretia chyba sa týka množstva nástrojov na správu a monitoring používaných v organizácii. Rôzne tímy používajú rôzne nástroje na plnenie svojich funkcií a povinností, čo vedie k zložitosti a vyšším nákladom. A to je nepriateľ obchodnej flexibility. To je priamo prepojené s multi-vendor riešeniami – rôzne API per vendor.

Monolitická architektúra vs. Mikroslužby

Poďme sa pozrieť na možnosti architektúry systémov a softvérového kódu aplikácie. V tradičnej monolitickej architektúre potrebujeme webový server, aplikačný server a reverzný proxy. Architektúra mikroslužieb (), a kontajnerov je postavená na Ingress Controlleru reverznej proxy a tiež Service Mesh (nástroj na vzájomnú komunikáciu medzi mikroslužbami), komunikujúce medzi sebou pomocou API.

Obrázok 1 - Monolitická vs. architektúra mikroslužieb na príklade riešenia NGINX Plus a Kubernetes Ingress Controlleru (K8s IC) a Service Mesh (Sidecar proxy)

Jednou z vecí, ktoré majú ale všetky aplikácie spoločné, sú aplikačné služby v dátovej ceste od užívateľa k aplikácii, služby, ktorých cieľom je poskytovať užívateľom skvelú užívateľskú skúsenosť a aplikáciám potrebnú ochranu. Tento reťazec služieb zahŕňa L4 a L7 loadbalancing, aplikačnú bezpečnosť, API gateway, ochranu proti DDoS útokom, DNS, prípadne Content Delivery Network (CDN) na rýchlejšie doručovanie webového obsahu užívateľovi.

Vo väčšine prípadov všetky tieto riešenia pochádzajú od rôznych dodávateľov a sú získané a prevádzkované rôznymi tímami v organizácii - sieťovej prevádzky, vývojármi, architektmi, Dev-Ops alebo sú poskytované ako služba 3. strany (napr. DDoS). Každé z tých "silo" riešení tiež pridáva latenciu, ktorá sa pohybuje rádovo až v stovkách milisekúnd a navyše znamená potenciálny "point-of-failure".

Obrázok 2 - "Silo" aplikačné služby na ceste od aplikačného kódu k zákazníkovi

Ako v tom všetkom môže pomôcť F5 a NGINX?

Tento prístup so sebou nesie veľa komplexnosti. Vízia, ktorú majú F5 a NGINX dohromady, je konsolidácia týchto aplikačných služieb s cieľom znížiť zložitosť, znížiť náklady, skrátiť čas uvedenia nových služieb na trh a vo finále zjednodušiť život firmám a štátnym organizáciám.

F5 Networks s produktom BIG-IP je známy ako líder v oblasti:

  • Loadbalancingu vr. terminácie TLS/SSL (Application Deliver Controller - ADC),
  • Bezpečnosti webových aplikácií (Web Aplikačný Firewall - WAF). 

Okrem toho na jednom fyzickom alebo virtuálnom zariadení BIG-IP sú dostupné tieto aplikačné služby:

  • DNS alebo Global Service Loadbalancing (loadbalancing medzi geo lokáciami),
  • Datacenter firewall,
  • L3/L4 DDoS ochrana proti volumetrickým útokom,
  • L7 DDoS proti aplikačným DoS útokom vrátane mitigácie zlých BOTov.

Služby DNS a anti-DDoS možno tiež konzumovať z cloudu, ktorý umožňuje lepšie sa vyrovnať s prevádzkovými špičkami alebo veľkými volumetrickými útokmi zahlcujúcimi uplink.

NGINX technológia vždy bola prirodzenou prvou voľbou pre vývojárov. Práve v Dev-Ops komunite patril NGINX k hlavným F5 konkurentom ako jednoduchý softvérový loadbalancer. Dnes je súčasťou rodiny F5 a s produktom NGINX Plus sa skvele dopĺňa:

NGINX Ingress Controlleru pre Kubernetes, čo je najrozšírenejší orchestračný nástroj pre kontajnery v architektúre mikroslužieb. NGINX Ingress controller rieši loadbalancing, termináciu TLS/SSL, modifikácie URI, session perzistenciu a pod. v prípade aplikácií nasadených v kontajneroch.

Obrázok 3 - Ingress Controller balansujúca prevádzka na vstupe do kontajnerového prostredia

  • Riešenia API Management a API Gateway. Moderné aplikácie postavené na kontajneroch generujú veľké množstvo API volaní. Túto komunikáciu je potrebné riadiť, zabezpečiť a monitorovať. Riešenie na báze NGINX Open Source je dnes najrozšírenejší API gateway na svete, globálne ho využívajú milióny webových stránok. Na základe toho vznikol enterprise-grade produkt pre zákazníkov s kvalitatívnymi požiadavkami, ktorí nechcú alebo nemôžu používať komunitné Open Source technológie.
  • Web Server na distribúciu statického obsahu. Využíva o 90% menej pamäte ako iné webové servery a jeho komunitná Open Source verzia vyžíva 400 miliónov webových stránok na celom svete a je to celosvetovo najpoužívanejší web server.
  • Content Cache pre CDN pre dynamický aj statický obsah. NGINX cache používajú najväčšie globálne CDN.

Víťazné skóre 8:2? Konsolidované riešenia F5 a NGINX vám tak umožnia 8 rôznych technológií aplikačných služieb znížiť na len 2, čo znamená oveľa jednoduchší spôsob správy ekosystému aplikácií, nižšie náklady a väčšiu agilitu. 

Obrázok 4 - Konsolidácia aplikačných služieb a nástrojov pomocou F5 a NGINX

Naša finálna vízia spočíva v znížení počtu platforiem na ceste od aplikačného kódu k zákazníkovi, ktoré je možné integrovať s rôznymi nástrojmi orchestrácie, "enterprise-grade" alebo Open Source, počnúc Cisco ACI, Ansible, Openshift a pod.

Dôležitosť centralizovaného manažmentu zameraného na aplikácie

Na efektívnu správu aplikácií je dôležité mať nástroje na analýzu, viditeľnosť a správu. Dni, kedy vlastník aplikácie musel pomocou interného workflow osloviť prevádzkové oddelenie, či je problém s dostupnosťou jeho aplikácie spôsobený práve F5 alebo inde, sú preč. Vďaka nástroju BIG-IQ môže prevádzkové oddelenie definovať na základe RBAC (Role-Based-Access-Control) prístupy pre administrátorov, vlastníkov aplikácií a vývojárov. Tí potom pomocou prehľadného grafického dashboardu vidia status svojich aplikácií ako z pohľadu dostupnosti, tak aj zabezpečenia.

V BIG-IQ sú pre nich tiež dostupné administrátormi predpripravené šablóny, pomocou ktorých si vývojári sami nasadzujú nové aplikácie. Pomocou šablón môžu taktiež aplikovať novú bezpečnostnú politiku na Web Aplikačnom FW alebo nový DoS profil. Tieto šablóny definuje a publikuje v BIG-IQ oddelenie bezpečnosti.

Cieľom je nastoliť v organizácii transparentnosť, pružnosť v komunikácii a hlavne slobodu prístupu k aplikáciám konkrétnym tímom, majiteľom aplikácií, vývojárom. A odľahčiť prevádzkové oddelené siete a bezpečnosti.

 

Obrázok 5 - Ukážka aplikačného dashboardu v F5 BIG-IQ

Kým BIG-IQ je nástroj na správu aplikácií nasadených pomocou F5 BIG-IP, vývojári ocenia NGINX Controller - identické riešenia pre aplikácie nasadené cez NGINX Plus, ktorý v poslednej verzii 3.0 umožňuje konfiguráciu prostredníctvom API, podporu RBAC a podľa vzoru BIG-IQ pridáva tzv. application centric manažment.

Lepšia aplikačná viditeľnosť vo finále umožní efektívnejšie riešenie problémov, pretože viete, na čo sa počas troubleshootingu máte zamerať a robíte správne rozhodnutia v správny čas.

Aplikačné služby v oblakoch

F5 ako prvá firma na svete vynašla v roku 1996 loadbalancer, ktorý vznikol, aby znížil latenciu pri hraní počítačových hier ☺.

V roku 2001 F5 uviedla na trh svoju vlastnú HW appliance, vďaka ktorej sa nakoniec stala lídrom trhu ADC a WAF.

O pár rokov neskôr F5 predstavila virtuálne edície, ktoré majú od prvej chvíle rovnakú funkcionalitu ako hardvér. Virtuálna F5 je dnes k dispozícii pre všetky kľúčové hypervízory a prostredia - v privátnom cloude NSX, OpenStack, Hyper-V a vo verejnom cloude Azure, AWS, Google, IBM cloud, Alibaba Cloud a ďalšie. Virtuálne edície je možné licencovať na báze priepustnosti alebo podľa počtu využitých virtuálnych korov vCPU. Rodina NGINX Plus produktov je dostupná vo forme softvéru a licencovanie je per instance.

Multi-Cloud a výzvy

F5 robí každý rok prieskum F5 State of Application Services (SOAS) v IT komunite, nielen teda medzi F5 zákazníkmi. Z nedávno publikovaného ročníka 2020 vyplýva, že 87% firiem už má "multi-cloud" architektúru. Čo to znamená? Existujúce on-prem prostredia (alebo privátneho cloudu) zákazníci kombinujú s nasadením aplikácií vo verejnom cloude - väčšinou Azure alebo AWS, alebo využívajú služby SaaS. Voľbu prostredia, do akého cloudu zákazníci aplikáciu umiestnia, volia podľa typu aplikácie.

V Cloude pozor na dáta a nerobte z pohľadu bezpečnosti kompromisy! 58% zákazníkov uviedlo ako problém udržať rovnakú úroveň zabezpečenia a „compliance" vo verejnom cloude v porovnaním s tým, čo majú teraz v privátnom cloude. V prípade verejného cloudu je potrebné si uvedomiť princíp zdieľanej zodpovednosti ("shared responsibility"). Poskytovateľ cloudu poskytuje dostupnosť a bezpečnosť cloudovej infraštruktúry. Zákazník si ručí za bezpečnosť aplikácií a ich citlivých dát, za ochranu proti DoS/DDoS útokom, zabezpečenie API, atď. Z reportu tiež vyplynulo, že 30% zákazníkov čelí problémom, ak chcú migrovať aplikácie medzi cloudmi/dátovými centrami.

Konzistencia znamená portabilitu. Spoločným menovateľom riešenia týchto problémov je zabezpečenie rovnakých aplikačných služieb naprieč prostrediami. Z pohľadu bezpečnosti je veľkým rizikom mať inú úroveň zabezpečenia vo verejnom cloude, resp. oproti on-premu robiť v cloude kompromisy. Je potrebné si uvedomiť, že za každou aplikáciou sú citlivé dáta a v cloude je ich potrebné mať zabezpečené ideálne rovnakými technológiami ako v on-preme. Rovnaký rozsah funkcií aplikačných služieb "doma" aj v cloude umožní tiež zabezpečiť flexibilnú portabilitu aplikácií medzi cloudmi a elimináciu vendor lock-inu, pretože vo všetkých prostrediach staviate aplikácie identicky.

Automatizácia

Multi-cloud je jeden z nástrojov digitálnej transformácie. Organizáciám to umožňuje byť flexibilnejšie, pretože pridávajú kapacitu podľa potreby a stále majú k dispozícii modernú infraštruktúru. Byť efektívny v správe multi-cloud architektúry vyžaduje nasadenie automatizácie. Ak nasadzujem, konfigurujem a spravujem aplikačné služby pomocou API volaní a cloudových templátov, môžem tak robiť identickým spôsobom vo všetkých prostrediach. To ma robí nezávislým a efektívnym.

F5 dáva zákazníkom k dispozícii "F5 Automation Toolchain", čo je súbor automatizačných nástrojov, ktoré umožňujú rýchlejšie a jednoduchšie nasadenie a konfiguráciu aplikačných služieb F5 pomocou jednoduchých, ale výkonných deklaratívnych rozhraní. Deklaratívne rozhranie sa od imperatívneho, ktoré sme používali na konfiguráciu F5 doteraz, líši ako spôsob prípravy hamburgeru. Imperatívne predpokladá, že všetky ingrediencie si zaobstarám sám, naučím sa recept a podľa neho hamburger pripravíme. V prípade deklaratívneho stačí zájsť do McDonaldu a hamburger objednať, v kuchyni ho pripravia za vás. Veľkou výhodou deklaratívneho prístupu je, že nepotrebujete byť expert na F5, stačí si nájsť vhodný template na clouddocs.f5.com alebo GitHube a v syntaxi len zmeniť parametre vo volaní.

F5 Deklaratívny Onboarding zjednodušuje počiatočnú konfiguráciu platformy a Telemetry Streaming na agregáciu, normalizáciu a odovzdávanie štatistík a udalostí analytickým aplikáciám tretích strán ako Splunk, Dynatrace a pod.

Toolchain navyše umožňuje vývojárom flexibilne využívať aplikačné služby od F5 pomocou integrácie do svojich CI/CD pipeline (metodika kontinuálneho vývoja), orchestračných systémov a ekosystémov tretích strán. A od teraz už vývojári budú na bezpečnosť aplikácií myslieť už od začiatku, pretože bude súčasťou automatizovaných deklaratívnych volaní v ich CI/CD automatizácii, a bez dopadu na harmonogram spustenia novej služby!

Podľa F5 SOAS 2020 vývojári majú ako najobľúbenejšie nástroje na automatizáciu a orchestráciu CI/CD Pipeline Python (30%), Ansible (25%) a GitHub Enterprise (13%), všetky sú F5 Automation Toolchainem podporované. F5 Toolchain je možné tiež kombinovať s BIG-IQ alebo Nginx Controllerom.

Z výsledkov prieskumu SOAS sme očakávali, že automatizácia bude spojená s modernou architektúrou mikrosklužieb, ktorá je typická pre cloud-natívne aplikácie. Boli sme prekvapení, že zákazníci chcú aplikovať automatizáciu taktiež na existujúce monolitické aplikácie. Vysvetlenie? Niektoré aplikácie sú pre podnikanie natoľko dôležité, že ich prevádzka musí byť modernizovaná s cieľom zjednodušiť operatívu okolo upgradov a zvýšiť dostupnosť. S touto zmenou sa tiež zvyšuje potreba zapojenia Dev-Ops tímov.

 

Obrázok 6 - Ukážka automatizačných a analytických nástrojov F5 v ekosystéme multi-cloudu. BIG-IQ na báze GUI pre vlastníkov aplikácií a CI/CD na báze deklaratívnych API volaní pre vývojárov.

S F5 a NGINX Plus znížite počet použitých nástrojov a náklady na prevádzkovanie webových serverov, loadbalancerov, Ingress controllerov, API GW, WAF. Zamedzíte tiež vendor-lockinu v multi-cloud prostredí a podstatne zlepšíte spoluprácu vo vašej organizácii, pretože všetky tímy budú používať rovnaké nástroje, ale udržia si svoje vlastné zodpovednosti vďaka Role-Based-Access-Control. Vývojári a bezpečáci budú konečne schopní spolupracovať, bez toho, aby si navzájom zasahovali do práce a skôr sa budú dopĺňať.

Nebojte sa zmeny

Z diskusií so zákazníkmi vieme, že niektorí stále premýšľajú o novom spôsobe nasadenia aplikácií, niektorí ale už začali cestu k digitalizácii, softvéru, Dev-Ops a automatizovanému spôsobu práce. F5 a NGINX môže zákazníkom s takouto transformáciou pomôcť. Zákazníkom odporúčame nasadzovať riešenia F5 a NGINX spoločne vďaka jedinečnosti tejto kombinácie. Umožní to zlepšiť aktuálny výkon aplikácií a povýšiť aplikácie na vyššiu úroveň vďaka modernej architektúre a automatizácii prenosnej naprieč rôznymi cloudovými prostrediami.

  • Vzdialený prístup k firemným aplikáciám
  • Centralizované riešenia TLS/SSL na perimetri
  • Ochrana proti webovým podvodom
  • Konsolidované riešenia DDoS

Predstavenie F5

F5 je líder v oblasti aplikačných služieb. Riešenie F5 pre svoje kritické aplikácie využíva 25.000 organizácií po celom svete. V SR sa na F5 spoliehajú štátne inštitúcie a pološtátne firmy prevádzkujúce kritickú infraštruktúru štátu, väčšina bánk, veľké komerčné firmy, výrobné podniky, najväčší Slovenskí operátori, atď.

Predstavenie NGINX

NGNIX je jedným z doteraz najväčších a najúspešnejších SW projektov. Má veľkú Open Source komunitu a za posledné desaťročia sa stal veľmi úspešným. Natoľko úspešný, že na NGINX SW dnes beží 400M webový server a ako základný kameň ho využívajú najväčšie svetové CDN.