【.com原创稿件】专家介绍: 吴静涛,F5大中华区首席技术官。1999年开始进入应用交付的前身-负载均衡领域,2002年加入F5Networks,能够从系统架构层面如何进行灵捷部署提出自己的独到见解,涉及技术包括应用高可用技术,优化技术和应用安全防护技术等,对互联网的新技术有深入理解与掌控。
在未来科技时代,应用交付应该如何发展?
过去,金融、电信行业的大客户非常乐意选择F5的双活数据中心解决方案,因为F5的这个解决方案能够快速地把一个容灾中心变成可以同时使用的双活的数据中心,投资回报率等于翻一倍。
随着时代发展,这些客户开始希望在公有云、私有云与混合云构建之间,找到一个新的平衡点。有的客户已经拥有了一个非常好的运行的双活数据中心,可同时又想选择另外一个公有云。众所周知,自己搭建的数据中心和公有云的环境不同,运营方式也不相同,以应用交付的安全策略为例,不同公有云之间的运行方法都不一致。那么究竟该如何保证客户自己的双活数据中心、公有云,乃至不同云之间,都能取得一个完全一致的应用交付策略呢?
吴静涛,F5大中华区首席技术官
这个问题是很多客户的困惑,也是F5努力的方向之一。F5希望在新科技云集的环境下,帮助企业客户来解决这样一个最直接的一个挑战。
F5认为,第一步客户需要在传统的数据中心的南北流量中,能够享有更好的应用交付服务;第二步是在不同的云环境中,如何能更好地在应用与应用之间进行东西流量的调度。这其中涉及到很多方面的协同,例如如何在同一个平台上实现DevOp的操作,实现同平台的交付跟调度、外部移动互联网用户如何优化、新的安全隐患如何化解,如何做应用级别甚至API级别的可编程对抗防护,这将是一个探索、研发和产出并进的阶段。
当南北流量进入双活数据中心之后……
当南北流量从外边的用户端到达客户的双活数据中心之后,用户应该采用什么样的应用交付技术?F5最近就在针对全平台做硬件性能的大幅度提升。过去每过两三年,F5都会提升一次平台性能,以配合业界的发展。
BIG-IP的2000系列将慢慢退出市场,新一代的平台是i2600、i4600一系列的X600为模板的系列,该系列最大的特色就是在价格不变的前提下,性能翻倍。过去F5其产品性能一直引领应用交付市场,现在国家再次在推倡客户接入带宽升级,那么随着越来越多的带宽的接入,就必然要求客户的数据中心有更大的吞吐。所以在这个时间段,F5适时推出下一代的高性能平台,能够对南北的流量进入提供一个更好的应用交付服务。
除了性能需要提升之外,应用的环境也发生了很大的变化。现在绝大多数应用都不仅仅是一个WEB、APP、DB这样一个简单的环境,例如一个用户在接入的过程中,可能首先通过一个登录认证的网关,同时还可能涉及到GPS定位的网关、支付的网关,很多都是由API接口构成的一个复杂环境。传统的负载均衡或者应用交付能力已经不太能满足实际的需求。
对此F5的构想是希望在云端各个API接口调用的过程中,能够以虚机的形式,在Docker的环境里实现对东西流量的交付服务。这是一个全新的架构,它在私有云、公有云中,特别是在Docker跟DevOps的环境当中,将会起到非常重要的作用。
如何做同平台的调度?
有一个现象大家生活中很常见:当人们打开手机端的APP,从办公室走向停车场时,网络由Wi-Fi变成普通4G,很明显,手机端网络接入的原地址会改变。那么当客户端的SourceIP原地址变更了,在数据中心服务的过程当中,系统是否会认为这不是一个人,从而中断应用服务?进而要求客户重新登录认证?
这样的处理方式客户肯定不能接受。那么应该如何处理呢?F5有非常好的解决办法:在双活数据中心跟云的过渡过程中,F5可以实现在客户端第一次进来登录认证完成之后,F5给他分配了一个DCID,不论接入环境如何改变,只要DCID不变,系统都可以快速判断出该用户整个服务链路,于是可以仍然在原地址上继续提供服务,确保用户应用不中断。
毫无疑问,这是在多云调度过程中必须实现的一个技术,也是F5在推广同平台服务时,客户经常咨询的一个现象。F5的愿景是希望让客户的应用在数据中心、在不同云环境中,都能够以统一平台去做调度实现,而且在每个调度的过程当中都可以经过API接口直接调用,而不是以前的人工手工配置。
移动应用如何优化?
现如今App使用率越来越高,手机银行短短几年内就占据了网银一半的客户访问量,而且这个比例还在不断升高。APP的使用率越来越高,这同时也意味着对移动用户的优化正在成为一个非常重要的课题。
F5曾在数据中心做应用监控过程中发现,有时候从数据中心的运维角度去看,客户访问非常正常,没有任何问题,但实际上却不断接到移动用户的投诉。这显然给用户的使用带来非常不好的体验。F5认为,真正以用户为中心的新的平台建设过程当中,每一个用户都非常重要,因此移动应有的优化需要做的更加合理普遍。以一家银行客户为例,银行的外网通过不同的运营商十几条线路接入互联网,运营商的路由协议BGP每两周调整一次,这可能导致有的客户接入网络的链路会比较曲折,有的山西用户要通过日本路由地址才能接回数据中心,速度慢,体验非常差。
为了解决这个问题,F5能够根据用户的实际需求,每两个星期或者每个月进行一次准动态的调整,配合外网真实变化。如此一来,在完全不增加带宽成本的情况下,就可以提高外网用户实时体验。这就是F5为了优化用户体验所做的努力。
可编程的现场对抗,带来更高水准的安全防护
F5目前是全球应用安全防火墙最高出货量的厂商,没有之一。在过去的几年里,F5对应用安全的投入越来越高。那么F5究竟如何在应用安全领域帮助客户的呢?
首先来看看API和Serverless(无服务器架构)。在过去的两三个月里,Serverless非常流行,它给大家提供一个可能性,让应用被越多越多的拆开,变成各个组件跟模块,各个组件跟模块之间都以互相调用来组成最后的应用服务。事实上,最初这些模块都是给内部做调度使用的,并没有安全方面的考虑,但是当这些API打包给外部提供服务时,就有可能遭受到安全攻击,出现异常流量。
那么对 API的防护应该如何去操作呢?其实客户真正需要的是在用户现场,用编程的方式去对应用进行安全加固。每个API都由自己去研发加固的可能性不大,更可行的方法是用一个可编程的对抗体系去在现场根据应用特征,根据API实际需求做好应用安全防护与链接管理,以及加固服务,这恰恰是F5的强项。在可编程方面、现场处理方面、应用配合方面,F5可以完全地搭建出API整个安全防护体系,保障应用的安全。
目前市场常规的安全解决方案,无论是防火墙、IPS、IDS、ICS,还是WAF,大多数都只能防范一些固定的、有特征的或者是已知的攻击与异常流量。如果在一个10G流量的攻击中,有DDoS攻击,也有RST攻击或半连接攻击,例如在一个特定的链接上有5000个访问,其中有一条是未知的攻击流量,那么几乎没有任何安全可以进行有效防护。F5认为现在绝大部分态势感知系统都可以做到非常好的数据收集与分析,但事实上如何去控制现网的业务流量,去控制应用路由,实际上是要通过API接口,能够让设备用可编程的方式做现场对抗的一个过程。可编程的现场对抗正是F5在安全防护中更大的一个优势。
F5现在已经正式的把自己的Application Delivery Controller的名字改成了Integrated ApplicationService这样一个完全整合应用服务的新理念。希望能够帮助大企业客户在未来发展过程中,特别在交付服务方面能够没有后顾之忧,更快速地支持到自己的业务。