Deutscher Dienstanbieter sichert Netzwerkdienste mit F5 und NGINX

SysEleven erreicht hohe Verfügbarkeit, Leistung, Sicherheit und Skalierbarkeit

Der 2007 gegründete Berliner Service-Provider SysEleven GmbH beschäftigt mehr als 100 Mitarbeiter und bietet Premium-Cloud-Dienste für einige der größten Unternehmen in Deutschland. SysEleven bietet vollständig virtualisierte, robuste Cloud-Plattformen an und ist seit 2018 Mitglied der Cloud Native Computing Foundation (CNCF) und zertifizierter Kubernetes-Provider.

SysEleven bietet einen vertikalen Technologiestapel für seine Dienste, darunter Managed Cloud Services, eine OpenStack Public Cloud, Kubernetes-as-a-Service sowie Netzwerk- und Carrier-Dienste auf Wunsch ausschließlich in deutschen Rechenzentren. Das Unternehmen bietet seinen Kunden mehr als nur Serverkapazitäten. Mit einem breit angelegten, adaptiven Ansatz analysiert das Unternehmen die Anwendungseinstellungen seiner Kunden und findet die optimale Lösung für Leistung, Rentabilität und Stabilität.

„Wir wollen ein erstklassiges Unternehmen auf dem Gebiet der Anwendungskontinuität und der Cloud-Einführung sein. Um unseren Kunden zum Erfolg zu verhelfen, heben wir uns von den meisten Managed-Service-Anbietern ab, indem wir eine vertikale Integration aller Anwendungsebenen anbieten. Egal, ob der Kunde eine vollständig verwaltete Cloud-Plattform, Infrastructure-as-a-Service, Kubernetes-as-a-Service oder Internetzugang benötigt – er erhält ein Höchstmaß an Qualität und persönlichem Support. Unsere Kunden haben die Freiheit, ihre eigene Infrastruktur zu wählen, von unserer eigenen Cloud- und Kubernetes-Plattform bis hin zu Plattformen von Drittanbietern wie AWS oder Azure.

Derzeit verwalten wir rund 6000 virtuelle Umgebungen für unsere Kunden. Mit unserer NEO-Methode (Navigate – Educate – Operate) stehen wir unseren Kunden von der Serviceberatung und -gestaltung über die Schulung von Admins und Entwicklern bis hin zu vollständig verwalteten Diensten zur Seite“, sagt Marc Korthaus, Geschäftsführer der SysEleven GmbH.

SysEleven nutzt Lösungen von F5 Networks und NGINX, um vielseitige und robuste Cloud-Dienste anzubieten. Damit kann das Berliner Unternehmen sowohl für eigene Anwendungen als auch für benutzerdefinierte Anwendungen Dienste mit den bestmöglichen Funktionen für einen Lastenausgleich und Sicherheit nutzen.

Die Herausforderung

Als Cloud-Partner und Managed-Service-Anbieter sind hohe Verfügbarkeit und Stabilität entscheidend, um sich auf dem Markt zu behaupten. Der Erfolg seiner Kunden beruht auf der Fähigkeit von SysEleven, einen vielseitigen und robusten Cloud-Service anzubieten.

„Unsere Kunden vertrauen darauf, dass neue Setups schnell und effizient in Betrieb genommen werden können – mit rechtzeitiger Feinabstimmung, Fehlerbehebung und Wartung“, erklärt Jens Plogsties, Leiter der Infrastruktur. „Sie verlassen sich auf die Beständigkeit unserer Dienste und auf unseren flexiblen Support. Wir bieten jedem Kunden ein einzigartiges, isoliertes Setup mit einem dedizierten Load-Balancer. Dies ist nur mit leistungsstarken und hoch skalierbaren Lösungen möglich.“

Da die Lösungen von SysEleven Kundeninstallationen von bis zu 6000 virtuellen Hosts unterstützen, müssen sie hochgradig skalierbar und anpassungsfähig sein, um die höchsten Standards für Geschwindigkeit und Zuverlässigkeit zu gewährleisten und gleichzeitig Serviceunterbrechungen auf ein absolutes Minimum zu beschränken.

Eine der Herausforderungen, mit denen das Unternehmen konfrontiert ist, ist die Bewältigung großer Aufkommen im Internetverkehr der Kunden, die in der Regel durch Fernseh- oder Newsletter-Werbung verursacht werden. Die Cloud-Umgebungen von SysEleven müssen robust und flexibel genug sein, um diese Datenverkehrsspitzen zu bewältigen und Ausfälle zu vermeiden, die zu Umsatzeinbußen oder Rufschädigung bei den Kunden führen könnten.

Die Lösung

Da die Anforderungen der Kunden immer weiter steigen, musste SysEleven seine Infrastruktur aktualisieren, um ihren Bedürfnissen gerecht zu werden. Die ursprüngliche Open-Source-Plattform NGINX wurde mit NGINX Plus erweitert, um mehr Möglichkeiten für den Kundenservice und eine bessere Kontrolle über eingehende Anfragen an die Cloud-Umgebung zu bieten. Diese Lösung wird vor allem in den Bereichen Lastenausgleich, Kubernetes-Ingress, Container und Sicherheit eingesetzt. Darüber hinaus nutzt SysEleven jetzt F5 BIG-IP i5800 Cluster mit dem LTM-Modul (Local Traffic Manager) für einen Lastenausgleich und ASM (Application Security Manager) als Webanwendungs-Firewall für Kunden mit hohen Sicherheitsanforderungen für Webanwendungen. SysEleven nutzt einige virtuelle F5-Instanzen mit Firewalls für Tests und Entwicklung. Darüber hinaus betreibt das Unternehmen viele interne und externe Dienste auf F5 Application Delivery Controllern.

Um Serviceprobleme für seine Kunden zu vermeiden, nutzt SysEleven eine Lastenausgleich-Gateway-Lösung von F5 und NGINX, um den eingehenden Datenverkehr zu empfangen. Die Beständigkeit und Flexibilität, die mit dieser Komponente der Cloud-Infrastruktur einhergeht, hat es dem Dienstleister ermöglicht, das Vertrauen seiner Kunden zu erhalten und das Geschäft im Laufe der Zeit stetig auszubauen.

„Wir verwenden NGINX und F5 bereits seit vielen Jahren erfolgreich“, sagt Simon Pearce, Product Owner bei SysEleven. „NGINX spielt eine wichtige Rolle in unserer Infrastruktur. Wir verwenden den NGINX Ingress Controller in unserer gesamten Cloud-Plattform und unserem Managed-Kubernetes-Service MetaKube. NGINX dient auch als Load-Balancer und Reverse-Proxy in vielen virtuellen Umgebungen. Darüber hinaus ermöglicht uns das F5 Application Security Module (ASM), Kundenanwendungen mit einem umfassenden, auf die jeweilige Anwendung zugeschnittenen Regelwerk zu sichern. F5 wird auch für alle georedundanten Setups eingesetzt, die hohe Leistung, Verschlüsselungsfunktionen und Skalierbarkeit erfordern. Bei einem nahtlosen Failover übernimmt der Standbycontroller ohne Unterbrechung die aktive Rolle. Im Falle eines Ausfalls bekommen die Kunden fast nichts davon mit, wenn die Anfragen an eine andere Anwendung weitergeleitet werden. Je nach Bedürfnissen des Kunden setzen wir entweder NGINX oder F5 oder beide in Kombination ein. Eine zuverlässige Lastenausgleich-Lösung ist für unsere Kunden und Ingenieure das A und O.“

F5 dient in erster Linie als Load-Balancer für reine HTTP-Lösungen und -Protokolle. Diese stellen jedoch die wichtigsten und geschäftskritischen benutzerdefinierten Anwendungen und Dienste dar, die ein Höchstmaß an Zuverlässigkeit und Sicherheit erfordern. Um dies zu gewährleisten, verwendet SysEleven dynamisches Routing mit F5-Clustern sowie das im Internet verwendete Border Gateway Protocol (BGP). Im aktiven Modus können BGP-Ressourcen zwischen den Clustern verschoben werden. Dies bietet eine extrem hohe Flexibilität, da SysEleven BGP für alle mit dem Netzwerk verbundenen Lösungen verwendet.

„Wird zum Beispiel ein Kunde angegriffen, können wir ihm einen eigenen Clusterknoten zur Verfügung stellen“, sagt Vincentz Petzholz, Teamload Network bei SysEleven. „Damit ist zum einen sichergestellt, dass es keine Kollateralschäden für andere Kunden gibt, weil der problematische Verkehr isoliert wird. Zum anderen hat der betroffene Kunde deutlich mehr Leistung zur Abwehr des Angriffs zur Verfügung, da er für eine gewisse Zeit seine eigene Hardware nutzen kann. Diese Funktion habe ich bisher nur bei F5 gesehen.“

Jedes Rechenzentrum von SysEleven verfügt nun über mindestens ein F5 i5800-Clusterpaar. Das Unternehmen verfügt über zwei Hauptrechenzentren und rund ein Dutzend reine Netzwerkstandorte, die normalerweise – je nach Tageszeit – einen Datenverkehr von rund 100 GB bewältigen. Für sicherheitsrelevante Vorfälle wie DDoS-Angriffe werden die F5-Knoten mit 80 oder 160 GB an das Netzwerk angeschlossen. Dies bietet den Kunden von SysEleven ein hohes Maß an Skalierbarkeit in Bezug auf die Leistung.

Das Unternehmen kann jeglichen Datenverkehr unter nahezu jeder IP-Adresse an die F5-Cluster weiterleiten. Das gilt auch für Backend-Strukturen, die sich nicht hinter der F5-Netzwerktopologie befinden müssen, sondern überall im Netz liegen können. SysEleven kann jederzeit dynamisch Dienste auf die F5-Cluster schalten und bei Bedarf auch an andere Rechenzentren weiterleiten, da die Infrastruktur in allen Rechenzentren gleich ist. Darüber hinaus kann eine IP-Adresse durch Lastenausgleich (auch „Anycast“ genannt) an mehreren Clustern an unterschiedlichen Standorten gleichzeitig genutzt werden.

Die Ergebnisse

Hohe Verfügbarkeit

Mit der Kombination der aktuellen F5- und NGINX-Lösungen bietet SysEleven seinen Kunden hohe Leistungsanforderungen für die virtuellen Dienste der Kunden und die Skalierbarkeit, um hohe Traffic-Schwankungen zu bewältigen. Darüber hinaus bietet sie die größtmögliche Verfügbarkeit für Kunden mit hohen Umsatzeinbußen pro Stunde im Falle eines Ausfalls.

„Der parallele Einsatz beider Lastenausgleich-Lösungen hat auf uns schon immer einen komplementären Effekt“, so Vincentz Petzholz. „Damit können wir nicht nur optimale Lösungen für Kunden in jeder Preisklasse anbieten, sondern auch die Vorteile beider Lösungen kombinieren. So positionieren wir beispielsweise die leicht automatisierbaren NGINX-Instanzen für das Caching teilweise hinter den leistungsstarken F5-Load-Balancern.“

Erhöhte Sicherheit

Eine große Stärke von F5 ist das hohe Maß an Sicherheit, das die Webanwendungs-Firewall (WAF) bietet.

„Nur wenige Lösungen können auf einen so großen Pool an Signaturen und Mechanismen zurückgreifen“, erklärt Petzholz. „Immer mehr Kunden setzen neben der LTM auch die Webanwendungs-Firewall ein. Denn die Nachfrage, zu kontrollieren, welche Inhalte durch den Load-Balancer fließen, wächst. Der Reifegrad der WAF ist sehr hoch. Administratoren können die Lösung auf die individuellen Bedürfnisse der Kunden zuschneiden, denn eine hochwertige Sicherheitslösung wie eine Webanwendungs-Firewall erfordert natürlich einen hohen Anpassungsaufwand. Das macht es einfacher, F5 zu nutzen.“

Grundlage für die Zukunft

Darüber hinaus werden aufgrund der kürzlichen Übernahme von NGINX durch F5 zukünftig WAF-Funktionalitäten von F5 in NGINX Security integriert. Beide Lösungen werden gezielt und kontinuierlich weiterentwickelt. SysEleven plant außerdem, die Integration von F5 in BGP zu nutzen.

„Die F5-Lösung bietet zahlreiche weitere Vorteile: Dazu gehört die sehr einfache Verwaltung, mit dem Instanzen hin- und hergeschoben werden können“, sagt Jens Plogsties. „F5-Clusterknoten können aufgrund von Wartungsarbeiten oder aus anderen Gründen offline gehen – ohne dass die Anwender es merken. F5 ermöglicht eine extrem schnelle Bereitstellung, da es keine Layer 2-Netzwerke oder andere Abhängigkeiten gibt. Darüber hinaus können wir F5 einfach hochskalieren, im Prinzip bis ins Unendliche. Die Leistung übertrifft die mehrerer normaler Commodity-Server. F5 ist also in der Lage, Lasten zu bewältigen, die kein anderes System bewältigen kann.

Eine weitere Integration mit dem F5 Container Ingress Service (CIS) befindet sich in der Testphase. Dabei geht es darum, bestehende Umgebungen nahtlos in die neue, dynamische Container-Infrastruktur zu integrieren. Die Implementierung mit SysEleven und F5 hat einen positiven Eindruck hinterlassen; die gute Performance, die Protokollvielfalt (UDP) und eine gute Anbindung an traditionelle Systeme haben uns überzeugt. Eine einfache Integration per Standardkonfiguration und F5s Loyalität zu OpenSource, die strategische Ausrichtung auf DevOps-Themen, sowie die Unterstützung von Kubernetes-Fragen sind besonders hervorzuheben. Dieses Gesamtportfolio aus containernativen (NGINX), rechenzentrumszentrierten (F5 BIG-IP) Anwendungsdiensten, einschließlich der Sicherheits-Mehrwertdienste, wie z. B. einer Webanwendungs-Firewall, lassen uns eine Gesamtvision erkennen und damit positiv in die Zukunft blicken.“