Deutscher Serviceprovider sichert Netzwerkdienste mit F5 und NGINX

SysEleven erreicht hohe Verfügbarkeit, Leistung, Sicherheit und Skalierbarkeit

Der 2007 gegründete Berliner Dienstleister SysEleven GmbH beschäftigt über 100 Mitarbeiter und bietet Premium-Cloud-Dienste für einige der größten deutschen Unternehmen. SysEleven bietet vollständig virtualisierte, robuste Cloud-Plattformen an, ist seit 2018 Mitglied der Cloud Native Computing Foundation (CNCF) und zertifizierter Kubernetes-Anbieter.

SysEleven stellt für seine Services einen vertikalen Technologie-Stack bereit, der Managed Cloud Services, eine OpenStack Public Cloud, Kubernetes-as-a-Service sowie auf Wunsch Netzwerk- und Carrierdienste umfasst, ausschließlich in deutschen Rechenzentren. Das Unternehmen bietet seinen Kunden mehr als nur Serverkapazität. Mit einem umfassenden, adaptiven Ansatz analysiert das Unternehmen die Anwendungseinstellungen seiner Kunden und findet die optimale Lösung hinsichtlich Leistung, Rentabilität und Stabilität.

„Unser Ziel ist es, ein erstklassiger Akteur im Bereich Anwendungskontinuität und Cloud-Einführung zu sein. Um unseren Kunden zum Erfolg zu verhelfen, heben wir unser Unternehmen von den meisten Managed Service Providern ab, indem wir eine vertikale Integration aller Anwendungsebenen bereitstellen. Unabhängig davon, ob der Kunde eine vollständig verwaltete Cloud-Plattform, Infrastructure-as-a-Service, Kubernetes-as-a-Service oder Internetzugang benötigt, erhält er ein Höchstmaß an Qualität und persönlichen Support. Unsere Kunden haben die Freiheit, ihre eigene Infrastruktur zu wählen, von unseren eigenen Cloud- und Kubernetes-Plattformen bis hin zu Plattformen von Drittanbietern wie AWS oder Azure.

Aktuell betreuen wir für unsere Kunden rund 6.000 virtuelle Umgebungen. „Mit unserer NEO-Methode (Navigate – Educate – Operate) stehen wir unseren Kunden von der Serviceberatung und -gestaltung über die Schulung von Administratoren und Entwicklern bis hin zu vollständig verwalteten Diensten zur Seite“, sagt Marc Korthaus, CEO der SysEleven GmbH.

SysEleven verwendet Lösungen von F5 Networks und NGINX, um vielseitige und robuste Cloud-Dienste anzubieten. Dies ermöglicht dem Berliner Unternehmen, Dienste sowohl für eigene Anwendungen als auch für Kundenanwendungen mit bestmöglichen Funktionen für Lastausgleich und Sicherheit zu nutzen.

Die Herausforderung

Für Sie als Cloud-Partner und Managed Service Provider sind hohe Verfügbarkeit und Stabilität von entscheidender Bedeutung, um auf dem Markt wettbewerbsfähig zu sein. Der Erfolg seiner Kunden beruht auf der Fähigkeit von SysEleven, einen vielseitigen und robusten Cloud-Service bereitzustellen.

„Unsere Kunden vertrauen darauf, dass neue Setups schnell und effizient einsatzbereit sind – mit zeitnaher Feinabstimmung, Fehlerbehebung und Wartung“, erklärt Jens Plogsties, Head of Infrastructure. „Sie verlassen sich auf die Stabilität unserer Services und auf unseren flexiblen Support. Wir bieten jedem Kunden ein einzigartiges, isoliertes Setup mit einem dedizierten Load Balancer. Dies kann nur mit leistungsstarken und hoch skalierbaren Lösungen erreicht werden.“

Da die Lösungen von SysEleven Kundeninstallationen mit bis zu 6.000 virtuellen Hosts unterstützen, müssen sie hochgradig skalierbar und anpassungsfähig sein, um höchste Geschwindigkeits- und Zuverlässigkeitsstandards zu gewährleisten und gleichzeitig etwaige Dienstunterbrechungen auf ein absolutes Minimum zu reduzieren.

Eine der Herausforderungen für das Unternehmen besteht darin, große Spitzen im Kunden-Webverkehr zu bewältigen, die typischerweise durch Fernseh- oder Newsletter-Werbung verursacht werden. Die Cloud-Umgebungen von SysEleven müssen robust und flexibel genug sein, um diese Verkehrsspitzen zu bewältigen und Ausfälle zu vermeiden, die zu Umsatzeinbußen oder einer Schädigung des Rufs ihrer Kunden führen können. 

Die Lösung

Da die Kundenanforderungen ständig steigen, musste SysEleven seine Infrastruktur aktualisieren, um diesen Anforderungen gerecht zu werden. Die ursprüngliche Open-Source-Plattform NGINX wurde mit NGINX Plus erweitert, um mehr Möglichkeiten für den Kundenservice und eine bessere Kontrolle über eingehende Anfragen an die Cloud-Umgebung zu bieten. Diese Lösung wird hauptsächlich in den Bereichen Lastausgleich, Kubernetes-Ingress, Container und Sicherheit verwendet. Darüber hinaus nutzt SysEleven jetzt F5 BIG-IP i5800-Cluster mit dem Modul LTM (Local Traffic Manager) zum Lastenausgleich und ASM (Application Security Manager) als Web Application Firewall für Kunden mit hohen Sicherheitsanforderungen für Webanwendungen. SysEleven verwendet einige virtuelle F5-Instanzen mit Firewalls zu Test- und Entwicklungszwecken. Darüber hinaus betreibt das Unternehmen viele interne und externe Dienste auf F5 Application Delivery Controllern.

Um Serviceprobleme für seine Kunden zu vermeiden, nutzt SysEleven eine Lastausgleichs-Gateway-Lösung mit F5 und NGINX, um den eingehenden Datenverkehr zu empfangen. Die Stabilität und Flexibilität dieser Komponente der Cloud-Infrastruktur hat es dem Dienstanbieter ermöglicht, das Vertrauen seiner Kunden aufrechtzuerhalten und sein Geschäft im Laufe der Zeit stetig auszubauen.

„Wir verwenden NGINX und F5 bereits seit vielen Jahren erfolgreich“, sagte Simon Pearce, Product Owner bei SysEleven. „NGINX spielt eine wichtige Rolle in unserer Infrastruktur. Wir verwenden den NGINX Ingress Controller auf unserer gesamten Cloud-Plattform und unserem Kubernetes-Managed-Service MetaKube. NGINX dient in vielen virtuellen Umgebungen auch als Load Balancer und Reverse-Proxy. Darüber hinaus können wir mit dem F5 Application Security Module (ASM) Kundenanwendungen mit einem umfassenden und auf den jeweiligen Anwendungsfall zugeschnittenen Regelsatz absichern. F5 wird auch für alle georedundanten Setups verwendet, die hohe Leistung, Verschlüsselungsfunktionalität und Skalierbarkeit erfordern. Bei einem Seamless Failover übernimmt der Standby-Controller unterbrechungsfrei die aktive Rolle. Im Störungsfall bekommen die Kunden die Umleitung ihrer Anfragen auf ein anderes Gerät kaum mit. Je nach Kundenbedarf verwenden wir entweder NGINX oder F5 oder beides in Kombination. Für unsere Kunden und Techniker ist eine zuverlässige Lastausgleichslösung von entscheidender Bedeutung.“

F5 dient in erster Linie als Load Balancer für reine HTTP-Lösungen und -Protokolle. Dabei handelt es sich jedoch um die wichtigsten und geschäftskritischsten Kundenanwendungen und -dienste, die ein Höchstmaß an Zuverlässigkeit und Sicherheit erfordern. Um dieses Serviceniveau zu gewährleisten, verwendet SysEleven dynamisches Routing mit F5-Clustern sowie das im Internet verwendete Border Gateway Protocol (BGP). Im aktiven Modus können BGP-Ressourcen zwischen den Clustern verschoben werden. Dies bietet eine extrem hohe Flexibilität, da SysEleven BGP für alle an das Netzwerk angeschlossenen Lösungen verwendet.

„Wenn beispielsweise ein Kunde angegriffen wird, können wir ihm einen eigenen Clusterknoten zur Verfügung stellen“, sagt Vincentz Petzholz, Teamload Network bei SysEleven. „Dadurch wird zum einen sichergestellt, dass es nicht zu Kollateralschäden für andere Kunden kommt, weil der problematische Verkehr abgeschottet wird. Andererseits steht dem betroffenen Kunden deutlich mehr Leistung zur Abwehr des Angriffs zur Verfügung, da er für einen gewissen Zeitraum seine eigene Hardware nutzen kann. Diese Funktion habe ich bisher nur mit F5 gesehen."

Jedes SysEleven-Rechenzentrum verfügt mittlerweile über mindestens ein F5 i5800-Clusterpaar. Das Unternehmen verfügt über zwei Hauptrechenzentren und rund ein Dutzend reine Netzwerkstandorte, die im Normalfall – je nach Tageszeit – einen Datenverkehr von rund 100 GB bewältigen. Für sicherheitsrelevante Vorfälle wie beispielsweise DDoS-Angriffe werden die F5-Knoten mit 80 bzw. 160 GB an das Netzwerk angebunden. Dies bietet SysEleven-Kunden ein hohes Maß an Skalierbarkeit hinsichtlich der Leistung.

Das Unternehmen kann jeglichen Datenverkehr von nahezu jeder IP-Adresse an die F5-Cluster weiterleiten. Dies gilt auch für Backend-Strukturen, die nicht hinter der F5-Netzwerktopologie stehen müssen, sondern sich überall im Netzwerk befinden können. SysEleven kann Dienste jederzeit dynamisch auf die F5-Cluster umstellen und bei Bedarf auch an andere Rechenzentren weiterleiten, da die Infrastruktur in allen Rechenzentren gleich ist. Zudem kann mit Load Balancing (auch „Anycast“ genannt) eine IP-Adresse gleichzeitig auf mehreren Clustern an unterschiedlichen Standorten genutzt werden.

Die Ergebnisse

Hohe Verfügbarkeit

Mit der Kombination der aktuellen F5- und NGINX-Lösungen bietet SysEleven seinen Kunden hohe Leistungsanforderungen für die virtuellen Dienste der Kunden und die Skalierbarkeit zur Bewältigung großer Verkehrsschwankungen. Darüber hinaus bietet es für Kunden mit hohen stündlichen Umsatzeinbußen im Störungsfall größtmögliche Verfügbarkeit.

„Der parallele Einsatz beider Load Balancer-Lösungen hatte für uns immer einen ergänzenden Effekt“, sagt Vincentz Petzholz. „Dadurch sind wir nicht nur in der Lage, für Kunden in jeder Preisklasse optimale Lösungen anzubieten, sondern auch die Vorteile beider Lösungen zu kombinieren.“ Beispielsweise positionieren wir die leicht automatisierbaren NGINX-Instanzen zum Caching teilweise hinter den leistungsstarken F5-Loadbalancern.“

Erhöhte Sicherheit

Eine große Stärke von F5 ist das hohe Maß an Sicherheit, das die Web Application Firewall (WAF) bietet.

„Nur wenige Lösungen können auf einen so großen Pool an Signaturen und Mechanismen zurückgreifen“, erklärt Petzholz. „Immer mehr Kunden nutzen zusätzlich zu LTM die Web Application Firewall. Schließlich besteht ein zunehmender Bedarf zur Kontrolle darüber, welche Inhalte durch den Load Balancer fließen. Der Reifegrad der WAF ist sehr hoch; Administratoren können die Lösung individuell auf die Bedürfnisse der Kunden zuschneiden, denn eine hochwertige Sicherheitslösung wie eine Web Application Firewall erfordert natürlich einen hohen Anpassungsaufwand. Dadurch lässt sich F5 leichter nutzen.“

Stiftung für die Zukunft

Darüber hinaus werden aufgrund der kürzlich erfolgten Übernahme von NGINX durch F5 künftig WAF-Funktionalitäten von F5 in NGINX Security integriert. Beide Lösungen werden zielgerichtet und kontinuierlich weiterentwickelt. SysEleven plant außerdem, die Integration von F5 mit BGP zu nutzen.

„Die F5-Lösung bietet zahlreiche weitere Vorteile: Hierzu zählt beispielsweise die sehr einfache Verwaltung, mit der Instanzen hin und her verschoben werden können“, so Jens Plogsties. „F5-Clusterknoten können aufgrund von Wartungsarbeiten oder aus anderen Gründen offline gehen – ohne dass die Benutzer es überhaupt bemerken. F5 ermöglicht eine extrem schnelle Bereitstellung, da keine Layer-2-Netzwerke oder andere Abhängigkeiten vorhanden sind. Darüber hinaus können wir F5 einfach hochskalieren, im Prinzip bis ins Unendliche. Die Leistung übertrifft die vieler handelsüblicher Server. Daher ist F5 in der Lage, Lasten zu bewältigen, die kein anderes System bewältigen kann.

Eine weitere Integration mit dem F5 Container Ingress Service (CIS) befindet sich in der Testphase. Dabei geht es um die nahtlose Integration bestehender Umgebungen in die neue, dynamische Container-Infrastruktur. Die Umsetzung mit SysEleven und F5 hat einen positiven Eindruck hinterlassen, die gute Performance, die Protokollvielfalt (UDP) und eine gute Anbindung an traditionelle Systeme haben uns überzeugt. Besonders hervorzuheben sind eine einfache Integration per Default Config und das Engagement von F5 für OpenSource, sowie die strategische Ausrichtung auf DevOps-Themen, sowie die Unterstützung bei Kubernetes-Fragen. Dieses Gesamtportfolio aus Container Natives (NGINX), Data Center-zentrierten (F5 BIG-IP) Anwendungsservices, inklusive der Security-Mehrwertdienste, wie beispielsweise einer Web Application Firewall, lassen uns eine übergreifende Vision erkennen und so positiv in die Zukunft blicken.“