Proveedor de servicios alemán protege servicios de red con F5 y NGINX

SysEleven logra alta disponibilidad, rendimiento, seguridad y escalabilidad

SysEleven GmbH, proveedor de servicios con sede en Berlín, fundada en 2007, emplea a más de 100 personas y proporciona servicios de nube premium a algunas de las empresas más grandes de Alemania. SysEleven, que ofrece plataformas de nube totalmente virtualizadas y robustas, es miembro de la Cloud Native Computing Foundation (CNCF) y proveedor certificado de Kubernetes desde 2018.

SysEleven ofrece una pila de tecnología vertical para sus servicios, incluidos servicios de nube administrados, una nube pública OpenStack, Kubernetes como servicio, así como servicios de red y operador a pedido, exclusivamente en centros de datos alemanes. La empresa ofrece a sus clientes más que sólo capacidad de servidor. Con un enfoque amplio y adaptativo, la empresa analiza la configuración de las aplicação de sus clientes y encuentra la solución óptima para el rendimiento, la rentabilidad y la estabilidad.

"Nuestro objetivo es ser un actor de primer nivel en el campo de la continuidad de aplicação y la adopción de la nube. Para ayudar a nuestros clientes a ganar, diferenciamos a nuestra empresa de la mayoría de los proveedores de servicios administrados al brindar una integración vertical de todas las capas de aplicação . Ya sea que el cliente necesite una plataforma en la nube completamente administrada, infraestructura como servicio, Kubernetes como servicio o acceso a Internet, recibirá el más alto nivel de calidad y soporte personalizado. Nuestros clientes tienen la libertad de elegir su propia infraestructura, desde nuestra propia nube y plataformas Kubernetes hasta plataformas de terceros como AWS o Azure.

Actualmente gestionamos alrededor de 6.000 entornos virtuales para nuestros clientes. "Utilizando nuestro método NEO (Navegar – Educar – Operar) acompañamos a nuestros clientes en la consultoría y el diseño de servicios, la capacitación de administradores y desarrolladores, hasta servicios completamente administrados", dijo Marc Korthaus, CEO de SysEleven GmbH.

SysEleven utiliza soluciones de F5 Networks y NGINX para ofrecer servicios de nube versátiles y robustos. Esto permite a la empresa con sede en Berlín utilizar los servicios tanto para sus propias aplicações como para las de sus clientes con las mejores funciones posibles de equilibrio de carga y seguridad.

El desafío

Como socio de la nube y proveedor de servicios gestionados, la alta disponibilidad y la estabilidad son cruciales para competir en el mercado. El éxito de sus clientes se basa en la capacidad de SysEleven de ofrecer un servicio en nube versátil y sólido.

"Nuestros clientes confían en que las nuevas instalaciones estarán operativas de forma rápida y eficiente, con ajustes, resolución de problemas y mantenimiento oportunos", explica Jens Plogsties, director de Infraestructura. “Confían en la estabilidad de nuestros servicios y en nuestro soporte flexible. Ofrecemos a cada cliente una configuración única y aislada con un balanceador de carga dedicado. “Esto sólo se puede conseguir con soluciones potentes y altamente escalables”.

Debido a que las soluciones de SysEleven admiten instalaciones de clientes de hasta 6.000 hosts virtuales, deben ser altamente escalables y adaptables para garantizar los más altos estándares de velocidad y confiabilidad, manteniendo al mismo tiempo las interrupciones del servicio al mínimo absoluto.

Uno de los desafíos que enfrenta la empresa es gestionar los grandes picos en el tráfico web de clientes que generalmente son resultado de la publicidad en televisión o en boletines informativos. Los entornos de nube de SysEleven deben ser lo suficientemente robustos y flexibles para manejar estos picos de tráfico y evitar interrupciones que puedan resultar en pérdida de ingresos o daños a la reputación de sus clientes. 

La solución

A medida que los requisitos de los clientes continúan creciendo, SysEleven necesitaba actualizar su infraestructura para satisfacer sus necesidades. La plataforma original de código abierto NGINX se mejoró con NGINX Plus para brindar más oportunidades de servicio al cliente y un mayor control sobre las solicitudes entrantes al entorno de la nube. Esta solución se utiliza principalmente en las áreas de equilibrio de carga, ingreso de Kubernetes, contenedores y seguridad. Además, SysEleven ahora utiliza clústeres F5 BIG-IP i5800 con el módulo LTM (Local Traffic Manager) para equilibrar la carga y ASM (Aplicação Security Manager) como firewall de aplicação web para clientes con altos requisitos de seguridad para aplicações web. SysEleven utiliza algunas instancias virtuales de F5 con firewalls para pruebas y desarrollo. Además, la empresa opera muchos servicios internos y externos en F5 Aplicação Delivery Controllers.

Para evitar problemas de servicio a sus clientes, SysEleven aprovecha una solución de puerta de enlace de equilibrio de carga con F5 y NGINX para recibir el tráfico entrante. La estabilidad y flexibilidad que acompaña a este componente de la infraestructura de la nube ha permitido al proveedor de servicios mantener la confianza de sus clientes y hacer crecer el negocio de manera constante a lo largo del tiempo.

"Llevamos muchos años utilizando NGINX y F5 con éxito", afirmó Simon Pearce, propietario de producto de SysEleven. "NGINX juega un papel importante en nuestra infraestructura. Utilizamos el controlador de ingreso NGINX en toda nuestra plataforma en la nube y nuestro servicio administrado de Kubernetes MetaKube. NGINX también actúa como equilibrador de carga y proxy inverso en muchos entornos virtuales. Además, el módulo de seguridad de aplicação (ASM) de F5 nos permite proteger las aplicações de los clientes con un conjunto de reglas integral diseñado específicamente para la aplicação específica. F5 también se utiliza para todas las configuraciones georredundantes que requieren alto rendimiento, funcionalidad de cifrado y escalabilidad. Con una conmutación por error sin interrupciones, el controlador en espera asume el rol activo sin interrupciones. En caso de fallo, los clientes prácticamente no se dan cuenta de que las solicitudes se transfieren a otro dispositivo. Dependiendo de las necesidades del cliente, utilizamos NGINX o F5, o ambos, en combinación. “Contar con una solución de equilibrio de carga confiable es clave para nuestros clientes e ingenieros”.

F5 sirve principalmente como equilibrador de carga para soluciones y protocolos HTTP puros. Sin embargo, estas constituyen las aplicações y servicios para clientes más importantes y críticos para el negocio, que requieren el más alto nivel de confiabilidad y seguridad. Para garantizar este nivel de servicio, SysEleven utiliza enrutamiento dinámico con clusters F5 así como el Border Gateway Protocol (BGP) utilizado en Internet. En el modo activo, los recursos BGP se pueden mover entre los clústeres. Esto ofrece una flexibilidad extremadamente alta, ya que SysEleven utiliza BGP para todas las soluciones conectadas a la red.

"Por ejemplo, si un cliente es atacado, podemos proporcionarle su propio nodo de clúster", afirma Vincentz Petzholz, Teamload Network en SysEleven. "Por un lado, esto garantiza que no haya daños colaterales para otros clientes porque el tráfico problemático queda aislado. Por otra parte, el cliente afectado dispone de mucho más rendimiento para defenderse del ataque porque puede utilizar su propio hardware durante un determinado periodo de tiempo. Hasta ahora sólo he visto esta función con F5".

Cada centro de datos de SysEleven ahora tiene al menos un par de clústeres F5 i5800. La empresa tiene dos centros de datos principales y alrededor de una docena de sitios de red pura, que normalmente manejan un tráfico de alrededor de 100 GB, dependiendo de la hora del día. Para incidentes relevantes para la seguridad, como ataques DDoS, los nodos de F5 se conectan a la red con 80 o 160 GB. Esto proporciona a los clientes de SysEleven una gran cantidad de escalabilidad en términos de rendimiento.

La empresa puede enrutar cualquier tráfico en casi cualquier dirección IP a los clústeres F5. Esto también se aplica a las estructuras back-end que no tienen que ubicarse detrás de la topología de la red F5, sino que pueden ubicarse en cualquier parte de la red. SysEleven puede conmutar dinámicamente los servicios a los clústeres F5 en cualquier momento y también reenviarlos a otros centros de datos si es necesario, ya que la infraestructura es la misma en todos los centros de datos. Además, una dirección IP se puede utilizar en varios clústeres en diferentes ubicaciones simultáneamente con equilibrio de carga (también conocido como “Anycast”).

Los resultados

Alta disponibilidad

Con la combinación de las actuales soluciones F5 y NGINX, SysEleven ofrece a sus clientes requisitos de alto rendimiento para los servicios virtuales del cliente y la escalabilidad para gestionar altas fluctuaciones de tráfico. Además, ofrece la mayor disponibilidad posible para clientes con alta pérdida de ingresos por hora en caso de avería.

"El uso paralelo de ambas soluciones de balanceo de carga siempre ha tenido un efecto complementario para nosotros", afirmó Vincentz Petzholz. "Nos permite no sólo ofrecer soluciones óptimas para los clientes en cada categoría de precio, sino que también nos permite combinar las ventajas de ambas soluciones. Por ejemplo, posicionamos parcialmente las instancias NGINX fácilmente automatizadas para el almacenamiento en caché detrás de los potentes balanceadores de carga F5".

Mayor seguridad

Una gran fortaleza de F5 es el alto nivel de seguridad que proporciona el Web Aplicação Firewall (WAF).

"Sólo unas pocas soluciones pueden recurrir a un conjunto tan grande de firmas y mecanismos", explicó Petzholz. "Cada vez más clientes utilizan el firewall de aplicação web además de LTM. Después de todo, existe una creciente necesidad de controlar qué contenido fluye a través del balanceador de carga. El grado de madurez del WAF es muy alto; los administradores pueden adaptar la solución a las necesidades individuales de los clientes, ya que una solución de seguridad de alta calidad como un firewall de aplicação web requiere naturalmente un gran esfuerzo de ajuste. "Esto hace que sea más fácil aprovechar F5".

Fundación para el Futuro

Además, las funcionalidades WAF de F5 se integrarán en NGINX Security en el futuro debido a la reciente adquisición de NGINX por parte de F5. Ambas soluciones se seguirán desarrollando de forma específica y continua. SysEleven también planea aprovechar la integración de F5 con BGP.

La solución F5 ofrece numerosas otras ventajas: "Entre ellas se encuentra la posibilidad de gestionar de forma muy sencilla las instancias que se pueden mover de un lado a otro", afirmó Jens Plogsties. "Los nodos del clúster F5 pueden desconectarse debido a tareas de mantenimiento u otros motivos, sin que los usuarios lo noten. F5 permite una implementación extremadamente rápida porque no hay redes de capa 2 ni otras dependencias. Además, podemos simplemente ampliar F5, en principio hasta el infinito. El rendimiento supera al de varios servidores de consumo normales. De esta manera, F5 es capaz de gestionar cargas que ningún otro sistema puede manejar.

Una integración adicional con el F5 Container Ingress Service (CIS) se encuentra en la fase de prueba. Se trata de integrar perfectamente los entornos existentes en la nueva infraestructura de contenedores dinámica. La implementación con SysEleven y F5 ha dejado una impresión positiva; el buen rendimiento, la diversidad de protocolos (UDP) y una buena conexión con los sistemas tradicionales nos han convencido. Particularmente destacables son la integración sencilla por configuración predeterminada y el compromiso de F5 con el código abierto, además de la orientación estratégica hacia temas de DevOps, así como el soporte para preguntas sobre Kubernetes. "Esta cartera global de servicios de aplicação nativos de contenedores (NGINX) y centrados en el centro de datos (F5 BIG-IP), incluidos los servicios de valor añadido de seguridad, como un firewall de aplicação web, nos permite reconocer una visión global y, por lo tanto, mirar positivamente hacia el futuro".