F5® BIG-IP® Cloud Edition™ fue creado para ayudar a los equipos de operaciones de red y de aplicações a colaborar de manera más efectiva en la entrega rápida de aplicações seguras y con el soporte adecuado. BIG-IP Cloud Edition simplifica y centraliza las funciones principales de administración de dispositivos y servicios de aplicaciones, como configuración, licencias, actualizaciones, análisis y escalamiento. Los equipos de operaciones pueden definir fácilmente un catálogo de autoservicio de servicios de aplicação al que los desarrolladores pueden acceder, a pedido, a través de un panel de control o una llamada API. Estos servicios se definen, actualizan e implementan para cada aplicação , a diferencia del modelo tradicional consolidado en el que un único controlador de entrega de aplicação (ADC) admite múltiples aplicações.
Además de aportar un nuevo nivel de flexibilidad arquitectónica a los servicios de seguridad y entrega de aplicação de clase empresarial, BIG-IP Cloud Edition también tiene varias opciones de cómo comprar. Diseñado para brindar flexibilidad financiera que coincida con la flexibilidad del servicio, BIG-IP Cloud Edition está disponible con opciones de suscripción, utilidad y licencia empresarial, así como con una opción de compra perpetua tradicional.
BIG-IP Cloud Edition ha sido especialmente diseñado y probado para permitir a las organizaciones crear una solución de entrega de servicios de aplicação que ofrece implementación y escalamiento de autoservicio, lo que permite a los equipos de aplicação proporcionar disponibilidad y seguridad de nivel empresarial para sus aplicações. Este enfoque permite a los propietarios de aplicação colaborar mejor con NetOps, DevOps y SecOps dentro de un marco ágil para mejorar significativamente el rendimiento, la disponibilidad y la seguridad de todas las aplicações.
BIG-IP Cloud Edition se compone de dos componentes de infraestructura: 1) ediciones virtuales (VE) por aplicación de BIG-IP con licencia especial, cada una dedicada a una sola aplicação y 2) F5 BIG-IQ® Centralized Management, que brinda servicios de administración, visibilidad y licencias en todas las instancias, sin importar dónde se encuentren. La solución de escalamiento automático funciona en nubes privadas basadas en Amazon Web Services (AWS), Microsoft Azure o VMware vCenter.
BIG-IP Cloud Edition se basa en varios componentes lógicos clave:
BIG-IP Cloud Edition admite la implementación y el escalado automático de instancias de BIG-IP en las siguientes plataformas de nube:
Se planea brindar soporte para plataformas de nube pública y privada adicionales para futuras versiones.
BIG-IP Cloud Edition permite a los desarrolladores acceder a un catálogo de autoservicio a pedido de servicios de aplicação y elegir una plantilla de implementación de servicios de aplicação .
Las plantillas de aplicação definen los servicios de seguridad y entrega de aplicação que se implementarán para una aplicação, incluidos todos los objetos BIG-IP, como servidores virtuales, perfiles, monitores, certificados SSL, políticas de seguridad, etc. Además, las plantillas de aplicação definen la monitorización y las alertas para esa aplicação. Estas plantillas generalmente las define un experto en servicios de aplicação (como el administrador de red o de seguridad), que configura valores predeterminados inteligentes y expone un conjunto limitado de opciones de configuración al propietario de la aplicação . Esta simplificación elimina la dependencia de las operaciones de red y seguridad, y elimina la necesidad de tener una profunda experiencia en el dominio de la red, al mismo tiempo que garantiza el uso consistente de plantillas y políticas aprobadas en el desarrollo y la implementación de aplicações. Esto da como resultado implementaciones de aplicaciones más rápidas, ya que los propietarios de aplicação utilizan un panel de control fácil de ver o una única llamada API para implementar y administrar sus aplicações. Además, BIG-IQ Centralized Management 6.0 viene con un conjunto de plantillas predefinidas para configuraciones de aplicação comunes. Las plantillas de aplicação pueden ser entregadas por pares de alta disponibilidad BIG-IP en configuraciones sin escalamiento automático o por grupos de escalamiento de servicios.
Además de utilizar plantillas de aplicação , los equipos de aplicação pueden aprovechar las capacidades de escalamiento automático creando un grupo de escalamiento de servicios. Cuando se implementan servicios de aplicação desde una template de aplicaciones y se selecciona un grupo de escalamiento de servicios como destino, BIG-IP Cloud Edition administra la disponibilidad y el escalamiento elástico de los recursos para brindar los servicios, además de administrar el ciclo de vida y el proceso de actualización de los dispositivos BIG-IP que brindan esos servicios. Los grupos de escalamiento de servicios tienen definiciones de políticas de la cantidad mínima y máxima de dispositivos en un grupo y los activadores que se deben usar para escalar los recursos.
También es posible utilizar plantillas de aplicação del catálogo de servicios para implementar servicios en clústeres F5 ScaleN® tradicionales (pero sin los beneficios de escalabilidad y gestión del ciclo de vida).
Las plantillas de dispositivo definen todas las características a nivel de infraestructura (zona horaria, DNS, nombre de host, cuentas, NTP, licencias, redes, etc.) que se requieren para implementar un dispositivo BIG-IP. Las organizaciones pueden usar plantillas de dispositivos para crear grupos de escalamiento de servicios implementando varios dispositivos nuevos utilizando estas plantillas. Las plantillas de dispositivos también son el método principal para interactuar con los dispositivos BIG-IP; si se requiere un cambio en un dispositivo en BIG-IP Cloud Edition (debido a una actualización de versión, por ejemplo), entonces se cambia la plantilla del dispositivo y los cambios se envían al grupo de escalamiento de servicios. Las plantillas de dispositivo contienen toda la información necesaria para crear una edición virtual de BIG-IP, incluidas las licencias, el aprovisionamiento, la red y otras necesidades básicas del dispositivo.
La administración de dispositivos es diferente en BIG-IP Cloud Edition.
En la mayoría de los casos, los dispositivos que brindan servicios de seguridad y entrega de aplicação en BIG-IP Cloud Edition son inmutables; los cambios no se realizan directamente en las configuraciones del dispositivo, sino en la plantilla del dispositivo. Luego, BIG-IP Cloud Edition implementa estos cambios en un grupo de escalamiento de servicios implementando nuevos dispositivos, cambiando el tráfico hacia ellos y luego eliminando los dispositivos antiguos. Este proceso, a veces llamado “BIG-IP Per-App VE y nuke”, es fundamentalmente diferente de cómo se gestiona una implementación tradicional de BIG-IP de múltiples inquilinos.
Beneficios de los servicios por aplicación:
Con BIG-IP Cloud Edition, la concesión, actualización y revocación de licencias para instancias virtuales se gestiona automáticamente mediante el sistema de gestión de licencias de BIG-IQ. Este sistema automático permite agrupar licencias y utilizarlas cuándo y dónde sean necesarias. Cuando un dispositivo ya no es necesario, su licencia se devuelve al grupo para que la utilice otra instancia. Si bien los modos de licencia, las capacidades y el rendimiento pueden variar entre implementaciones, BIG-IQ maneja la licencia sin problemas, por lo que no es necesaria una engorrosa activación manual de la licencia al implementar nuevas instancias de BIG-IP.
Para proporcionar desencadenantes para escalar eventos y obtener información detallada sobre el rendimiento de las aplicação y la infraestructura, BIG-IQ recopila y visualiza análisis a nivel de aplicación que son útiles para los administradores de seguridad y de red, así como para los propietarios de aplicação . Esta visibilidad ayuda a los propietarios de aplicaciones a autodiagnosticar problemas de rendimiento de las aplicação para determinar si su aplicação o la red son la fuente de los retrasos.
BIG-IP Cloud Edition está diseñado para impulsar la separación lógica de roles. Los propietarios de aplicação obtienen una implementación de aplicação de autoservicio en grupos de escalamiento de servicios administrados por propietarios de infraestructura. Los equipos de NetOps y SecOps pueden administrar las plantillas y políticas de seguridad que utilizan los propietarios de las aplicação . Algunas plantillas pueden estar disponibles para algunos propietarios de aplicação y no para otros, y las estadísticas y los paneles por aplicación pueden estar restringidos a los propietarios de las aplicação . A través de una gestión de roles detallada, BIG-IP Cloud Edition permite a los equipos de aplicação respaldar sus aplicaciones y, al mismo tiempo, permite a los equipos de operaciones mantener el control de la red.
BIG-IP Cloud Edition se compone de varios componentes de infraestructura diferentes que trabajan juntos para brindar la solución.
Uso de BIG-IP Per-App VE fuera de BIG-IP Cloud Edition. Los VE por aplicación de BIG-IP se pueden comprar fuera de BIG-IP Cloud Edition. Disponible como un paquete de licencias y con un componente de administrador de licencias BIG-IQ gratuito, BIG-IP Per-App
Un BIG-IP Per-App VE es una instancia de BIG-IP con licencia especial que ha sido diseñada para proporcionar servicios dedicados para una sola aplicação. Todas las funciones del software BIG-IP están habilitadas, pero tiene el tamaño adecuado para su uso como dispositivo dedicado.
Cada VE Per-App de BIG-IP viene con:
Hay dos opciones de módulos de software disponibles en los VE Per-App de BIG-IP:
El software F5 BIG-IP Local Traffic Manager™ (LTM) ofrece una gestión del tráfico de aplicação líder en la industria, que incluye equilibrio de carga avanzado, modelado de velocidad, enrutamiento de contenido, gestión de SSL y control completo del tráfico de la capa de aplicação en ambas direcciones.
F5 Advanced WAF ofrece todas las características de un firewall de aplicação web (WAF) tradicional más protección mejorada en forma de mitigación de DDoS de capa 7, detección avanzada de bots y gestión de seguridad de API. Advanced WAF viene con un conjunto de funciones de gestión de tráfico BIG-IP LTM para administrar de manera eficaz el tráfico hacia los servidores de aplicação descendentes. La implementación de políticas Advanced WAF se administra como parte del componente de template de aplicaciones .
Los VEs Per-App de BIG-IP se benefician de la simplificación de la plataforma en cuanto al tamaño de imágenes y discos que se ha producido en versiones recientes de BIG-IP. En las implementaciones tradicionales de BIG-IP, las versiones del software de BIG-IP se realizaban “en el lugar” descargando una nueva imagen de software en un dispositivo en funcionamiento y luego siguiendo un procedimiento de actualización. Con BIG-IP Cloud Edition, los dispositivos que brindan servicios de seguridad y entrega de aplicação son, en su mayor parte, inmutables, por lo que los cambios no se realizan directamente en las configuraciones del dispositivo, sino que se implementan utilizando las plantillas del dispositivo y de la aplicação . Luego, las versiones antiguas se retiran mediante una actualización continua. Por lo tanto, no se requiere espacio de almacenamiento adicional para múltiples versiones del software BIG-IP y se puede reducir el tamaño de la imagen del disco.
Escaladores de servicios VMware–BIG-IP
En VMware, el tráfico por aplicación a los VE Per-App de BIG-IP se escala a través de un clúster BIG-IP especializado que utiliza reenvío de direcciones MAC, que preserva las direcciones IP de origen y destino del cliente. Esto puede ser importante para algunas de las funciones de capa 7 que ofrecen los VE Per-App de BIG-IP y también garantiza la recopilación de datos precisa para los servicios de visibilidad que ofrece BIG-IQ.
Los escaladores de servicios BIG-IP realizan un equilibrio de carga básico entre los VE Per-App de BIG-IP y no tienen límite de licencia en cuanto al rendimiento (sin embargo, los recursos de hardware virtual obviamente limitarán el rendimiento máximo). De manera opcional, el escalador de servicios se puede habilitar con capacidades de firewall que ofrecen ACL de red y capacidades de mitigación de DoS de capa 4. Los escaladores de servicio no pueden realizar funciones SSL o de capa 7 en este momento.
Los escaladores de servicios BIG-IP requieren las siguientes especificaciones de máquina virtual :
Los escaladores de servicios BIG-IP pueden pertenecer a más de un grupo de escalamiento de servicios y pueden compartirse entre múltiples aplicações (mientras que los VE Per-App de BIG-IP están, como sugiere su nombre, dedicados a una sola aplicação).
La instalación y configuración de escaladores de servicios en un grupo de escalamiento de servicios se trata en BIG-IQ Centralized Management: Implementaciones de tráfico local y red.
[1] Se requieren cuatro vCPU para la funcionalidad adicional del firewall.
En AWS, los servicios se escalan utilizando instancias de Elastic Load Balancing (ELB) Classic. ELB Classic proporciona equilibrio de carga L4 básico y disponibilidad en todos los VE Per-App de BIG-IP, y una instancia lógica de ELB está dedicada a un único grupo de escalamiento de servicios. Por lo tanto, cada aplicação requiere una configuración ELB dedicada. El servicio AWS administra el escalamiento de las instancias ELB para satisfacer las demandas.
La configuración de instancias de AWS ELB en un grupo de escalado de servicios se trata en Administración centralizada de BIG-IQ: Administración de aplicações en una nube de AWS con escalado automático .
En Azure, los servicios se escalan mediante instancias de Azure Load Balancer. Load Balancer proporciona equilibrio de carga L4 básico y disponibilidad en todos los VE Per-App de BIG-IP, y una instancia lógica de Load Balancer está dedicada a un único grupo de escalamiento de servicios. Como resultado, cada aplicação requiere una configuración de Load Balancer dedicada. El servicio de Azure administra el escalado de las instancias de Load Balancer para satisfacer las demandas.
La configuración de instancias de Azure Load Balancer en un grupo de escalado de servicios se explica en Gestión centralizada BIG-IQ: Administración de aplicações en una nube de Azure con escalado automático .
BIG-IQ puede administrar más VE por aplicación que BIG-IP.
BIG-IQ puede descubrir y administrar instancias de BIG-IP de todas las versiones de software compatibles, sin importar la plataforma o la ubicación. La plataforma puede realizar la gestión de dispositivos, visualizar estadísticas e implementar configuraciones de servicios de aplicação con plantillas en instancias BIG-IP físicas, virtuales y en la nube. BIG-IQ puede incluso ofrecer escalamiento automático para VE BIG-IP tradicionales compatibles (no por aplicación) en plataformas compatibles (actualmente AWS, Azure y VMware).
BIG-IQ proporciona una gestión centralizada de todos los componentes que forman BIG-IP Cloud Edition. Todas las actividades e informes se gestionan a través de BIG-IQ y no se requiere acceso administrativo a los VE Per-App de BIG-IP.
Gran coeficiente intelectual:
F5 recomienda el siguiente hardware virtual para BIG-IQ en una implementación de BIG-IP Cloud Edition.
|
Mínimo |
Máximo |
vCPU |
4 |
8 |
Memoria |
4 GB |
16 GB |
Espacio en disco |
95 GB |
500 GB |
Tarjetas de interfaz de red |
2 |
10 |
La instalación y configuración de BIG-IQ se trata en el Guía de implementación de gestión centralizada de F5 BIG-IQ .
BIG-IQ es capaz de iniciar, licenciar, aprovisionar y configurar VEs Per-App de BIG-IP a pedido, como parte de un grupo de escalamiento de servicios o en un entorno de escalamiento horizontal. Esto requiere acceso autenticado al entorno de infraestructura virtual.
En VMware, se requiere lo siguiente: credenciales para acceder a vCenter, un nombre de host de vCenter, un certificado SSL para comunicación segura y otra información sobre el entorno ESX, como hosts/clústeres, almacenes de datos, conmutadores virtuales (distribuidos) (vSwitches) y grupos de recursos.
En AWS, se requiere lo siguiente: Clave de acceso de usuario de gestión de acceso (IAM) y secreto asociado para realizar llamadas API y ELB para proporcionar distribución de tráfico de nivel uno. Siga las mejores prácticas de AWS para crear y administrar las claves.
El usuario de IAM debe tener adjunta la política de acceso de administrador y tener permiso para crear grupos de escalamiento automático, buckets de Amazon Simple Storage Service (S3), instancias y perfiles de instancias de IAM. Para obtener detalles sobre los permisos y la configuración general de AWS, consulte https://aws.amazon.com/documentation .
Dado que BIG-IP Cloud Edition básicamente enruta todas las actividades del plano de control a través de la capa de administración de BIG-IQ (BIG-IQ maneja el monitoreo en tiempo real y los eventos de escalamiento ascendente/descendente y administra la asignación y revocación de licencias), se convierte en una parte fundamental del sistema de entrega y, por lo tanto, generalmente se implementa en una configuración redundante de alta disponibilidad.
Por lo tanto, la planificación debe incluir un par BIG-IQ activo-en espera, con la licencia adecuada para la cantidad de instancias BIG-IP bajo administración.
La configuración de BIG-IQ para alta disponibilidad se explica en el Guía de implementación de gestión centralizada de F5 BIG-IQ .
Dispositivos de recopilación de datos BIG-IQ
Los dispositivos de recopilación de datos en BIG-IQ son responsables de recopilar, almacenar y procesar datos de tráfico y rendimiento de los VE por aplicación de BIG-IP. Después de que los VE Per-App de BIG-IP envían telemetría de rendimiento y tráfico a los dispositivos de recopilación de datos para procesarlos y almacenarlos, BIG-IQ consulta los dispositivos de recopilación de datos para proporcionar visibilidad e informes. Los dispositivos de recopilación de datos se organizan en grupos que trabajan juntos y replican los datos almacenados con fines de redundancia.
F5 recomienda el siguiente hardware virtual para los dispositivos de recopilación de datos utilizados en BIG-IP Cloud Edition:
vCPU |
8 |
Memoria |
32 |
Espacio en disco |
500 GB |
Tarjetas de interfaz de red |
2 |
Una nota sobre los subsistemas de disco: Los dispositivos de recopilación de datos BIG-IQ almacenan, procesan y analizan datos recopilados de los VE Per-App de BIG-IP para producir informes y paneles para el sistema BIG-IQ. Esta es una carga de trabajo intensiva en E/S de disco, por lo que el almacenamiento subyacente debe dimensionarse tanto para la capacidad como para el rendimiento. Para implementaciones de gran tamaño de VEs Per-App de BIG-IP o para análisis y registros extensos, se deben implementar subsistemas de almacenamiento de alto rendimiento. Las operaciones de captura, búsqueda e indexación generarán E/S tanto aleatorias como secuenciales, a menudo con alta concurrencia de tareas.
Para obtener información adicional, consulte la Guía de dimensionamiento de dispositivos de recopilación de datos de gestión centralizada BIG-IQ .
VPN para dispositivos de recopilación de datos con implementaciones de nube pública
Cuando se crean nuevos VE Per-App de BIG-IP, se les asigna la dirección IP propia de los dispositivos de recopilación de datos a los que deben volver a conectarse. Esta es una configuración fija (a partir de BIG-IQ 6.0). Se requieren conexiones en ambas direcciones entre los dispositivos de recopilación de datos y BIG-IP Per-App VE. En muchos entornos, pero especialmente cuando los VE Per-App de BIG-IP están en AWS o Azure y BIG-IQ y los dispositivos de recopilación de datos están en las instalaciones del cliente, se requerirá conectividad VPN para enrutar correctamente el tráfico en ambas direcciones, ya que los dispositivos de recopilación de datos generalmente tendrán una dirección IP no enrutable RFC 1918. BIG-IP Cloud Edition requiere rangos de direcciones IP únicos en Amazon Virtual Private Cloud (Amazon VPC) o Azure Virtual Network (Azure VNet), lo que significa que no pueden tener espacios de direcciones superpuestos en Amazon VPC.
Hay varias formas diferentes de configurar una VPN u otra conexión privada a AWS, incluidos servicios como AWS Direct Connect o servicios de conectividad multicloud como Equinix Cloud Exchange. También es posible establecer un túnel IPSEC desde dispositivos BIG-IP locales a puertas de enlace VPN de AWS .
Para obtener detalles de conectividad de puertos y protocolos entre los componentes de BIG-IP Cloud Edition, consulte la documentación de BIG-IQ 6.0 .
Además, BIG-IQ necesita acceso a los puntos finales de la API de AWS para la región elegida en el puerto 443 o al servidor vCenter en el puerto 443.
BIG-IQ ofrece gestión de cuentas de usuario incorporada e integración con protocolos externos comunes como TACACS, RADIUS y LDAP.
¿Cuántos VE BIG-IP por aplicación se necesitarán?
Hay dos límites críticos en las instancias de VE Per-App de BIG-IP:
A diferencia de una implementación más tradicional, los VE Per-App de BIG-IP generalmente se implementan en una configuración totalmente activa con el dispositivo de administración de tráfico de nivel uno encargándose de la alta disponibilidad y el escalamiento. En general, esto significa un mayor rendimiento real por instancia de VE aprovisionada que en un par de alta disponibilidad (HA) activo-en espera más centrado en el hardware, donde es necesario mantener capacidad de repuesto para conmutación por error, incluso en una configuración activa-activa. Los VE Per-App de BIG-IP están disponibles en licencias de rendimiento de 25 Mbps y 200 Mbps y están diseñados para escalar horizontalmente mediante grupos de escalamiento de servicios.
El primer paso es determinar una estimación base del rendimiento requerido para cada aplicação para la que se planifica la gestión del tráfico. A continuación, decida si la licencia de 25 Mbps o de 200 Mbps es adecuada. Para requisitos de mayor rendimiento por aplicação, la licencia de 200 Mbps es adecuada debido a que se necesitan menos dispositivos en general. Para requisitos más pequeños o más específicos, la licencia de 25 Mbps es más adecuada. Si maximizar el uso de los recursos es importante, entonces la licencia de 200 Mbps hará un uso más eficiente del hardware subyacente para un rendimiento particular.
Es posible mezclar y combinar tipos de licencia dentro de un entorno, pero una aplicação específica solo será atendida por un tipo de licencia.
Para cada aplicação, determine:
Al pensar en la volatilidad, hay algunas variables a tener en cuenta. En primer lugar, los desencadenantes de eventos de escalamiento se basan en el rendimiento, los umbrales de la CPU y/o la memoria del dispositivo más ocupado en un grupo de escalamiento de servicios, tomados en un promedio de cinco minutos. Debido a que una nueva instancia de BIG-IP Per-App VE tardará un breve período de tiempo en activarse después del inicio, se recomienda aprovisionar el requisito base con capacidad para aproximadamente 20 minutos de crecimiento máximo esperado. De esa manera, los servicios pueden adaptarse a la demanda y al mismo tiempo tener cierta capacidad para manejar los picos esperados.
Si bien el dimensionamiento puede ser complejo, con BIG-IP Cloud Edition las instancias de cada aplicación pueden adaptarse según demanda, por lo que no es necesario buscar la perfección (ni desarrollar una capacidad de reserva excesiva).
La capacidad de escalamiento del servicio se implementa de manera diferente entre entornos.
En AWS, el escalamiento hacia adentro y hacia afuera se maneja mediante el balanceador de carga AWS ELB Classic, fácil de usar.
En VMware, las funciones de escalado de servicios, DDoS de capa 4 y firewall son proporcionadas por VE BIG-IP especiales. Estos VE están configurados para distribuir simplemente el tráfico a los VE Per-App de BIG-IP y también para proporcionar control de acceso a la capa de red y mitigación de DDoS.
Las instancias de escalamiento automático están diseñadas para tener un alto rendimiento, baja complejidad y poder compartirse entre múltiples aplicações.
BIG-IQ ofrece una API REST que permite la implementación de servicios de aplicação desde el catálogo de servicios mediante programación. Para obtener detalles sobre la API REST, consulte la documentación de BIG-IQ .
BIG-IP Cloud Edition ofrece la potencia, la seguridad y la flexibilidad de los servicios de aplicação de F5 de nuevas maneras. Estos incluyen una nueva plataforma por aplicación que puede escalar verticalmente según demanda y capacidades de autoservicio. Los equipos de seguridad pueden crear políticas de seguridad de aplicação y mitigación de DDoS, y los equipos de red pueden luego adjuntarlas a plantillas de aplicação y agregarlas al catálogo de servicios para usuarios específicos. Los equipos de aplicação pueden elegir entre un catálogo de servicios predefinidos e implementar servicios en un grupo de escalamiento de servicios que se adaptará para satisfacer los requisitos de sus aplicaciones.
El resultado final es una solución altamente flexible y escalable que ofrece servicios de aplicação F5 de nivel empresarial (con la flexibilidad de instancias dedicadas), acompañados de una reducción medible en los gastos operativos. Este enfoque permite a los equipos adecuados hacer el trabajo adecuado: ahora los propietarios de aplicação pueden colaborar mejor con los equipos de operaciones de red, desarrollo y seguridad dentro de un marco ágil para mejorar significativamente el rendimiento, la disponibilidad y la seguridad de todas las aplicações.
La comunidad de F5 para foros de discusión y artículos de expertos.