Guía de soluciones BIG-IP Cloud Edition

INTRODUCCIÓN

F5® BIG-IP® Cloud Edition™ fue creado para ayudar a los equipos de operaciones de red y de aplicações a colaborar de manera más efectiva en la entrega rápida de aplicações seguras y con el soporte adecuado. BIG-IP Cloud Edition simplifica y centraliza las funciones principales de administración de dispositivos y servicios de aplicaciones, como configuración, licencias, actualizaciones, análisis y escalamiento. Los equipos de operaciones pueden definir fácilmente un catálogo de autoservicio de servicios de aplicação al que los desarrolladores pueden acceder, a pedido, a través de un panel de control o una llamada API. Estos servicios se definen, actualizan e implementan para cada aplicação , a diferencia del modelo tradicional consolidado en el que un único controlador de entrega de aplicação (ADC) admite múltiples aplicações.

Además de aportar un nuevo nivel de flexibilidad arquitectónica a los servicios de seguridad y entrega de aplicação de clase empresarial, BIG-IP Cloud Edition también tiene varias opciones de cómo comprar. Diseñado para brindar flexibilidad financiera que coincida con la flexibilidad del servicio, BIG-IP Cloud Edition está disponible con opciones de suscripción, utilidad y licencia empresarial, así como con una opción de compra perpetua tradicional.

Arquitectura BIG-IP Edición Nube

BIG-IP Cloud Edition ha sido especialmente diseñado y probado para permitir a las organizaciones crear una solución de entrega de servicios de aplicação que ofrece implementación y escalamiento de autoservicio, lo que permite a los equipos de aplicação proporcionar disponibilidad y seguridad de nivel empresarial para sus aplicações. Este enfoque permite a los propietarios de aplicação colaborar mejor con NetOps, DevOps y SecOps dentro de un marco ágil para mejorar significativamente el rendimiento, la disponibilidad y la seguridad de todas las aplicações.

BIG-IP Cloud Edition se compone de dos componentes de infraestructura: 1) ediciones virtuales (VE) por aplicación de BIG-IP con licencia especial, cada una dedicada a una sola aplicação y 2) F5 BIG-IQ® Centralized Management, que brinda servicios de administración, visibilidad y licencias en todas las instancias, sin importar dónde se encuentren. La solución de escalamiento automático funciona en nubes privadas basadas en Amazon Web Services (AWS), Microsoft Azure o VMware vCenter.

Componentes lógicos

BIG-IP Cloud Edition se basa en varios componentes lógicos clave:

Diseño lógico de F5 BIG-IP Cloud Edition
Figura 1: Diseño lógico de F5 BIG-IP Cloud Edition
Proveedores de nube

BIG-IP Cloud Edition admite la implementación y el escalado automático de instancias de BIG-IP en las siguientes plataformas de nube:

  • Amazon Web Services (AWS)
  • MICROSOFT AZURE
  • Nubes privadas basadas en VMware vCenter

Se planea brindar soporte para plataformas de nube pública y privada adicionales para futuras versiones.

Catálogo de servicios

BIG-IP Cloud Edition permite a los desarrolladores acceder a un catálogo de autoservicio a pedido de servicios de aplicação y elegir una plantilla de implementación de servicios de aplicação .

Plantillas de aplicação

Las plantillas de aplicação definen los servicios de seguridad y entrega de aplicação que se implementarán para una aplicação, incluidos todos los objetos BIG-IP, como servidores virtuales, perfiles, monitores, certificados SSL, políticas de seguridad, etc. Además, las plantillas de aplicação definen la monitorización y las alertas para esa aplicação. Estas plantillas generalmente las define un experto en servicios de aplicação (como el administrador de red o de seguridad), que configura valores predeterminados inteligentes y expone un conjunto limitado de opciones de configuración al propietario de la aplicação . Esta simplificación elimina la dependencia de las operaciones de red y seguridad, y elimina la necesidad de tener una profunda experiencia en el dominio de la red, al mismo tiempo que garantiza el uso consistente de plantillas y políticas aprobadas en el desarrollo y la implementación de aplicações. Esto da como resultado implementaciones de aplicaciones más rápidas, ya que los propietarios de aplicação utilizan un panel de control fácil de ver o una única llamada API para implementar y administrar sus aplicações. Además, BIG-IQ Centralized Management 6.0 viene con un conjunto de plantillas predefinidas para configuraciones de aplicação comunes. Las plantillas de aplicação pueden ser entregadas por pares de alta disponibilidad BIG-IP en configuraciones sin escalamiento automático o por grupos de escalamiento de servicios.

Grupos de escalado de servicios

Además de utilizar plantillas de aplicação , los equipos de aplicação pueden aprovechar las capacidades de escalamiento automático creando un grupo de escalamiento de servicios. Cuando se implementan servicios de aplicação desde una template de aplicaciones y se selecciona un grupo de escalamiento de servicios como destino, BIG-IP Cloud Edition administra la disponibilidad y el escalamiento elástico de los recursos para brindar los servicios, además de administrar el ciclo de vida y el proceso de actualización de los dispositivos BIG-IP que brindan esos servicios. Los grupos de escalamiento de servicios tienen definiciones de políticas de la cantidad mínima y máxima de dispositivos en un grupo y los activadores que se deben usar para escalar los recursos. 

También es posible utilizar plantillas de aplicação del catálogo de servicios para implementar servicios en clústeres F5 ScaleN® tradicionales (pero sin los beneficios de escalabilidad y gestión del ciclo de vida).

Plantillas de dispositivos

Las plantillas de dispositivo definen todas las características a nivel de infraestructura (zona horaria, DNS, nombre de host, cuentas, NTP, licencias, redes, etc.) que se requieren para implementar un dispositivo BIG-IP. Las organizaciones pueden usar plantillas de dispositivos para crear grupos de escalamiento de servicios implementando varios dispositivos nuevos utilizando estas plantillas. Las plantillas de dispositivos también son el método principal para interactuar con los dispositivos BIG-IP; si se requiere un cambio en un dispositivo en BIG-IP Cloud Edition (debido a una actualización de versión, por ejemplo), entonces se cambia la plantilla del dispositivo y los cambios se envían al grupo de escalamiento de servicios. Las plantillas de dispositivo contienen toda la información necesaria para crear una edición virtual de BIG-IP, incluidas las licencias, el aprovisionamiento, la red y otras necesidades básicas del dispositivo.

La administración de dispositivos es diferente en BIG-IP Cloud Edition.

En la mayoría de los casos, los dispositivos que brindan servicios de seguridad y entrega de aplicação en BIG-IP Cloud Edition son inmutables; los cambios no se realizan directamente en las configuraciones del dispositivo, sino en la plantilla del dispositivo. Luego, BIG-IP Cloud Edition implementa estos cambios en un grupo de escalamiento de servicios implementando nuevos dispositivos, cambiando el tráfico hacia ellos y luego eliminando los dispositivos antiguos. Este proceso, a veces llamado “BIG-IP Per-App VE y nuke”, es fundamentalmente diferente de cómo se gestiona una implementación tradicional de BIG-IP de múltiples inquilinos.

Beneficios de los servicios por aplicación:

  • Aislar cargas de trabajo
  • Entornos virtuales de tamaño adecuado
  • Aléjese de las actualizaciones tradicionales in situ
  • Aprovisionar y configurar automáticamente nuevas instancias
Gestión de licencias

Con BIG-IP Cloud Edition, la concesión, actualización y revocación de licencias para instancias virtuales se gestiona automáticamente mediante el sistema de gestión de licencias de BIG-IQ. Este sistema automático permite agrupar licencias y utilizarlas cuándo y dónde sean necesarias. Cuando un dispositivo ya no es necesario, su licencia se devuelve al grupo para que la utilice otra instancia. Si bien los modos de licencia, las capacidades y el rendimiento pueden variar entre implementaciones, BIG-IQ maneja la licencia sin problemas, por lo que no es necesaria una engorrosa activación manual de la licencia al implementar nuevas instancias de BIG-IP.

visibilidad de aplicaciones

Para proporcionar desencadenantes para escalar eventos y obtener información detallada sobre el rendimiento de las aplicação y la infraestructura, BIG-IQ recopila y visualiza análisis a nivel de aplicación que son útiles para los administradores de seguridad y de red, así como para los propietarios de aplicação . Esta visibilidad ayuda a los propietarios de aplicaciones a autodiagnosticar problemas de rendimiento de las aplicação para determinar si su aplicação o la red son la fuente de los retrasos.

Roles

BIG-IP Cloud Edition está diseñado para impulsar la separación lógica de roles. Los propietarios de aplicação obtienen una implementación de aplicação de autoservicio en grupos de escalamiento de servicios administrados por propietarios de infraestructura. Los equipos de NetOps y SecOps pueden administrar las plantillas y políticas de seguridad que utilizan los propietarios de las aplicação . Algunas plantillas pueden estar disponibles para algunos propietarios de aplicação y no para otros, y las estadísticas y los paneles por aplicación pueden estar restringidos a los propietarios de las aplicação . A través de una gestión de roles detallada, BIG-IP Cloud Edition permite a los equipos de aplicação respaldar sus aplicaciones y, al mismo tiempo, permite a los equipos de operaciones mantener el control de la red.

Funciones y tareas de BIG-IP Cloud Edition, como se describe en el título.
Figura 2: Funciones y tareas de BIG-IP Cloud Edition: El equipo de operaciones de seguridad puede crear una biblioteca de políticas de seguridad para cubrir las implementaciones de aplicação más comunes. Los equipos de operaciones de red luego adjuntan estas políticas a las plantillas de aplicação y, además de crear políticas de servicios de aplicação no centradas en la seguridad, también son responsables de crear grupos de escalamiento de servicios y realizar tareas generales de administración de dispositivos y licencias. Los equipos de aplicação consumen estos servicios seleccionando plantillas de aplicação para implementar servicios de aplicação para sus aplicaciones y luego seleccionando un grupo de escalamiento de servicios en el cual implementar estos servicios.
Componentes de infraestructura

BIG-IP Cloud Edition se compone de varios componentes de infraestructura diferentes que trabajan juntos para brindar la solución.

Diagrama de BIG-IP Cloud Edition
Figura 3: Diseño físico de BIG-IP Cloud Edition
VE por aplicación BIG-IP

Uso de BIG-IP Per-App VE fuera de BIG-IP Cloud Edition. Los VE por aplicación de BIG-IP se pueden comprar fuera de BIG-IP Cloud Edition. Disponible como un paquete de licencias y con un componente de administrador de licencias BIG-IQ gratuito, BIG-IP Per-App

Un BIG-IP Per-App VE es una instancia de BIG-IP con licencia especial que ha sido diseñada para proporcionar servicios dedicados para una sola aplicação. Todas las funciones del software BIG-IP están habilitadas, pero tiene el tamaño adecuado para su uso como dispositivo dedicado.

Cada VE Per-App de BIG-IP viene con:

  • Dirección IP virtual única
  • Tres servidores virtuales (una combinación de una dirección virtual y un puerto de escucha)
  • Rendimiento de 25 Mbps o 200 Mbps

Hay dos opciones de módulos de software disponibles en los VE Per-App de BIG-IP:

Administrador de tráfico local BIG-IP

El software F5 BIG-IP Local Traffic Manager™ (LTM) ofrece una gestión del tráfico de aplicação líder en la industria, que incluye equilibrio de carga avanzado, modelado de velocidad, enrutamiento de contenido, gestión de SSL y control completo del tráfico de la capa de aplicação en ambas direcciones.  

F5 Advanced WAF

F5 Advanced WAF ofrece todas las características de un firewall de aplicação web (WAF) tradicional más protección mejorada en forma de mitigación de DDoS de capa 7, detección avanzada de bots y gestión de seguridad de API. Advanced WAF viene con un conjunto de funciones de gestión de tráfico BIG-IP LTM para administrar de manera eficaz el tráfico hacia los servidores de aplicação descendentes. La implementación de políticas Advanced WAF se administra como parte del componente de template de aplicaciones .

Requisitos de la máquina virtual

Los VEs Per-App de BIG-IP se benefician de la simplificación de la plataforma en cuanto al tamaño de imágenes y discos que se ha producido en versiones recientes de BIG-IP. En las implementaciones tradicionales de BIG-IP, las versiones del software de BIG-IP se realizaban “en el lugar” descargando una nueva imagen de software en un dispositivo en funcionamiento y luego siguiendo un procedimiento de actualización. Con BIG-IP Cloud Edition, los dispositivos que brindan servicios de seguridad y entrega de aplicação son, en su mayor parte, inmutables, por lo que los cambios no se realizan directamente en las configuraciones del dispositivo, sino que se implementan utilizando las plantillas del dispositivo y de la aplicação . Luego, las versiones antiguas se retiran mediante una actualización continua. Por lo tanto, no se requiere espacio de almacenamiento adicional para múltiples versiones del software BIG-IP y se puede reducir el tamaño de la imagen del disco.

  • En las implementaciones de VMware, los VE BIG-IP Per-App están disponibles en imágenes no actualizables con espacios de almacenamiento reducidos. Para obtener detalles sobre las especificaciones de las máquina virtual en VMware, consulte la Guía de configuración de Virtual Edition para ESXi .
  • Para uso en producción en AWS, F5 recomienda los tipos de imágenes M3 o M4, con un mínimo de dos núcleos virtuales y 4 GB de memoria para implementaciones de BIG-IP LTM y 8 GB para Advanced WAF.
  • Para uso en producción en Microsoft Azure, F5 recomienda los tipos de imágenes estándar B2s y B2ms, con un mínimo de dos núcleos virtuales y 4 GB de memoria para implementaciones de BIG-IP LTM y 8 GB para Advanced WAF.
Escalado y gestión de instancias por aplicación de BIG-IP en un grupo de escalado de servicios

Escaladores de servicios VMware–BIG-IP

En VMware, el tráfico por aplicación a los VE Per-App de BIG-IP se escala a través de un clúster BIG-IP especializado que utiliza reenvío de direcciones MAC, que preserva las direcciones IP de origen y destino del cliente. Esto puede ser importante para algunas de las funciones de capa 7 que ofrecen los VE Per-App de BIG-IP y también garantiza la recopilación de datos precisa para los servicios de visibilidad que ofrece BIG-IQ.

Los escaladores de servicios BIG-IP realizan un equilibrio de carga básico entre los VE Per-App de BIG-IP y no tienen límite de licencia en cuanto al rendimiento (sin embargo, los recursos de hardware virtual obviamente limitarán el rendimiento máximo). De manera opcional, el escalador de servicios se puede habilitar con capacidades de firewall que ofrecen ACL de red y capacidades de mitigación de DoS de capa 4. Los escaladores de servicio no pueden realizar funciones SSL o de capa 7 en este momento.

Los escaladores de servicios BIG-IP requieren las siguientes especificaciones de máquina virtual :

 

Mínimo

Máximo

vCPU

2[1]

4

Memoria

4 GB

16 GB[2]

Espacio en disco

40 GB[3]

82 GB

Tarjetas de interfaz de red

4

10

 

Los escaladores de servicios BIG-IP pueden pertenecer a más de un grupo de escalamiento de servicios y pueden compartirse entre múltiples aplicações (mientras que los VE Per-App de BIG-IP están, como sugiere su nombre, dedicados a una sola aplicação).

La instalación y configuración de escaladores de servicios en un grupo de escalamiento de servicios se trata en BIG-IQ Centralized Management: Implementaciones de tráfico local y red.

[1] Se requieren cuatro vCPU para la funcionalidad adicional del firewall.

[2] Este puede ser mayor ya que no hay un límite fijo.

[3] 82 GB para funciones de firewall.

AWS ELB Clásico

En AWS, los servicios se escalan utilizando instancias de Elastic Load Balancing (ELB) Classic. ELB Classic proporciona equilibrio de carga L4 básico y disponibilidad en todos los VE Per-App de BIG-IP, y una instancia lógica de ELB está dedicada a un único grupo de escalamiento de servicios. Por lo tanto, cada aplicação requiere una configuración ELB dedicada. El servicio AWS administra el escalamiento de las instancias ELB para satisfacer las demandas.  

La configuración de instancias de AWS ELB en un grupo de escalado de servicios se trata en Administración centralizada de BIG-IQ: Administración de aplicações en una nube de AWS con escalado automático .

Balanceador de carga de Azure

En Azure, los servicios se escalan mediante instancias de Azure Load Balancer. Load Balancer proporciona equilibrio de carga L4 básico y disponibilidad en todos los VE Per-App de BIG-IP, y una instancia lógica de Load Balancer está dedicada a un único grupo de escalamiento de servicios. Como resultado, cada aplicação requiere una configuración de Load Balancer dedicada. El servicio de Azure administra el escalado de las instancias de Load Balancer para satisfacer las demandas. 

La configuración de instancias de Azure Load Balancer en un grupo de escalado de servicios se explica en Gestión centralizada BIG-IQ: Administración de aplicações en una nube de Azure con escalado automático .

BIG-IQ

BIG-IQ puede administrar más VE por aplicación que BIG-IP.

BIG-IQ puede descubrir y administrar instancias de BIG-IP de todas las versiones de software compatibles, sin importar la plataforma o la ubicación. La plataforma puede realizar la gestión de dispositivos, visualizar estadísticas e implementar configuraciones de servicios de aplicação con plantillas en instancias BIG-IP físicas, virtuales y en la nube. BIG-IQ puede incluso ofrecer escalamiento automático para VE BIG-IP tradicionales compatibles (no por aplicación) en plataformas compatibles (actualmente AWS, Azure y VMware).

BIG-IQ proporciona una gestión centralizada de todos los componentes que forman BIG-IP Cloud Edition. Todas las actividades e informes se gestionan a través de BIG-IQ y no se requiere acceso administrativo a los VE Per-App de BIG-IP. 

Gran coeficiente intelectual:

  • Crea nuevos grupos de escalamiento de servicios
    • Dentro del grupo de escalamiento de servicios, se hace referencia a las plantillas de dispositivos para administrar el ciclo de vida de los VE Per-App de BIG-IP. Las plantillas de dispositivo incluyen toda la información necesaria para poner en marcha un VE Per-App de BIG-IP y no requieren intervención humana.
  • Proporciona análisis profundos a nivel de aplicação para que los propietarios de aplicação puedan solucionar sus propios problemas.
  • Proporciona métricas de capacidad y rendimiento a nivel de dispositivo para la resolución de problemas y la planificación.
  • Ofrece acceso basado en roles que permite a los propietarios de aplicação implementar servicios F5 L4–7 para una aplicação a través de plantillas de aplicação predefinidas del catálogo de servicios de manera autoservicio.

F5 recomienda el siguiente hardware virtual para BIG-IQ en una implementación de BIG-IP Cloud Edition.

 

Mínimo

Máximo

vCPU

4

8

Memoria

4 GB

16 GB

Espacio en disco

95 GB

500 GB

Tarjetas de interfaz de red

2

10

 

La instalación y configuración de BIG-IQ se trata en el Guía de implementación de gestión centralizada de F5 BIG-IQ .

Comunicación BIG-IQ con gestión de infraestructura virtual

BIG-IQ es capaz de iniciar, licenciar, aprovisionar y configurar VEs Per-App de BIG-IP a pedido, como parte de un grupo de escalamiento de servicios o en un entorno de escalamiento horizontal. Esto requiere acceso autenticado al entorno de infraestructura virtual.

 

En VMware

En VMware, se requiere lo siguiente: credenciales para acceder a vCenter, un nombre de host de vCenter, un certificado SSL para comunicación segura y otra información sobre el entorno ESX, como hosts/clústeres, almacenes de datos, conmutadores virtuales (distribuidos) (vSwitches) y grupos de recursos. 

En AWS

En AWS, se requiere lo siguiente: Clave de acceso de usuario de gestión de acceso (IAM) y secreto asociado para realizar llamadas API y ELB para proporcionar distribución de tráfico de nivel uno. Siga las mejores prácticas de AWS para crear y administrar las claves.

El usuario de IAM debe tener adjunta la política de acceso de administrador y tener permiso para crear grupos de escalamiento automático, buckets de Amazon Simple Storage Service (S3), instancias y perfiles de instancias de IAM.  Para obtener detalles sobre los permisos y la configuración general de AWS, consulte https://aws.amazon.com/documentation .

BIG-IQ: alta disponibilidad y respaldo

Dado que BIG-IP Cloud Edition básicamente enruta todas las actividades del plano de control a través de la capa de administración de BIG-IQ (BIG-IQ maneja el monitoreo en tiempo real y los eventos de escalamiento ascendente/descendente y administra la asignación y revocación de licencias), se convierte en una parte fundamental del sistema de entrega y, por lo tanto, generalmente se implementa en una configuración redundante de alta disponibilidad.

Por lo tanto, la planificación debe incluir un par BIG-IQ activo-en espera, con la licencia adecuada para la cantidad de instancias BIG-IP bajo administración.

La configuración de BIG-IQ para alta disponibilidad se explica en el Guía de implementación de gestión centralizada de F5 BIG-IQ .

Dispositivos de recopilación de datos BIG-IQ

Los dispositivos de recopilación de datos en BIG-IQ son responsables de recopilar, almacenar y procesar datos de tráfico y rendimiento de los VE por aplicación de BIG-IP. Después de que los VE Per-App de BIG-IP envían telemetría de rendimiento y tráfico a los dispositivos de recopilación de datos para procesarlos y almacenarlos, BIG-IQ consulta los dispositivos de recopilación de datos para proporcionar visibilidad e informes. Los dispositivos de recopilación de datos se organizan en grupos que trabajan juntos y replican los datos almacenados con fines de redundancia.

F5 recomienda el siguiente hardware virtual para los dispositivos de recopilación de datos utilizados en BIG-IP Cloud Edition:

vCPU

8

Memoria

32

Espacio en disco

500 GB

Tarjetas de interfaz de red

2

 

Una nota sobre los subsistemas de disco:  Los dispositivos de recopilación de datos BIG-IQ almacenan, procesan y analizan datos recopilados de los VE Per-App de BIG-IP para producir informes y paneles para el sistema BIG-IQ. Esta es una carga de trabajo intensiva en E/S de disco, por lo que el almacenamiento subyacente debe dimensionarse tanto para la capacidad como para el rendimiento. Para implementaciones de gran tamaño de VEs Per-App de BIG-IP o para análisis y registros extensos, se deben implementar subsistemas de almacenamiento de alto rendimiento. Las operaciones de captura, búsqueda e indexación generarán E/S tanto aleatorias como secuenciales, a menudo con alta concurrencia de tareas.

Para obtener información adicional, consulte la Guía de dimensionamiento de dispositivos de recopilación de datos de gestión centralizada BIG-IQ .

Redes y conectividad

VPN para dispositivos de recopilación de datos con implementaciones de nube pública

Cuando se crean nuevos VE Per-App de BIG-IP, se les asigna la dirección IP propia de los dispositivos de recopilación de datos a los que deben volver a conectarse. Esta es una configuración fija (a partir de BIG-IQ 6.0). Se requieren conexiones en ambas direcciones entre los dispositivos de recopilación de datos y BIG-IP Per-App VE. En muchos entornos, pero especialmente cuando los VE Per-App de BIG-IP están en AWS o Azure y BIG-IQ y los dispositivos de recopilación de datos están en las instalaciones del cliente, se requerirá conectividad VPN para enrutar correctamente el tráfico en ambas direcciones, ya que los dispositivos de recopilación de datos generalmente tendrán una dirección IP no enrutable RFC 1918. BIG-IP Cloud Edition requiere rangos de direcciones IP únicos en Amazon Virtual Private Cloud (Amazon VPC) o Azure Virtual Network (Azure VNet), lo que significa que no pueden tener espacios de direcciones superpuestos en Amazon VPC.

Figura 4: Requisitos de VPN para la implementación de AWS

Hay varias formas diferentes de configurar una VPN u otra conexión privada a AWS, incluidos servicios como AWS Direct Connect o servicios de conectividad multicloud como Equinix Cloud Exchange. También es posible establecer un túnel IPSEC desde dispositivos BIG-IP locales a puertas de enlace VPN de AWS .

Conectividad: Puertos y protocolos

Para obtener detalles de conectividad de puertos y protocolos entre los componentes de BIG-IP Cloud Edition, consulte la documentación de BIG-IQ 6.0

Además, BIG-IQ necesita acceso a los puntos finales de la API de AWS para la región elegida en el puerto 443 o al servidor vCenter en el puerto 443.

Autenticación y seguridad
Autenticación de usuarios de BIG-IQ

BIG-IQ ofrece gestión de cuentas de usuario incorporada e integración con protocolos externos comunes como TACACS, RADIUS y LDAP.

Dimensionamiento y planificación de la capacidad
Redes y conectividad

¿Cuántos VE BIG-IP por aplicación se necesitarán?

Hay dos límites críticos en las instancias de VE Per-App de BIG-IP:

  • Objetos
  • Rendimiento

A diferencia de una implementación más tradicional, los VE Per-App de BIG-IP generalmente se implementan en una configuración totalmente activa con el dispositivo de administración de tráfico de nivel uno encargándose de la alta disponibilidad y el escalamiento.  En general, esto significa un mayor rendimiento real por instancia de VE aprovisionada que en un par de alta disponibilidad (HA) activo-en espera más centrado en el hardware, donde es necesario mantener capacidad de repuesto para conmutación por error, incluso en una configuración activa-activa. Los VE Per-App de BIG-IP están disponibles en licencias de rendimiento de 25 Mbps y 200 Mbps y están diseñados para escalar horizontalmente mediante grupos de escalamiento de servicios.

El primer paso es determinar una estimación base del rendimiento requerido para cada aplicação para la que se planifica la gestión del tráfico. A continuación, decida si la licencia de 25 Mbps o de 200 Mbps es adecuada. Para requisitos de mayor rendimiento por aplicação, la licencia de 200 Mbps es adecuada debido a que se necesitan menos dispositivos en general. Para requisitos más pequeños o más específicos, la licencia de 25 Mbps es más adecuada. Si maximizar el uso de los recursos es importante, entonces la licencia de 200 Mbps hará un uso más eficiente del hardware subyacente para un rendimiento particular.

Ilustración gráfica de escalado y dimensionamiento de VE por aplicación de BIG-IP
Figura 5: Escalado y dimensionamiento de VE por aplicación de BIG-IP

Es posible mezclar y combinar tipos de licencia dentro de un entorno, pero una aplicação específica solo será atendida por un tipo de licencia.

Para cada aplicação, determine:

  • Rendimiento total requerido
  • Crecimiento probable
  • Volatilidad

Al pensar en la volatilidad, hay algunas variables a tener en cuenta. En primer lugar, los desencadenantes de eventos de escalamiento se basan en el rendimiento, los umbrales de la CPU y/o la memoria del dispositivo más ocupado en un grupo de escalamiento de servicios, tomados en un promedio de cinco minutos. Debido a que una nueva instancia de BIG-IP Per-App VE tardará un breve período de tiempo en activarse después del inicio, se recomienda aprovisionar el requisito base con capacidad para aproximadamente 20 minutos de crecimiento máximo esperado. De esa manera, los servicios pueden adaptarse a la demanda y al mismo tiempo tener cierta capacidad para manejar los picos esperados.

Si bien el dimensionamiento puede ser complejo, con BIG-IP Cloud Edition las instancias de cada aplicación pueden adaptarse según demanda, por lo que no es necesario buscar la perfección (ni desarrollar una capacidad de reserva excesiva).

Dimensionamiento de las instancias del escalador de servicios BIG-IP

La capacidad de escalamiento del servicio se implementa de manera diferente entre entornos.

En AWS, el escalamiento hacia adentro y hacia afuera se maneja mediante el balanceador de carga AWS ELB Classic, fácil de usar.

En VMware, las funciones de escalado de servicios, DDoS de capa 4 y firewall son proporcionadas por VE BIG-IP especiales. Estos VE están configurados para distribuir simplemente el tráfico a los VE Per-App de BIG-IP y también para proporcionar control de acceso a la capa de red y mitigación de DDoS.

Las instancias de escalamiento automático están diseñadas para tener un alto rendimiento, baja complejidad y poder compartirse entre múltiples aplicações.

API e integraciones

BIG-IQ ofrece una API REST que permite la implementación de servicios de aplicação desde el catálogo de servicios mediante programación. Para obtener detalles sobre la API REST, consulte la documentación de BIG-IQ .

CONCLUSIÓN

BIG-IP Cloud Edition ofrece la potencia, la seguridad y la flexibilidad de los servicios de aplicação de F5 de nuevas maneras. Estos incluyen una nueva plataforma por aplicación que puede escalar verticalmente según demanda y capacidades de autoservicio. Los equipos de seguridad pueden crear políticas de seguridad de aplicação y mitigación de DDoS, y los equipos de red pueden luego adjuntarlas a plantillas de aplicação y agregarlas al catálogo de servicios para usuarios específicos. Los equipos de aplicação pueden elegir entre un catálogo de servicios predefinidos e implementar servicios en un grupo de escalamiento de servicios que se adaptará para satisfacer los requisitos de sus aplicaciones.

El resultado final es una solución altamente flexible y escalable que ofrece servicios de aplicação F5 de nivel empresarial (con la flexibilidad de instancias dedicadas), acompañados de una reducción medible en los gastos operativos. Este enfoque permite a los equipos adecuados hacer el trabajo adecuado: ahora los propietarios de aplicação pueden colaborar mejor con los equipos de operaciones de red, desarrollo y seguridad dentro de un marco ágil para mejorar significativamente el rendimiento, la disponibilidad y la seguridad de todas las aplicações.

Publicado el 30 de mayo de 2018
  • Compartir en Facebook
  • Compartir con X
  • Compartir en Linkedin
  • Compartir por correo electrónico
  • Compartir vía AddThis

CONECTE CON F5

Laboratorios F5

Lo último en inteligencia de amenazas de aplicaciones.

Centro de desarrollo

La comunidad de F5 para foros de discusión y artículos de expertos.

Sala de prensa de F5

Noticias, blogs de F5 y mucho más.