WHITE PAPER

Cree una arquitectura unificada de entrega de aplicaciones para su centro de datos y nube

Updated November 14, 2016
  • Share via AddThis

Introducción

El ritmo de la economía digital se está acelerando, lo que significa que las empresas deben competir para ofrecer nuevos servicios con rapidez y a escala. Este requisito ha llevado a las organizaciones a adoptar nuevas formas de crear, desplegar y gestionar aplicaciones, lo que a su vez ha dado lugar a nuevas prácticas laborales, nuevas arquitecturas de aplicación y una categoría completamente nueva de infraestructuras de TI: la nube.

Aunque la velocidad y la agilidad que prometen las arquitecturas en la nube son fundamentales para algunas aplicaciones, la necesidad de estabilidad y resistencia de los servicios básicos que sustentan las operaciones empresariales sigue siendo constante, al igual que la necesidad de gobierno y gestión de riesgos. Estas necesidades contrapuestas han dividido a las TI en diferentes modos de funcionamiento y prácticas de trabajo, separando los sistemas que priorizan la estabilidad de los que priorizan la agilidad.

En el centro de esta división parece estar la suposición de que estos dos paradigmas son irreconciliables, pero ¿y si eso no fuera cierto? F5 tiene una visión unificadora para la prestación de servicios, una que garantiza que las aplicaciones de todo tipo se mantengan seguras, rápidas y altamente disponibles.

El problema de la fractura de las TI

La división actual en la prestación de servicios de TI ha surgido de la necesidad de tener aplicaciones y del negocio al que dan soporte.

Por un lado, las aplicaciones monolíticas se ejecutan en servidores (físicos o virtuales), mientras que las bases de datos relacionales albergan los datos. Los controladores de entrega de aplicaciones gestionan el tráfico de las mismas, que está protegido por cortafuegos. Los sistemas subyacentes son mutables y, por lo general, cuentan con arquitecturas multi-tenancy. Los cambios en estos sistemas son menos frecuentes y suelen estar gestionados mediante un sistema de ticketing, un panel de cambios y una ventana de mantenimiento seguida de un cambio de configuración artesanal o ligeramente programado.

Este método de operación de TI prioriza la seguridad, la estabilidad y la facilidad para resolver problemas por encima de la agilidad. El control del servicio está en manos de los grupos de operaciones de TI, que están separados de los desarrolladores o de los propietarios de la línea de negocio, que son los consumidores de los servicios de TI.

En el otro extremo del espectro se encuentran los equipos, las aplicaciones y las infraestructuras diseñadas para el cambio rápido. Los servidores monolíticos se descomponen en un conjunto de servicios desvinculados que se ejecutan en servidores virtualizados o contenedores ligeros, o se ejecutan bajo demanda por una infraestructura subyacente, pero esencialmente invisible. Las aplicaciones se actualizan con frecuencia y luego se implantan y redistribuyen rápidamente en un sistema de entrega e integración continuas.

Los objetos desplegados que componen las aplicaciones son inmutables: los cambios en estos sistemas son frecuentes, pero se gestionan cambiando el código que describe la infraestructura y las aplicaciones y volviendo a desplegar ese código. Un sistema de pruebas automatizadas (o de supervisión y retroceso rápidos) sustituye al panel de cambios.

Figura 1: El panorama TI actual

Aunque estos dos modos de funcionamiento de las TI responden a las necesidades de sus aplicaciones, la separación que existe entre ellos impide que los aspectos más útiles de cada modalidad beneficien a la otra.

Una arquitectura más útil podría permitir la entrega de los valores de estabilidad, seguridad y rendimiento a estas nuevas aplicaciones ágiles, permitiendo inyectar más automatización, estandarización y velocidad a los despliegues de aplicaciones tradicionales. Esta mejor arquitectura permite que los componentes principales de la entrega de aplicaciones sean gestionados por un equipo de expertos, pero que sean accesibles a los equipos de aplicaciones mediante cualquier interfaz que necesiten, lo que aporta beneficios a TI y a la empresa.

La visión arquitectónica de F5

La visión arquitectónica de F5 establece el marco de trabajo y los componentes que permiten a las organizaciones ofrecer una capa consistente de servicios de aplicaciones en todo el entorno informático. Estos servicios proporcionan seguridad, disponibilidad y rendimiento para las aplicaciones, y pueden desplegarse de forma fiable en cualquier lugar donde se necesiten. Las plataformas en la nube, como OpenStack, Amazon Web Services o Microsoft Azure, pueden desplegar estos servicios de aplicaciones utilizando las herramientas nativas del sistema. Las aplicaciones pueden desplegarse a partir de plantillas para su repetición o mediante llamadas individuales a la API para construir un servicio a medida. Una infraestructura de red definida por software (SDN), como Cisco ACI o VMware NSX, puede acceder a estos servicios como parte de sus propios procesos de aprovisionamiento de red.

La potencia de procesamiento de estos servicios provendrá de una serie de plataformas: servicios basados en la nube, hardware de alta capacidad, dispositivos virtualizados y una nueva generación de proxies distribuidos y ligeros, todos ellos gestionados de forma fluida e intuitiva por un software consolidado. Y, mientras los servicios de entrega de aplicaciones procesan el tráfico, también pueden proporcionar útiles servicios de telemetría y visualización para ayudar a gestionar mejor las aplicaciones y la infraestructura.

Figura 2: La visión arquitectónica de F5

Esta visión arquitectónica de F5 tiene seis componentes clave:

  • Servicios de entrega de aplicaciones
  • Plataformas de entrega de servicios
  • Plantillas de entrega de servicios
  • Sistemas de integración
  • Sistemas de gestión
  • Sistemas de visibilidad y conocimiento
Figura 3: Componentes de la arquitectura de F5

Este modelo no supone que todos los usuarios interactúan de la misma forma con la arquitectura. Como práctica de trabajo, las DevOps seguirán utilizando métodos de infraestructura como código, haciendo cambios mediante la actualización de plantillas y la redistribución de objetos inmutables. Los servicios de TI más tradicionales pueden seguir realizando cambios a través de GUI, CLI o scripts. La arquitectura subyacente simplemente ofrece los servicios adecuados a las aplicaciones, independientemente de su modo de funcionamiento o su ubicación. Este modelo funciona en todos los recursos informáticos, nubes privadas, nubes públicas o infraestructuras de TI más estáticas.

Servicios de entrega de aplicaciones

Los servicios de entrega de aplicaciones hacen que las aplicaciones sigan siendo seguras y rápidas y que sigan estando disponibles. Estos servicios clave son el núcleo de la visión arquitectónica de F5. El resto de la arquitectura está ahí para ofrecer los servicios adecuados a la aplicación correcta y, a continuación, proporcionar visibilidad del rendimiento de la aplicación y la red.

Los productos de F5 ofrecen un espectro completo de servicios avanzados de entrega de aplicaciones diseñados para proporcionar capacidad de ampliación, disponibilidad y seguridad multicapa a todo tipo de tráfico de aplicaciones. Desde el simple equilibrio de carga de paquetes UDP, hasta la inspección avanzada de solicitudes HTTP o la prestación de servicios de identidad federada para el control de acceso: los servicios de entrega de aplicaciones de F5 son los más amplios y completos del sector.

Los servicios de entrega de aplicaciones de F5 pueden ampliarse utilizando las capacidades de programación del plano de control y los datos conscientes del tráfico de las aplicaciones. F5® iRules®, F5 iRules® LX y F5 iCall® ofrecen un control programático de los datos de la aplicación y de la configuración del servicio. Este control puede utilizarse para mitigar rápidamente las nuevas vulnerabilidades de seguridad de las aplicaciones, proporcionar servicios de pruebas A/B o modificar el comportamiento de las aplicaciones.

Plataformas de entrega de servicios

Los servicios de entrega de aplicaciones son proporcionados por el software de F5 que se ejecuta en una de las diversas plataformas de entrega de servicios, incluidos los dispositivos físicos de hardware F5 BIG-IP®, los dispositivos de software, los proxies ligeros o la plataforma de servicios de aplicaciones basada en la nube F5 Silverline®.

Plataformas de hardware F5 BIG-IP y F5 VIPRION®

Todas las plataformas de hardware BIG-IP han sido creadas específicamente para ofrecer rendimiento y capacidad de ampliación, y ofrecen una arquitectura multi-tenancy robusta y una fiabilidad de nivel de operador. La última generación de la plataforma BIG-IP, BIG-IP® iSeries, va un paso más allá. Además de proporcionar un rendimiento notablemente superior, las plataformas iSeries están equipadas con una serie de características únicas que sitúan a la plataforma en el centro de las necesidades de entrega de aplicaciones de las organizaciones y sirven de puente fundacional entre los modelos de TI tradicionales y las implementaciones de nube privada.

Perfiles de rendimiento de la FPGA

El hardware de F5 siempre se ha diseñado para ofrecer un rendimiento excepcional en la entrega de aplicaciones mediante la combinación del hardware especializado con las CPU y las memorias líderes en el sector. Aunque esto ofrecía un gran rendimiento general, el modelo era esencialmente estático, con un conjunto fijo de capacidades y características de hardware.

Con su tecnología de perfil de rendimiento F5 TurboFlex™ (pendiente de patente), BIG-IP iSeries se libera de estas limitaciones. Las plataformas de F5 ofrecen ahora en hardware las mismas características que siempre han ofrecido en software las soluciones basadas en F5 TMOS®. Esta nueva agilidad del hardware proporciona a los clientes de F5 una mayor funcionalidad, flexibilidad y protección de la inversión.

La tecnología TurboFlex permite a los clientes elegir la combinación de descarga de hardware a velocidad de cable para funciones como las siguientes:

  • Virtualización de redes y procesamiento de protocolos superpuestos (como VXLAN y túneles GGRE): aumento de la capacidad de procesamiento de tráfico
  • Procesamiento del tráfico UDP: aumento del rendimiento y reducción de la latencia y la fluctuación de fase, lo que mejora el rendimiento de VOIP o del streaming
  • Mitigación de DDoS: aumenta enormemente el tamaño del ataque que se puede absorber

Los sistemas BIG-IP iSeries pueden adaptar sus capacidades de hardware a los módulos de software TMOS utilizados. Las organizaciones pueden añadir características y funcionalidades de hardware a medida que estén disponibles a través de las actualizaciones del sistema BIG-IP.

Descifrado SSL (incluyendo ECC) en hardware

Con la nueva generación de componentes de descifrado SSL dedicados, incluso los paquetes avanzados de cifrado que utilizan el intercambio de claves Diffie-Hellman para la criptografía de curva elíptica (ECC) se descargan de la CPU. La transferencia del intercambio de claves SSL al hardware dedicado aumenta la capacidad total de la conexión SSL y libera la CPU del sistema para realizar tareas más complejas de entrega de aplicaciones, como la inspección de las solicitudes de los clientes por ataques de inyección o la optimización del tráfico saliente del servidor.

Plataformas de software avanzadas

Las ediciones virtuales de los productos BIG-IP ofrecen los mismos servicios de entrega de aplicaciones que los dispositivos BIG-IP físicos en una plataforma que está disponible en todos los hipervisores líderes, así como en la mayoría de las nubes públicas y privadas. Las ediciones virtuales de BIG-IP ofrecen opciones de licencia flexibles, que incluyen la utilidad, la agrupación de licencias y la licencia de pago por crecimiento.

Con las mismas capacidades de servicio, se pueden implantar políticas y prácticas coherentes en toda la empresa, desde aplicaciones que se ponen en marcha en minutos y que duran solo unas horas, hasta aplicaciones críticas que proporcionan servicios fundamentales (como ERP o finanzas).

En los casos en los que el intenso tráfico SSL pueda poner a prueba la infraestructura subyacente del hipervisor, el proceso de intercambio de claves SSL, que requiere un gran esfuerzo computacional, puede descargarse de las ediciones virtuales de BIG-IP a una plataforma de hardware de BIG-IP, lo que mejora la capacidad general de una nube privada.

Plataformas de software ligeras

Para las aplicaciones que requieren una gestión sencilla del tráfico, un proxy ligero puede proporcionar servicios de equilibrio de carga de bajo coste con poco impacto. La gestión del tráfico hacia los componentes de microservicios y el tráfico este-oeste de las API son casos de uso especialmente comunes para esta tecnología, sobre todo cuando se combinan con servicios de aplicación más avanzados para el tráfico de aplicaciones de cliente a servidor.

Aunque hay varias soluciones puntuales disponibles, una mejor opción sería una plataforma ligera diseñada para encajar en la arquitectura general de una organización. En la visión arquitectónica de F5, se usarán los mismos métodos de despliegue utilizados en el suministro de servicios de entrega de aplicaciones más avanzados para crear servicios ligeros. La telemetría y el registro de todos los componentes de entrega de aplicaciones se alimentarán en un punto de agregación común, donde se normalizarán los datos y se correlacionarán los eventos.

Servicios de nube

La plataforma F5 Silverline, basada en la nube, ofrece mitigación de la denegación de servicio distribuida (DDoS), un cortafuegos de aplicación web y servicios de identificación de amenazas para mejorar la seguridad y la disponibilidad de las aplicaciones. Gestionados por los expertos del Centro de Operaciones de Seguridad de F5, los servicios Silverline ofrecen protección para las aplicaciones orientadas a Internet, independientemente de dónde estén alojadas. Estos servicios se prestan desde una serie de centros de datos de alta capacidad distribuidos por todo el mundo, que ofrecen la resistencia y la capacidad de absorber tanto los ataques de alto volumen en la capa de red, como los intentos más complejos de denegación de servicio en la capa de aplicación.

Arquitectura híbrida

Especialmente en los diseños tradicionales de los centros de datos y las nubes privadas, una arquitectura de varios niveles puede mejorar la capacidad, la capacidad de ampliación y la especificidad.

  • En la nube, los servicios F5 Silverline ofrecen una capacidad masiva para absorber los ataques DDoS y limpiar el tráfico de contenido malicioso.
  • En el extremo de la red, el hardware de alta capacidad y multiinquilinos se ocupa del cortafuegos de la red, el descifrado SSL, el control de acceso y la optimización de la red.
  • Cerca de la aplicación, las tareas específicas, como el cortafuegos de aplicación web, el equilibrio de carga y el enrutamiento de contenidos, pueden ser realizadas por plataformas de software que dan servicio a una sola o a un número reducido de aplicaciones vinculadas a una unidad organizativa. Cuando se necesite el descifrado SSL más cerca de la aplicación, el intercambio de claves SSL puede descargarse de nuevo en el hardware de borde.
Figura 4: Una arquitectura de varios niveles

Plantillas de servicio

Las plantillas ahorran tiempo, garantizan implantaciones consistentes y reducen el riesgo operativo de los despliegues manuales al codificar los elementos de configuración estándar para un servicio concreto, exponiendo solo un número limitado de opciones específicas del sitio o de la aplicación en el momento del despliegue. Muchos clientes de F5 han informado de que solo se necesita un número relativamente pequeño de plantillas para construir un catálogo capaz de desplegar la mayoría de sus aplicaciones. Cada vez que se despliega un servicio de entrega de aplicaciones desde una plantilla, las configuraciones clave se ajustan a las prácticas recomendadas de la organización, lo que puede ser especialmente útil para actividades como los conjuntos de cifrado SSL y el registro de tráfico.

Las plantillas de servicio también permiten desplegar servicios complejos de entrega de aplicaciones de forma sencilla y con un número reducido de llamadas a la API. Cuando se utilizan plantillas, el motor de orquestación o la herramienta de gestión de configuración solo tienen que solicitar una instancia de ese tipo de aplicación y luego suministrar los valores requeridos por la plantilla. Incluso es posible realizar el despliegue de una configuración compleja (que incluya equilibrio de carga, servicios de cortafuegos de aplicación web y registro avanzado) con una sola llamada a la API. Ahora comparemos esto con las llamadas a la API necesarias (o los clics necesarios en la interfaz gráfica o los comandos de la CLI) para configurar estos servicios desde cero. La plantilla de servicio iApps® de F5 cubre las necesidades de simplicidad operativa y ofrece un amplio conjunto de servicios de entrega de aplicaciones.

Figura 5: El papel de las plantillas de servicio

Sistemas de integración

Para acelerar el despliegue de aplicaciones y servicios, y reducir el riesgo operativo de los despliegues manuales, los servicios de entrega de aplicaciones deben integrarse perfectamente con los sistemas de automatización o gestión de la configuración. Los componentes de integración que necesitan las organizaciones dependerán de las plataformas elegidas (nube pública, nube privada o centro de datos virtualizado) y de las herramientas que elijan para gestionar la infraestructura. Los sistemas de integración de F5 incorporan la potencia de la plataforma BIG-IP a cualquier entorno, permitiendo a las organizaciones desplegar servicios de entrega de aplicaciones con las mismas herramientas que utilizan para desplegar el resto de elementos de la infraestructura.

iControl

F5 iControl® es una API RESTful que permite el control y la configuración de las plataformas BIG-IP. La mayoría de los sistemas de integración utilizan esta API para realizar cambios de configuración y desplegar nuevos servicios. Con la plataforma BIG-IP, ampliamente funcional y configurable, la API nativa puede llegar a ser extensa y compleja. Algunas de las herramientas de integración exponen una API más sencilla o un kit de desarrollo de software (SDK) para agilizar las operaciones. Cuando se combinan con las plantillas de servicio iApps, estas API simplificadas pueden seguir ofreciendo una gama completa de servicios de entrega de aplicaciones de F5.

iWorkflow

F5 iWorkflow™ es una plataforma «multi-tenant» (o multiinquilino) que agiliza el despliegue y la configuración de las plataformas y servicios BIG-IP en cualquier entorno. Utilizando una biblioteca configurable de plantillas de servicio iApps, iWorkflow puede reducir los tiempos de despliegue de los servicios de aplicaciones de días u horas a minutos. iWorkflow puede gestionar el despliegue, la concesión de licencias y el aprovisionamiento de nuevas ediciones virtuales de BIG-IP, así como el despliegue de nuevos servicios en las plataformas BIG-IP existentes.

Con un diseño multiinquilinos y un acceso basado en roles, iWorkflow da a los propietarios de las aplicaciones el control que necesitan sobre sus aplicaciones asignadas y los servicios asociados. Los inquilinos pueden desplegar configuraciones complejas utilizando sus plantillas de servicio iApps asignadas sin tener que realizar complicados procedimientos de configuración.

iWorkflow se conecta con otros sistemas a través de una sencilla API y ofrece conectores para determinados sistemas de gestión y orquestación, como Cisco ACI y VMware NSX. La integración personalizada en otros sistemas está disponible a través de un SDK bien documentado, que se convertirá en un proceso fundamental para que las herramientas de gestión de la configuración, como Puppet y Chef, desplieguen los servicios de entrega de aplicaciones de F5.

Controladores y complementos de OpenStack

OpenStack, una plataforma de software de código abierto utilizada para ofrecer servicios de computación en la nube, es una forma popular de ofrecer infraestructura como servicio (IaaS) en nubes privadas y públicas. F5 ofrece integración en OpenStack a través del componente Load Balancing as a Service (LBaaS) del servicio de red OpenStack Neutron y proporcionando un complemento para el servicio de orquestación Heat.

Con LBaaS, se pueden configurar servicios sencillos de equilibrio de carga utilizando la IA o la CLI de Neutron (o a través de la GUI de Horizon) en las plataformas físicas o virtuales de BIG-IP. Aunque las opciones de configuración del equilibrio de carga son sencillas, la potencia de las plataformas BIG-IP ofrece una enorme capacidad de ampliación y la consolidación de los servicios, lo que mejora la ampliación general de los despliegues de OpenStack.

Con la integración en Heat, las plantillas pueden utilizarse para desplegar y configurar instancias BIG-IP para inquilinos individuales o en una plataforma BIG-IP consolidada para varios inquilinos. Las plantillas Heat permiten configuraciones más complejas, incluyendo servicios avanzados de aplicaciones como los de cortafuegos de aplicación y la gestión de acceso. Las plantillas de servicio de iApps de F5 vuelven a simplificar los despliegues al codificar acciones complejas en una plantilla reutilizable.

Gestión de contenedores y descubrimiento de servicios

A medida que la tecnología de contenedores se hace más común, crece la necesidad de gestionar el ciclo de vida de los contenedores para evitar la dispersión innecesaria y el desperdicio de recursos. Una vez controlado el ciclo de vida de un marco de gestión (como Kubernetes o Marathon), no solo se pueden gestionar mejor los propios contenedores, sino que también se pueden automatizar componentes esenciales, como los servicios de entrega de aplicaciones.

En la visión arquitectónica de F5, los servicios de entrega de aplicaciones se integrarán estrechamente con los servicios de gestión de contenedores. Cuando se aprovisione un contenedor, los servicios de entrega de aplicaciones también lo harán. Las acciones pueden ir desde algo tan simple como colocar el nuevo contenedor en un grupo de carga equilibrada, hasta añadir un conjunto completo de servicios de entrega de aplicaciones para una nueva aplicación. Los datos relativos al tráfico que se dirige a ese contenedor se introducirán en los sistemas de visibilidad y conocimiento. Cuando se retire el contenedor, se retirarán los servicios asociados.

Integración de la nube pública con plantillas

Las plataformas IaaS de nubes públicas, como Microsoft Azure y Amazon Web Services, ofrecen sólidos sistemas de plantillas. Las organizaciones pueden descargar plantillas de muestra de F5 para la integración en Amazon a través de AWS CloudFormation Templates en Github. Del mismo modo, las plantillas de Azure Resource Manager (ARM) y los comandos de PowerShell están disponibles para la integración en Microsoft Azure.

Sistemas de gestión de plataformas

Los sistemas de gestión de plataformas reducen los gastos de administración al proporcionar herramientas para gestionar, supervisar y actualizar los sistemas BIG-IP.

F5 BIG-IQ® Centralized Management proporciona a las organizaciones las herramientas necesarias para gestionar las soluciones de F5 de forma más eficiente. Funciona en todos los dispositivos físicos y virtuales y ofrece gestión centralizada y elaboración de informes para la plataforma BIG-IP y los módulos de software.

BIG-IQ Centralized Management puede gestionar cientos de dispositivos BIG-IP, permitiendo a los administradores completar las tareas comunes desde un único panel. Mediante una interfaz gráfica de usuario intuitiva, tareas como las de realizar copias de seguridad de la configuración, actualizar los códigos, actualizar las políticas y gestionar las licencias se vuelven sencillas y eficientes desde el punto de vista operativo.

Una función clave de BIG-IQ Centralized Management es la distribución de políticas y perfiles de seguridad en un conjunto de plataformas F5, lo que garantiza de forma centralizada que cuando una plantilla de servicio iApps requiera una política de seguridad definida, esta estará en todos los dispositivos del entorno.

Sistemas de visibilidad y conocimiento

Los análisis y la generación de informes se han convertido en características esenciales de las arquitecturas de nube e híbridas, a menudo impulsados por el modelo de costes de servicios públicos que se basa en la medición y la facturación variable. Las plataformas de prestación de servicios de F5 ven todo el tráfico de las aplicaciones a su paso por las arquitecturas proxy, lo que las sitúa en la posición de ser sólidas herramientas de análisis o potentes sensores. Los sistemas de F5 pueden crear perfiles de registro personalizados para supervisar casi cualquier parámetro del tráfico de las aplicaciones y registrar estos detalles a escala.

Figura 6: Visualización de F5

Conclusión

La visión arquitectónica de F5 proporciona a las organizaciones un mapa sobre cómo desplegar servicios de aplicaciones consistentes en todas las áreas informáticas utilizando cualquier método que sea apropiado para las diferentes operaciones de la empresa. Los servicios de entrega de aplicaciones de F5 incorporados a esta visión están diseñados para aportar seguridad, disponibilidad y rendimiento a todas las aplicaciones, desde los sistemas más estáticos y cuidadosamente gestionados, hasta la aplicación de consumo más impredecible. Tanto si estas aplicaciones se encuentran en una nube pública, una nube privada o se ejecutan en servidores físicos dedicados, los servicios de entrega de aplicaciones de F5 deben estar disponibles y, lo que es igual de importante, desplegarse de la misma forma que el resto de los componentes de la infraestructura. Aunque los modelos de desarrollo, ubicación y despliegue pueden variar, las necesidades de servicio fundamentales de la aplicación no cambian. Al seguir la visión arquitectónica de F5, los clientes pueden aprovechar estos servicios y acceder a las mejores características de cada modelo de despliegue en todo el espectro sin ningún inconveniente.