BIG-IP 클라우드 에디션 솔루션 가이드

소개

F5® BIG-IP® Cloud Edition™은 네트워크 운영 팀과 애플리케이션 팀이 안전하고 적절하게 지원되는 애플리케이션을 빠르게 제공하기 위해 보다 효과적으로 협업할 수 있도록 개발되었습니다. BIG-IP Cloud Edition은 설정, 라이선싱, 업그레이드, 분석, 확장과 같은 핵심 장치 및 앱 서비스 관리 기능을 간소화하고 중앙화합니다. 운영팀은 개발자가 대시보드나 API 호출을 통해 필요에 따라 액세스할 수 있는 애플리케이션 서비스의 셀프 서비스 카탈로그를 쉽게 정의할 수 있습니다. 이러한 서비스는 기존의 통합 모델(단일 애플리케이션 전송 컨트롤러(ADC)가 여러 애플리케이션을 지원하는 방식)과 달리 각 애플리케이션에 대해 정의, 업데이트 및 배포됩니다.

BIG-IP Cloud Edition은 엔터프라이즈급 애플리케이션 제공 및 보안 서비스에 새로운 수준의 아키텍처적 유연성을 제공하는 것뿐만 아니라, 여러 가지 구매 옵션도 제공합니다. BIG-IP Cloud Edition은 서비스 유연성에 맞춰 재정적 유연성을 제공하도록 설계되었으며, 구독, 유틸리티, 엔터프라이즈 라이선스 옵션은 물론, 기존의 영구 구매 옵션도 제공합니다.

BIG-IP 클라우드 에디션 아키텍처

BIG-IP Cloud Edition은 조직이 셀프 서비스 배포 및 확장을 제공하는 애플리케이션 서비스 제공 솔루션을 구축할 수 있도록 특별히 설계되고 테스트되었습니다. 이를 통해 애플리케이션 팀은 애플리케이션에 엔터프라이즈급 가용성과 보안을 제공할 수 있습니다. 이러한 접근 방식은 애플리케이션 소유자가 민첩한 프레임워크 내에서 NetOps, DevOps, SecOps를 사용하여 보다 효과적으로 협업하여 모든 애플리케이션의 성능, 가용성 및 보안을 크게 개선할 수 있도록 지원합니다.

BIG-IP Cloud Edition은 두 가지 인프라 구성 요소로 구성됩니다. 1) 특별히 라이선스된 BIG-IP Per-App 가상 에디션(VE)은 각각 단일 애플리케이션에 전담되며 2) 인스턴스의 위치에 관계없이 모든 인스턴스에 대한 관리, 가시성 및 라이선싱 서비스를 제공하는 F5 BIG-IQ® 중앙 관리입니다. 자동 확장 솔루션은 Amazon Web Services(AWS), Microsoft Azure 또는 VMware vCenter 기반 프라이빗 클라우드에서 작동합니다.

논리적 구성 요소

BIG-IP Cloud Edition은 여러 가지 핵심 논리적 구성 요소를 기반으로 구축되었습니다.

F5 BIG-IP Cloud Edition 논리적 설계
그림 1 : F5 BIG-IP Cloud Edition 논리적 설계
클라우드 제공자

BIG-IP Cloud Edition은 다음 클라우드 플랫폼에서 BIG-IP 인스턴스의 배포 및 자동 확장을 지원합니다.

  • 아마존 웹 서비스(AWS)
  • 마이크로소프트 애저
  • VMware vCenter 기반 프라이빗 클라우드

향후 릴리스에서는 추가적인 프라이빗 및 퍼블릭 클라우드 플랫폼에 대한 지원이 계획되어 있습니다.

서비스 카탈로그

BIG-IP Cloud Edition을 사용하면 개발자가 주문형 셀프 서비스 애플리케이션 서비스 카탈로그에 액세스하고 애플리케이션 서비스 배포 템플릿을 선택할 수 있습니다.

애플리케이션 템플릿

애플리케이션 템플릿은 가상 서버, 프로필, 모니터, SSL 인증서, 보안 정책 등 모든 BIG-IP 객체를 포함하여 애플리케이션에 배포되는 애플리케이션 전달 및 보안 서비스를 정의합니다. 또한, 애플리케이션 템플릿은 해당 애플리케이션에 대한 모니터링과 알림을 정의합니다. 이러한 템플릿은 일반적으로 네트워크 및/또는 보안 관리자와 같은 애플리케이션 서비스 전문가가 정의하며, 해당 전문가는 스마트 기본값을 구성하고 제한된 구성 옵션 세트를 애플리케이션 소유자에게 공개합니다. 이러한 단순화를 통해 네트워크 및 보안 운영에 대한 의존성이 사라지고 심층적인 네트워크 도메인 전문 지식이 필요 없게 되며, 애플리케이션 개발 및 배포 시 승인된 템플릿과 정책의 일관된 사용이 보장됩니다. 이를 통해 애플리케이션 소유자가 간편하게 볼 수 있는 대시보드나 단일 API 호출을 사용하여 애플리케이션을 배포하고 관리할 수 있으므로, 앱 배포 속도가 빨라집니다. 또한 BIG-IQ Centralized Management 6.0에는 일반적인 애플리케이션 구성을 위한 미리 정의된 템플릿 세트가 함께 제공됩니다. 애플리케이션 템플릿은 자동 확장이 아닌 구성의 BIG-IP 고가용성 쌍이나 서비스 확장 그룹을 통해 제공될 수 있습니다.

서비스 확장 그룹

애플리케이션 팀은 애플리케이션 템플릿을 사용하는 것 외에도 서비스 확장 그룹을 만들어 자동 확장 기능을 활용할 수 있습니다. 애플리케이션 템플릿에서 애플리케이션 서비스를 배포하고 서비스 확장 그룹을 대상으로 선택하면 BIG-IP Cloud Edition은 서비스를 제공하기 위한 리소스의 가용성과 탄력적 확장을 관리하고, 해당 서비스를 제공하는 BIG-IP 장치의 수명 주기와 업그레이드 프로세스를 관리합니다. 서비스 확장 그룹에는 그룹 내 최소 및 최대 장치 수에 대한 정책 정의와 리소스 확장에 사용되는 트리거가 있습니다. 

서비스 카탈로그의 애플리케이션 템플릿을 사용하여 기존 F5 ScaleN® 클러스터에 서비스를 배포하는 것도 가능합니다(하지만 확장 및 수명 주기 관리 혜택은 제공되지 않음).

장치 템플릿

장치 템플릿은 BIG-IP 장치를 배포하는 데 필요한 모든 인프라 수준의 특성(시간대, DNS, 호스트 이름, 계정, NTP, 라이선싱, 네트워킹 등)을 정의합니다. 조직에서는 장치 템플릿을 사용하여 여러 개의 새로운 장치를 배포함으로써 서비스 확장 그룹을 만들 수 있습니다. 장치 템플릿은 BIG-IP 장치와 상호 작용하는 기본 방법이기도 합니다. BIG-IP Cloud Edition의 장치를 변경해야 하는 경우(예: 버전 업그레이드) 장치 템플릿이 변경되고 변경 사항이 서비스 확장 그룹에 푸시됩니다. 장치 템플릿에는 라이선싱, 프로비저닝, 네트워킹 및 기타 기본적인 장치 요구 사항을 포함하여 BIG-IP 가상 에디션을 인스턴스화하는 데 필요한 모든 정보가 포함되어 있습니다.

BIG-IP Cloud Edition의 장치 관리 방식은 다릅니다.

대부분의 경우, BIG-IP Cloud Edition에서 애플리케이션 전송 및 보안 서비스를 제공하는 장치는 변경 불가능합니다. 즉, 장치 구성이 직접 변경되지 않고 장치 템플릿이 변경됩니다. 그런 다음 BIG-IP Cloud Edition은 새로운 장치를 배포하고 해당 장치로 트래픽을 전환한 다음 이전 장치를 제거하여 이러한 변경 사항을 서비스 확장 그룹에 적용합니다. 이 프로세스는 때때로 "BIG-IP Per-App VE 및 nuke"라고 불리며, 기존의 멀티 테넌트 BIG-IP 배포가 관리되는 방식과 근본적으로 다릅니다.

앱별 서비스의 이점:

  • 작업 부하 분리
  • 적절한 크기의 가상 환경
  • 기존의 기존 업그레이드에서 벗어나세요
  • 자동으로 새 인스턴스를 프로비저닝하고 구성합니다.
라이센스 관리

BIG-IP Cloud Edition을 사용하면 가상 인스턴스에 대한 라이선스 부여, 업그레이드, 취소가 BIG-IQ의 라이선스 관리 시스템에서 자동으로 처리됩니다. 이 자동 시스템을 사용하면 라이센스를 풀링하여 필요할 때 필요한 곳에 배포할 수 있습니다. 장치가 더 이상 필요하지 않으면 해당 라이선스는 다른 인스턴스에서 사용할 수 있도록 풀로 반환됩니다. 라이선싱 모드, 기능 및 처리량은 배포마다 다를 수 있지만 BIG-IQ는 라이선싱을 원활하게 처리하므로 새로운 BIG-IP 인스턴스를 배포할 때 번거로운 수동 라이선스 활성화가 필요하지 않습니다.

애플리케이션 가시성

BIG-IQ는 확장 이벤트에 대한 트리거와 애플리케이션 및 인프라 성능에 대한 심층적인 통찰력을 제공하기 위해 보안 및 네트워크 관리자와 애플리케이션 소유자에게 유용한 애플리케이션 수준 분석을 수집하고 시각화합니다. 이러한 가시성은 앱 소유자가 애플리케이션 성능 문제를 스스로 진단하여 지연의 원인이 애플리케이션인지 네트워크인지 확인하는 데 도움이 됩니다.

역할

BIG-IP Cloud Edition은 역할을 논리적으로 분리하도록 설계되었습니다. 애플리케이션 소유자는 인프라 소유자가 관리하는 서비스 확장 그룹에 셀프 서비스 애플리케이션을 배포합니다. 애플리케이션 소유자가 사용하는 템플릿과 보안 정책은 NetOps 및 SecOps 팀에서 관리할 수 있습니다. 일부 템플릿은 일부 애플리케이션 소유자에게만 제공될 수 있고, 애플리케이션별 통계와 대시보드는 애플리케이션 소유자에게만 제공될 수 있습니다. BIG-IP Cloud Edition은 세분화된 역할 관리를 통해 애플리케이션 팀이 앱을 지원하고 운영 팀이 네트워크를 제어할 수 있도록 지원합니다.

BIG-IP Cloud Edition의 역할 및 작업은 캡션에 설명된 대로입니다.
그림 2: BIG-IP Cloud Edition 역할 및 작업: 보안 운영팀은 가장 일반적인 애플리케이션 배포를 포괄하는 보안 정책 라이브러리를 구축할 수 있습니다. 이러한 정책은 네트워크 운영 팀에 의해 애플리케이션 템플릿에 첨부됩니다. 네트워크 운영 팀은 보안에 초점을 맞추지 않은 애플리케이션 서비스 정책을 만드는 것 외에도 서비스 확장 그룹을 구축하고 일반적인 장치 및 라이선스 관리 작업을 수행하는 업무를 담당합니다. 애플리케이션 팀은 애플리케이션 템플릿을 선택하여 해당 앱에 대한 애플리케이션 서비스를 배포한 다음, 이러한 서비스를 배포할 서비스 확장 그룹을 선택하여 이러한 서비스를 사용합니다.
인프라 구성 요소

BIG-IP Cloud Edition은 솔루션을 제공하기 위해 함께 작동하는 여러 가지 인프라 구성 요소로 구성되어 있습니다.

BIG-IP Cloud Edition 다이어그램
그림 3: BIG-IP Cloud Edition 물리적 디자인
BIG-IP 앱당 VE

BIG-IP Cloud Edition 외부에서 BIG-IP Per-App VE를 사용합니다. BIG-IP Per-App VE는 BIG-IP Cloud Edition 외부에서 구매할 수 있습니다. 라이선스 번들로 제공되며 무료 BIG-IQ 라이선스 관리자 구성 요소인 BIG-IP Per-App이 함께 제공됩니다.

BIG-IP Per-App VE는 단일 애플리케이션에 대한 전담 서비스를 제공하도록 설계된 특별 라이선스 BIG-IP 인스턴스입니다. BIG-IP 소프트웨어의 모든 기능이 활성화되어 있지만 전용 장치로 사용하기에 적절한 크기입니다.

각 BIG-IP Per-App VE에는 다음이 포함됩니다.

  • 단일 가상 IP 주소
  • 3개의 가상 서버(가상 주소와 수신 포트의 조합)
  • 25Mbps 또는 200Mbps 처리량

BIG-IP Per-App VE에는 두 가지 소프트웨어 모듈 옵션이 있습니다.

BIG-IP Local Traffic Manager

F5 BIG-IP Local Traffic Manager™(LTM) 소프트웨어는 고급 로드 밸런싱, 속도 조절, 콘텐츠 라우팅, SSL 관리, 양방향 애플리케이션 계층 트래픽의 완벽한 제어를 포함한 업계 최고의 애플리케이션 트래픽 관리를 제공합니다.  

F5 고급 WAF

F5 Advanced WAF는 기존 웹 애플리케이션 방화벽(WAF)의 모든 기능을 제공하는 동시에 7계층 DDoS 완화, 고급 봇 탐지, API 보안 관리 등의 형태로 더욱 강화된 보호 기능을 제공합니다. 고급 WAF에는 다운스트림 애플리케이션 서버로의 트래픽을 효과적으로 관리할 수 있는 BIG-IP LTM 트래픽 관리 기능 세트가 함께 제공됩니다. 고급 WAF 정책의 배포는 애플리케이션 템플릿 구성 요소의 일부로 관리됩니다.

가상 머신 요구 사항

BIG-IP Per-App VE는 최근 BIG-IP 릴리스에서 이루어진 이미지 및 디스크 크기의 플랫폼 간소화로부터 이점을 얻습니다. 기존 BIG-IP 배포에서는 BIG-IP 소프트웨어 버전이 실행 중인 장치에 새 소프트웨어 이미지를 다운로드한 다음 업그레이드 절차를 따르는 방식으로 "즉시 적용"되었습니다. BIG-IP Cloud Edition을 사용하면 애플리케이션 전송 및 보안 서비스를 제공하는 장비는 대부분 변경할 수 없으므로 장비 구성을 직접 변경할 수 없고 장비 및 애플리케이션 템플릿을 사용하여 배포됩니다. 그런 다음 이전 버전은 점진적인 업그레이드를 통해 폐기됩니다. 따라서 BIG-IP 소프트웨어의 여러 버전을 위한 추가 저장 공간이 필요하지 않으며 디스크 이미지 크기를 줄일 수 있습니다.

  • VMware 구축 환경에서는 BIG-IP Per-App VE가 업그레이드 불가능한 이미지로 제공되고 스토리지 공간도 줄어듭니다. VMware의 가상 머신 사양에 대한 자세한 내용은 ESXi용 Virtual Edition 설정 가이드를 참조하세요.
  • AWS에서 프로덕션 용도로 사용하는 경우 F5는 BIG-IP LTM 배포의 경우 최소 2개의 가상 코어와 4GB의 메모리, Advanced WAF의 경우 8GB의 M3 또는 M4 이미지 유형을 권장합니다.
  • Microsoft Azure에서 프로덕션에 사용하는 경우 F5는 BIG-IP LTM 배포의 경우 최소 2개의 가상 코어와 4GB의 메모리, 고급 WAF 배포의 경우 8GB의 메모리를 갖춘 표준 B2s 및 B2ms 이미지 유형을 권장합니다.
서비스 확장 그룹에서 BIG-IP Per-App 인스턴스 확장 및 관리

VMware–BIG-IP 서비스 스케일러

VMware에서 BIG-IP Per-App VE에 대한 앱별 트래픽은 클라이언트 소스 및 대상 IP 주소를 보존하는 MAC 주소 전달을 사용하는 특수 BIG-IP 클러스터를 통해 확장됩니다. 이는 BIG-IP Per-App VE가 제공하는 일부 레이어 7 기능에 중요할 수 있으며, BIG-IQ가 제공하는 가시성 서비스에 대한 정확한 데이터 수집을 보장합니다.

BIG-IP 서비스 스케일러는 BIG-IP Per-App VE에서 기본적인 부하 분산을 수행하며 처리량에 대한 라이선스 제한이 없습니다(그러나 가상 하드웨어 리소스는 최대 처리량을 제한합니다). 선택적으로, 서비스 스케일러는 네트워크 ACL과 계층 4 DoS 완화 기능을 제공하는 방화벽 기능으로 활성화될 수 있습니다. 서비스 스케일러는 현재 SSL이나 7계층 기능을 수행할 수 없습니다.

BIG-IP 서비스 스케일러에는 다음과 같은 가상 머신 사양이 필요합니다.

 

최저한의

최고

vCPU

2[1]

4

메모리

4GB

16기가바이트[2]

디스크 공간

40기가바이트[3]

82기가바이트

네트워크 인터페이스 카드

4

10

 

BIG-IP 서비스 스케일러는 두 개 이상의 서비스 스케일링 그룹에 속할 수 있으며 여러 애플리케이션에서 공유될 수 있습니다(BIG-IP Per-App VE는 이름에서 알 수 있듯이 단일 애플리케이션에만 전담됨).

서비스 스케일링 그룹에서 서비스 스케일러를 설정하고 구성하는 방법은 BIG-IQ Centralized Management에서 다룹니다. 지역 교통 및 네트워크 구현.

[1] 추가 방화벽 기능에는 4개의 vCPU가 필요합니다.

[2] 고정된 한도가 없기 때문에 더 높을 수 있습니다.

[3] 방화벽 기능을 위해 82GB.

AWS ELB 클래식

AWS에서 서비스는 ELB(Elastic Load Balancing) 클래식 인스턴스를 사용하여 확장됩니다. ELB Classic은 BIG-IP Per-App VE에서 기본적인 L4 로드 밸런싱과 가용성을 제공하며, ELB의 논리적 인스턴스는 단일 서비스 확장 그룹에 전담됩니다. 따라서 각 애플리케이션에는 전용 ELB 구성이 필요합니다. AWS 서비스는 수요를 충족하기 위해 ELB 인스턴스의 확장을 관리합니다.  

서비스 확장 그룹에서 AWS ELB 인스턴스를 설정하는 방법은 BIG-IQ Centralized Management에서 다룹니다. 자동 확장 AWS 클라우드에서 애플리케이션 관리하기 .

Azure 로드 밸런서

Azure에서 서비스는 Azure Load Balancer 인스턴스를 사용하여 확장됩니다. Load Balancer는 BIG-IP Per-App VE에서 기본적인 L4 로드 밸런싱과 가용성을 제공하며, Load Balancer의 논리적 인스턴스는 단일 서비스 확장 그룹에 전담됩니다. 결과적으로 각 애플리케이션에는 전용 로드 밸런서 구성이 필요합니다. Azure 서비스는 수요를 충족하기 위해 Load Balancer 인스턴스의 확장을 관리합니다. 

서비스 확장 그룹에서 Azure Load Balancer 인스턴스를 설정하는 방법은 다음과 같습니다. BIG-IQ 중앙 관리: 자동 크기 조정된 Azure 클라우드에서 애플리케이션 관리 .

빅 아이큐

BIG-IQ는 BIG-IP Per-App VE보다 더 많은 것을 관리할 수 있습니다.

BIG-IQ는 플랫폼이나 위치에 관계없이 지원되는 모든 소프트웨어 버전의 BIG-IP 인스턴스를 검색하고 관리할 수 있습니다. 이 플랫폼은 장치 관리를 수행하고, 통계를 시각화하고, 템플릿화된 애플리케이션 서비스 구성을 물리적, 가상 및 클라우드에 배포된 BIG-IP 인스턴스에 배포할 수 있습니다. BIG-IQ는 지원되는 플랫폼(현재 AWS, Azure 및 VMware)에서 지원되는 기존(앱별이 아닌) BIG-IP VE에 대해 자동 확장 기능을 제공할 수도 있습니다.

BIG-IQ는 BIG-IP Cloud Edition을 구성하는 모든 구성 요소에 대한 중앙 관리 기능을 제공합니다. 모든 활동과 보고는 BIG-IQ를 통해 관리되며 BIG-IP Per-App VE에 대한 관리 액세스는 필요하지 않습니다. 

빅 아이큐:

  • 새로운 서비스 확장 그룹을 생성합니다.
    • 서비스 확장 그룹 내에서 장치 템플릿은 BIG-IP Per-App VE의 수명 주기를 관리하는 데 참조됩니다. 장치 템플릿에는 BIG-IP Per-App VE를 시작하는 데 필요한 모든 정보가 포함되어 있으며 인간의 개입이 필요하지 않습니다.
  • 애플리케이션 소유자가 스스로 문제를 해결할 수 있도록 애플리케이션 수준에서 심층 분석을 제공합니다.
  • 문제 해결과 계획을 위해 장치 수준의 성능 및 용량 측정 항목을 제공합니다.
  • 서비스 카탈로그의 사전 정의된 애플리케이션 템플릿을 통해 애플리케이션 소유자가 셀프 서비스 방식으로 애플리케이션에 F5 L4-7 서비스를 배포할 수 있도록 역할 기반 액세스를 제공합니다.

F5는 BIG-IP Cloud Edition 구축 시 BIG-IQ에 대해 다음과 같은 가상 하드웨어를 권장합니다.

 

최저한의

최고

vCPU

4

8

메모리

4GB

16기가바이트

디스크 공간

95기가바이트

500GB

네트워크 인터페이스 카드

2

10

 

BIG-IQ 설치 및 구성은 다음에서 다룹니다. F5 BIG-IQ 중앙 관리 배포 가이드 계획 및 구현 .

가상 인프라 관리를 통한 BIG-IQ 커뮤니케이션

BIG-IQ는 서비스 확장 그룹의 일부로 또는 확장형 환경에서 필요에 따라 BIG-IP Per-App VE를 시작, 라이센싱, 프로비저닝 및 구성할 수 있습니다. 이를 위해서는 가상 인프라 환경에 대한 인증된 액세스가 필요합니다.

 

VMware에서

VMware에서는 vCenter에 액세스하기 위한 자격 증명, vCenter 호스트 이름, 보안 통신을 위한 SSL 인증서 및 호스트/클러스터, 데이터 저장소, (분산) 가상 스위치(vSwitches), 리소스 풀과 같은 ESX 환경에 대한 기타 정보가 필요합니다. 

AWS에서

AWS에서는 다음이 필요합니다. API 호출과 ELB를 사용하여 1계층 트래픽 분산을 제공하는 IAM(ID 및 액세스 관리) 사용자 액세스 키와 관련 비밀번호입니다. AWS 모범 사례 에 따라 키를 생성하고 관리하세요.

IAM 사용자는 관리자 액세스 정책을 연결해야 하며 자동 크기 조정 그룹, Amazon Simple Storage Service(S3) 버킷, 인스턴스 및 IAM 인스턴스 프로필을 생성할 수 있는 권한이 있어야 합니다.  권한 및 전반적인 AWS 구성에 대한 자세한 내용은 https://aws.amazon.com/documentation을 참조하세요.

BIG-IQ 고가용성 및 백업

BIG-IP Cloud Edition은 기본적으로 모든 제어 평면 활동을 BIG-IQ 관리 계층을 통해 라우팅합니다. BIG-IQ는 실시간 모니터링과 확장/축소 이벤트를 처리하고 라이선스 할당 및 해지를 관리합니다. 따라서 이는 배포 시스템의 중요한 부분이 되며 일반적으로 고가용성 중복 구성으로 배포됩니다.

따라서 계획에는 관리 중인 BIG-IP 인스턴스 수에 적합한 라이선스를 갖춘 액티브-스탠바이 BIG-IQ 쌍이 포함되어야 합니다.

고가용성을 위한 BIG-IQ 구성은 다음에서 다룹니다. F5 BIG-IQ 중앙 관리 배포 가이드 계획 및 구현 .

BIG-IQ 데이터 수집 장치

BIG-IQ의 데이터 수집 장치는 BIG-IP Per-App VE에서 트래픽 및 성능 데이터를 수집, 저장, 처리하는 역할을 합니다. BIG-IP Per-App VE가 성능 및 트래픽 원격 측정 데이터를 데이터 수집 장치로 전송하여 처리하고 저장한 후, BIG-IQ는 데이터 수집 장치를 쿼리하여 가시성과 보고를 제공합니다. 데이터 수집 장치는 중복성을 목적으로 저장된 데이터를 복제하고 함께 작동하는 클러스터로 배열됩니다.

F5는 BIG-IP Cloud Edition에서 사용되는 데이터 수집 장치에 대해 다음과 같은 가상 하드웨어를 권장합니다.

vCPU

8

메모리

32

디스크 공간

500GB

네트워크 인터페이스 카드

2

 

디스크 서브시스템에 대한 참고사항:  BIG-IQ 데이터 수집 장치는 BIG-IP 앱별 VE에서 수집된 데이터를 저장, 처리, 분석하여 BIG-IQ 시스템을 위한 보고서와 대시보드를 생성합니다. 이는 디스크 I/O를 많이 사용하는 작업이므로, 기본 저장소의 크기는 용량과 성능을 모두 고려하여 결정해야 합니다. 대규모 BIG-IP 앱별 VE를 배포하거나 광범위한 로깅 및 분석을 수행하는 경우 고성능 스토리지 하위 시스템을 배포해야 합니다. 캡처 검색 및 인덱싱 작업은 종종 높은 동시 작업으로 인해 무작위 및 순차적 I/O를 생성합니다.

추가 정보는 다음을 참조하세요. BIG-IQ 중앙 관리 데이터 수집 장치 크기 가이드 .

네트워킹 및 연결

퍼블릭 클라우드 배포를 통한 데이터 수집 장치용 VPN

새로운 BIG-IP Per-App VE가 생성되면 다시 연결해야 하는 데이터 수집 장치의 자체 IP 주소가 제공됩니다. 이는 고정된 설정입니다(BIG-IQ 6.0 기준). 데이터 수집 장치와 BIG-IP Per-App VE 사이에는 양방향 연결이 필요합니다. 많은 환경에서(특히 BIG-IP Per-App VE가 AWS 또는 Azure에 있고 BIG-IQ와 데이터 수집 장치가 고객 구내에 있는 경우) 트래픽을 양방향으로 성공적으로 라우팅하려면 VPN 연결이 필요합니다. 데이터 수집 장치는 일반적으로 RFC 1918 라우팅 불가 IP 주소를 갖기 때문입니다. BIG-IP Cloud Edition은 Amazon Virtual Private Cloud(Amazon VPC) 또는 Azure Virtual Network(Azure VNet)에서 고유한 IP 주소 범위가 필요하므로 Amazon VPC에서 주소 공간이 겹칠 수 없습니다.

그림 4: AWS 배포를 위한 VPN 요구 사항

AWS에 VPN이나 기타 개인 연결을 설정하는 방법에는 AWS Direct Connect와 같은 서비스나 Equinix Cloud Exchange와 같은 다중 클라우드 연결 서비스를 포함하여 여러 가지가 있습니다. 온프레미스 BIG-IP 장치에서 AWS VPN 게이트웨이로 IPSEC 터널을 설정하는 것도 가능합니다.

연결성: 포트 및 프로토콜

BIG-IP Cloud Edition 구성 요소 간의 포트 및 프로토콜 연결에 대한 자세한 내용은 BIG-IQ 6.0 설명서를 참조하세요. 

또한 BIG-IQ는 포트 443에서 선택한 지역의 AWS API 엔드포인트에 액세스하거나 포트 443에서 vCenter 서버에 액세스해야 합니다.

인증 및 보안
BIG-IQ 사용자 인증

BIG-IQ는 사용자 계정 관리 기능을 기본 제공하고 TACACS, RADIUS, LDAP 등 일반적인 외부 프로토콜과의 통합도 지원합니다.

크기 조정 및 용량 계획
네트워킹 및 연결

몇 개의 BIG-IP Per-App VE가 필요합니까?

BIG-IP Per-App VE 인스턴스에는 두 가지 중요한 제한이 있습니다.

  • 사물
  • 처리량

보다 전통적인 배포와 달리 BIG-IP Per-App VE는 일반적으로 1계층 트래픽 관리 장치가 높은 가용성과 확장성을 처리하는 모든 활성 구성으로 배포됩니다.  일반적으로 이는 장애 조치를 위해 여유 용량을 유지해야 하는 하드웨어 중심의 액티브-스탠바이 고가용성(HA) 쌍보다 프로비저닝된 VE 인스턴스당 실제 처리량이 더 높다는 것을 의미합니다. 이는 액티브-액티브 구성에서도 마찬가지입니다. BIG-IP 앱별 VE는 25Mbps 및 200Mbps 처리량 라이선스로 제공되며 서비스 확장 그룹을 사용하여 확장하도록 설계되었습니다.

첫 번째 단계는 트래픽 관리가 계획된 각 애플리케이션에 필요한 처리량의 기본 추정치를 결정하는 것입니다. 다음으로, 25Mbps 또는 200Mbps 라이센스가 적절한지 결정하세요. 애플리케이션당 더 큰 처리량 요구 사항의 경우 전체 장치가 적기 때문에 200Mbps 라이선스가 적합합니다. 더 작거나 더 세부적인 요구 사항의 경우 25Mbps 라이선스가 더 적합합니다. 리소스 사용을 극대화하는 것이 중요하다면 200Mbps 라이선스가 특정 처리량에 대해 기본 하드웨어를 더욱 효율적으로 사용할 수 있게 해줍니다.

BIG-IP Per-App VE의 확장 및 크기 조정에 대한 그래픽 설명
그림 5: BIG-IP Per-App VE 확장 및 크기 조정

환경 내에서 라이선스 유형을 혼합하고 일치시키는 것은 가능하지만, 특정 애플리케이션은 하나의 라이선스 유형으로만 서비스됩니다.

각 응용 프로그램에 대해 다음을 결정합니다.

  • 필요한 총 처리량
  • 성장 가능성
  • 휘발성

변동성을 생각할 때 고려해야 할 몇 가지 변수가 있습니다. 첫째, 확장 이벤트의 트리거는 서비스 확장 그룹에서 가장 바쁜 장치의 처리량, CPU 임계값 및/또는 메모리를 기반으로 하며, 이는 5분 평균으로 측정됩니다. 새로운 BIG-IP Per-App VE 인스턴스가 시작된 후 활성화되는 데는 약간의 시간이 걸리므로 최대 예상 증가분인 약 20분 분량의 용량을 기본 요구 사항에 프로비저닝하는 것이 좋습니다. 이런 방식을 사용하면 예상되는 수요 급증을 처리할 수 있는 용량을 유지하는 동시에 수요에 맞춰 서비스를 유연하게 제공할 수 있습니다.

크기 조정은 복잡할 수 있지만 BIG-IP Cloud Edition을 사용하면 각 애플리케이션의 인스턴스가 수요에 따라 유연하게 조정될 수 있으므로 완벽을 목표로 하거나 과도한 여유 용량을 구축할 필요가 없습니다.

BIG-IP 서비스 스케일러 인스턴스 크기 조정

서비스 확장 기능은 환경마다 다르게 구현됩니다.

AWS에서는 확장 및 축소를 사용하기 쉬운 AWS ELB Classic 로드 밸런서를 통해 처리합니다.

VMware에서는 서비스 확장, 4계층 DDoS 및 방화벽 기능이 특수한 BIG-IP VE에 의해 제공됩니다. 이러한 VE는 BIG-IP Per-App VE에 트래픽을 분산하도록 구성되었으며 네트워크 계층 액세스 제어와 DDoS 완화 기능도 제공하도록 설계되었습니다.

자동 확장 인스턴스는 높은 처리량, 낮은 복잡성을 갖추고 여러 애플리케이션에서 공유할 수 있도록 설계되었습니다.

API 및 통합

BIG-IQ는 REST API를 제공하여 서비스 카탈로그에서 애플리케이션 서비스를 프로그래밍 방식으로 배포할 수 있습니다. REST API에 대한 자세한 내용은 BIG-IQ 문서를 참조하세요.

결론

BIG-IP Cloud Edition은 새로운 방식으로 F5 애플리케이션 서비스의 성능, 보안 및 유연성을 제공합니다. 여기에는 수요에 따라 확장하거나 축소할 수 있는 새로운 앱별 플랫폼과 셀프 서비스 기능이 포함됩니다. 보안 팀은 애플리케이션 보안 및 DDoS 완화 정책을 만들 수 있으며, 네트워크 팀은 이를 애플리케이션 템플릿에 첨부하여 특정 사용자의 서비스 카탈로그에 추가할 수 있습니다. 애플리케이션 팀은 사전 정의된 서비스 카탈로그에서 서비스를 선택하고, 앱 요구 사항에 맞춰 유연하게 확장 가능한 서비스 확장 그룹에 서비스를 배포할 수 있습니다.

최종 결과는 전용 인스턴스의 유연성과 함께 엔터프라이즈급 F5 애플리케이션 서비스를 제공하는 매우 유연하고 확장 가능한 솔루션이며, 운영 오버헤드도 눈에 띄게 감소합니다. 이러한 접근 방식은 적합한 팀이 적합한 작업을 수행할 수 있는 역량을 제공합니다. 이제 애플리케이션 소유자는 민첩한 프레임워크 내에서 네트워크, 개발 및 보안 운영 팀과 더 효과적으로 협업하여 모든 애플리케이션의 성능, 가용성 및 보안을 크게 개선할 수 있습니다.

2018년 5월 30일 게시
  • 페이스북에 공유하기
  • X에 공유
  • Linkedin에 공유하기
  • 이메일로 공유하기
  • AddThis를 통해 공유

F5에 연결

F5 Labs

최신 애플리케이션 위협 인텔리전스입니다.

DevCentral

토론 포럼과 전문가 기사를 제공하는 F5 커뮤니티입니다.

F5 뉴스룸

뉴스, F5 블로그 등.