리소스 백서

BIG-IP 클라우드 에디션 솔루션 가이드

소개

F5® BIG-IP® Cloud Edition™은 네트워크 운영 팀과 애플리케이션 팀이 안전하고 적절하게 지원되는 애플리케이션을 빠르게 제공하기 위해 보다 효과적으로 협업할 수 있도록 개발되었습니다. BIG-IP Cloud Edition은 설정, 라이선싱, 업그레이드, 분석, 확장과 같은 핵심 장치 및 앱 서비스 관리 기능을 간소화하고 중앙화합니다. 운영팀은 개발자가 대시보드나 API 호출을 통해 필요에 따라 액세스할 수 있는 애플리케이션 서비스의 셀프 서비스 카탈로그를 쉽게 정의할 수 있습니다. 이러한 서비스는 기존의 통합 모델(단일 애플리케이션 전송 컨트롤러(ADC)가 여러 애플리케이션을 지원하는 방식)과 달리 각 애플리케이션에 대해 정의, 업데이트 및 배포됩니다.

BIG-IP Cloud Edition은 엔터프라이즈급 애플리케이션 제공 및 보안 서비스에 새로운 수준의 아키텍처적 유연성을 제공하는 것뿐만 아니라, 여러 가지 구매 옵션도 제공합니다. BIG-IP Cloud Edition은 서비스 유연성에 맞춰 재정적 유연성을 제공하도록 설계되었으며, 구독, 유틸리티, 엔터프라이즈 라이선스 옵션은 물론, 기존의 영구 구매 옵션도 제공합니다.

BIG-IP 클라우드 에디션 아키텍처

BIG-IP Cloud Edition은 조직이 셀프 서비스 배포 및 확장을 제공하는 애플리케이션 서비스 제공 솔루션을 구축할 수 있도록 특별히 설계되고 테스트되었습니다. 이를 통해 애플리케이션 팀은 애플리케이션에 엔터프라이즈급 가용성과 보안을 제공할 수 있습니다. 이러한 접근 방식은 애플리케이션 소유자가 민첩한 프레임워크 내에서 NetOps, DevOps, SecOps를 사용하여 보다 효과적으로 협업하여 모든 애플리케이션의 성능, 가용성 및 보안을 크게 개선할 수 있도록 지원합니다.

BIG-IP Cloud Edition은 두 가지 인프라 구성 요소로 구성됩니다. 1) 특별히 라이선스된 BIG-IP Per-App 가상 에디션(VE)은 각각 단일 애플리케이션에 전담되며 2) 인스턴스의 위치에 관계없이 모든 인스턴스에 대한 관리, 가시성 및 라이선싱 서비스를 제공하는 F5 BIG-IQ® 중앙 관리입니다. 자동 확장 솔루션은 Amazon Web Services(AWS), Microsoft Azure 또는 VMware vCenter 기반 프라이빗 클라우드에서 작동합니다.

논리적 구성 요소

BIG-IP Cloud Edition은 여러 가지 핵심 논리적 구성 요소를 기반으로 구축되었습니다.

클라우드 제공자

BIG-IP Cloud Edition은 다음 클라우드 플랫폼에서 BIG-IP 인스턴스의 배포 및 자동 확장을 지원합니다.

아마존 웹 서비스(AWS)
마이크로소프트 애저
VMware vCenter 기반 프라이빗 클라우드

향후 릴리스에서는 추가적인 프라이빗 및 퍼블릭 클라우드 플랫폼에 대한 지원이 계획되어 있습니다.

서비스 카탈로그

BIG-IP Cloud Edition을 사용하면 개발자가 주문형 셀프 서비스 애플리케이션 서비스 카탈로그에 액세스하고 애플리케이션 서비스 배포 템플릿을 선택할 수 있습니다.

애플리케이션 템플릿

애플리케이션 템플릿은 가상 서버, 프로필, 모니터, SSL 인증서, 보안 정책 등 모든 BIG-IP 객체를 포함하여 애플리케이션에 배포되는 애플리케이션 전달 및 보안 서비스를 정의합니다. 또한, 애플리케이션 템플릿은 해당 애플리케이션에 대한 모니터링과 알림을 정의합니다. 이러한 템플릿은 일반적으로 네트워크 및/또는 보안 관리자와 같은 애플리케이션 서비스 전문가가 정의하며, 해당 전문가는 스마트 기본값을 구성하고 제한된 구성 옵션 세트를 애플리케이션 소유자에게 공개합니다. 이러한 단순화를 통해 네트워크 및 보안 운영에 대한 의존성이 사라지고 심층적인 네트워크 도메인 전문 지식이 필요 없게 되며, 애플리케이션 개발 및 배포 시 승인된 템플릿과 정책의 일관된 사용이 보장됩니다. 이를 통해 애플리케이션 소유자가 간편하게 볼 수 있는 대시보드나 단일 API 호출을 사용하여 애플리케이션을 배포하고 관리할 수 있으므로, 앱 배포 속도가 빨라집니다. 또한 BIG-IQ Centralized Management 6.0에는 일반적인 애플리케이션 구성을 위한 미리 정의된 템플릿 세트가 함께 제공됩니다. 애플리케이션 템플릿은 자동 확장이 아닌 구성의 BIG-IP 고가용성 쌍이나 서비스 확장 그룹을 통해 제공될 수 있습니다.

서비스 확장 그룹

애플리케이션 팀은 애플리케이션 템플릿을 사용하는 것 외에도 서비스 확장 그룹을 만들어 자동 확장 기능을 활용할 수 있습니다. 애플리케이션 템플릿에서 애플리케이션 서비스를 배포하고 서비스 확장 그룹을 대상으로 선택하면 BIG-IP Cloud Edition은 서비스를 제공하기 위한 리소스의 가용성과 탄력적 확장을 관리하고, 해당 서비스를 제공하는 BIG-IP 장치의 수명 주기와 업그레이드 프로세스를 관리합니다. 서비스 확장 그룹에는 그룹 내 최소 및 최대 장치 수에 대한 정책 정의와 리소스 확장에 사용되는 트리거가 있습니다.

서비스 카탈로그의 애플리케이션 템플릿을 사용하여 기존 F5 ScaleN® 클러스터에 서비스를 배포하는 것도 가능합니다(하지만 확장 및 수명 주기 관리 혜택은 제공되지 않음).

장치 템플릿

장치 템플릿은 BIG-IP 장치를 배포하는 데 필요한 모든 인프라 수준의 특성(시간대, DNS, 호스트 이름, 계정, NTP, 라이선싱, 네트워킹 등)을 정의합니다. 조직에서는 장치 템플릿을 사용하여 여러 개의 새로운 장치를 배포함으로써 서비스 확장 그룹을 만들 수 있습니다. 장치 템플릿은 BIG-IP 장치와 상호 작용하는 기본 방법이기도 합니다. BIG-IP Cloud Edition의 장치를 변경해야 하는 경우(예: 버전 업그레이드) 장치 템플릿이 변경되고 변경 사항이 서비스 확장 그룹에 푸시됩니다. 장치 템플릿에는 라이선싱, 프로비저닝, 네트워킹 및 기타 기본적인 장치 요구 사항을 포함하여 BIG-IP 가상 에디션을 인스턴스화하는 데 필요한 모든 정보가 포함되어 있습니다.

BIG-IP Cloud Edition의 장치 관리 방식은 다릅니다.

대부분의 경우, BIG-IP Cloud Edition에서 애플리케이션 전송 및 보안 서비스를 제공하는 장치는 변경 불가능합니다. 즉, 장치 구성이 직접 변경되지 않고 장치 템플릿이 변경됩니다. 그런 다음 BIG-IP Cloud Edition은 새로운 장치를 배포하고 해당 장치로 트래픽을 전환한 다음 이전 장치를 제거하여 이러한 변경 사항을 서비스 확장 그룹에 적용합니다. 이 프로세스는 때때로 "BIG-IP Per-App VE 및 nuke"라고 불리며, 기존의 멀티 테넌트 BIG-IP 배포가 관리되는 방식과 근본적으로 다릅니다.

앱별 서비스의 이점:

작업 부하 분리
적절한 크기의 가상 환경
기존의 기존 업그레이드에서 벗어나세요
자동으로 새 인스턴스를 프로비저닝하고 구성합니다.

라이센스 관리

BIG-IP Cloud Edition을 사용하면 가상 인스턴스에 대한 라이선스 부여, 업그레이드, 취소가 BIG-IQ의 라이선스 관리 시스템에서 자동으로 처리됩니다. 이 자동 시스템을 사용하면 라이센스를 풀링하여 필요할 때 필요한 곳에 배포할 수 있습니다. 장치가 더 이상 필요하지 않으면 해당 라이선스는 다른 인스턴스에서 사용할 수 있도록 풀로 반환됩니다. 라이선싱 모드, 기능 및 처리량은 배포마다 다를 수 있지만 BIG-IQ는 라이선싱을 원활하게 처리하므로 새로운 BIG-IP 인스턴스를 배포할 때 번거로운 수동 라이선스 활성화가 필요하지 않습니다.

애플리케이션 가시성

BIG-IQ는 확장 이벤트에 대한 트리거와 애플리케이션 및 인프라 성능에 대한 심층적인 통찰력을 제공하기 위해 보안 및 네트워크 관리자와 애플리케이션 소유자에게 유용한 애플리케이션 수준 분석을 수집하고 시각화합니다. 이러한 가시성은 앱 소유자가 애플리케이션 성능 문제를 스스로 진단하여 지연의 원인이 애플리케이션인지 네트워크인지 확인하는 데 도움이 됩니다.

역할

BIG-IP Cloud Edition은 역할을 논리적으로 분리하도록 설계되었습니다. 애플리케이션 소유자는 인프라 소유자가 관리하는 서비스 확장 그룹에 셀프 서비스 애플리케이션을 배포합니다. 애플리케이션 소유자가 사용하는 템플릿과 보안 정책은 NetOps 및 SecOps 팀에서 관리할 수 있습니다. 일부 템플릿은 일부 애플리케이션 소유자에게만 제공될 수 있고, 애플리케이션별 통계와 대시보드는 애플리케이션 소유자에게만 제공될 수 있습니다. BIG-IP Cloud Edition은 세분화된 역할 관리를 통해 애플리케이션 팀이 앱을 지원하고 운영 팀이 네트워크를 제어할 수 있도록 지원합니다.

인프라 구성 요소

BIG-IP Cloud Edition은 솔루션을 제공하기 위해 함께 작동하는 여러 가지 인프라 구성 요소로 구성되어 있습니다.

BIG-IP Cloud Edition 다이어그램 — 그림 3: BIG-IP Cloud Edition 물리적 디자인

BIG-IP 앱당 VE

BIG-IP Cloud Edition 외부에서 BIG-IP Per-App VE를 사용합니다. BIG-IP Per-App VE는 BIG-IP Cloud Edition 외부에서 구매할 수 있습니다. 라이선스 번들로 제공되며 무료 BIG-IQ 라이선스 관리자 구성 요소인 BIG-IP Per-App이 함께 제공됩니다.

BIG-IP Per-App VE는 단일 애플리케이션에 대한 전담 서비스를 제공하도록 설계된 특별 라이선스 BIG-IP 인스턴스입니다. BIG-IP 소프트웨어의 모든 기능이 활성화되어 있지만 전용 장치로 사용하기에 적절한 크기입니다.

각 BIG-IP Per-App VE에는 다음이 포함됩니다.

단일 가상 IP 주소
3개의 가상 서버(가상 주소와 수신 포트의 조합)
25Mbps 또는 200Mbps 처리량

BIG-IP Per-App VE에는 두 가지 소프트웨어 모듈 옵션이 있습니다.

BIG-IP Local Traffic Manager

F5 BIG-IP Local Traffic Manager™(LTM) 소프트웨어는 고급 로드 밸런싱, 속도 조절, 콘텐츠 라우팅, SSL 관리, 양방향 애플리케이션 계층 트래픽의 완벽한 제어를 포함한 업계 최고의 애플리케이션 트래픽 관리를 제공합니다.

F5 고급 WAF

F5 Advanced WAF는 기존 웹 애플리케이션 방화벽(WAF)의 모든 기능을 제공하는 동시에 7계층 DDoS 완화, 고급 봇 탐지, API 보안 관리 등의 형태로 더욱 강화된 보호 기능을 제공합니다. 고급 WAF에는 다운스트림 애플리케이션 서버로의 트래픽을 효과적으로 관리할 수 있는 BIG-IP LTM 트래픽 관리 기능 세트가 함께 제공됩니다. 고급 WAF 정책의 배포는 애플리케이션 템플릿 구성 요소의 일부로 관리됩니다.

가상 머신 요구 사항

BIG-IP Per-App VE는 최근 BIG-IP 릴리스에서 이루어진 이미지 및 디스크 크기의 플랫폼 간소화로부터 이점을 얻습니다. 기존 BIG-IP 배포에서는 BIG-IP 소프트웨어 버전이 실행 중인 장치에 새 소프트웨어 이미지를 다운로드한 다음 업그레이드 절차를 따르는 방식으로 "즉시 적용"되었습니다. BIG-IP Cloud Edition을 사용하면 애플리케이션 전송 및 보안 서비스를 제공하는 장비는 대부분 변경할 수 없으므로 장비 구성을 직접 변경할 수 없고 장비 및 애플리케이션 템플릿을 사용하여 배포됩니다. 그런 다음 이전 버전은 점진적인 업그레이드를 통해 폐기됩니다. 따라서 BIG-IP 소프트웨어의 여러 버전을 위한 추가 저장 공간이 필요하지 않으며 디스크 이미지 크기를 줄일 수 있습니다.

VMware 구축 환경에서는 BIG-IP Per-App VE가 업그레이드 불가능한 이미지로 제공되고 스토리지 공간도 줄어듭니다. VMware의 가상 머신 사양에 대한 자세한 내용은 ESXi용 Virtual Edition 설정 가이드를 참조하세요.
AWS에서 프로덕션 용도로 사용하는 경우 F5는 BIG-IP LTM 배포의 경우 최소 2개의 가상 코어와 4GB의 메모리, Advanced WAF의 경우 8GB의 M3 또는 M4 이미지 유형을 권장합니다.
Microsoft Azure에서 프로덕션에 사용하는 경우 F5는 BIG-IP LTM 배포의 경우 최소 2개의 가상 코어와 4GB의 메모리, 고급 WAF 배포의 경우 8GB의 메모리를 갖춘 표준 B2s 및 B2ms 이미지 유형을 권장합니다.

서비스 확장 그룹에서 BIG-IP Per-App 인스턴스 확장 및 관리

VMware–BIG-IP 서비스 스케일러

VMware에서 BIG-IP Per-App VE에 대한 앱별 트래픽은 클라이언트 소스 및 대상 IP 주소를 보존하는 MAC 주소 전달을 사용하는 특수 BIG-IP 클러스터를 통해 확장됩니다. 이는 BIG-IP Per-App VE가 제공하는 일부 레이어 7 기능에 중요할 수 있으며, BIG-IQ가 제공하는 가시성 서비스에 대한 정확한 데이터 수집을 보장합니다.

BIG-IP 서비스 스케일러는 BIG-IP Per-App VE에서 기본적인 부하 분산을 수행하며 처리량에 대한 라이선스 제한이 없습니다(그러나 가상 하드웨어 리소스는 최대 처리량을 제한합니다). 선택적으로, 서비스 스케일러는 네트워크 ACL과 계층 4 DoS 완화 기능을 제공하는 방화벽 기능으로 활성화될 수 있습니다. 서비스 스케일러는 현재 SSL이나 7계층 기능을 수행할 수 없습니다.

BIG-IP 서비스 스케일러에는 다음과 같은 가상 머신 사양이 필요합니다.

	최저한의	최고
vCPU	2[1]	4
메모리	4GB	16기가바이트[2]
디스크 공간	40기가바이트[3]	82기가바이트
네트워크 인터페이스 카드	4	10

BIG-IP 서비스 스케일러는 두 개 이상의 서비스 스케일링 그룹에 속할 수 있으며 여러 애플리케이션에서 공유될 수 있습니다(BIG-IP Per-App VE는 이름에서 알 수 있듯이 단일 애플리케이션에만 전담됨).

서비스 스케일링 그룹에서 서비스 스케일러를 설정하고 구성하는 방법은 BIG-IQ Centralized Management에서 다룹니다. 지역 교통 및 네트워크 구현.

[1] 추가 방화벽 기능에는 4개의 vCPU가 필요합니다.

[2] 고정된 한도가 없기 때문에 더 높을 수 있습니다.

[3] 방화벽 기능을 위해 82GB.

AWS ELB 클래식

AWS에서 서비스는 ELB(Elastic Load Balancing) 클래식 인스턴스를 사용하여 확장됩니다. ELB Classic은 BIG-IP Per-App VE에서 기본적인 L4 로드 밸런싱과 가용성을 제공하며, ELB의 논리적 인스턴스는 단일 서비스 확장 그룹에 전담됩니다. 따라서 각 애플리케이션에는 전용 ELB 구성이 필요합니다. AWS 서비스는 수요를 충족하기 위해 ELB 인스턴스의 확장을 관리합니다.

서비스 확장 그룹에서 AWS ELB 인스턴스를 설정하는 방법은 BIG-IQ Centralized Management에서 다룹니다. 자동 확장 AWS 클라우드에서 애플리케이션 관리하기 .

Azure 로드 밸런서

Azure에서 서비스는 Azure Load Balancer 인스턴스를 사용하여 확장됩니다. Load Balancer는 BIG-IP Per-App VE에서 기본적인 L4 로드 밸런싱과 가용성을 제공하며, Load Balancer의 논리적 인스턴스는 단일 서비스 확장 그룹에 전담됩니다. 결과적으로 각 애플리케이션에는 전용 로드 밸런서 구성이 필요합니다. Azure 서비스는 수요를 충족하기 위해 Load Balancer 인스턴스의 확장을 관리합니다.

서비스 확장 그룹에서 Azure Load Balancer 인스턴스를 설정하는 방법은 다음과 같습니다. BIG-IQ 중앙 관리: 자동 크기 조정된 Azure 클라우드에서 애플리케이션 관리 .

빅 아이큐

BIG-IQ는 BIG-IP Per-App VE보다 더 많은 것을 관리할 수 있습니다.

BIG-IQ는 플랫폼이나 위치에 관계없이 지원되는 모든 소프트웨어 버전의 BIG-IP 인스턴스를 검색하고 관리할 수 있습니다. 이 플랫폼은 장치 관리를 수행하고, 통계를 시각화하고, 템플릿화된 애플리케이션 서비스 구성을 물리적, 가상 및 클라우드에 배포된 BIG-IP 인스턴스에 배포할 수 있습니다. BIG-IQ는 지원되는 플랫폼(현재 AWS, Azure 및 VMware)에서 지원되는 기존(앱별이 아닌) BIG-IP VE에 대해 자동 확장 기능을 제공할 수도 있습니다.

BIG-IQ는 BIG-IP Cloud Edition을 구성하는 모든 구성 요소에 대한 중앙 관리 기능을 제공합니다. 모든 활동과 보고는 BIG-IQ를 통해 관리되며 BIG-IP Per-App VE에 대한 관리 액세스는 필요하지 않습니다.

빅 아이큐:

새로운 서비스 확장 그룹을 생성합니다.
- 서비스 확장 그룹 내에서 장치 템플릿은 BIG-IP Per-App VE의 수명 주기를 관리하는 데 참조됩니다. 장치 템플릿에는 BIG-IP Per-App VE를 시작하는 데 필요한 모든 정보가 포함되어 있으며 인간의 개입이 필요하지 않습니다.
애플리케이션 소유자가 스스로 문제를 해결할 수 있도록 애플리케이션 수준에서 심층 분석을 제공합니다.
문제 해결과 계획을 위해 장치 수준의 성능 및 용량 측정 항목을 제공합니다.
서비스 카탈로그의 사전 정의된 애플리케이션 템플릿을 통해 애플리케이션 소유자가 셀프 서비스 방식으로 애플리케이션에 F5 L4-7 서비스를 배포할 수 있도록 역할 기반 액세스를 제공합니다.

F5는 BIG-IP Cloud Edition 구축 시 BIG-IQ에 대해 다음과 같은 가상 하드웨어를 권장합니다.

	최저한의	최고
vCPU	4	8
메모리	4GB	16기가바이트
디스크 공간	95기가바이트	500GB
네트워크 인터페이스 카드	2	10

BIG-IQ 설치 및 구성은 다음에서 다룹니다. F5 BIG-IQ 중앙 관리 배포 가이드 계획 및 구현 .

가상 인프라 관리를 통한 BIG-IQ 커뮤니케이션

BIG-IQ는 서비스 확장 그룹의 일부로 또는 확장형 환경에서 필요에 따라 BIG-IP Per-App VE를 시작, 라이센싱, 프로비저닝 및 구성할 수 있습니다. 이를 위해서는 가상 인프라 환경에 대한 인증된 액세스가 필요합니다.

VMware에서

VMware에서는 vCenter에 액세스하기 위한 자격 증명, vCenter 호스트 이름, 보안 통신을 위한 SSL 인증서 및 호스트/클러스터, 데이터 저장소, (분산) 가상 스위치(vSwitches), 리소스 풀과 같은 ESX 환경에 대한 기타 정보가 필요합니다.

AWS에서

AWS에서는 다음이 필요합니다. API 호출과 ELB를 사용하여 1계층 트래픽 분산을 제공하는 IAM(ID 및 액세스 관리) 사용자 액세스 키와 관련 비밀번호입니다. AWS 모범 사례 에 따라 키를 생성하고 관리하세요.

IAM 사용자는 관리자 액세스 정책을 연결해야 하며 자동 크기 조정 그룹, Amazon Simple Storage Service(S3) 버킷, 인스턴스 및 IAM 인스턴스 프로필을 생성할 수 있는 권한이 있어야 합니다. 권한 및 전반적인 AWS 구성에 대한 자세한 내용은 https://aws.amazon.com/documentation을 참조하세요.

BIG-IQ 고가용성 및 백업

BIG-IP Cloud Edition은 기본적으로 모든 제어 평면 활동을 BIG-IQ 관리 계층을 통해 라우팅합니다. BIG-IQ는 실시간 모니터링과 확장/축소 이벤트를 처리하고 라이선스 할당 및 해지를 관리합니다. 따라서 이는 배포 시스템의 중요한 부분이 되며 일반적으로 고가용성 중복 구성으로 배포됩니다.

따라서 계획에는 관리 중인 BIG-IP 인스턴스 수에 적합한 라이선스를 갖춘 액티브-스탠바이 BIG-IQ 쌍이 포함되어야 합니다.

고가용성을 위한 BIG-IQ 구성은 다음에서 다룹니다. F5 BIG-IQ 중앙 관리 배포 가이드 계획 및 구현 .

BIG-IQ 데이터 수집 장치

BIG-IQ의 데이터 수집 장치는 BIG-IP Per-App VE에서 트래픽 및 성능 데이터를 수집, 저장, 처리하는 역할을 합니다. BIG-IP Per-App VE가 성능 및 트래픽 원격 측정 데이터를 데이터 수집 장치로 전송하여 처리하고 저장한 후, BIG-IQ는 데이터 수집 장치를 쿼리하여 가시성과 보고를 제공합니다. 데이터 수집 장치는 중복성을 목적으로 저장된 데이터를 복제하고 함께 작동하는 클러스터로 배열됩니다.

F5는 BIG-IP Cloud Edition에서 사용되는 데이터 수집 장치에 대해 다음과 같은 가상 하드웨어를 권장합니다.

vCPU	8
메모리	32
디스크 공간	500GB
네트워크 인터페이스 카드	2

디스크 서브시스템에 대한 참고사항: BIG-IQ 데이터 수집 장치는 BIG-IP 앱별 VE에서 수집된 데이터를 저장, 처리, 분석하여 BIG-IQ 시스템을 위한 보고서와 대시보드를 생성합니다. 이는 디스크 I/O를 많이 사용하는 작업이므로, 기본 저장소의 크기는 용량과 성능을 모두 고려하여 결정해야 합니다. 대규모 BIG-IP 앱별 VE를 배포하거나 광범위한 로깅 및 분석을 수행하는 경우 고성능 스토리지 하위 시스템을 배포해야 합니다. 캡처 검색 및 인덱싱 작업은 종종 높은 동시 작업으로 인해 무작위 및 순차적 I/O를 생성합니다.

추가 정보는 다음을 참조하세요. BIG-IQ 중앙 관리 데이터 수집 장치 크기 가이드 .

네트워킹 및 연결

퍼블릭 클라우드 배포를 통한 데이터 수집 장치용 VPN

새로운 BIG-IP Per-App VE가 생성되면 다시 연결해야 하는 데이터 수집 장치의 자체 IP 주소가 제공됩니다. 이는 고정된 설정입니다(BIG-IQ 6.0 기준). 데이터 수집 장치와 BIG-IP Per-App VE 사이에는 양방향 연결이 필요합니다. 많은 환경에서(특히 BIG-IP Per-App VE가 AWS 또는 Azure에 있고 BIG-IQ와 데이터 수집 장치가 고객 구내에 있는 경우) 트래픽을 양방향으로 성공적으로 라우팅하려면 VPN 연결이 필요합니다. 데이터 수집 장치는 일반적으로 RFC 1918 라우팅 불가 IP 주소를 갖기 때문입니다. BIG-IP Cloud Edition은 Amazon Virtual Private Cloud(Amazon VPC) 또는 Azure Virtual Network(Azure VNet)에서 고유한 IP 주소 범위가 필요하므로 Amazon VPC에서 주소 공간이 겹칠 수 없습니다.

AWS에 VPN이나 기타 개인 연결을 설정하는 방법에는 AWS Direct Connect와 같은 서비스나 Equinix Cloud Exchange와 같은 다중 클라우드 연결 서비스를 포함하여 여러 가지가 있습니다. 온프레미스 BIG-IP 장치에서 AWS VPN 게이트웨이로 IPSEC 터널을 설정하는 것도 가능합니다.

연결성: 포트 및 프로토콜

BIG-IP Cloud Edition 구성 요소 간의 포트 및 프로토콜 연결에 대한 자세한 내용은 BIG-IQ 6.0 설명서를 참조하세요.

또한 BIG-IQ는 포트 443에서 선택한 지역의 AWS API 엔드포인트에 액세스하거나 포트 443에서 vCenter 서버에 액세스해야 합니다.

인증 및 보안

BIG-IQ 사용자 인증

BIG-IQ는 사용자 계정 관리 기능을 기본 제공하고 TACACS, RADIUS, LDAP 등 일반적인 외부 프로토콜과의 통합도 지원합니다.

크기 조정 및 용량 계획

네트워킹 및 연결

몇 개의 BIG-IP Per-App VE가 필요합니까?

BIG-IP Per-App VE 인스턴스에는 두 가지 중요한 제한이 있습니다.

사물
처리량

보다 전통적인 배포와 달리 BIG-IP Per-App VE는 일반적으로 1계층 트래픽 관리 장치가 높은 가용성과 확장성을 처리하는 모든 활성 구성으로 배포됩니다. 일반적으로 이는 장애 조치를 위해 여유 용량을 유지해야 하는 하드웨어 중심의 액티브-스탠바이 고가용성(HA) 쌍보다 프로비저닝된 VE 인스턴스당 실제 처리량이 더 높다는 것을 의미합니다. 이는 액티브-액티브 구성에서도 마찬가지입니다. BIG-IP 앱별 VE는 25Mbps 및 200Mbps 처리량 라이선스로 제공되며 서비스 확장 그룹을 사용하여 확장하도록 설계되었습니다.

첫 번째 단계는 트래픽 관리가 계획된 각 애플리케이션에 필요한 처리량의 기본 추정치를 결정하는 것입니다. 다음으로, 25Mbps 또는 200Mbps 라이센스가 적절한지 결정하세요. 애플리케이션당 더 큰 처리량 요구 사항의 경우 전체 장치가 적기 때문에 200Mbps 라이선스가 적합합니다. 더 작거나 더 세부적인 요구 사항의 경우 25Mbps 라이선스가 더 적합합니다. 리소스 사용을 극대화하는 것이 중요하다면 200Mbps 라이선스가 특정 처리량에 대해 기본 하드웨어를 더욱 효율적으로 사용할 수 있게 해줍니다.

BIG-IP Per-App VE의 확장 및 크기 조정에 대한 그래픽 설명 — 그림 5: BIG-IP Per-App VE 확장 및 크기 조정

환경 내에서 라이선스 유형을 혼합하고 일치시키는 것은 가능하지만, 특정 애플리케이션은 하나의 라이선스 유형으로만 서비스됩니다.

각 응용 프로그램에 대해 다음을 결정합니다.

필요한 총 처리량
성장 가능성
휘발성

변동성을 생각할 때 고려해야 할 몇 가지 변수가 있습니다. 첫째, 확장 이벤트의 트리거는 서비스 확장 그룹에서 가장 바쁜 장치의 처리량, CPU 임계값 및/또는 메모리를 기반으로 하며, 이는 5분 평균으로 측정됩니다. 새로운 BIG-IP Per-App VE 인스턴스가 시작된 후 활성화되는 데는 약간의 시간이 걸리므로 최대 예상 증가분인 약 20분 분량의 용량을 기본 요구 사항에 프로비저닝하는 것이 좋습니다. 이런 방식을 사용하면 예상되는 수요 급증을 처리할 수 있는 용량을 유지하는 동시에 수요에 맞춰 서비스를 유연하게 제공할 수 있습니다.

크기 조정은 복잡할 수 있지만 BIG-IP Cloud Edition을 사용하면 각 애플리케이션의 인스턴스가 수요에 따라 유연하게 조정될 수 있으므로 완벽을 목표로 하거나 과도한 여유 용량을 구축할 필요가 없습니다.

BIG-IP 서비스 스케일러 인스턴스 크기 조정

서비스 확장 기능은 환경마다 다르게 구현됩니다.

AWS에서는 확장 및 축소를 사용하기 쉬운 AWS ELB Classic 로드 밸런서를 통해 처리합니다.

VMware에서는 서비스 확장, 4계층 DDoS 및 방화벽 기능이 특수한 BIG-IP VE에 의해 제공됩니다. 이러한 VE는 BIG-IP Per-App VE에 트래픽을 분산하도록 구성되었으며 네트워크 계층 액세스 제어와 DDoS 완화 기능도 제공하도록 설계되었습니다.

자동 확장 인스턴스는 높은 처리량, 낮은 복잡성을 갖추고 여러 애플리케이션에서 공유할 수 있도록 설계되었습니다.

API 및 통합

BIG-IQ는 REST API를 제공하여 서비스 카탈로그에서 애플리케이션 서비스를 프로그래밍 방식으로 배포할 수 있습니다. REST API에 대한 자세한 내용은 BIG-IQ 문서를 참조하세요.

결론

BIG-IP Cloud Edition은 새로운 방식으로 F5 애플리케이션 서비스의 성능, 보안 및 유연성을 제공합니다. 여기에는 수요에 따라 확장하거나 축소할 수 있는 새로운 앱별 플랫폼과 셀프 서비스 기능이 포함됩니다. 보안 팀은 애플리케이션 보안 및 DDoS 완화 정책을 만들 수 있으며, 네트워크 팀은 이를 애플리케이션 템플릿에 첨부하여 특정 사용자의 서비스 카탈로그에 추가할 수 있습니다. 애플리케이션 팀은 사전 정의된 서비스 카탈로그에서 서비스를 선택하고, 앱 요구 사항에 맞춰 유연하게 확장 가능한 서비스 확장 그룹에 서비스를 배포할 수 있습니다.

최종 결과는 전용 인스턴스의 유연성과 함께 엔터프라이즈급 F5 애플리케이션 서비스를 제공하는 매우 유연하고 확장 가능한 솔루션이며, 운영 오버헤드도 눈에 띄게 감소합니다. 이러한 접근 방식은 적합한 팀이 적합한 작업을 수행할 수 있는 역량을 제공합니다. 이제 애플리케이션 소유자는 민첩한 프레임워크 내에서 네트워크, 개발 및 보안 운영 팀과 더 효과적으로 협업하여 모든 애플리케이션의 성능, 가용성 및 보안을 크게 개선할 수 있습니다.

2018년 5월 30일 게시