BIG-IP Cloud Edition-Lösungshandbuch

F5® BIG-IP® Cloud Edition™ wurde entwickelt, um Netzwerkbetriebsteams und Anwendungsteams bei der schnellen Bereitstellung sicherer, angemessen unterstützter Anwendungen zu einer effektiveren Zusammenarbeit zu verhelfen. BIG-IP Cloud Edition vereinfacht und zentralisiert zentrale Geräte- und App-Dienstverwaltungsfunktionen wie Einrichtung, Lizenzierung, Upgrades, Analysen und Skalierung. Betriebsteams können problemlos einen Self-Service-Katalog mit Anwendungsdiensten definieren, auf den Entwickler dann bei Bedarf über ein Dashboard oder einen API-Aufruf zugreifen können. Diese Dienste werden für jede Anwendung definiert, aktualisiert und bereitgestellt, im Gegensatz zum herkömmlichen, konsolidierten Modell, bei dem ein einzelner Application Delivery Controller (ADC) mehrere Anwendungen unterstützt.

BIG-IP Cloud Edition bringt nicht nur ein neues Maß an architektonischer Flexibilität in die Anwendungsbereitstellung und Sicherheitsdienste der Enterprise-Klasse, sondern bietet auch mehrere Kaufoptionen. Die BIG-IP Cloud Edition wurde entwickelt, um eine finanzielle Flexibilität zu bieten, die der Serviceflexibilität entspricht, und ist mit Abonnement-, Utility- und Enterprise-Lizenzoptionen sowie einer herkömmlichen unbefristeten Kaufoption verfügbar.

BIG-IP Cloud Edition wurde speziell entwickelt und getestet, um Unternehmen die Erstellung einer Lösung zur Bereitstellung von Anwendungsdiensten zu ermöglichen, die Self-Service-Bereitstellung und Skalierung bietet, sodass Anwendungsteams für ihre Anwendungen Verfügbarkeit und Sicherheit auf Unternehmensniveau gewährleisten können. Dieser Ansatz ermöglicht Anwendungsbesitzern eine bessere Zusammenarbeit mit NetOps, DevOps und SecOps in einem agilen Rahmen, um die Leistung, Verfügbarkeit und Sicherheit aller Anwendungen deutlich zu verbessern.

BIG-IP Cloud Edition besteht aus zwei Infrastrukturkomponenten: 1) speziell lizenzierte BIG-IP Per-App Virtual Editions (VEs), die jeweils einer einzelnen Anwendung gewidmet sind, und 2) F5 BIG-IQ® Centralized Management, das Verwaltungs-, Sichtbarkeits- und Lizenzierungsdienste für alle Instanzen bereitstellt – unabhängig davon, wo sie sich befinden. Die Auto-Scaling-Lösung funktioniert in privaten Clouds auf Basis von Amazon Web Services (AWS), Microsoft Azure oder VMware vCenter.

BIG-IP Cloud Edition basiert auf mehreren wichtigen logischen Komponenten:

BIG-IP Cloud Edition unterstützt die Bereitstellung und automatische Skalierung von BIG-IP-Instanzen auf den folgenden Cloud-Plattformen:

• Amazon Web Services (AWS)
• Microsoft Azure
• Private Clouds auf Basis von VMware vCenter

Für zukünftige Versionen ist die Unterstützung weiterer privater und öffentlicher Cloud-Plattformen geplant.

Mit BIG-IP Cloud Edition können Entwickler auf einen On-Demand-Self-Service-Katalog mit Anwendungsdiensten zugreifen und eine Bereitstellungsvorlage für Anwendungsdienste auswählen.

Anwendungsvorlagen definieren die Anwendungsbereitstellungs- und Sicherheitsdienste, die für eine Anwendung bereitgestellt werden, einschließlich aller BIG-IP-Objekte wie virtuelle Server, Profile, Monitore, SSL-Zertifikate, Sicherheitsrichtlinien usw. Darüber hinaus definieren die Anwendungsvorlagen die Überwachung und Alarmierung für diese Anwendung. Diese Vorlagen werden normalerweise von einem Experten für Anwendungsdienste (z. B. dem Netzwerk- und/oder Sicherheitsadministrator) definiert, der intelligente Standardeinstellungen konfiguriert und dem Anwendungsbesitzer eine begrenzte Anzahl von Konfigurationsoptionen zur Verfügung stellt. Diese Vereinfachung macht Sie nicht mehr von Netzwerk- und Sicherheitsvorgängen abhängig und macht tiefgreifendes Fachwissen im Netzwerkbereich überflüssig. Gleichzeitig wird die konsistente Verwendung genehmigter Vorlagen und Richtlinien bei der Entwicklung und Bereitstellung von Anwendungen sichergestellt. Dies führt zu schnelleren App-Bereitstellungen, da Anwendungsbesitzer ein einfach anzuzeigendes Dashboard oder einen einzelnen API-Aufruf verwenden, um ihre Anwendungen bereitzustellen und zu verwalten. Darüber hinaus verfügt BIG-IQ Centralized Management 6.0 über eine Reihe vordefinierter Vorlagen für gängige Anwendungskonfigurationen. Anwendungsvorlagen können von BIG-IP-Hochverfügbarkeitspaaren in Konfigurationen ohne automatische Skalierung oder von Service-Skalierungsgruppen bereitgestellt werden.

Zusätzlich zur Verwendung von Anwendungsvorlagen können Anwendungsteams die Vorteile der automatischen Skalierung nutzen, indem sie eine Service-Skalierungsgruppe erstellen. Wenn Anwendungsdienste aus einer Anwendungsvorlage bereitgestellt werden und eine Dienstskalierungsgruppe als Ziel ausgewählt wird, verwaltet BIG-IP Cloud Edition die Verfügbarkeit und elastische Skalierung von Ressourcen zur Bereitstellung der Dienste und verwaltet außerdem den Lebenszyklus und den Upgradeprozess für die BIG-IP-Geräte, die diese Dienste bereitstellen. Service-Skalierungsgruppen verfügen über Richtliniendefinitionen der Mindest- und Höchstzahl von Geräten in einer Gruppe sowie der Auslöser, die zum Skalieren von Ressourcen verwendet werden sollen. 

Es ist auch möglich, Anwendungsvorlagen aus dem Servicekatalog zu verwenden, um Dienste auf herkömmlichen F5 ScaleN®-Clustern bereitzustellen (allerdings ohne die Vorteile der Skalierung und Lebenszyklusverwaltung).

Gerätevorlagen definieren alle Merkmale auf Infrastrukturebene (Zeitzone, DNS, Hostname, Konten, NTP, Lizenzierung, Netzwerk usw.), die zum Bereitstellen eines BIG-IP-Geräts erforderlich sind. Organisationen können Gerätevorlagen zum Erstellen von Service-Skalierungsgruppen verwenden, indem sie mithilfe dieser Vorlagen mehrere neue Geräte bereitstellen. Gerätevorlagen sind auch die primäre Methode für die Interaktion mit den BIG-IP-Geräten. Wenn eine Änderung an einem Gerät in BIG-IP Cloud Edition erforderlich ist (beispielsweise aufgrund eines Versionsupgrades), wird die Gerätevorlage geändert und die Änderungen werden an die Service-Skalierungsgruppe weitergegeben. Gerätevorlagen enthalten alle Informationen, die zum Instanziieren einer virtuellen BIG-IP-Edition erforderlich sind, einschließlich Lizenzierung, Bereitstellung, Vernetzung und anderen grundlegenden Geräteanforderungen.

Die Geräteverwaltung ist in der BIG-IP Cloud Edition anders.

In den meisten Fällen sind die Geräte, die Anwendungsbereitstellungs- und Sicherheitsdienste in der BIG-IP Cloud Edition bereitstellen, unveränderlich; Änderungen werden nicht direkt an den Gerätekonfigurationen, sondern an der Gerätevorlage vorgenommen. Anschließend führt BIG-IP Cloud Edition diese Änderungen in einer Service-Skalierungsgruppe ein, indem neue Geräte bereitgestellt, der Datenverkehr auf diese umgeleitet und dann die alten Geräte entfernt werden. Dieser Prozess – manchmal auch „BIG-IP Per-App VE and Nuke“ genannt – unterscheidet sich grundlegend von der Verwaltung einer herkömmlichen BIG-IP-Bereitstellung mit mehreren Mandanten.

Vorteile von Pro-App-Diensten:

• Isolieren Sie Workloads
• Passen Sie die Größe virtueller Umgebungen an
• Weg mit den traditionellen Upgrades vor Ort
• Automatisches Bereitstellen und Konfigurieren neuer Instanzen

Mit der BIG-IP Cloud Edition wird das Erteilen, Aktualisieren und Widerrufen von Lizenzen für virtuelle Instanzen automatisch vom Lizenzverwaltungssystem in BIG-IQ abgewickelt. Dieses automatische System ermöglicht die Bündelung und Bereitstellung von Lizenzen, wann und wo sie benötigt werden. Wenn ein Gerät nicht mehr benötigt wird, wird seine Lizenz zur Verwendung durch eine andere Instanz an den Pool zurückgegeben. Obwohl Lizenzierungsmodi, Funktionen und Durchsatz zwischen Bereitstellungen variieren können, übernimmt BIG-IQ die Lizenzierung nahtlos, sodass bei der Bereitstellung neuer BIG-IP-Instanzen keine umständliche manuelle Lizenzaktivierung erforderlich ist.

Um Auslöser für Skalierungsereignisse und tiefe Einblicke in die Anwendungs- und Infrastrukturleistung bereitzustellen, sammelt und visualisiert BIG-IQ Analysen auf Anwendungsebene, die für Sicherheits- und Netzwerkadministratoren sowie Anwendungseigentümer nützlich sind. Diese Transparenz hilft App-Besitzern bei der Selbstdiagnose von Anwendungsleistungsproblemen, um zu ermitteln, ob ihre Anwendung oder das Netzwerk die Ursache für Verzögerungen ist.

BIG-IP Cloud Edition ist auf eine logische Rollentrennung ausgelegt. Anwendungsbesitzer erhalten die Möglichkeit zur Self-Service-Anwendungsbereitstellung in Service-Skalierungsgruppen, die von Infrastrukturbesitzern verwaltet werden. Die von den Anwendungsbesitzern verwendeten Vorlagen und Sicherheitsrichtlinien können von den NetOps- und SecOps-Teams verwaltet werden. Einige Vorlagen sind möglicherweise für manche Anwendungsbesitzer verfügbar, für andere jedoch nicht. Außerdem können die Statistiken und Dashboards pro Anwendung auf die Anwendungsbesitzer beschränkt sein. Durch feinkörniges Rollenmanagement ermöglicht BIG-IP Cloud Edition Anwendungsteams, ihre Apps zu unterstützen, während Betriebsteams gleichzeitig die Kontrolle über das Netzwerk behalten.

BIG-IP Cloud Edition besteht aus mehreren verschiedenen Infrastrukturkomponenten, die zusammenarbeiten, um die Lösung bereitzustellen.

Verwenden von BIG-IP Per-App VE außerhalb der BIG-IP Cloud Edition. BIG-IP Per-App VEs können außerhalb der BIG-IP Cloud Edition erworben werden. Erhältlich als Lizenzpaket und mit einer kostenlosen BIG-IQ-Lizenzmanagerkomponente, BIG-IP Per-App

Eine BIG-IP Per-App VE ist eine speziell lizenzierte BIG-IP-Instanz, die entwickelt wurde, um dedizierte Dienste für eine einzelne Anwendung bereitzustellen. Die BIG-IP-Software bietet sämtliche Funktionen, hat aber die richtige Größe für die Verwendung als dediziertes Gerät.

Jede BIG-IP Per-App VE enthält:

• Einzelne virtuelle IP-Adresse
• Drei virtuelle Server (eine Kombination aus einer virtuellen Adresse und einem Abhörport)
• 25 Mbit/s oder 200 Mbit/s Durchsatz

In BIG-IP Per-App VEs sind zwei Softwaremoduloptionen verfügbar:

Die Software F5 BIG-IP Local Traffic Manager™ (LTM) bietet branchenführendes Anwendungsverkehrsmanagement, einschließlich erweiterter Lastverteilung, Rate Shaping, Inhaltsrouting, SSL-Verwaltung und vollständiger Kontrolle des Anwendungsschichtverkehrs in beide Richtungen.  

F5 Advanced WAF bietet alle Funktionen einer herkömmlichen Web Application Firewall (WAF) sowie erweiterten Schutz in Form von DDoS-Minderung auf Layer 7, erweiterter Bot-Erkennung und API-Sicherheitsverwaltung. Advanced WAF verfügt über eine Reihe von BIG-IP LTM-Verkehrsverwaltungsfunktionen, um den Verkehr zu nachgelagerten Anwendungsservern effektiv zu verwalten. Die Bereitstellung erweiterter WAF-Richtlinien wird als Teil der Anwendungsvorlagenkomponente verwaltet.

BIG-IP Per-App VEs profitieren von der Plattformoptimierung der Image- und Festplattengrößen, die in den letzten Versionen von BIG-IP stattgefunden hat. Bei herkömmlichen BIG-IP-Bereitstellungen wurden BIG-IP-Softwareversionen „vor Ort“ erstellt, indem ein neues Software-Image auf ein laufendes Gerät heruntergeladen und anschließend ein Upgrade-Verfahren durchgeführt wurde. Bei der BIG-IP Cloud Edition sind die Geräte, die Anwendungsbereitstellungs- und Sicherheitsdienste bereitstellen, größtenteils unveränderlich, sodass Änderungen nicht direkt an den Gerätekonfigurationen vorgenommen, sondern mithilfe der Geräte- und Anwendungsvorlagen bereitgestellt werden. Anschließend werden die alten Versionen im Rahmen eines Rolling Upgrades ausgemustert. Zusätzlicher Speicherplatz für mehrere Versionen der BIG-IP-Software ist daher nicht erforderlich und die Größe des Disk-Images kann verkleinert werden.

• In VMware-Bereitstellungen sind BIG-IP Per-App VEs in nicht aktualisierbaren Images mit reduziertem Speicherbedarf verfügbar. Ausführliche Informationen zu den Spezifikationen virtueller Maschinen in VMware finden Sie im Virtual Edition Setup Guide für ESXi .
• Für den Produktionseinsatz auf AWS empfiehlt F5 die Image-Typen M3 oder M4 mit mindestens zwei virtuellen Kernen und 4 GB Arbeitsspeicher für BIG-IP LTM-Bereitstellungen und 8 GB für Advanced WAF.
• Für den Produktionseinsatz auf Microsoft Azure empfiehlt F5 die Image-Typen Standard B2s und B2ms mit mindestens zwei virtuellen Kernen und 4 GB Arbeitsspeicher für BIG-IP LTM-Bereitstellungen und 8 GB für Advanced WAF.

VMware – BIG-IP-Service-Skalierer

In VMware wird der Pro-App-Datenverkehr zu BIG-IP Per-App VEs über einen spezialisierten BIG-IP-Cluster mithilfe der MAC-Adressweiterleitung skaliert, wodurch die Quell- und Ziel-IP-Adressen des Clients erhalten bleiben. Dies kann für einige der Layer-7-Funktionen wichtig sein, die von den BIG-IP Per-App VEs angeboten werden, und gewährleistet außerdem eine genaue Datenerfassung für die Sichtbarkeitsdienste, die BIG-IQ anbietet.

BIG-IP-Service-Skalierer führen einen grundlegenden Lastausgleich über BIG-IP-Per-App-VEs durch und haben keine Lizenzbeschränkung für den Durchsatz (virtuelle Hardwareressourcen begrenzen jedoch offensichtlich den maximalen Durchsatz). Optional kann der Service-Scaler mit Firewall-Funktionen ausgestattet werden, die Netzwerk-ACLs und Layer-4-DoS-Minderungsfunktionen bieten. Die Service-Skalierer können derzeit keine SSL- oder Layer-7-Funktionen ausführen.

BIG-IP-Service-Skalierer erfordern die folgenden virtuellen Maschinenspezifikationen:

BIG-IP-Service-Skalierer können zu mehr als einer Service-Skalierungsgruppe gehören und von mehreren Anwendungen gemeinsam genutzt werden (während BIG-IP-Per-App-VEs – wie der Name schon sagt – einer einzigen Anwendung gewidmet sind).

Das Einrichten und Konfigurieren von Service-Skalierern in einer Service-Skalierungsgruppe wird in BIG-IQ Centralized Management behandelt: Lokaler Verkehr und Netzwerkimplementierungen.

[1] Für zusätzliche Firewall-Funktionen sind vier vCPUs erforderlich.

[2] Der Wert kann höher sein, da es keine feste Grenze gibt.

[3] 82 GB für Firewall-Funktionen.

In AWS werden Dienste mithilfe von Elastic Load Balancing (ELB) Classic-Instanzen skaliert. ELB Classic bietet grundlegendes L4-Lastausgleich und Verfügbarkeit über BIG-IP Per-App VEs hinweg und eine logische Instanz von ELB ist einer einzelnen Service-Skalierungsgruppe gewidmet. Jede Anwendung erfordert daher eine dedizierte ELB-Konfiguration. Der AWS-Dienst verwaltet die Skalierung von ELB-Instanzen, um den Anforderungen gerecht zu werden.  

Das Einrichten von AWS ELB-Instanzen in einer Service-Skalierungsgruppe wird in BIG-IQ Centralized Management behandelt: Verwalten von Anwendungen in einer automatisch skalierten AWS-Cloud .

In Azure werden Dienste mithilfe von Azure Load Balancer-Instanzen skaliert. Load Balancer bietet grundlegenden L4-Lastausgleich und Verfügbarkeit über BIG-IP Per-App VEs hinweg und eine logische Instanz von Load Balancer ist einer einzelnen Service-Skalierungsgruppe gewidmet. Daher erfordert jede Anwendung eine dedizierte Load Balancer-Konfiguration. Der Azure-Dienst verwaltet die Skalierung von Load Balancer-Instanzen, um den Anforderungen gerecht zu werden. 

Das Einrichten von Azure Load Balancer-Instanzen in einer Service-Skalierungsgruppe wird erläutert in Zentralisiertes BIG-IQ-Management: Verwalten von Anwendungen in einer automatisch skalierten Azure-Cloud .

BIG-IQ kann mehr als BIG-IP Per-App VEs verwalten.

BIG-IQ kann BIG-IP-Instanzen aller unterstützten Softwareversionen erkennen und verwalten – unabhängig von Plattform und Standort. Die Plattform kann Geräteverwaltung durchführen, Statistiken visualisieren und vorlagenbasierte Anwendungsdienstkonfigurationen auf physischen, virtuellen und in der Cloud bereitgestellten BIG-IP-Instanzen bereitstellen. BIG-IQ kann sogar Autoscaling für unterstützte, traditionelle (nicht pro App) BIG-IP VEs auf unterstützten Plattformen (derzeit AWS, Azure und VMware) anbieten.

BIG-IQ bietet eine zentrale Verwaltung für alle Komponenten, aus denen BIG-IP Cloud Edition besteht. Alle Aktivitäten und Berichte werden über BIG-IQ verwaltet und ein Administratorzugriff auf BIG-IP Per-App VEs ist nicht erforderlich. 

Großer IQ:

• Erstellt neue Service-Skalierungsgruppen
  • Innerhalb der Service-Skalierungsgruppe werden Gerätevorlagen referenziert, um den Lebenszyklus von BIG-IP Per-App VEs zu verwalten. Gerätevorlagen enthalten alle erforderlichen Informationen zum Starten einer BIG-IP Per-App VE und erfordern kein menschliches Eingreifen.
• Bietet umfassende Analysen auf Anwendungsebene, sodass Anwendungsbesitzer ihre Probleme selbst beheben können.
• Bietet Leistungs- und Kapazitätsmesswerte auf Geräteebene zur Fehlerbehebung und Planung.
• Bietet rollenbasierten Zugriff, der es Anwendungsbesitzern ermöglicht, F5 L4–7-Dienste für eine Anwendung über vordefinierte Anwendungsvorlagen aus dem Dienstkatalog im Self-Service-Verfahren bereitzustellen.

F5 empfiehlt die folgende virtuelle Hardware für BIG-IQ in einer BIG-IP Cloud Edition-Bereitstellung.

Die Installation und Konfiguration von BIG-IQ wird im Planen und Implementieren eines Bereitstellungshandbuchs für die zentralisierte Verwaltung von F5 BIG-IQ .

BIG-IQ kann BIG-IP Per-App VEs bei Bedarf als Teil einer Service-Skalierungsgruppe oder in einer Scale-Out-Umgebung starten, lizenzieren, bereitstellen und konfigurieren. Dies erfordert einen authentifizierten Zugriff auf die virtuelle Infrastrukturumgebung.

In VMware wird Folgendes benötigt: Anmeldeinformationen für den Zugriff auf vCenter, ein vCenter-Hostname, ein SSL-Zertifikat für sichere Kommunikation und weitere Informationen zur ESX-Umgebung wie Hosts/Cluster, Datenspeicher, (verteilte) virtuelle Switches (vSwitches) und Ressourcenpools. 

In AWS ist Folgendes erforderlich: Identity and Access Management (IAM)-Benutzerzugriffsschlüssel und zugehöriges Geheimnis zum Tätigen von API-Aufrufen und ELBs, um eine Verkehrsverteilung der ersten Ebene zu ermöglichen. Befolgen Sie die Best Practices von AWS zum Erstellen und Verwalten der Schlüssel.

Dem IAM-Benutzer sollte die Administratorzugriffsrichtlinie zugeordnet sein und er sollte die Berechtigung zum Erstellen von Auto-Scaling-Gruppen, Amazon Simple Storage Service (S3)-Buckets, Instanzen und IAM-Instanzprofilen besitzen.  Einzelheiten zu Berechtigungen und zur allgemeinen AWS-Konfiguration finden Sie unter https://aws.amazon.com/documentation .

Da BIG-IP Cloud Edition im Wesentlichen alle Aktivitäten der Steuerungsebene über die BIG-IQ-Verwaltungsebene leitet (BIG-IQ übernimmt die Echtzeitüberwachung und Scale-In/Out-Ereignisse und verwaltet die Zuweisung und den Widerruf von Lizenzen), wird es zu einem kritischen Teil des Bereitstellungssystems und wird daher typischerweise in einer hochverfügbaren, redundanten Konfiguration eingesetzt.

Die Planung sollte daher ein aktives Standby-BIG-IQ-Paar mit der entsprechenden Lizenz für die Anzahl der zu verwaltenden BIG-IP-Instanzen umfassen.

Die Konfiguration von BIG-IQ für hohe Verfügbarkeit wird im Planen und Implementieren eines Bereitstellungshandbuchs für die zentralisierte Verwaltung von F5 BIG-IQ .

BIG-IQ-Datenerfassungsgeräte

Datenerfassungsgeräte in BIG-IQ sind für das Erfassen, Speichern und Verarbeiten von Verkehrs- und Leistungsdaten der BIG-IP Per-App VEs verantwortlich. Nachdem BIG-IP Per-App VEs Leistungs- und Verkehrstelemetriedaten zur Verarbeitung und Speicherung an Datenerfassungsgeräte senden, fragt BIG-IQ die Datenerfassungsgeräte ab, um Transparenz und Berichte bereitzustellen. Datenerfassungsgeräte werden in Clustern angeordnet, die zusammenarbeiten und gespeicherte Daten aus Redundanzgründen replizieren.

F5 empfiehlt die folgende virtuelle Hardware für Datenerfassungsgeräte, die in BIG-IP Cloud Edition verwendet werden:

Ein Hinweis zu Festplattensubsystemen:  BIG-IQ-Datenerfassungsgeräte speichern, verarbeiten und analysieren von BIG-IP Per-App VEs erfasste Daten, um Berichte und Dashboards für das BIG-IQ-System zu erstellen. Da es sich hier um eine Festplatten-E/A-intensive Arbeitslast handelt, muss der zugrunde liegende Speicher sowohl hinsichtlich der Kapazität als auch der Leistung dimensioniert sein. Für große Bereitstellungen von BIG-IP Per-App VEs oder umfangreiche Protokollierungen und Analysen sollten leistungsstarke Speichersubsysteme eingesetzt werden. Das Erfassen von Such- und Indizierungsvorgängen führt sowohl zu zufälligen als auch sequenziellen E/A-Vorgängen, häufig mit hoher Aufgabenparallelität.

Weitere Informationen finden Sie im Größenhandbuch für BIG-IQ-Geräte zur zentralisierten Verwaltung von Datenerfassungsgeräten .

Es gibt verschiedene Möglichkeiten, ein VPN oder eine andere private Verbindung zu AWS einzurichten, darunter Dienste wie AWS Direct Connect oder Multi-Cloud-Konnektivitätsdienste wie Equinix Cloud Exchange. Es ist auch möglich, einen IPSEC-Tunnel von lokalen BIG-IP-Geräten zu AWS-VPN-Gateways einzurichten.

Einzelheiten zur Port- und Protokollkonnektivität zwischen BIG-IP Cloud Edition-Komponenten finden Sie in der BIG-IQ 6.0-Dokumentation . 

Darüber hinaus benötigt BIG-IQ Zugriff auf AWS-API-Endpunkte für die ausgewählte Region auf Port 443 oder auf den vCenter-Server auf Port 443.

BIG-IQ bietet sowohl integriertes Benutzerkontomanagement als auch Integration mit gängigen externen Protokollen wie TACACS, RADIUS und LDAP.

Wie viele BIG-IP Per-App VEs werden benötigt?

Es gibt zwei kritische Einschränkungen für BIG-IP Per-App VE-Instanzen:

• Objekte
• Durchsatz

Im Gegensatz zu einer herkömmlicheren Bereitstellung werden BIG-IP Per-App VEs im Allgemeinen in einer vollständig aktiven Konfiguration bereitgestellt, wobei das Verkehrsmanagementgerät der Stufe eins für hohe Verfügbarkeit und Skalierung sorgt.  Im Allgemeinen bedeutet dies einen höheren realen Durchsatz pro bereitgestellter VE-Instanz als bei einem eher hardwarezentrierten Active-Standby-Hochverfügbarkeitspaar (HA), bei dem selbst in einer Active-Active-Konfiguration freie Kapazitäten für ein Failover vorgehalten werden müssen. BIG-IP Per-App VEs sind mit Durchsatzlizenzen von 25 Mbit/s und 200 Mbit/s verfügbar und für die Skalierung mithilfe von Service-Skalierungsgruppen konzipiert.

Der erste Schritt besteht darin, eine Basisschätzung des erforderlichen Durchsatzes für jede Anwendung zu ermitteln, für die ein Verkehrsmanagement geplant ist. Entscheiden Sie als Nächstes, ob die Lizenz für 25 Mbit/s oder 200 Mbit/s geeignet ist. Bei größeren Durchsatzanforderungen pro Anwendung ist aufgrund der geringeren Anzahl an Geräten insgesamt die 200-MBit/s-Lizenz angemessen. Für kleinere oder detailliertere Anforderungen ist die 25-Mbit/s-Lizenz besser geeignet. Wenn eine maximale Ressourcennutzung wichtig ist, ermöglicht die 200-MBit/s-Lizenz eine effizientere Nutzung der zugrunde liegenden Hardware für einen bestimmten Durchsatz.

Es ist möglich, Lizenztypen innerhalb einer Umgebung zu mischen und anzupassen, eine bestimmte Anwendung wird jedoch nur von einem Lizenztyp unterstützt.

Bestimmen Sie für jede Anwendung:

• Erforderlicher Gesamtdurchsatz
• Wahrscheinliches Wachstum
• Volatilität

Beim Thema Volatilität müssen einige Variablen berücksichtigt werden. Erstens basieren die Auslöser für Skalierungsereignisse auf dem Durchsatz, den CPU-Schwellenwerten und/oder dem Speicher des am stärksten genutzten Geräts in einer Service-Skalierungsgruppe, berechnet als Durchschnitt von fünf Minuten. Da eine neue BIG-IP Per-App VE-Instanz nach dem Start eine kurze Zeit benötigt, um aktiv zu werden, wird empfohlen, die Grundanforderung mit einer Kapazität für etwa 20 Minuten des maximal erwarteten Wachstums bereitzustellen. Auf diese Weise können sich die Dienste flexibel an die Nachfrage anpassen und verfügen dennoch über eine gewisse Kapazität, um erwartete Spitzen zu bewältigen.

Die Dimensionierung kann zwar komplex sein, mit der BIG-IP Cloud Edition können die Instanzen jeder Anwendung jedoch je nach Bedarf angepasst werden. Das Streben nach Perfektion oder der Einbau übermäßiger Reservekapazitäten ist daher nicht erforderlich.

Die Skalierungsfunktion der Dienste wird in den verschiedenen Umgebungen unterschiedlich implementiert.

In AWS wird das Hoch- und Herunterskalieren durch den benutzerfreundlichen AWS ELB Classic Load Balancer übernommen.

In VMware werden die Service-Skalierung, Layer-4-DDoS und Firewall-Funktionen durch spezielle BIG-IP VEs bereitgestellt. Diese VEs sind so konfiguriert, dass sie den Datenverkehr einfach an die BIG-IP Per-App VEs verteilen und außerdem Zugriffskontrolle auf Netzwerkebene sowie DDoS-Abwehr bieten.

Die automatisch skalierten Instanzen sind auf hohen Durchsatz und geringe Komplexität ausgelegt und können von mehreren Anwendungen gemeinsam genutzt werden.

BIG-IQ bietet eine REST-API, die die programmgesteuerte Bereitstellung von Anwendungsdiensten aus dem Servicekatalog ermöglicht. Einzelheiten zur REST-API finden Sie in der BIG-IQ-Dokumentation .

BIG-IP Cloud Edition bietet die Leistung, Sicherheit und Flexibilität der F5-Anwendungsdienste auf neue Weise. Hierzu gehören eine neue Pro-App-Plattform, die je nach Bedarf vergrößert oder verkleinert werden kann, sowie Self-Service-Funktionen. Sicherheitsteams können Richtlinien zur Anwendungssicherheit und zur DDoS-Minderung erstellen und Netzwerkteams können diese dann an Anwendungsvorlagen anhängen und sie dem Servicekatalog für bestimmte Benutzer hinzufügen. Anwendungsteams können aus einem vordefinierten Servicekatalog auswählen und Services in einer Service-Skalierungsgruppe bereitstellen, die sich flexibel an ihre App-Anforderungen anpasst.

Das Endergebnis ist eine äußerst flexible, skalierbare Lösung, die F5-Anwendungsdienste auf Unternehmensniveau bietet – mit der Flexibilität dedizierter Instanzen – und gleichzeitig den Betriebsaufwand messbar reduziert. Dieser Ansatz ermöglicht es den richtigen Teams, die richtigen Arbeiten zu erledigen: Jetzt können Anwendungsbesitzer in einem agilen Rahmen besser mit Netzwerk-, Entwicklungs- und Sicherheitsbetriebsteams zusammenarbeiten, um die Leistung, Verfügbarkeit und Sicherheit aller Anwendungen deutlich zu verbessern.