Ressourcen White Papers

Migrieren von Tier-1-Anwendungs-Workloads zu AWS mit F5

Einführung

Unternehmen, die eine Migration oder Bereitstellung von Produktions-Workloads in die öffentliche Cloud in Erwägung ziehen, werden Amazon Web Services (AWS) wahrscheinlich als Plattform ihrer Wahl in Betracht ziehen. Heute verfügt AWS über mehr als 1 Million aktive Kunden in 190 Ländern, darunter 2.000 Regierungsbehörden und 5.000 Bildungseinrichtungen.1 Laut Gartner ist AWS weiterhin der überwältigende Marktführer sowohl hinsichtlich des Umsatzes (47 %)2 und Anteil der Anwendungs-Workloads (41,5 %)2 bereitgestellt auf einer öffentlichen Cloud-Infrastruktur als Service (IaaS). In diesem Dokument werden viele Faktoren untersucht, die eine breitere Einführung der öffentlichen Cloud für Unternehmensanwendungen verhindert haben, und es wird erläutert, wie die Anwendungsbereitstellungsdienste von F5 eine entscheidende Rolle bei der Beschleunigung der AWS-Einführung spielen.

Die Notwendigkeit, Infrastruktur und Dienste schnell bereitzustellen

Für die meisten Unternehmen sind Anwendungen keine statischen Ressourcen mit klar definierten Leistungsparametern; sie müssen häufig an unerwartete Nachfragespitzen angepasst werden, um sicherzustellen, dass das Benutzererlebnis nicht beeinträchtigt wird. Aufgrund der mangelnden Flexibilität interner IT-Dienste und der Notwendigkeit, in Anlagevermögen zu investieren, reagierten IT-Organisationen auf Nachfrageschwankungen bislang dadurch, dass sie Infrastruktur- und Anwendungsressourcen bereitstellten, um Spitzenzeiten und nicht den Durchschnittsbedarf abzudecken. Doch die Beschaffung und Bereitstellung einer neuen Infrastruktur, neuer Netzwerke und der zugehörigen Anwendungsressourcen ist ein komplexer und zeitaufwändiger Prozess, der erhebliche Kapitalinvestitionen erfordert.

AWS löst diese Herausforderung teilweise, indem die erforderlichen Investitionen in Infrastruktur und Softwareressourcen bereits getätigt wurden. So können Unternehmen die Vorteile unbegrenzter Kapazitäten nutzen, ohne zu viele Ressourcen bereitzustellen. Die Vorteile der Nutzung eines öffentlichen Cloud-IaaS-Anbieters wie AWS liegen in der Agilität, die Unternehmen bei der schnellen Bereitstellung neuer Anwendungen erhalten, der Flexibilität bei der Bedarfszuweisung von Ressourcen und der Wirtschaftlichkeit eines OpEx- im Vergleich zu CapEx-Modellen.

Bedenken von Unternehmen hinsichtlich der Verlagerung von Anwendungen in die öffentliche Cloud

Es dürfte keine Überraschung sein, dass Anwendungssicherheit, Leistung und Verwaltungskontrolle zu den wichtigsten Anliegen der IT gehören, wenn es darum geht, Anwendungen in die Cloud zu verschieben. AWS stellt zwar viele native Tools und Dienste zur Verfügung, um einige dieser Faktoren bei der Anwendungsbereitstellung zu berücksichtigen, diese Tools verfügen jedoch über unterschiedliche Fähigkeiten und Funktionssätze, die möglicherweise nicht den Anwendungsanforderungen entsprechen.

Sicherheit

Angesichts der heutigen Bedrohungslandschaft ist die Sicherheit bei in der Cloud gehosteten Anwendungen für die meisten Unternehmen die größte Sorge. Beim Verschieben von Workloads in eine öffentliche Cloud-Infrastruktur ist der Schutz vor hochentwickelter Malware und gemischten Sicherheitsbedrohungen der Schichten 4 bis 7, wie etwa volumetrischen DDoS-Angriffen in Kombination mit Angriffen auf Anwendungsebene (OWASP Top 10, Cross-Site-Scripting, SQL-Injection usw.), von entscheidender Bedeutung. AWS verwendet hinsichtlich der Sicherheit ein Modell der geteilten Verantwortung, das in zwei Segmente unterteilt ist: Sicherheit der Cloud und Sicherheit in der Cloud. Die Sicherheit der Cloud bezieht sich auf die Sicherheit der zugrunde liegenden IaaS-Infrastruktur (Rechner, Speicher, physische Hardware usw.) – dies liegt in der Verantwortung von AWS. Bei der Sicherheit in der Cloud geht es darum, alles oberhalb der Hypervisor-Ebene (Betriebssystem, Anwendungen, Daten usw.) zu schützen – dies liegt in der Verantwortung des Verbrauchers.

Darüber hinaus ist ein durchgängiger Anwendungszugriff erforderlich. Wie stellen Unternehmen sicher, dass der Zugriff für alle Benutzer unabhängig von Gerät oder Standort einheitlich ist und gleichzeitig die internen Richtlinien eingehalten werden? Kennwortmüdigkeit kann die Sicherheit beeinträchtigen, wenn Benutzer sich mehrere Benutzernamen-/Kennwortkombinationen merken müssen, was zu einer verringerten Effizienz führen kann. Die meisten Unternehmen werden wahrscheinlich zusätzlich zu den Workloads, die sie in ihren eigenen Rechenzentrums- bzw. privaten Cloudumgebungen bereitstellen, auch Workloads in der öffentlichen Cloud einsetzen. Daher ist es für diese Benutzer von entscheidender Bedeutung, konsistente und bewährte Sicherheitspraktiken/-richtlinien in ihren Hybrid-Cloud-Umgebungen replizieren und durchsetzen zu können.

Leistung

Benutzererfahrung und Produktivität bleiben weiterhin wichtige Überlegungen und beide hängen von der Anwendungsleistung in der Cloud ab. In manchen Fällen ist das Rechenzentrum des Cloud-Anbieters weiter von den Benutzern entfernt, wodurch die Latenz zwischen Benutzer und Anwendung zunimmt und die Leistung beeinträchtigt wird. Darüber hinaus sind einige der Methoden, die normalerweise zum Umgang mit Latenzen verwendet werden, wie z. B. Caching, Komprimierung und TCP-Optimierungen, in AWS nicht verfügbar.

Erweitertes Verkehrsmanagement und Sichtbarkeit

Die meisten Unternehmen benötigen für ihre geschäftskritischen Anwendungen in ihren Rechenzentren ein erweitertes Verkehrsmanagement (das über den grundlegenden Lastausgleich hinausgeht). Während AWS grundlegende Lastausgleichsdienste über Elastic Load Balancing (ELB) und Application Load Balancer (ALB) anbietet, sollten Unternehmen überlegen, welche Protokollunterstützung über HTTP/HTTPS und TCP hinaus erforderlich ist. Reichen grundlegende Integritätsprüfungen und Lastausgleichsalgorithmen aus? Verbraucher müssen häufig Anwendungsdaten bearbeiten, was vollständige L7-Anwendungsproxyfunktionen erfordert, wie z. B. URL-Prüfung und -Umschreiben. Die Möglichkeit, eingehenden Client-Verkehr im Kontext anzuzeigen, ist für die gezielte Entscheidungsfindung zur Verkehrssteuerung von entscheidender Bedeutung.

Wie F5 die Einführung von AWS ermöglicht

Um die oben genannten Probleme zu lösen, sind erweiterte und programmierbare Anwendungsbereitstellungs- und Sicherheitsdienste erforderlich, die über eine einheitliche Plattform wie die BIG-IP-Lösung von F5 bereitgestellt werden. Diese Plattform gewährleistet die Sicherheit, Leistung und Verfügbarkeit aller Anwendungen, unabhängig von ihrem Standort. Darüber hinaus ermöglicht es die Bereitstellung und Verwaltung von Anwendungsdiensten und den zugehörigen Richtlinien auf konsistente Weise in allen Hybridumgebungen, sowohl für neue Cloud-basierte als auch für vorhandene Anwendungen.

F5 BIG-IP Virtual Editions (VEs) sind virtuelle BIG-IP-Geräte, die denselben konsistenten Satz von Diensten bereitstellen, der auf der gesamten BIG-IP-Hardware verfügbar ist, einschließlich Anwendungs- und Netzwerkdiensten – von intelligenter Verkehrsverwaltung (sowohl lokal als auch global), Beschleunigung und Optimierung bis hin zu DNS, erweitertem Anwendungszugriff und ausgefeilter Anwendungssicherheit. Diese Dienste können vollständig als Teil des Anwendungsstapels integriert und automatisch konfiguriert werden. Da F5 sowohl bei Hardware- als auch bei virtuellen Application Delivery Controllern (ADC) Marktführer ist und derzeit 48 der Fortune 50-Unternehmen auf die Anwendungsdienste von F5 vertrauen, ist es durchaus möglich, dass das eine oder andere Unternehmen F5 bereits zur Wartung und zum Schutz von Anwendungen einsetzt.

F5 Sicherheitsdienste

BIG-IP VEs bieten umfassende L4–7-Sicherheitsdienste, die Cloud-Anwendungen schützen, ohne dass Sie auf Kontrolle, Flexibilität oder Sichtbarkeit verzichten müssen. Diese Dienste ergänzen die AWS-Angebote und durch eine hochentwickelte WAF (Web Application Firewall) können komplexe DDoS-Angriffe, Web Scraping, mehrschichtige Angriffe auf webbasierte Anwendungen sowie Datendiebstahl und -lecks verhindert werden. Mithilfe intelligenter Technologien und erweiterter Verhaltensanalysen zur Erkennung anomaler Verkehrsmuster können F5-Lösungen automatisierte Botnet-Angriffe erkennen und abschwächen. Durch Nutzung der Leistungsfähigkeit des F5 iRules®-Datenpfad-Skriptings können F5-Lösungen schnell auf die Ausnutzung von Anwendungsschwachstellen und Zero-Day-Angriffen reagieren. Mit F5 können VEs den Aufwand und das Fachwissen, die in die Feinabstimmung und Konfiguration von Firewall-Regeln und -Richtlinien für jede interne Anwendung investiert werden, nutzen und für in der Cloud gehostete Anwendungen wiederverwenden.

Die Identitäts- und Zugriffsverwaltungsarchitekturen von F5 basieren auf der vollständigen Kontextwahrnehmung von Benutzern, Geräten, Umgebungen, Anwendungen und Netzwerken. Das bedeutet, dass F5-Lösungen Identitätsföderation und Single Sign-On für den Anwendungszugriff im gesamten Rechenzentrum und der Cloud ermöglichen. Gleichzeitig ermöglichen sie die Sicherheit der Anwendungen und die Integrität der Daten durch sicheren, kontextbasierten Zugriff, Schutz vor webbasierter Malware und hartnäckigen Bedrohungen sowie umfassende Überprüfungen der Endgeräte.

Verfügbarkeit und Leistung

Die erweiterten lokalen Verkehrsmanagementdienste von BIG-IP unterstützen eine breite Palette von Protokollen über HTTP/TCP hinaus (z. B. HTTP 2.0, SPDY und UDP) und umfassende Anwendungskompetenz. Als Vollproxy-Architektur bietet die BIG-IP-Plattform vollständige Transparenz im Anwendungsverkehr und entschlüsselt und verschlüsselt dabei erneut den SSL-Verkehr. Darüber hinaus verfolgt es dynamisch die Leistungsstufen der Server in einer Gruppe und bietet eine umfassende Integritätsüberwachung und Verwaltung des Verbindungsstatus. BIG-IP-Dienste zur Optimierung der Anwendungsbereitstellung können die Reaktionszeit von Anwendungen beschleunigen, Latenzen und Verzögerungen minimieren und die Anzahl der Datenroundtrips verringern, die zum Abschließen von Webanforderungen von Mobilgeräten erforderlich sind.

BIG-IP DNS und globale Server-Lastausgleichsdienste leiten Benutzer zum nächstgelegenen Cloud-Rechenzentrum weiter, das das beste Benutzererlebnis, die beste Notfallwiederherstellung und die besten Failover-Richtlinien bietet. Benutzernähe, Geolokalisierung, Netzwerkbedingungen und Anwendungsverfügbarkeit werden allesamt bei Routing-Entscheidungen berücksichtigt. Die Plattform nutzt eine Reihe globaler Methoden zum Lastausgleich und eine intelligente Überwachung, die auf jede Anwendung und jeden Benutzer zugeschnitten ist. F5 bietet außerdem DNS-DDoS-Schutz, blockiert den Zugriff auf bösartige IP-Adressen und sichert Antworten mit DNSSEC. Und das Beste: DNS-Abfragen und Integritätsprüfungen werden nicht pro Nutzung abgerechnet. So entfallen die hohen Kosten für sowohl legitime als auch illegitime Abfragen bei einem DNS-DDoS-Angriff.

Skalierbarkeit zur Erfüllung der Anwendungsleistungsanforderungen

Ein wesentlicher Vorteil bei der Verlagerung von Anwendungs-Workloads auf öffentliche Cloud-Plattformen ist die Möglichkeit, eine Anwendung über die bereitgestellte Basiskapazität im Rechenzentrum hinaus zu skalieren. Mit AWS Auto Scaling bleibt die Verfügbarkeit von Anwendungen erhalten, während die Amazon EC2-Kapazität entsprechend vordefinierter Schwellenwerte automatisch nach oben oder unten skaliert wird. BIG-IP-Lösungen lassen sich in AWS Auto Scaling integrieren, um dynamisch skalierte BIG-IP-Anwendungs- und Sicherheitsdienste zu ermöglichen. Und da BIG-IP VEs das Hinzufügen oder Entfernen von Poolmitgliedern nativ handhaben, besteht kein Bedarf an Out-of-Band-Orchestrierung und Konfigurationsmanagement. Zusätzlich zur automatischen Skalierung des BIG-IP LTM (siehe Abbildung 1) hat F5 Lösungen veröffentlicht, die eine automatisch skalierte Anwendungssicherheit ermöglichen, wobei sowohl BIG-IP LTM als auch BIG-IP ASM auf dem BIG-IP VE bereitgestellt werden.

Skalieren Sie F5-Anwendungs- und Sicherheitsdienste automatisch zusammen mit Amazon EC2-Instanzen.
Abbildung 1: Skalieren Sie F5-Anwendungs- und Sicherheitsdienste automatisch zusammen mit Amazon EC2-Instanzen.
Vereinfachte und automatisierte Bereitstellungen

AWS Cloud Formation Templates (CFTs) bieten eine skriptbasierte Methode zur Automatisierung der Bereitstellung von Infrastrukturressourcen (Server, Speicher, Netzwerk und Rechenleistung). Sie bieten eine wiederholbare Möglichkeit, dasselbe BIG-IP-Image und dieselbe Konfiguration schnell und mehrmals innerhalb von AWS bereitzustellen, sodass wertvolle Arbeitszeit für dringlichere geschäftliche Angelegenheiten freigesetzt werden kann. Da CFTs von F5-Ingenieuren entwickelt und umfassend getestet wurden, beseitigen sie alle Sorgen im Zusammenhang mit der Bereitstellung oder Konfiguration der BIG-IP VE und stellen sicher, dass virtuelle F5-Geräte mit dem Vertrauen eines F5-Experten bereitgestellt werden. Darüber hinaus vereinfachen diese CFTs dank der nahtlosen Integration mit Automatisierungstools von Drittanbietern wie Ansible, Chef und Puppet den Prozess der Automatisierung und Orchestrierung von BIG-IP VEs. Alle F5 CFTs sind Open Source und kostenlos über GitHub erhältlich, sodass andere F5-Enthusiasten die Vorlagen ändern können, um sie besser an spezifische Geschäftsanforderungen anzupassen.

Darüber hinaus hat F5 eine engere Integration mit dem AWS-Marktplatz geschaffen und stellt eine Auswahl seiner CFTs direkt über den AWS-Marktplatz zur Verfügung, was eine schnellere und einfachere Implementierung ermöglicht. Beispielsweise können verschiedene Auto-Scaling-Lösungen (Auto-Scale BIG-IP LTM, Auto-Scale WAF usw.) für die Bereitstellung auf dem Marktplatz ausgewählt und in weniger als einer Stunde in Produktionsumgebungen ausgeführt werden. Dadurch müssen F5-Benutzer diese komplexen Lösungen nicht mehr selbst konfigurieren – das spart Tage, wenn nicht Wochen an Arbeitszeit.

Die DevCentral™-Community-Site bietet Beispielkonfigurationen von VPC-Ressourcen wie Subnetzen, Netzwerkschnittstellen und Routing-Tabellen für die Bereitstellung von BIG-IP VEs. Diese Beispiele zeigen auch, wie CloudInit-Benutzerdatenskripts verwendet werden, um BIG-IP iApps®-Vorlagen für bestimmte Anwendungspakete (Microsoft SharePoint, Exchange und andere) und benutzerdefinierte Anwendungen bereitzustellen. F5 iApps haben eine ähnliche Funktionalität wie AWS CFTs und wurden entwickelt, um die Bereitstellung der spezifischen Dienste, die jede Anwendung benötigt, zu erleichtern. iApps definieren außerdem die Konfiguration und Richtlinien von Diensten wie Verkehrsmanagement, Verschlüsselung, Firewall und Leistungsoptimierung für jede Anwendung.

Föderierte öffentliche und private Bereitstellungen

Durch die Integration öffentlicher Cloud-Ressourcen in ein vorhandenes privates Rechenzentrum können Unternehmen Anwendungs-Workloads basierend auf priorisierten Zeitplänen übertragen und gleichzeitig weiterhin vorhandene Investitionen nutzen. BIG-IP VEs, F5 iApps und AWS CFTs arbeiten zusammen, um eine integrierte Cloud-Konfiguration zu erstellen, die eine schnelle und transparente Bereitstellung zusätzlicher Anwendungsressourcen ermöglicht. Zu den wichtigsten Vorteilen dieser föderierten Cloud-Konfiguration gehören die nahtlose Umleitung von Anwendungsbenutzern, Geolokalisierungs- und Beschleunigungstechnologien sowie sichere Verbindungen mit AWS Direct Connect. Das Benutzererlebnis bleibt unverändert, unabhängig davon, ob Anwendungsressourcen aus einem privaten Rechenzentrum oder einer öffentlichen Cloud bereitgestellt werden. Die transparente und kontinuierliche Nutzung privater und öffentlicher Cloud-Ressourcen kann je nach Bedarf, je nachdem, ob ein Projekt neu ist oder bereits besteht, oder je nach dem spezifischen Standort des Anforderers erfolgen.

F5® BIG-IQ® Centralized Management bietet eine zentrale Steuerungsstelle für physische und virtuelle Geräte von F5 sowohl in der Cloud als auch vor Ort. BIG-IQ Centralized Management vereinfacht die Anwendungsverwaltung, trägt zur Einhaltung von Vorschriften bei und bietet Tools für die konsistente und sichere Verwaltung von F5-Geräten und -Diensten, wo auch immer sie sich befinden. BIG-IQ Centralized Management verwaltet Richtlinien, Lizenzen, SSL-Zertifikate, Bilder und Konfigurationen für F5-Geräte und für die folgenden F5-Module:

  • BIG-IP® Local Traffic Manager™ (LTM)
  • BIG-IP® Anwendungssicherheitsmanager™ (ASM)
  • BIG-IP® Advanced Firewall Manager™ (AFM)
  • BIG-IP® Access Policy Manager® (APM)
  • BIG-IP DNS (nur Überwachung)
  • Dashboards für die Betrugsschutzlösungen von F5: WebSafe und MobileSafe

BIG-IQ Centralized Management ist als physische oder virtuelle Appliance verfügbar oder kann direkt vom AWS Marketplace aus ausgeführt werden.

Die zentrale Verwaltung von F5 BIG-IQ umfasst F5-Geräte und -Dienste in öffentlichen und privaten Clouds.
Abbildung 2: Die zentrale Verwaltung von F5 BIG-IQ umfasst F5-Geräte und -Dienste in öffentlichen und privaten Clouds.
Flexible Lizenzmodelle

BIG-IP Virtual Editions sind hauptsächlich in Good-Better-Best-Paketen und in drei unterschiedlichen Kaufmodellen erhältlich:

  • Nebenkostenabrechnung. Für Test- und Entwicklungsarbeitslasten vor der Produktion oder temporäre Anwendungsfälle im Bereich Cloud Bursting und Skalierbarkeit bietet F5 stundenweise Utility-Lizenzen an, die Flexibilität und eine bedarfsgerechte, nachträglich bezahlte Nutzung ermöglichen. Premium-Support und Software-Upgrades sind in allen Utility-Angeboten enthalten.
  • Bringen Sie Ihre eigene Lizenz mit (BYOL). Diese Option ist ideal für Hybrid-Cloud-Umgebungen, in denen vorhandene BIG-IP VE-Lizenzen von einem privaten Rechenzentrum direkt in AWS migriert werden.
  • Jahresabonnement. Zusätzlich zu unbefristeten VE-Lizenzen bietet F5 auch BYOL VE-Lizenzen als Jahresabonnement an. Sie können in jeder unterstützten Hybrid-Cloud-Umgebung verwendet werden und bieten mehr Portabilität und Flexibilität. Jahresabonnements eignen sich ideal für Produktionsworkloads mit konstantem Datenverkehr und sind im AWS Marketplace erhältlich.
  • Unternehmens-Lizenzvereinbarung (ELA). Für größere Unternehmensumgebungen, die maximale Flexibilität und Agilität benötigen, ermöglicht ELA den Erwerb mehrerer VEs in 3-Jahres-Verträgen, Premium-Support und Software-Upgrades inbegriffen.

Darüber hinaus ist der BIG-IQ Centralized Management License Manager kostenlos erhältlich, um BIG-IP-Produktlizenzen in allen Hybridumgebungen zu verwalten.

Abschluss

Die Nutzung öffentlicher Cloud-Dienste hat in den letzten Jahren exponentiell zugenommen und AWS ist bei diesen Diensten stets der Marktführer. Viele IT-Startups sowie größere, bekanntere Unternehmen haben mit beachtlichem Erfolg ihre gesamte Bereitstellung in der AWS-Cloud durchgeführt. Wenn Unternehmen die Migration von Anwendungen in die Cloud planen, können die Anwendungsbereitstellungs- und Sicherheitsdienste von F5 mithilfe der virtuellen BIG-IP-Editionen von F5 problemlos auf Cloud-Anwendungs-Workloads portiert werden. Auf diese Weise werden viele der grundlegenden Bedenken von Unternehmenskunden hinsichtlich Sicherheit, Leistung und Kontrolle in der öffentlichen Cloud ausgeräumt. Dank der flexiblen Lizenzmodelle für BIG-IP-Lösungen im AWS Marketplace können Unternehmen mit minimalem finanziellen Aufwand Anwendungen in AWS planen, bereitstellen und implementieren und von der Agilität und Effizienz der AWS-Cloud profitieren.

1 Amazon Cloud Essentials: 5 Fakten, die Sie wissen müssen (https://n2ws.com/blog/5-facts-amazon-cloud-essentials.html)
2 AWS vs. Azure vs. Google Cloud – Marktanteil 2017 („https://www.skyhighnetworks.com/cloud-security-blog/microsoft-azure-closes-iaas-adoption-gap-with-amazon-aws/)

Veröffentlicht am 16. Oktober 2017
  • Auf Facebook teilen
  • Teilen mit X
  • Auf Linkedin teilen
  • Teilen per E-Mail
  • Teilen über AddThis

Verbinden mit F5

F5 Labs

Die neuesten Erkenntnisse im Bereich Anwendungsbedrohungsinformationen.

Zu F5 Labs

DevCentral

Die F5-Community für Diskussionsforen und Expertenartikel.

Zu DevCentral

F5-Newsroom

Neuigkeiten, F5-Blogs und mehr.

Zum Newsroom