Migración de cargas de trabajo de aplicação a la nube pública

Empresas y organizaciones de todas las industrias y sectores están migrando o implementando nuevas aplicações a proveedores de nube pública IaaS para lograr mayor agilidad, tiempos de comercialización más rápidos y modelos de pago de servicios públicos flexibles. Ya sea que estas aplicações generen ingresos o sean aplicaciones comerciales críticas, deben garantizar la misma excelente experiencia de usuario, incluso en los servicios asociados de disponibilidad, rendimiento y seguridad. Sin embargo, existen desafíos que deben abordarse, entre ellos, determinar qué cargas de trabajo son adecuadas para la nube debido al diseño inherente de los centros de datos en la nube, las capacidades de seguridad y entrega de aplicação de cada proveedor de nube y la falta general de visibilidad y control.

Estos desafíos pueden llevar a implementaciones de nube personalizadas, lentas y costosas, impedir la elección y la movilidad del proveedor de nube y aumentar el riesgo de vulnerabilidades de seguridad. En este documento se revisarán las consideraciones clave y los inhibidores conocidos para la migración exitosa de aplicações a la nube pública, y cómo la implementación de los servicios de aplicação y seguridad F5® BIG-IP® (disponibles con modelos de licencia flexibles en los principales proveedores de IaaS en la nube) es un elemento fundamental para ese éxito.

Si bien todos reconocemos los beneficios de la nube pública, lo cierto es que existen diferencias significativas entre cómo se ejecuta una aplicação en un centro de datos de un proveedor de IaaS público diseñado para múltiples inquilinos y cómo se ejecuta en el centro de datos de su empresa privada. El proveedor de nube pública habrá diseñado sus centros de datos y redes con una escalabilidad masiva en mente, utilizando la virtualización, la mercantilización y la estandarización para reducir los costos. El nivel de control de la red es diferente, el acceso a la funcionalidad L2 (por ejemplo, multidifusión, etiquetado VLAN 802.1q, etc.) será limitado y solo podrá obtener una IP pública para cada aplicação. La capacidad computacional se agrega escalando horizontalmente muchas instancias pequeñas en lugar de escalar verticalmente a través de hardware dedicado de alto rendimiento, lo que impacta directamente en el mantenimiento del estado de cualquier elemento o nodo en particular.

Si bien el objetivo ideal es “migrar y trasladar” a la nube pública, es posible que algunas aplicações no puedan trasladarse sin cambios de diseño o una rediseñación completa. Decidir qué aplicações migrar a la nube pública y qué cambios son necesarios es clave. Las preguntas y los criterios para decidir qué aplicaciones trasladar deben incluir:

• ¿La aplicação ya está virtualizada y puede ejecutarse en la infraestructura del proveedor de la nube?
• ¿El proveedor de nube cumple con sus estrictas políticas de protección de datos?
• ¿Qué nivel de acuerdo de nivel de servicio se requiere para su aplicação? ¿Qué tipo de garantía de actividad o capacidades de alta disponibilidad ofrece el proveedor de nube ?
• ¿Cuáles son sus requisitos de red y gestión? ¿Pueden duplicarse en el entorno de la nube?

Cada aplicação requiere aplicaciones y servicios de seguridad independientemente de la ubicación. Los conjuntos de herramientas y servicios de cada proveedor de nube en cuanto a disponibilidad, rendimiento y seguridad diferirán en capacidades y gestión, y pueden generar costos adicionales que deben tenerse en cuenta. Aprender y configurar estos nuevos servicios según sus necesidades requerirá tiempo, pruebas y capacitación. Esto puede crear costos de cambio prohibitivos cuando se utiliza una estrategia de múltiples proveedores de nube, lo que resulta en un bloqueo del proveedor de nube. Lo más importante es que, dependiendo de los requisitos específicos de su aplicação , es posible que no sean adecuados ni brinden las mismas capacidades que los que utiliza actualmente. Esto puede limitar la flexibilidad empresarial a la hora de elegir proveedores de nube y aumenta el riesgo y la complejidad de la migración a la nube. Hay tres desafíos principales:

El 90% de las organizaciones tienen preocupaciones de seguridad

Asegurarse de que las aplicações sean seguras en la nube pública es la principal preocupación de la mayoría de las organizaciones. La protección contra las sofisticadas amenazas de seguridad combinadas de L3 a L7, donde múltiples tipos de ataques DDoS volumétricos se combinan con ataques de capa de aplicación (OWASP Top Ten, secuencias de comandos entre sitios, inyección SQL, etc.), es fundamental. Otra consideración es la inconsistencia de las políticas de acceso y seguridad de las aplicação cuando se utilizan las herramientas de seguridad básicas del proveedor de la nube. Esto puede aumentar las superficies de ataque y exponer las vulnerabilidades relacionadas con el aprovisionamiento y desaprovisionamiento de acceso para los usuarios, especialmente los actores maliciosos. Las organizaciones necesitan la capacidad de replicar y aplicar políticas de seguridad consistentes y probadas y acceso a todo el centro de datos privados y la nube.

La gestión avanzada del tráfico más allá del equilibrio de carga básico generalmente se implementa para aplicações empresariales importantes y críticas para el negocio. Si bien los proveedores de nube pueden ofrecer servicios básicos de equilibrio de carga, debe considerar qué soporte de protocolo más allá de HTTP/HTTPS y TCP será necesario. ¿Son suficientes los controles básicos de salud y los algoritmos de equilibrio de carga basados en hash y round robin? A menudo se necesita manipular datos de aplicação , lo que requiere funciones de proxy L7 completas, como inspección/reescritura de URL.

¿Cómo aborda el proveedor de nube el tiempo de actividad y la resiliencia de su infraestructura? Los objetivos típicos de disponibilidad de infraestructura son del 99,95 % para los proveedores más grandes, lo que puede ser inferior a lo que usted necesita. Más importante aún, es fundamental comprender los riesgos y encontrar formas de mitigar el efecto de una interrupción. Algunos proveedores tienen centros de datos y ubicaciones redundantes en múltiples regiones geográficas para mantener la disponibilidad ante fallas importantes, como desastres naturales. Para aprovechar la redundancia se necesita una planificación cuidadosa que tenga en cuenta detalles específicos de implementación, latencia y tiempos de conmutación por error/recuperación.

La experiencia del usuario final y la productividad seguirán siendo vitales y dependerán del rendimiento de la aplicação una vez en la nube. El centro de datos puede estar más lejos de sus usuarios, lo que significa una mayor latencia entre el usuario final y la aplicação, lo que afecta el rendimiento. Es posible que algunos de los métodos que se utilizan habitualmente, como el almacenamiento en caché, la compresión y las optimizaciones de TCP, no estén disponibles. Otro requisito es garantizar que los usuarios sean dirigidos a la ubicación más cercana.

Una de las razones principales para migrar a una nube pública es obtener una asignación flexible y bajo demanda de recursos para abordar picos de demanda (planificados y no planificados) según umbrales predefinidos. Las aplicações en las que se puede esperar una explosión pasajera de capacidad o una demanda muy variable pueden ser mejores candidatas para una migración temporal a un proveedor de nube pública.

Los servicios y políticas de aplicação y seguridad que no siguen a las aplicações desde el centro de datos hasta la nube requerirán implementaciones personalizadas para cada proveedor de nube. Las organizaciones necesitan información sobre el rendimiento de las aplicação , la seguridad y el acceso a las aplicação por parte de los usuarios para determinar cuándo las cargas de trabajo deben trasladarse de una ubicación a otra. Esto requiere visibilidad de las interacciones del usuario con las aplicações y la experiencia del usuario en todas las infraestructuras de implementación. La proliferación de políticas, la variabilidad y la complejidad por aplicación y por proveedor, combinadas con la falta de visibilidad coherente, pueden generar un mayor OPEX, una menor velocidad del servicio y una experiencia degradada del cliente.

Las ediciones virtuales (VE) de F5 BIG-IP ofrecen una amplia gama de servicios de redes y aplicação inteligentes, desde aceleración, optimización y gestión inteligente del tráfico (tanto local como global) hasta DNS, acceso avanzado a aplicação y seguridad de red. Estos servicios pueden integrarse completamente como parte de la pila de aplicação y configurarse automáticamente. Como líder del mercado tanto en hardware como en controladores de entrega de aplicação (ADC) virtuales, es probable que estos servicios ya estén implementados en su centro de datos y ahora estén disponibles a través de los principales proveedores de nube a través del programa de licencias de nube de F5.

Los VE BIG-IP brindan servicios de seguridad L3–7 inteligentes e integrales que protegen las aplicaciones en la nube sin sacrificar el control, la flexibilidad ni la visibilidad. Estos servicios complementan lo que ofrece cada proveedor de nube y brindan defensas en profundidad contra todo el espectro de vectores DDoS, amenazas de día cero, ataques a aplicação web multicapa, robo y fuga de datos. El esfuerzo y la experiencia involucrados en ajustar y configurar las reglas y políticas del firewall para cada aplicação se pueden aprovechar y reutilizar en el proveedor de nube.

Con arquitecturas de gestión de acceso basadas en conocimiento total del usuario, dispositivo, entorno, aplicação y contexto de red, F5 permite la federación de identidad y el inicio de sesión único para el acceso a aplicação en todo el centro de datos y en la nube, al mismo tiempo que mantiene la seguridad de las aplicações y la integridad de los datos con acceso seguro y diferenciado basado en el contexto, protección contra malware basado en la Web y amenazas persistentes e inspecciones integrales de dispositivos terminales.

La seguridad consistente en todas las infraestructuras de TI y la protección continua son los factores más importantes para proteger los entornos de nube.

Los servicios avanzados de gestión de tráfico local de BIG-IP admiten el equilibrio de carga estático y dinámico para eliminar puntos únicos de falla, una amplia gama de protocolos más allá de HTTP/TCP (por ejemplo, HTTP2.0, SPDY, UDP) y una gran fluidez de aplicação . Como proxy de aplicação completo, la plataforma BIG-IP permite la conmutación de contenido para multiplexación para mitigar un número limitado de IP externas. También rastrea los niveles de rendimiento dinámico de los servidores de un grupo y proporciona monitoreo profundo de la salud y administración del estado de conexión.

Los servicios de optimización de entrega de aplicação BIG-IP pueden acelerar el tiempo de respuesta de sus aplicação , minimizar la latencia y las demoras y reducir la cantidad de viajes de ida y vuelta de datos necesarios para completar las solicitudes web desde dispositivos móviles.

La plataforma BIG-IP con DNS y servicios de equilibrio de carga de servidor global dirige a los usuarios al centro de datos en la nube más cercano según la mejor experiencia de la aplicação y políticas de recuperación ante desastres/conmutación por error que tienen en cuenta la proximidad del usuario, la geolocalización, las condiciones de la red y la disponibilidad de la aplicação . La plataforma emplea una gama de métodos de equilibrio de carga global y monitoreo inteligente específicos para cada aplicação y usuario. F5 también ofrece protección DNS DDoS, bloquea el acceso a IP maliciosas y protege las respuestas con DNSSEC. Lo mejor de todo es que las consultas DNS y las comprobaciones de estado no se facturan por uso, a diferencia de las prácticas de facturación de algunos proveedor de nube , que pueden resultar muy costosas durante un ataque DNS DDoS.

Operaciones como Cloud Burst pueden permitir a una empresa escalar sus recursos de aplicação según demanda y pagar temporalmente por los recursos utilizados durante estos picos ocasionales. Para acceder de manera efectiva a la nube se necesita la gestión del tráfico local BIG-IP, servicios de equilibrio de carga del servidor global y la orquestación de la nube BIG-IQ que brindan una serie de operaciones muy bien coordinadas que ocurren de manera automática y son transparentes para los usuarios finales:

• Cuando se alcanza un umbral preestablecido, se aprovisionarán recursos y se implementarán en la nube.
• Los nuevos recursos del servidor de aplicação se agregan automáticamente al grupo de recursos.
• Los usuarios son redirigidos a los recursos de la aplicação en la nube.
• Cuando las cargas de la aplicação caen por debajo del umbral preestablecido, los recursos de infraestructura en la nube se desaprovisionan y todas las conexiones se redirigen al centro de datos.

Las plantillas F5 iApps® permiten a las empresas implementar los servicios de entrega de aplicação necesarios para dar soporte a sus aplicações en minutos. Las plantillas iApps definen la configuración y las políticas de servicios como la gestión del tráfico, el cifrado, el firewall y la optimización del rendimiento para cada aplicação. iApps y el análisis en línea proporcionan control y visibilidad completos de sus aplicações para lograr consistencia y una mejor resolución de problemas.

Además, el lenguaje de scripting F5 iRules® (la interfaz de scripting de tráfico de F5) permite el análisis programático, la manipulación y la detección del tráfico de aplicação para permitir la personalización y la respuesta rápida a amenazas de día cero, condiciones de la red y requisitos comerciales. La portabilidad de iApps e iRules permite la movilidad de aplicação entre proveedores de nube.

La integración de las herramientas de gestión y la conectividad entre entornos públicos y privados crea una experiencia perfecta en ambos, brindando una extensión transparente al entorno del centro de datos y evitando silos de gestión.

La solución F5 proporciona capacidades de entrega de aplicação integradas y automatizadas al proveedor de nube, reduciendo rápidamente los tiempos de aprovisionamiento e implementación de servicios de redes de aplicação . Esto se logra mediante:

• Integración del centro de datos empresarial en herramientas de gestión de nube de terceros.
• Automatización del aprovisionamiento de servicios de entrega de aplicação .
• Orquestación que agiliza los tiempos de implementación.
• Extensibilidad y flexibilidad incomparable a través de la API REST.

BIG-IQ® es la plataforma de gestión y orquestación inteligente de F5 y proporciona un marco abierto y programable para gestionar soluciones BIG-IP físicas y virtuales en nubes privadas y públicas. BIG-IQ ayuda a las organizaciones a implementar y administrar servicios de aplicação y seguridad de manera rápida, consistente y repetible, independientemente de la infraestructura subyacente. Además, BIG-IQ se integra o interactúa con los principales motores de orquestación de la nube y proveedores de la nube a través de API REST y conectores de nube.

BIG-IQ proporciona gestión del ciclo de vida de iApps, lo que simplifica y automatiza rápidamente el aprovisionamiento de servicios de entrega de aplicação . La organización de TI puede definir un catálogo de servicios de distribución de aplicação disponibles, incluidas ofertas personalizadas o de varios niveles, entre las que los administradores y gerentes de aplicação pueden seleccionar rápidamente según sea necesario.

Las ediciones virtuales de BIG-IP están disponibles en paquetes Bueno-Mejor-Óptimo en modelos de facturación de servicios públicos (por hora, por día, por mes), suscripción anual, traiga su propia licencia (BYOL) y suscripción de licencias por volumen. Para cargas de trabajo de preproducción de prueba/desarrollo o casos de uso de escalabilidad y expansión de la nube temporal, F5 ofrece licencias de utilidad que brindan flexibilidad y uso a pedido (paga solo por lo que usa, después de usarlo).

Las suscripciones anuales son ideales para cargas de trabajo de producción que tienen tráfico estable. BYOL es ideal para entornos de nube híbrida donde desea llevar las licencias BIG-IP VE existentes desde sus centros de datos privados directamente a la nube pública. La oferta de VLS está diseñada para empresas que requieren grandes volúmenes de aplicação virtuales y servicios de seguridad. VLS ofrece precios con descuento para suscripciones de 1 y 3 años con soporte premium y actualizaciones de software incluidas.

La adopción de servicios de nube pública ha crecido exponencialmente en los últimos años. Muchas empresas emergentes de TI y algunas compañías de medios maduras incluso han implementado su totalidad en proveedores de nube IaaS públicos con un éxito significativo. A medida que las empresas emprenden planes para migrar aplicações más críticas a la nube, los beneficios comprobados de la entrega de aplicação mediante la plataforma BIG-IP se pueden trasladar fácilmente a las cargas de trabajo de aplicação en la nube. Al hacerlo, se abordarán muchos de los desafíos y preocupaciones que tienen los clientes empresariales con respecto a la adopción de la nube pública, incluida la seguridad consistente en todas las infraestructuras de aplicação .

La solución de migración a la nube de F5 aprovecha los servicios de aplicação BIG-IP y los productos BIG-IQ de F5 para brindar disponibilidad, rendimiento y seguridad de aplicação críticas, independientemente de la ubicación. Con modelos de licencias flexibles disponibles en los principales mercados de nube, las empresas pueden planificar, preparar e implementar estos servicios en la nube pública. F5 permite a las empresas y organizaciones realizar la transición segura de cargas de trabajo a entornos de nube única o múltiple, manteniendo al mismo tiempo la visibilidad, la seguridad y el control.