Un fournisseur de services allemand sécurise ses services réseau avec F5 et NGINX

SysEleven atteint une haute disponibilité, des performances, une sécurité et une évolutivité

Fondé en 2007, le fournisseur de services berlinois SysEleven GmbH emploie plus de 100 personnes et fournit des services cloud haut de gamme à certaines des plus grandes entreprises allemandes. Proposant des plateformes cloud entièrement virtualisées et robustes, SysEleven est membre de la Cloud Native Computing Foundation (CNCF) et fournisseur Kubernetes certifié depuis 2018.

SysEleven fournit une pile technologique verticale pour ses services, notamment des services cloud gérés, un cloud public OpenStack, Kubernetes-as-a-service ainsi que des services réseau et opérateurs sur demande, exclusivement dans des centres de données allemands. L’entreprise offre à ses clients bien plus qu’une simple capacité de serveur. Grâce à une approche large et adaptative, l'entreprise analyse les paramètres applicatifs de ses clients et trouve la solution optimale en termes de performances, de rentabilité et de stabilité.

« Notre objectif est d’être un acteur de premier plan dans le domaine de la continuité des applications et de l’adoption du cloud. Pour aider nos clients à gagner, nous distinguons notre entreprise de la plupart des fournisseurs de services gérés en proposant une intégration verticale de toutes les couches applicatives. Que le client ait besoin d'une plateforme cloud entièrement gérée, d'une infrastructure en tant que service, de Kubernetes en tant que service ou d'un accès Internet, il bénéficiera du plus haut niveau de qualité et d'une assistance personnalisée. Nos clients ont la liberté de choisir leur propre infrastructure, depuis nos propres plateformes cloud et Kubernetes jusqu'aux plateformes tierces comme AWS ou Azure.

Nous gérons actuellement environ 6 000 environnements virtuels pour nos clients. « En utilisant notre méthode NEO (Navigate – Educate – Operate), nous accompagnons nos clients pour le conseil et la conception de services, la formation des administrateurs et des développeurs, jusqu'aux services entièrement gérés », a déclaré Marc Korthaus, PDG de SysEleven GmbH.

SysEleven utilise les solutions de F5 Networks et NGINX pour offrir des services cloud polyvalents et robustes. Cela permet à l'entreprise berlinoise d'utiliser des services aussi bien pour ses propres applications que pour les applications client avec les meilleures fonctions possibles en matière d'équilibrage de charge et de sécurité.

Le défi

En tant que partenaire cloud et fournisseur de services gérés, une haute disponibilité et une stabilité sont essentielles pour être compétitif sur le marché. Le succès de ses clients repose sur la capacité de SysEleven à fournir un service cloud polyvalent et robuste.

« Nos clients sont convaincus que les nouvelles configurations seront opérationnelles rapidement et efficacement, avec des réglages précis, un dépannage et une maintenance rapides », explique Jens Plogsties, responsable de l'infrastructure. « Ils comptent sur la stabilité de nos services et sur notre support flexible. Nous offrons à chaque client une configuration unique et isolée avec un équilibreur de charge dédié. Cela ne peut être réalisé qu'avec des solutions puissantes et hautement évolutives.

Étant donné que les solutions de SysEleven prennent en charge les installations client jusqu'à 6 000 hôtes virtuels, elles doivent être hautement évolutives et adaptables pour garantir les normes de vitesse et de fiabilité les plus élevées tout en réduisant les interruptions de service au strict minimum.

L’un des défis auxquels l’entreprise est confrontée est de gérer les pics importants de trafic Web des clients qui résultent généralement de la publicité télévisée ou des newsletters. Les environnements cloud de SysEleven doivent être suffisamment robustes et flexibles pour gérer ces pics de trafic afin d'éviter toute panne pouvant entraîner une perte de revenus ou nuire à la réputation de leurs clients. 

La solution

Alors que les exigences des clients continuent de croître, SysEleven avait besoin de mettre à jour son infrastructure pour répondre à leurs besoins. La plate-forme open source NGINX d'origine a été améliorée avec NGINX Plus pour offrir davantage d'opportunités de service client et un meilleur contrôle sur les demandes entrantes dans l'environnement cloud. Cette solution est principalement utilisée dans les domaines de l'équilibrage de charge, de l'entrée Kubernetes, des conteneurs et de la sécurité. De plus, SysEleven utilise désormais les clusters F5 BIG-IP i5800 avec le module LTM (Local Traffic Manager) pour l'équilibrage de charge et ASM (Application Security Manager) comme pare-feu d'application Web pour les clients ayant des exigences de sécurité élevées pour les applications Web. SysEleven utilise certaines instances virtuelles F5 avec des pare-feu pour les tests et le développement. En outre, la société exploite de nombreux services internes et externes sur les contrôleurs de distribution d'applications F5.

Pour éviter les problèmes de service pour ses clients, SysEleven s'appuie sur une solution de passerelle d'équilibrage de charge avec F5 et NGINX pour recevoir le trafic entrant. La stabilité et la flexibilité qui accompagnent ce composant de l’infrastructure cloud ont permis au fournisseur de services de maintenir la confiance de ses clients et de développer régulièrement son activité au fil du temps.

« Nous utilisons avec succès NGINX et F5 depuis de nombreuses années maintenant », a déclaré Simon Pearce, Product Owner chez SysEleven. « NGINX joue un rôle majeur dans notre infrastructure. Nous utilisons le contrôleur d'entrée NGINX sur l'ensemble de notre plateforme cloud et notre service géré Kubernetes MetaKube. NGINX sert également d’équilibreur de charge et de proxy inverse dans de nombreux environnements virtuels. De plus, le module de sécurité des applications F5 (ASM) nous permet de sécuriser les applications des clients avec un ensemble de règles complet conçu sur mesure pour l'application spécifique. F5 est également utilisé pour toutes les configurations géo-redondantes qui nécessitent des performances élevées, une fonctionnalité de cryptage et une évolutivité. Avec un basculement transparent, le contrôleur de secours reprend le rôle actif sans aucune interruption. En cas de panne, les clients ne sont presque pas conscients du moment où les demandes sont transférées vers un autre appareil. Selon les besoins du client, nous utilisons soit NGINX, soit F5, soit les deux, en combinaison. « Disposer d'une solution d'équilibrage de charge fiable est essentiel pour nos clients et nos ingénieurs. »

F5 sert principalement d'équilibreur de charge pour les solutions et protocoles HTTP purs. Il s’agit toutefois des applications et services clients les plus importants et les plus critiques pour l’entreprise, qui nécessitent le plus haut niveau de fiabilité et de sécurité. Pour garantir ce niveau de service, SysEleven utilise le routage dynamique avec les clusters F5 ainsi que le Border Gateway Protocol (BGP) utilisé sur Internet. En mode actif, les ressources BGP peuvent être déplacées entre les clusters. Cela offre une flexibilité extrêmement élevée, car SysEleven utilise BGP pour toutes les solutions connectées au réseau.

« Par exemple, si un client est attaqué, nous pouvons lui fournir son propre nœud de cluster », explique Vincentz Petzholz, Teamload Network chez SysEleven. « D’une part, cela garantit qu’il n’y a pas de dommages collatéraux pour les autres clients car le trafic problématique est isolé. D’autre part, le client concerné dispose de performances considérablement plus importantes pour se défendre contre l’attaque, car il peut utiliser son propre matériel pendant une certaine période. « Je n'ai vu cette fonction qu'avec F5 jusqu'à présent. »

Chaque centre de données SysEleven dispose désormais d’au moins une paire de clusters F5 i5800. L'entreprise dispose de deux centres de données principaux et d'une douzaine de sites de réseau pur, qui gèrent normalement un trafic d'environ 100 Go - selon l'heure de la journée. Pour les incidents liés à la sécurité tels que les attaques DDoS, les nœuds F5 sont connectés au réseau avec 80 ou 160 Go. Cela offre aux clients de SysEleven une grande évolutivité en termes de performances.

L'entreprise peut acheminer n'importe quel trafic à presque n'importe quelle adresse IP vers les clusters F5. Cela s’applique également aux structures back-end qui ne doivent pas nécessairement se trouver derrière la topologie du réseau F5, mais peuvent être situées n’importe où dans le réseau. SysEleven peut à tout moment basculer dynamiquement vers les services des clusters F5 et également les transférer vers d'autres centres de données si nécessaire, car l'infrastructure est la même dans tous les centres de données. De plus, une adresse IP peut être utilisée sur plusieurs clusters situés à différents endroits simultanément avec équilibrage de charge (également appelé « Anycast »).

Les résultats

Haute disponibilité

Avec la combinaison des solutions actuelles F5 et NGINX, SysEleven offre à ses clients des exigences de performance élevées pour les services virtuels des clients et l'évolutivité nécessaire pour gérer les fortes fluctuations de trafic. De plus, il offre la plus grande disponibilité possible aux clients ayant une perte de revenus horaire élevée en cas de panne.

« L'utilisation parallèle des deux solutions d'équilibrage de charge a toujours eu un effet complémentaire pour nous », a déclaré Vincentz Petzholz. « Cela nous permet non seulement d'offrir des solutions optimales aux clients dans chaque catégorie de prix, mais également de combiner les avantages des deux solutions. Par exemple, nous positionnons partiellement les instances NGINX facilement automatisables pour la mise en cache derrière les puissants équilibreurs de charge F5. »

Sécurité renforcée

L’un des grands atouts de F5 est le haut niveau de sécurité offert par le Web Application Firewall (WAF).

« Seules quelques solutions peuvent s’appuyer sur un tel pool de signatures et de mécanismes », explique Petzholz. « De plus en plus de clients utilisent le pare-feu d'application Web en plus de LTM. Après tout, il existe un besoin croissant de contrôler le contenu qui circule via l’équilibreur de charge. La maturité du WAF est très élevée ; les administrateurs peuvent adapter la solution aux besoins individuels des clients, car une solution de sécurité de haute qualité telle qu'un pare-feu d'application Web nécessite naturellement beaucoup d'efforts d'ajustement. Cela facilite l'utilisation de F5. »

Fondation pour l'avenir

De plus, les fonctionnalités WAF de F5 seront intégrées à NGINX Security à l'avenir en raison de la récente acquisition de NGINX par F5. Les deux solutions seront développées de manière ciblée et continue. SysEleven prévoit également de tirer parti de l'intégration de F5 avec BGP.

« La solution F5 offre de nombreux autres avantages : « Cela inclut la gestion très simple avec laquelle les instances peuvent être déplacées dans les deux sens », a déclaré Jens Plogsties. « Les nœuds de cluster F5 peuvent être mis hors ligne pour des raisons de maintenance ou pour d'autres raisons, sans même que les utilisateurs ne le ressentent. F5 permet un déploiement extrêmement rapide car il n’y a pas de réseaux de couche 2 ni d’autres dépendances. De plus, nous pouvons simplement augmenter l'échelle de F5, en principe jusqu'à l'infini. Les performances dépassent celles de plusieurs serveurs standards. Ainsi, F5 est capable de gérer des charges qu’aucun autre système ne peut gérer.

Une intégration supplémentaire avec le service F5 Container Ingress (CIS) est en phase de test. Il s’agit d’intégrer de manière transparente les environnements existants dans la nouvelle infrastructure de conteneurs dynamique. La mise en œuvre avec SysEleven et F5 a laissé une impression positive ; les bonnes performances, la diversité du protocole (UDP) et une bonne connexion aux systèmes traditionnels nous ont convaincus. Une intégration simple par configuration par défaut et l'engagement de F5 envers OpenSource, ainsi que l'orientation stratégique vers les sujets DevOps, ainsi que le support des questions Kubernetes sont particulièrement remarquables. Ce portefeuille global de services applicatifs natifs de conteneurs (NGINX), centrés sur les centres de données (F5 BIG-IP), y compris les services à valeur ajoutée de sécurité, tels qu'un pare-feu d'application Web, nous permet de reconnaître une vision globale et ainsi d'envisager l'avenir de manière positive.

Défis
  • Prévenir les interruptions de service
  • Offrir des solutions flexibles
  • Capacité des clients à évoluer rapidement

Avantages
  • Environnement intégré qui exploite F5 et NGINX
  • Solution haute performance
  • Fonctionnalités de sécurité améliorées
Produits