Migration des charges de travail des application vers le cloud public

Les entreprises et organisations de tous les secteurs et industries migrent ou déploient de nouvelles applications vers des fournisseurs de cloud public IaaS pour obtenir une plus grande agilité, une mise sur le marché plus rapide et des modèles de paiement des services publics flexibles. Que ces applications génèrent des revenus ou soient des applications commerciales critiques, elles doivent garantir la même expérience utilisateur exceptionnelle, notamment en termes de disponibilité, de performances et de sécurité des services associés. Cependant, certains défis doivent être relevés, notamment la détermination des charges de travail adaptées au cloud en raison de la conception inhérente des centres de données cloud, des capacités de fourniture application et de sécurité de chaque fournisseur de cloud, ainsi que du manque général de visibilité et de contrôle.

Ces défis peuvent conduire à des implémentations cloud personnalisées lentes et coûteuses, empêcher le choix et la mobilité des fournisseurs de cloud et augmenter le risque de vulnérabilités de sécurité. Cet article passera en revue les considérations clés et les inhibiteurs connus pour la migration réussie des applications vers le cloud public, et comment le déploiement des services application et de sécurité F5® BIG-IP®, disponibles avec des modèles de licence flexibles chez les principaux fournisseurs de cloud IaaS, constitue un élément essentiel de ce succès.

Même si nous reconnaissons tous les avantages du cloud public, il existe des différences significatives entre la manière dont une application s’exécute dans un centre de données de fournisseur IaaS public conçu pour plusieurs locataires et la manière dont elle s’exécute dans le centre de données de votre entreprise privée. Le fournisseur de cloud public aura conçu ses centres de données et ses réseaux dans un souci d’évolutivité massive, en utilisant la virtualisation, la banalisation et la standardisation pour réduire les coûts. Le niveau de contrôle du réseau est différent, l'accès aux fonctionnalités L2 (par exemple, multidiffusion, balisage VLAN 802.1q, etc.) sera limité et vous ne pourrez obtenir qu'une seule adresse IP publique pour chaque application. L'ajout de capacité de calcul se fait en faisant évoluer de nombreuses petites instances plutôt qu'en augmentant la capacité via du matériel dédié hautes performances, ce qui a un impact direct sur le maintien de l'état d'un élément ou d'un nœud particulier.

Bien que l’objectif idéal soit de « soulever et déplacer » vers le cloud public, certaines applications peuvent ne pas pouvoir être déplacées sans modifications de conception ou sans être entièrement réarchitecturées. Déterminer quelles applications migrer vers le cloud public et quels changements sont nécessaires est essentiel. Les questions et critères pour décider quelles applications déplacer devraient inclure :

• L' application est-elle déjà virtualisée et peut-elle fonctionner sur l'infrastructure du fournisseur de cloud ?
• Le fournisseur de cloud respecte-t-il vos politiques strictes de protection des données ?
• Quel niveau d'accord de niveau de service est requis pour votre application? Quel type de garantie de disponibilité ou de capacités de haute disponibilité le fournisseur de cloud offre-t-il ?
• Quelles sont vos exigences en matière de réseau et de gestion ? Peuvent-ils être dupliqués dans l’environnement cloud ?

Chaque application nécessite des services d'application et de sécurité, quel que soit l'emplacement. Les outils et services de chaque fournisseur de cloud en matière de disponibilité, de performances et de sécurité diffèrent en termes de capacités et de gestion, et peuvent entraîner des coûts supplémentaires qui doivent être pris en compte. L’apprentissage et la configuration de ces nouveaux services en fonction de vos besoins nécessiteront du temps, des tests et de la formation. Cela peut générer des coûts de changement prohibitifs lors de l'utilisation d'une stratégie à plusieurs fournisseurs de cloud, ce qui entraîne un verrouillage du fournisseur de cloud. Plus important encore, en fonction des exigences spécifiques de votre application , elles peuvent ne pas être adéquates ni offrir les mêmes capacités que celles que vous utilisez aujourd'hui. Cela peut limiter la flexibilité des entreprises dans le choix des fournisseurs de cloud et augmenter le risque et la complexité de la migration vers le cloud. Il y a trois défis principaux :

90 % des organisations ont des problèmes de sécurité

S’assurer que les applications sont sécurisées dans le cloud public est la principale préoccupation de la plupart des organisations. Il est essentiel de se protéger contre les menaces de sécurité sophistiquées et mixtes de niveau 3 à 7, où plusieurs types d’attaques DDoS volumétriques sont combinées à des attaques de couche applicative (OWASP Top Ten, scripts intersites, injection SQL, etc.). Un autre élément à prendre en compte est l’incohérence des politiques d’accès et de sécurité des application lors de l’utilisation des outils de sécurité de base du fournisseur de cloud. Cela peut augmenter les surfaces d’attaque et exposer les vulnérabilités liées à l’approvisionnement et au déprovisionnement de l’accès pour les utilisateurs, en particulier les mauvais acteurs. Les organisations doivent pouvoir reproduire et appliquer des politiques de sécurité cohérentes et éprouvées ainsi qu’un accès à l’ensemble du centre de données privé et du cloud.

La gestion avancée du trafic au-delà de l'équilibrage de charge de base est généralement déployée pour les applications critiques et les applications d'entreprise majeures. Bien que les fournisseurs de cloud puissent proposer des services d'équilibrage de charge de base, vous devez déterminer quel protocole de prise en charge au-delà de HTTP/HTTPS et TCP sera nécessaire. Les contrôles de santé de base et les algorithmes d’équilibrage de charge basés sur le hachage et le round robin sont-ils suffisants ? La manipulation des données application est souvent nécessaire, ce qui nécessite des fonctions proxy L7 complètes, telles que l'inspection/réécriture d'URL.

Comment le fournisseur de cloud gère-t-il la disponibilité et la résilience de son infrastructure ? Les objectifs de disponibilité de l'infrastructure typiques sont de 99,95 % pour les plus grands fournisseurs, ce qui peut être inférieur à ce dont vous avez besoin. Plus important encore, il est essentiel de comprendre les risques et de trouver des moyens d’atténuer les effets d’une panne. Certains fournisseurs disposent de centres de données redondants et d’emplacements dans plusieurs régions géographiques pour maintenir la disponibilité face à des modes de défaillance majeurs, tels que les catastrophes naturelles. L'exploitation de la redondance nécessite une planification minutieuse qui prend en compte les détails d'implémentation spécifiques, la latence et les temps de basculement/récupération.

L’expérience et la productivité de l’utilisateur final continueront d’être vitales et dépendent des performances de l’ application une fois dans le cloud. Le centre de données peut être plus éloigné de vos utilisateurs, ce qui signifie une latence accrue entre l'utilisateur final et application, ce qui a un impact sur les performances. Certaines des méthodes généralement utilisées, telles que la mise en cache, la compression et les optimisations TCP, peuvent ne pas être disponibles. Une autre exigence est de veiller à ce que les utilisateurs soient dirigés vers l’emplacement le plus proche.

L’une des principales raisons d’opter pour un cloud public est d’obtenir une allocation flexible et à la demande des ressources pour répondre aux pics de demande (planifiés et non planifiés) en fonction de seuils prédéfinis. Les applications pour lesquelles on peut s’attendre à une augmentation temporaire de la capacité ou à une demande très variable peuvent être de meilleures candidates pour une migration temporaire vers un fournisseur de cloud public.

Les services et politiques application et de sécurité qui ne suivent pas les applications du centre de données vers le cloud nécessiteront des implémentations personnalisées pour chaque fournisseur de cloud. Les organisations ont besoin d’un aperçu des performances des application , de la sécurité et de l’accès des utilisateurs aux application pour déterminer quand les charges de travail doivent être déplacées d’un emplacement à un autre. Cela nécessite une visibilité sur les interactions des utilisateurs avec les applications et sur l’expérience utilisateur sur toutes les infrastructures de déploiement. La prolifération, la variabilité et la complexité des politiques par application et par fournisseur, combinées à un manque de visibilité cohérente, peuvent entraîner une augmentation des dépenses d'exploitation, une réduction de la vitesse de service et une dégradation de l'expérience client.

Les éditions virtuelles (VE) de F5 BIG-IP offrent une large gamme de services application et de réseau intelligents, allant de l'accélération, de l'optimisation et de la gestion intelligente du trafic (local et global), au DNS, à l'accès avancé aux application et à la sécurité du réseau. Ces services peuvent être entièrement intégrés dans la pile application et configurés automatiquement. En tant que leader du marché des contrôleurs de distribution application (ADC) matériels et virtuels, ces services sont probablement déjà déployés dans votre centre de données et sont désormais disponibles auprès des principaux fournisseurs de cloud via le programme de licences cloud de F5.

Les VE BIG-IP fournissent des services de sécurité L3-7 intelligents et complets qui protègent les applications cloud sans sacrifier le contrôle, la flexibilité et la visibilité. Ces services complètent ce que propose chaque fournisseur de cloud et offrent des défenses approfondies contre l'ensemble des vecteurs DDoS, les menaces zero-day, les attaques application Web multicouches, le vol de données et les fuites. L’effort et l’expertise impliqués dans le réglage et la configuration des règles et politiques de pare-feu pour chaque application peuvent être exploités et réutilisés dans le fournisseur de cloud.

Avec des architectures de gestion des accès basées sur une connaissance complète du contexte des utilisateurs, des appareils, de l'environnement, des application et du réseau, F5 permet la fédération d'identités et l'authentification unique pour l'accès aux application dans l'ensemble du centre de données et dans le cloud, tout en maintenant la sécurité des applications et l'intégrité des données avec un accès sécurisé et différencié basé sur le contexte, une protection contre les logiciels malveillants basés sur le Web et les menaces persistantes, ainsi que des inspections complètes des terminaux.

Une sécurité cohérente sur les infrastructures informatiques et une protection continue sont les facteurs les plus importants pour la protection des environnements cloud.

Les services avancés de gestion du trafic local BIG-IP prennent en charge l'équilibrage de charge statique et dynamique pour éliminer les points de défaillance uniques, une large gamme de protocoles au-delà de HTTP/TCP (par exemple, HTTP2.0, SPDY, UDP) et une maîtrise approfondie des application . En tant que proxy application complet, la plate-forme BIG-IP permet la commutation de contenu pour le multiplexage afin d'atténuer un nombre limité d'adresses IP externes. Il suit également les niveaux de performance dynamiques des serveurs d'un groupe et fournit une surveillance approfondie de l'état de santé et une gestion de l'état de connexion.

Les services d’optimisation de la distribution des application BIG-IP peuvent accélérer le temps de réponse de votre application , minimiser la latence et les retards et réduire le nombre d’allers-retours de données nécessaires pour répondre aux requêtes Web à partir d’appareils mobiles.

La plate-forme BIG-IP avec DNS et services d'équilibrage de charge du serveur mondial dirige les utilisateurs vers le centre de données cloud le plus proche en fonction de la meilleure expérience application et des politiques de reprise après sinistre/basculement prenant en compte la proximité de l'utilisateur, la géolocalisation, les conditions du réseau et la disponibilité des application . La plateforme utilise une gamme de méthodes d’équilibrage de charge globales et une surveillance intelligente spécifique à chaque application et à chaque utilisateur. F5 fournit également une protection DNS DDoS, bloque l'accès aux adresses IP malveillantes et sécurise les réponses avec DNSSEC. Mieux encore, les requêtes DNS et les contrôles d'intégrité ne sont pas facturés à l'utilisation, contrairement à certaines pratiques de facturation des fournisseur de cloud , qui peuvent s'avérer très coûteuses lors d'une attaque DNS DDoS.

Des opérations telles que le cloud bursting peuvent permettre à une entreprise de faire évoluer ses ressources application à la demande et de payer temporairement les ressources utilisées lors de ces pics occasionnels. Pour passer efficacement au cloud, il faut une gestion du trafic local BIG-IP, des services d'équilibrage de la charge du serveur mondial et une orchestration cloud BIG-IQ qui fournissent un certain nombre d'opérations très étroitement chorégraphiées se produisant automatiquement et de manière transparente pour les utilisateurs finaux :

• Lorsqu'un seuil prédéfini est atteint, les ressources seront provisionnées et déployées dans le cloud.
• Les nouvelles ressources du serveur application sont automatiquement ajoutées au pool de ressources.
• Les utilisateurs sont redirigés vers les ressources de application dans le cloud.
• Lorsque les charges application tombent en dessous du seuil prédéfini, les ressources de l'infrastructure cloud sont déprovisionnées et toutes les connexions sont redirigées vers le centre de données.

Les modèles F5 iApps® permettent aux entreprises de déployer les services de distribution application nécessaires pour prendre en charge leurs applications en quelques minutes. Les modèles iApps définissent la configuration et les politiques des services tels que la gestion du trafic, le chiffrement, le pare-feu et l'optimisation des performances pour chaque application. Les iApps et les analyses en ligne offrent un contrôle et une visibilité complets sur vos applications pour plus de cohérence et un meilleur dépannage.

De plus, le langage de script F5 iRules® (l'interface de script de trafic de F5) permet l'analyse programmatique, la manipulation et la détection du trafic des application pour permettre la personnalisation et la réponse rapide aux menaces zero-day, aux conditions du réseau et aux exigences de l'entreprise. La portabilité des iApps et des iRules permet la mobilité des application entre les fournisseurs de cloud.

L’intégration des outils de gestion et de la connectivité entre les environnements publics et privés crée une expérience transparente entre les deux, offrant une extension transparente à l’environnement du centre de données et évitant les silos de gestion.

La solution F5 fournit des capacités de distribution application intégrées et automatisées au fournisseur de cloud, réduisant rapidement les temps de provisionnement et de déploiement des services de mise en réseau application . Elle y parvient grâce à :

• Intégration du centre de données d’entreprise dans des outils de gestion cloud tiers.
• Automatisation de la fourniture de services de distribution application .
• Une orchestration qui accélère les délais de déploiement.
• Extensibilité et flexibilité inégalées via l'API REST.

BIG-IQ® est la plate-forme de gestion et d'orchestration intelligente de F5 et fournit un cadre ouvert et programmable pour gérer les solutions BIG-IP physiques et virtuelles dans les clouds privés et publics. BIG-IQ aide les organisations à déployer et à gérer les services application et de sécurité de manière rapide, cohérente et reproductible, quelle que soit l'infrastructure sous-jacente. De plus, BIG-IQ s'intègre ou s'interface avec les principaux moteurs d'orchestration cloud et fournisseurs de cloud via des API REST et des connecteurs cloud.

BIG-IQ fournit une gestion du cycle de vie des iApps, ce qui simplifie et automatise rapidement la fourniture de services de distribution application . L'organisation informatique peut définir un catalogue de services de distribution application disponibles, y compris des offres personnalisées ou à plusieurs niveaux, parmi lesquelles les administrateurs et les gestionnaires application peuvent rapidement sélectionner selon les besoins.

Les éditions virtuelles BIG-IP sont disponibles dans des packs Good-Better-Best dans les modèles de facturation des services publics (horaire, quotidien, mensuel), d'abonnement annuel, d'apportez votre propre licence (BYOL) et d'abonnement aux licences en volume. Pour les charges de travail de pré-production de test/développement ou les cas d'utilisation temporaires de cloud bursting et d'évolutivité, F5 propose des licences utilitaires qui offrent flexibilité et utilisation à la demande (payez uniquement pour ce que vous utilisez, après l'avoir utilisé).

Les abonnements annuels sont idéaux pour les charges de travail de production qui ont un trafic stable. BYOL est idéal pour les environnements de cloud hybride où vous souhaitez transférer les licences BIG-IP VE existantes de vos centres de données privés directement vers le cloud public. L'offre VLS est conçue pour les entreprises qui ont besoin de grands volumes de services application et de sécurité virtuels. VLS propose des tarifs réduits pour les abonnements de 1 et 3 ans avec support premium et mises à jour logicielles incluses.

L’adoption des services de cloud public a connu une croissance exponentielle au cours des dernières années. De nombreuses startups informatiques et certaines sociétés de médias matures ont même déployé entièrement leurs activités auprès des fournisseurs de cloud IaaS publics avec un succès significatif. Alors que les entreprises envisagent de migrer davantage applications critiques vers le cloud, les avantages éprouvés de la distribution application à l’aide de la plateforme BIG-IP peuvent facilement être transférés vers les charges de travail des application cloud. Cela permettra de répondre à de nombreux défis et préoccupations des entreprises clientes concernant l’adoption du cloud public, notamment en matière de sécurité cohérente sur toutes les infrastructures application .

La solution de migration cloud F5 s'appuie sur les services application BIG-IP et les produits BIG-IQ de F5 pour offrir une disponibilité, des performances et une sécurité des application critiques, quel que soit l'emplacement. Grâce aux modèles de licence flexibles disponibles sur les principaux marchés du cloud, les entreprises peuvent planifier, organiser et déployer ces services sur le cloud public. F5 permet aux entreprises et aux organisations de transférer en toute confiance leurs charges de travail vers des environnements mono ou multicloud tout en maintenant la visibilité, la sécurité et le contrôle.