ドイツのサービスプロバイダーが F5 と NGINX でネットワーク サービスを保護

SysElevenは高い可用性、パフォーマンス、セキュリティ、スケーラビリティを実現します

2007 年に設立されたベルリンを拠点とするサービス プロバイダーの SysEleven GmbH は、100 人以上の従業員を擁し、ドイツの大手企業の一部にプレミアム クラウド サービスを提供しています。 SysEleven は、完全に仮想化された堅牢なクラウド プラットフォームを提供しており、2018 年から Cloud Native Computing Foundation (CNCF) のメンバーであり、認定 Kubernetes プロバイダーとなっています。

SysEleven は、マネージド クラウド サービス、OpenStack パブリック クラウド、Kubernetes サービス、リクエストに応じたネットワーク サービス、キャリア サービスなど、ドイツのデータ センターでのみ、サービス用の垂直テクノロジ スタックを提供しています。 同社は顧客にサーバー容量以上のものを提供しています。 同社は、幅広く適応的なアプローチにより、顧客のアプリケーション設定を分析し、パフォーマンス、収益性、安定性のための最適なソリューションを見つけます。

「当社は、アプリケーションの継続性とクラウド導入の分野でトップクラスの企業になることを目指しています。 お客様の成功を支援するために、当社はすべてのアプリケーション レイヤーの垂直統合を提供することで、ほとんどのマネージド サービス プロバイダーとは一線を画しています。 顧客は、完全に管理されたクラウド プラットフォーム、IaaS (Infrastructure-as-a-Service)、Kubernetes-as-a-Service、またはインターネット アクセスのいずれを必要としていても、最高レベルの品質と個別のサポートを受けることができます。 お客様は、当社独自のクラウドや Kubernetes プラットフォームから、AWS や Azure などのサードパーティ プラットフォームまで、独自のインフラストラクチャを自由に選択できます。

現在、当社はお客様のために約 6,000 の仮想環境を管理しています。 「当社のNEO方式（ナビゲート、教育、運用）を活用し、サービスコンサルティングと設計、管理者と開発者のトレーニングから完全に管理されたサービスに至るまで、お客様をサポートします」とSysEleven GmbHのCEO、Marc Korthaus氏は語っています。

SysEleven は、F5 Networks と NGINX のソリューションを使用して、多用途で堅牢なクラウド サービスを提供しています。 これにより、ベルリンを拠点とする同社は、負荷分散とセキュリティのための最高の機能を備えたサービスを自社アプリケーションと顧客アプリケーションの両方で利用できるようになります。

課題

クラウド パートナーおよびマネージド サービス プロバイダーとして、市場で競争するには高可用性と安定性が不可欠です。 顧客の成功は、SysEleven が多用途で堅牢なクラウド サービスを提供できるかどうかにかかっています。

「当社の顧客は、タイムリーな微調整、トラブルシューティング、メンテナンスにより、新しいセットアップが迅速かつ効率的に稼働することを信頼しています」とインフラストラクチャ責任者の Jens Plogsties 氏は説明します。 「彼らは当社のサービスの安定性と柔軟なサポートを頼りにしています。 当社では、専用のロードバランサーを備えた独自の分離されたセットアップを各顧客に提供しています。 これは、強力で拡張性の高いソリューションによってのみ実現できます。」

SysEleven のソリューションは、最大 6,000 の仮想ホストの顧客インストールをサポートするため、サービスの中断を最小限に抑えながら最高水準の速度と信頼性を確保するために、高度なスケーラビリティと適応性を備えている必要があります。

同社が直面している課題の 1 つは、テレビやニュースレターの広告によって通常発生する顧客の Web トラフィックの急増を管理することです。 SysEleven のクラウド環境は、収益の損失や顧客の評判の失墜につながる可能性のある停止を回避するために、これらのトラフィックのピークに対応できるほど堅牢で柔軟である必要があります。 

解決策

顧客の要件が拡大し続けるにつれて、SysEleven は顧客のニーズを満たすためにインフラストラクチャを更新する必要がありました。 オリジナルのオープンソース NGINX プラットフォームは、NGINX Plus によって強化され、顧客サービスの機会が拡大し、クラウド環境への受信リクエストをより細かく制御できるようになりました。 このソリューションは、主に負荷分散、Kubernetes イングレス、コンテナ、セキュリティの分野で使用されます。 さらに、SysEleven では現在、Web アプリケーションに高いセキュリティ要件を持つ顧客向けに、負荷分散用の LTM (Local Traffic Manager) モジュールと Web アプリケーション ファイアウォールとしての ASM (Application Security Manager) を備えた F5 BIG-IP i5800 クラスタを使用しています。 SysEleven は、テストと開発のためにファイアウォールを備えた仮想 F5 インスタンスをいくつか使用します。 さらに、同社では F5 アプリケーション配信コントローラ上で多くの社内および社外サービスを運用しています。

SysEleven は、顧客へのサービスの問題を防ぐために、F5 と NGINX を使用した負荷分散ゲートウェイ ソリューションを活用して着信トラフィックを受信します。 クラウド インフラストラクチャのこのコンポーネントに伴う安定性と柔軟性により、サービス プロバイダーは顧客の信頼を維持し、時間の経過とともにビジネスを着実に成長させることができました。

「当社は長年にわたり、NGINX と F5 をうまく活用してきました」と、SysEleven のプロダクト オーナーである Simon Pearce 氏は述べています。 「NGINX は当社のインフラストラクチャで重要な役割を果たしています。 当社では、クラウド プラットフォーム全体と Kubernetes マネージド サービス MetaKube で NGINX Ingress Controller を使用しています。 NGINX は、多くの仮想環境でロード バランサやリバース プロキシとしても機能します。 さらに、F5 アプリケーション セキュリティ モジュール (ASM) を使用すると、特定のアプリケーションに合わせてカスタマイズされた包括的なルールセットを使用して、顧客のアプリケーションを保護できます。 F5 は、高いパフォーマンス、暗号化機能、およびスケーラビリティを必要とするすべての地理的冗長設定にも使用されます。 シームレスなフェイルオーバーにより、スタンバイ コントローラーが中断することなくアクティブな役割を引き継ぎます。 障害が発生した場合、顧客はリクエストが別のアプライアンスに転送されることをほとんど認識しません。 お客様のニーズに応じて、NGINX または F5 のいずれか、あるいは両方を組み合わせて使用します。 信頼性の高い負荷分散ソリューションを持つことは、当社の顧客とエンジニアにとって重要です。」

F5 は主に、純粋な HTTP ソリューションおよびプロトコルのロード バランサとして機能します。 ただし、これらは、最高レベルの信頼性とセキュリティを必要とする、最も重要かつビジネスクリティカルな顧客アプリケーションとサービスを構成します。 このレベルのサービスを保証するために、SysEleven は、インターネットで使用される Border Gateway Protocol (BGP) だけでなく、F5 クラスターによる動的ルーティングも使用します。 アクティブ モードでは、BGP リソースをクラスター間で移動できます。 SysEleven はネットワークに接続されたすべてのソリューションに BGP を使用するため、非常に高い柔軟性が実現します。

「たとえば、顧客が攻撃を受けた場合、当社は顧客に独自のクラスタ ノードを提供することができます」と、SysEleven の Teamload Network 担当 Vincentz Petzholz 氏は述べています。 「一方で、問題のあるトラフィックが隔離されるため、他の顧客に巻き添え被害が及ばないことが保証されます。 一方、影響を受ける顧客は、一定期間、独自のハードウェアを使用できるため、攻撃に対する防御に利用できるパフォーマンスが大幅に向上します。 これまでのところ、この機能は F5 キーでのみ使用できました。」

現在、すべての SysEleven データ センターには少なくとも 1 つの F5 i5800 クラスター ペアがあります。 同社には 2 つのメイン データ センターと約 12 の純粋なネットワーク サイトがあり、時間帯に応じて通常は約 100 GB のトラフィックを処理します。 DDoS 攻撃などのセキュリティ関連のインシデントの場合、F5 ノードは 80 GB または 160 GB でネットワークに接続されます。 これにより、SysEleven の顧客はパフォーマンスの面で大きなスケーラビリティを実現できます。

同社は、ほぼすべての IP アドレスのトラフィックを F5 クラスターにルーティングできます。 これは、F5 ネットワーク トポロジの背後に配置する必要はなく、ネットワーク内の任意の場所に配置できるバックエンド構造にも適用されます。 SysEleven は、インフラストラクチャがすべてのデータ センターで同じであるため、いつでもサービスを F5 クラスターに動的に切り替えることができ、必要に応じて他のデータ センターに転送することもできます。 さらに、負荷分散（「エニーキャスト」とも呼ばれます）により、IP アドレスを異なる場所にある複数のクラスターで同時に使用することもできます。

結果

高可用性

SysEleven は、現在の F5 と NGINX ソリューションを組み合わせることで、顧客の仮想サービスに対する高いパフォーマンス要件と、高いトラフィック変動を管理するためのスケーラビリティを顧客に提供します。 さらに、故障が発生した場合に時間当たりの収益損失が大きい顧客に対して、最大限の可用性を提供します。

「両方のロード バランサ ソリューションを並行して使用することで、当社にとって常に相補的な効果が得られました」と Vincentz Petzholz 氏は述べています。 「これにより、あらゆる価格帯のお客様に最適なソリューションを提供できるだけでなく、両方のソリューションの利点を組み合わせることも可能になります。 たとえば、簡単に自動化できる NGINX インスタンスを、強力な F5 ロード バランサーの背後にキャッシュ用に部分的に配置します。」

セキュリティの強化

F5 の大きな強みは、Web アプリケーション ファイアウォール (WAF) によって提供される高度なセキュリティです。

「これほど大規模な署名とメカニズムのプールを活用できるソリューションはわずかしかない」とペッツホルツ氏は説明した。 「LTM に加えて Web アプリケーション ファイアウォールを使用する顧客が増えています。 結局のところ、ロードバランサーを通過するコンテンツを制御する必要性が高まっています。 WAF の成熟度は非常に高く、Web アプリケーション ファイアウォールなどの高品質のセキュリティ ソリューションには当然多くの調整作業が必要になるため、管理者は顧客の個々のニーズに合わせてソリューションをカスタマイズできます。 これにより、F5 を活用しやすくなります。」

未来のための基盤

さらに、最近 F5 が NGINX を買収したため、将来的には F5 の WAF 機能が NGINX Security に統合される予定です。 どちらのソリューションも、対象を絞って継続的に開発されていきます。 SysEleven は、F5 と BGP の統合も活用する予定です。

「F5 ソリューションには、他にも数多くの利点があります。 これには、インスタンスを前後に移動できる非常にシンプルな管理が含まれます」と Jens Plogsties 氏は述べています。 「F5 Clusternodes は、メンテナンスやその他の理由により、ユーザーが気付かないうちにオフラインになることがあります。 F5 では、レイヤー 2 ネットワークやその他の依存関係がないため、非常に高速な展開が可能になります。 さらに、原理的には F5 を単純に無限大までアップスケールすることができます。 パフォーマンスは、通常の市販サーバー数台分を上回ります。 そのため、F5 は他のシステムでは処理できない負荷を処理できます。

F5 Container Ingress Service (CIS) とのさらなる統合はテスト段階にあります。 これは、既存の環境を新しい動的なコンテナ インフラストラクチャにシームレスに統合することです。 SysEleven と F5 を使用した実装は好印象を残しました。優れたパフォーマンス、プロトコルの多様性 (UDP)、従来のシステムとの良好な接続が私たちを納得させました。 デフォルトの構成によるシンプルな統合、F5 のオープンソースへの取り組み、DevOps トピックへの戦略的方向性、Kubernetes に関する質問のサポートは特に注目に値します。 コンテナ ネイティブ (NGINX)、データ センター中心 (F5 BIG-IP) アプリケーション サービス、Web アプリケーション ファイアウォールなどのセキュリティ付加価値サービスを含むこの総合的なポートフォリオにより、全体的なビジョンを認識し、将来を前向きに見据えることができます。」