Provedor de serviços alemão protege serviços de rede com F5 e NGINX

SysEleven alcança alta disponibilidade, desempenho, segurança e escalabilidade

Fundada em 2007, a provedora de serviços SysEleven GmbH, sediada em Berlim, emprega mais de 100 pessoas e fornece serviços de nuvem premium para algumas das maiores empresas da Alemanha. Oferecendo plataformas de nuvem totalmente virtualizadas e robustas, a SysEleven é membro da Cloud Native Computing Foundation (CNCF) e uma provedora certificada de Kubernetes desde 2018.

A SysEleven fornece um conjunto de tecnologia vertical para seus serviços, incluindo serviços de nuvem gerenciados, uma nuvem pública OpenStack, Kubernetes como serviço, bem como serviços de rede e operadora mediante solicitação, exclusivamente em data centers alemães. A empresa oferece aos seus clientes mais do que apenas capacidade de servidor. Com uma abordagem ampla e adaptável, a empresa analisa as configurações de aplicação de seus clientes e encontra a solução ideal para desempenho, lucratividade e estabilidade.

"Nosso objetivo é ser um player de primeira linha no campo de continuidade de aplicativos e adoção de nuvem. Para ajudar nossos clientes a vencer, diferenciamos nossa empresa da maioria dos provedores de serviços gerenciados ao fornecer uma integração vertical de todas as camadas de aplicativos. Não importa se o cliente precisa de uma plataforma de nuvem totalmente gerenciada, infraestrutura como serviço, Kubernetes como serviço ou acesso à Internet, ele receberá o mais alto nível de qualidade e suporte personalizado. Nossos clientes têm a liberdade de escolher sua própria infraestrutura, desde nossas próprias plataformas de nuvem e Kubernetes até plataformas de terceiros como AWS ou Azure.

Atualmente, gerenciamos cerca de 6.000 ambientes virtuais para nossos clientes. Utilizando nosso método NEO (Navegar – Educar – Operar), apoiamos nossos clientes em consultoria e design de serviços, treinamento de administradores e desenvolvedores, até serviços totalmente gerenciados", disse Marc Korthaus, CEO da SysEleven GmbH.

A SysEleven usa soluções da F5 Networks e NGINX para oferecer serviços de nuvem versáteis e robustos. Isso permite que a empresa sediada em Berlim use serviços tanto para seus próprios aplicativos quanto para aplicativos de clientes com as melhores funções possíveis para balanceamento de carga e segurança.

O Desafio

Como parceiro de nuvem e provedor de serviços gerenciados, alta disponibilidade e estabilidade são cruciais para competir no mercado. O sucesso de seus clientes depende da capacidade da SysEleven de fornecer um serviço de nuvem versátil e robusto.

"Nossos clientes confiam que as novas configurações estarão prontas e funcionando de forma rápida e eficiente, com ajustes finos, solução de problemas e manutenção em tempo hábil", explica Jens Plogsties, chefe de infraestrutura. "Eles confiam na estabilidade dos nossos serviços e no nosso suporte flexível. Oferecemos a cada cliente uma configuração única e isolada com um balanceador de carga dedicado. Isso só pode ser alcançado com soluções poderosas e altamente escaláveis."

Como as soluções da SysEleven oferecem suporte a instalações de clientes de até 6.000 hosts virtuais, elas devem ser altamente escaláveis e adaptáveis para garantir os mais altos padrões de velocidade e confiabilidade, mantendo quaisquer interrupções de serviço em um mínimo absoluto.

Um dos desafios que a empresa enfrenta é gerenciar grandes picos de tráfego de clientes na web, que normalmente resultam de publicidade na TV ou em boletins informativos. Os ambientes de nuvem da SysEleven devem ser robustos e flexíveis o suficiente para lidar com esses picos de tráfego para evitar quaisquer interrupções que possam resultar em perda de receita ou danos à reputação de seus clientes. 

A solução

À medida que as necessidades dos clientes continuam crescendo, a SysEleven precisava atualizar sua infraestrutura para atender às suas necessidades. A plataforma NGINX original de código aberto foi aprimorada com o NGINX Plus para fornecer mais oportunidades de atendimento ao cliente e maior controle sobre solicitações recebidas no ambiente de nuvem. Esta solução é usada principalmente nas áreas de balanceamento de carga, entrada no Kubernetes, contêineres e segurança. Além disso, a SysEleven agora usa clusters F5 BIG-IP i5800 com o módulo LTM (Local Traffic Manager) para balanceamento de carga e ASM (Application Security Manager) como um firewall de aplicativo web para clientes com altos requisitos de segurança para aplicativos web. O SysEleven usa algumas instâncias virtuais F5 com firewalls para testes e desenvolvimento. Além disso, a empresa opera muitos serviços internos e externos nos Controladores de Entrega de Aplicativos F5.

Para evitar problemas de serviço para seus clientes, a SysEleven utiliza uma solução de gateway de balanceamento de carga com F5 e NGINX para receber o tráfego de entrada. A estabilidade e a flexibilidade que acompanham esse componente da infraestrutura de nuvem permitiram que o provedor de serviços mantivesse a confiança de seus clientes e expandisse o negócio de forma constante ao longo do tempo.

"Usamos com sucesso o NGINX e o F5 há muitos anos", disse Simon Pearce, proprietário de produto da SysEleven. "O NGINX desempenha um papel importante em nossa infraestrutura. Usamos o NGINX Ingress Controller em toda a nossa plataforma de nuvem e em nosso serviço gerenciado Kubernetes, MetaKube. O NGINX também serve como balanceador de carga e proxy reverso em muitos ambientes virtuais. Além disso, o módulo de segurança de aplicativos (ASM) F5 nos permite proteger os aplicativos dos clientes com um conjunto de regras abrangente, feito sob medida para o aplicativo específico. O F5 também é usado para todas as configurações georredundantes que exigem alto desempenho, funcionalidade de criptografia e escalabilidade. Com um failover contínuo, o controlador em espera assume a função ativa sem nenhuma interrupção. Em caso de falha, os clientes quase não percebem quando as solicitações são transferidas para outro dispositivo. Dependendo das necessidades do cliente, usamos NGINX ou F5, ou ambos, em combinação. Ter uma solução de balanceamento de carga confiável é fundamental para nossos clientes e engenheiros."

O F5 serve principalmente como um balanceador de carga para soluções e protocolos HTTP puros. No entanto, eles constituem os aplicativos e serviços de clientes mais importantes e essenciais para os negócios, que exigem o mais alto nível de confiabilidade e segurança. Para garantir esse nível de serviço, a SysEleven utiliza roteamento dinâmico com clusters F5, bem como o Border Gateway Protocol (BGP) usado na Internet. No modo ativo, os recursos BGP podem ser movidos entre os clusters. Isso oferece flexibilidade extremamente alta, pois o SysEleven usa BGP para todas as soluções conectadas à rede.

"Por exemplo, se um cliente for atacado, podemos fornecer a ele seu próprio nó de cluster", diz Vincentz Petzholz, Teamload Network da SysEleven. "Por um lado, isso garante que não haja danos colaterais para outros clientes porque o tráfego problemático é isolado. Por outro lado, o cliente afetado tem consideravelmente mais desempenho à disposição para se defender do ataque, pois pode usar seu próprio hardware por um determinado período de tempo. Até agora só vi essa função com F5."

Cada data center SysEleven agora tem pelo menos um par de clusters F5 i5800. A empresa tem dois data centers principais e cerca de uma dúzia de sites de rede pura, que normalmente lidam com tráfego de cerca de 100 GB, dependendo da hora do dia. Para incidentes relevantes para a segurança, como ataques DDoS, os nós F5 são conectados à rede com 80 ou 160 GB. Isso proporciona aos clientes da SysEleven uma grande escalabilidade em termos de desempenho.

A empresa pode rotear qualquer tráfego em quase qualquer endereço IP para os clusters F5. Isso também se aplica a estruturas de backend que não precisam ficar atrás da topologia de rede F5, mas podem estar localizadas em qualquer lugar da rede. O SysEleven pode alternar dinamicamente os serviços para os clusters F5 a qualquer momento e também encaminhá-los para outros data centers, se necessário, já que a infraestrutura é a mesma em todos os data centers. Além disso, um endereço IP pode ser usado em vários clusters em diferentes locais simultaneamente com balanceamento de carga (também conhecido como “Anycast”).

Os resultados

Alta disponibilidade

Com a combinação das soluções atuais F5 e NGINX, a SysEleven oferece aos seus clientes requisitos de alto desempenho para serviços virtuais do cliente e escalabilidade para gerenciar altas flutuações de tráfego. Além disso, oferece a maior disponibilidade possível para clientes com alta perda de receita por hora em caso de avaria.

"O uso paralelo de ambas as soluções de balanceamento de carga sempre teve um efeito complementar para nós", disse Vincentz Petzholz. "Isso nos permite não apenas oferecer soluções ideais para clientes em todas as categorias de preço, mas também nos permite combinar as vantagens de ambas as soluções. Por exemplo, posicionamos parcialmente as instâncias NGINX facilmente automatizadas para armazenamento em cache atrás dos poderosos balanceadores de carga F5."

Segurança aumentada

Um grande ponto forte do F5 é o alto nível de segurança fornecido pelo Web Application Firewall (WAF).

"Apenas algumas soluções conseguem aproveitar um conjunto tão grande de assinaturas e mecanismos", explicou Petzholz. "Cada vez mais clientes estão usando o Web Application Firewall além do LTM. Afinal, há uma necessidade crescente de controlar qual conteúdo flui pelo balanceador de carga. A maturidade do WAF é muito alta; os administradores podem adaptar a solução às necessidades individuais dos clientes, porque uma solução de segurança de alta qualidade, como um firewall de aplicativo web, naturalmente exige muito esforço de ajuste. Isso torna mais fácil aproveitar o F5."

Fundação para o Futuro

Além disso, as funcionalidades WAF da F5 serão integradas ao NGINX Security no futuro devido à recente aquisição do NGINX pela F5. Ambas as soluções serão desenvolvidas de forma direcionada e contínua. A SysEleven também planeja aproveitar a integração do F5 com o BGP.

“A solução F5 oferece inúmeras outras vantagens: Isso inclui o gerenciamento muito simples com o qual as instâncias podem ser movidas para frente e para trás", disse Jens Plogsties. "Os F5 Clusternodes podem ficar offline devido a manutenção ou outros motivos, sem que os usuários percebam. O F5 permite uma implantação extremamente rápida porque não há redes de Camada 2 ou outras dependências. Além disso, podemos simplesmente aumentar o F5, em princípio, para o infinito. O desempenho excede o de vários servidores comuns. Portanto, o F5 é capaz de lidar com cargas que nenhum outro sistema consegue lidar.

Uma integração adicional com o F5 Container Ingress Service (CIS) está em fase de testes. Trata-se de integrar perfeitamente os ambientes existentes à nova e dinâmica infraestrutura de contêineres. A implementação com SysEleven e F5 deixou uma impressão positiva; o bom desempenho, a diversidade de protocolos (UDP) e uma boa conexão com sistemas tradicionais nos convenceram. Uma integração simples por configuração padrão e o comprometimento da F5 com o OpenSource, além da orientação estratégica para tópicos de DevOps, bem como o suporte para questões do Kubernetes são particularmente notáveis. Este portfólio geral de serviços de aplicativos nativos de contêiner (NGINX) e centrados em data center (F5 BIG-IP), incluindo serviços de valor agregado de segurança, como um firewall de aplicativo da web, nos permite reconhecer uma visão geral e, assim, olhar positivamente para o futuro."