O F5® BIG-IP® Cloud Edition™ foi criado para ajudar equipes de operações de rede e equipes de aplicativos a colaborar de forma mais eficaz na entrega rápida de aplicativos seguros e com suporte adequado. O BIG-IP Cloud Edition simplifica e centraliza as principais funções de gerenciamento de serviços de dispositivos e aplicativos, como configuração, licenciamento, atualizações, análises e dimensionamento. As equipes de operações podem definir facilmente um catálogo de autoatendimento de serviços de aplicativos que os desenvolvedores podem acessar, sob demanda, por meio de um painel ou chamada de API. Esses serviços são definidos, atualizados e implantados para cada aplicativo, em contraste com o modelo tradicional e consolidado, no qual um único Application Delivery Controller (ADC) dá suporte a vários aplicativos.
Além de trazer um novo nível de flexibilidade arquitetônica para serviços de segurança e entrega de aplicativos de nível empresarial, o BIG-IP Cloud Edition também tem diversas opções de como comprar. Projetado para fornecer flexibilidade financeira para corresponder à flexibilidade do serviço, o BIG-IP Cloud Edition está disponível com opções de assinatura, utilitário e licença empresarial, bem como uma opção tradicional de compra perpétua.
O BIG-IP Cloud Edition foi especialmente projetado e testado para permitir que organizações criem uma solução de entrega de serviços de aplicativos que ofereça implantação e dimensionamento de autoatendimento, permitindo que equipes de aplicativos forneçam disponibilidade e segurança de nível empresarial para seus aplicativos. Essa abordagem capacita os proprietários de aplicativos a colaborar melhor com NetOps, DevOps e SecOps dentro de uma estrutura ágil para melhorar significativamente o desempenho, a disponibilidade e a segurança de todos os aplicativos.
O BIG-IP Cloud Edition é composto por dois componentes de infraestrutura: 1) edições virtuais (VEs) BIG-IP Per-App especialmente licenciadas, cada uma dedicada a um único aplicativo e 2) F5 BIG-IQ® Centralized Management, que fornece serviços de gerenciamento, visibilidade e licenciamento em todas as instâncias, não importa onde estejam localizadas. A solução de dimensionamento automático funciona em nuvens privadas baseadas em Amazon Web Services (AWS), Microsoft Azure ou VMware vCenter.
O BIG-IP Cloud Edition é construído em vários componentes lógicos principais:
O BIG-IP Cloud Edition oferece suporte à implantação e ao dimensionamento automático de instâncias do BIG-IP nas seguintes plataformas de nuvem:
O suporte para plataformas adicionais de nuvem privada e pública está planejado para versões futuras.
O BIG-IP Cloud Edition permite que os desenvolvedores acessem um catálogo de serviços de aplicativos sob demanda e de autoatendimento e escolham um modelo de implantação de serviços de aplicativos.
Os modelos de aplicativo definem os serviços de entrega e segurança do aplicativo que serão implantados para um aplicativo, incluindo todos os objetos BIG-IP, como servidores virtuais, perfis, monitores, certificados SSL, políticas de segurança, etc. Além disso, os modelos de aplicativo definem monitoramento e alertas para esse aplicativo. Esses modelos geralmente são definidos por um especialista em serviços de aplicativos (como o administrador de rede e/ou segurança), que configura padrões inteligentes e expõe um conjunto limitado de opções de configuração ao proprietário do aplicativo. Essa simplificação elimina a dependência de operações de rede e segurança — e elimina a necessidade de profundo conhecimento do domínio de rede — ao mesmo tempo em que garante o uso consistente de modelos e políticas aprovados no desenvolvimento e na implantação de aplicativos. Isso resulta em implantações de aplicativos mais rápidas, pois os proprietários de aplicativos usam um painel de fácil visualização ou uma única chamada de API para implantar e gerenciar seus aplicativos. Além disso, o BIG-IQ Centralized Management 6.0 vem com um conjunto de modelos predefinidos para configurações de aplicativos comuns. Os modelos de aplicativos podem ser entregues por pares de alta disponibilidade BIG-IP em configurações sem dimensionamento automático ou por grupos de dimensionamento de serviço.
Além de usar modelos de aplicativos, as equipes de aplicativos podem aproveitar os recursos de dimensionamento automático criando um grupo de dimensionamento de serviço. Quando os serviços de aplicativo são implantados a partir de um modelo de aplicativo e um grupo de dimensionamento de serviço é selecionado como o destino, o BIG-IP Cloud Edition gerencia a disponibilidade e o dimensionamento elástico de recursos para fornecer os serviços, além de gerenciar o ciclo de vida e o processo de atualização dos dispositivos BIG-IP que fornecem esses serviços. Os grupos de dimensionamento de serviço têm definições de política dos números mínimo e máximo de dispositivos em um grupo e os gatilhos a serem usados para dimensionar recursos.
Também é possível usar modelos de aplicativos do catálogo de serviços para implantar serviços em clusters F5 ScaleN® tradicionais (mas sem os benefícios de dimensionamento e gerenciamento do ciclo de vida).
Os modelos de dispositivo definem todas as características de nível de infraestrutura (fuso horário, DNS, nome do host, contas, NTP, licenciamento, rede, etc.) necessárias para implantar um dispositivo BIG-IP. As organizações podem usar modelos de dispositivos para criar grupos de dimensionamento de serviços implantando vários novos dispositivos usando esses modelos. Os modelos de dispositivo também são o método principal para interagir com os dispositivos BIG-IP; se for necessária uma alteração em um dispositivo no BIG-IP Cloud Edition (devido a uma atualização de versão, por exemplo), o modelo de dispositivo será alterado e as alterações serão enviadas ao grupo de dimensionamento de serviço. Os modelos de dispositivo contêm todas as informações necessárias para instanciar uma edição virtual do BIG-IP, incluindo licenciamento, provisionamento, rede e outras necessidades básicas do dispositivo.
O gerenciamento de dispositivos é diferente no BIG-IP Cloud Edition.
Na maioria dos casos, os dispositivos que fornecem serviços de entrega de aplicativos e segurança no BIG-IP Cloud Edition são imutáveis; as alterações não são feitas diretamente nas configurações do dispositivo, mas sim no modelo do dispositivo. Em seguida, o BIG-IP Cloud Edition implementa essas alterações em um grupo de dimensionamento de serviço implantando novos dispositivos, alternando o tráfego para eles e removendo os dispositivos antigos. Esse processo, às vezes chamado de “BIG-IP Per-App VE e nuke”, é fundamentalmente diferente de como uma implantação BIG-IP multilocatário tradicional é gerenciada.
Benefícios dos serviços por aplicativo:
Com o BIG-IP Cloud Edition, a concessão, atualização e revogação de licenças para instâncias virtuais são tratadas automaticamente pelo sistema de gerenciamento de licenças no BIG-IQ. Este sistema automático permite que as licenças sejam agrupadas e implantadas quando e onde forem necessárias. Quando um dispositivo não é mais necessário, sua licença é devolvida ao pool para uso por outra instância. Embora os modos de licenciamento, recursos e produtividade possam variar entre as implantações, o BIG-IQ lida com o licenciamento perfeitamente, portanto, não há necessidade de ativação manual de licenças complicada ao implantar novas instâncias do BIG-IP.
Para fornecer gatilhos para eventos de dimensionamento e insights profundos sobre o desempenho de aplicativos e infraestrutura, o BIG-IQ coleta e visualiza análises em nível de aplicativo que são úteis para administradores de segurança e rede, bem como para proprietários de aplicativos. Essa visibilidade ajuda os proprietários de aplicativos a autodiagnosticar problemas de desempenho do aplicativo para determinar se o aplicativo ou a rede é a fonte dos atrasos.
O BIG-IP Cloud Edition foi projetado para promover a separação lógica de funções. Os proprietários de aplicativos obtêm implantação de aplicativos de autoatendimento em grupos de dimensionamento de serviços gerenciados pelos proprietários de infraestrutura. Os modelos e as políticas de segurança que os proprietários dos aplicativos usam podem ser gerenciados pelas equipes de NetOps e SecOps. Alguns modelos podem estar disponíveis para alguns proprietários de aplicativos e não para outros, e as estatísticas e painéis por aplicativo podem ser restritos aos proprietários do aplicativo. Por meio do gerenciamento de funções detalhado, o BIG-IP Cloud Edition capacita as equipes de aplicativos a oferecer suporte aos seus aplicativos, ao mesmo tempo em que permite que as equipes de operações mantenham o controle sobre a rede.
O BIG-IP Cloud Edition é composto por vários componentes de infraestrutura diferentes que trabalham juntos para fornecer a solução.
Usando o BIG-IP Per-App VE fora do BIG-IP Cloud Edition. Os VEs por aplicativo do BIG-IP podem ser adquiridos fora do BIG-IP Cloud Edition. Disponível como um pacote de licenças e com um componente gerenciador de licenças BIG-IQ gratuito, BIG-IP Per-App
Um BIG-IP Per-App VE é uma instância BIG-IP especialmente licenciada que foi projetada para fornecer serviços dedicados para um único aplicativo. Todos os recursos do software BIG-IP estão habilitados, mas ele tem o tamanho certo para ser usado como um dispositivo dedicado.
Cada VE BIG-IP Per-App vem com:
Há duas opções de módulos de software disponíveis em VEs BIG-IP Per-App:
O software F5 BIG-IP Local Traffic Manager™ (LTM) oferece gerenciamento de tráfego de aplicativos líder do setor, incluindo balanceamento de carga avançado, modelagem de taxas, roteamento de conteúdo, gerenciamento de SSL e controle completo do tráfego da camada de aplicativos em ambas as direções.
O F5 Advanced WAF oferece todos os recursos de um firewall de aplicativo web (WAF) tradicional, além de proteção aprimorada na forma de mitigação de DDoS de camada 7, detecção avançada de bots e gerenciamento de segurança de API. O Advanced WAF vem com um conjunto de recursos de gerenciamento de tráfego BIG-IP LTM para gerenciar efetivamente o tráfego para servidores de aplicativos downstream. A implantação de políticas do Advanced WAF é gerenciada como parte do componente de modelo de aplicativo.
Os VEs por aplicativo do BIG-IP se beneficiam da otimização da plataforma de tamanhos de imagem e disco que ocorreu em versões recentes do BIG-IP. Em implantações tradicionais de BIG-IP, as versões de software BIG-IP eram feitas “no local”, baixando uma nova imagem de software em um dispositivo em execução e seguindo um procedimento de atualização. Com o BIG-IP Cloud Edition, os dispositivos que fornecem serviços de entrega e segurança de aplicativos são, em grande parte, imutáveis, de modo que as alterações não são feitas diretamente nas configurações do dispositivo, mas sim implantadas usando os modelos de dispositivo e aplicativo. Depois, as versões antigas são descontinuadas em uma atualização contínua. Portanto, não é necessário espaço de armazenamento adicional para várias versões do software BIG-IP e o tamanho da imagem do disco pode ser reduzido.
Escaladores de serviço VMware–BIG-IP
No VMware, o tráfego por aplicativo para VEs BIG-IP Per-App é dimensionado por meio de um cluster BIG-IP especializado usando encaminhamento de endereço MAC, que preserva os endereços IP de origem e destino do cliente. Isso pode ser importante para algumas das funcionalidades da camada 7 oferecidas pelos VEs Per-App do BIG-IP e também garante a coleta precisa de dados para os serviços de visibilidade que o BIG-IQ oferece.
Os escalonadores de serviço BIG-IP realizam balanceamento de carga básico entre VEs por aplicativo BIG-IP e não têm limite de licença para taxa de transferência (no entanto, os recursos de hardware virtual obviamente limitarão a taxa de transferência máxima). Opcionalmente, o escalonador de serviço pode ser habilitado com recursos de firewall que oferecem ACLs de rede e recursos de mitigação de DoS de camada 4. Os escalonadores de serviço não podem executar funções SSL ou de camada 7 neste momento.
Os escalonadores de serviço BIG-IP exigem as seguintes especificações de máquina virtual:
Os escalonadores de serviço BIG-IP podem pertencer a mais de um grupo de escalonamento de serviço e podem ser compartilhados entre vários aplicativos (enquanto os VEs BIG-IP Per-App são, como o nome sugere, dedicados a um único aplicativo).
A configuração e a configuração de escalonadores de serviço em um grupo de escalonamento de serviço são abordadas no Gerenciamento Centralizado do BIG-IQ: Implementações de tráfego local e rede.
[1] Quatro vCPUs necessárias para funcionalidade adicional de firewall.
Na AWS, os serviços são dimensionados usando instâncias do Elastic Load Balancing (ELB) Classic. O ELB Classic fornece balanceamento de carga L4 básico e disponibilidade em VEs por aplicativo BIG-IP, e uma instância lógica do ELB é dedicada a um único grupo de dimensionamento de serviço. Cada aplicação, portanto, requer uma configuração ELB dedicada. O serviço AWS gerencia o dimensionamento de instâncias ELB para atender às demandas.
A configuração de instâncias do AWS ELB em um grupo de dimensionamento de serviço é abordada no Gerenciamento Centralizado do BIG-IQ: Gerenciando aplicativos em uma nuvem AWS com dimensionamento automático .
No Azure, os serviços são dimensionados usando instâncias do Azure Load Balancer. O Load Balancer fornece balanceamento de carga L4 básico e disponibilidade em VEs por aplicativo BIG-IP, e uma instância lógica do Load Balancer é dedicada a um único grupo de dimensionamento de serviço. Como resultado, cada aplicativo requer uma configuração de balanceador de carga dedicada. O serviço do Azure gerencia o dimensionamento de instâncias do Load Balancer para atender às demandas.
A configuração de instâncias do Azure Load Balancer em um grupo de dimensionamento de serviço é explicada em Gerenciamento Centralizado BIG-IQ: Gerenciando aplicativos em uma nuvem do Azure com dimensionamento automático .
O BIG-IQ pode gerenciar mais do que VEs por aplicativo do BIG-IP.
O BIG-IQ pode descobrir e gerenciar instâncias do BIG-IP de todas as versões de software suportadas, não importa a plataforma ou o local. A plataforma pode executar o gerenciamento de dispositivos, visualizar estatísticas e implantar configurações de serviços de aplicativos modelados em instâncias BIG-IP físicas, virtuais e implantadas na nuvem. O BIG-IQ pode até mesmo oferecer dimensionamento automático para VEs BIG-IP tradicionais (não por aplicativo) suportados em plataformas suportadas (atualmente AWS, Azure e VMware).
O BIG-IQ fornece gerenciamento centralizado para todos os componentes que compõem o BIG-IP Cloud Edition. Todas as atividades e relatórios são gerenciados via BIG-IQ e não é necessário acesso administrativo aos VEs por aplicativo do BIG-IP.
GRANDE QI:
A F5 recomenda o seguinte hardware virtual para o BIG-IQ em uma implantação do BIG-IP Cloud Edition.
|
Mínimo |
Máximo |
vCPU |
4 |
8 |
Memória |
4GB |
16 GB |
Espaço em disco |
95 GB |
500 GB |
Placas de interface de rede |
2 |
10 |
A instalação e configuração do BIG-IQ são abordadas no Guia de implantação de gerenciamento centralizado F5 BIG-IQ .
O BIG-IQ é capaz de iniciar, licenciar, provisionar e configurar VEs por aplicativo do BIG-IP sob demanda, como parte de um grupo de dimensionamento de serviço ou em um ambiente de expansão horizontal. Isso requer acesso autenticado ao ambiente de infraestrutura virtual.
No VMware, o seguinte é necessário: credenciais para acessar o vCenter, um nome de host do vCenter, certificado SSL para comunicação segura e outras informações sobre o ambiente ESX, como hosts/clusters, datastores, switches virtuais (distribuídos) (vSwitches) e pools de recursos.
Na AWS, é necessário o seguinte: Chave de acesso do usuário do Identity and Access Management (IAM) e segredo associado para fazer chamadas de API e ELBs para fornecer distribuição de tráfego de nível um. Siga as práticas recomendadas da AWS para criar e gerenciar as chaves.
O usuário do IAM deve ter a política de acesso de administrador anexada e ter permissão para criar grupos de dimensionamento automático, buckets do Amazon Simple Storage Service (S3), instâncias e perfis de instância do IAM. Para obter detalhes sobre permissões e configuração geral da AWS, consulte https://aws.amazon.com/documentation .
Como o BIG-IP Cloud Edition essencialmente roteia todas as atividades do plano de controle por meio da camada de gerenciamento do BIG-IQ — o BIG-IQ lida com monitoramento em tempo real e eventos de expansão/redução e gerencia a atribuição e revogação de licenças — ele se torna uma parte crítica do sistema de entrega e, portanto, normalmente é implantado em uma configuração redundante e altamente disponível.
O planejamento deve, portanto, incluir um par BIG-IQ ativo-em espera, com a licença apropriada para o número de instâncias BIG-IP sob gerenciamento.
A configuração do BIG-IQ para alta disponibilidade é abordada no Guia de implantação de gerenciamento centralizado F5 BIG-IQ .
Dispositivos de coleta de dados BIG-IQ
Os dispositivos de coleta de dados no BIG-IQ são responsáveis por coletar, armazenar e processar dados de tráfego e desempenho dos VEs por aplicativo do BIG-IP. Depois que os VEs por aplicativo do BIG-IP enviam telemetria de desempenho e tráfego para os dispositivos de coleta de dados para processamento e armazenamento, o BIG-IQ consulta os dispositivos de coleta de dados para fornecer visibilidade e relatórios. Os dispositivos de coleta de dados são organizados em clusters que trabalham juntos e replicam os dados armazenados para fins de redundância.
A F5 recomenda o seguinte hardware virtual para dispositivos de coleta de dados usados no BIG-IP Cloud Edition:
vCPU |
8 |
Memória |
32 |
Espaço em disco |
500 GB |
Placas de interface de rede |
2 |
Uma observação sobre subsistemas de disco: Os dispositivos de coleta de dados BIG-IQ armazenam, processam e analisam dados coletados de VEs por aplicativo BIG-IP para produzir relatórios e painéis para o sistema BIG-IQ. Esta é uma carga de trabalho com uso intensivo de E/S de disco, portanto o armazenamento subjacente deve ser dimensionado para capacidade e desempenho. Para grandes implantações de VEs BIG-IP Per-App ou registro e análise extensivos, subsistemas de armazenamento de alto desempenho devem ser implantados. As operações de captura, busca e indexação gerarão E/S aleatórias e sequenciais, geralmente com alta simultaneidade de tarefas.
Para obter informações adicionais, consulte o Guia de dimensionamento de dispositivos de coleta de dados de gerenciamento centralizado BIG-IQ .
VPN para dispositivos de coleta de dados com implantações de nuvem pública
Quando novos VEs BIG-IP por aplicativo são criados, eles recebem o endereço IP próprio dos dispositivos de coleta de dados aos quais devem se conectar novamente. Esta é uma configuração fixa (a partir do BIG-IQ 6.0). Conexões em ambas as direções são necessárias entre os dispositivos de coleta de dados e o BIG-IP Per-App VE. Em muitos ambientes, mas especialmente quando os VEs BIG-IP Per-App estão na AWS ou Azure e o BIG-IQ e os Dispositivos de Coleta de Dados estão nas instalações do cliente, a conectividade VPN será necessária para rotear o tráfego com sucesso em ambas as direções, já que os Dispositivos de Coleta de Dados geralmente terão um endereço IP não roteável RFC 1918. O BIG-IP Cloud Edition requer intervalos de endereços IP exclusivos na Amazon Virtual Private Cloud (Amazon VPC) ou na Azure Virtual Network (Azure VNet), o que significa que eles não podem ter espaços de endereço sobrepostos na Amazon VPC.
Existem várias maneiras diferentes de configurar uma VPN ou outra conexão privada com a AWS, incluindo serviços como o AWS Direct Connect ou serviços de conectividade multinuvem como o Equinix Cloud Exchange. Também é possível estabelecer um túnel IPSEC de dispositivos BIG-IP locais para gateways AWS VPN .
Para obter detalhes de conectividade de porta e protocolo entre os componentes do BIG-IP Cloud Edition, consulte a documentação do BIG-IQ 6.0 .
Além disso, o BIG-IQ precisa de acesso aos endpoints da API da AWS para a região escolhida na porta 443 ou ao servidor vCenter na porta 443.
O BIG-IQ oferece gerenciamento de contas de usuário integrado e integração com protocolos externos comuns, como TACACS, RADIUS e LDAP.
Quantos VEs BIG-IP por aplicativo serão necessários?
Há dois limites críticos em instâncias de VE por aplicativo do BIG-IP:
Ao contrário de uma implantação mais tradicional, os VEs BIG-IP Per-App são geralmente implantados em uma configuração totalmente ativa com o dispositivo de gerenciamento de tráfego de nível um cuidando da alta disponibilidade e dimensionamento. Geralmente, isso significa mais rendimento real por instância de VE provisionada do que em um par de alta disponibilidade (HA) ativo-em espera mais centrado em hardware, onde é necessário manter capacidade extra para failover, mesmo em uma configuração ativa-ativa. Os VEs BIG-IP por aplicativo estão disponíveis em licenças de taxa de transferência de 25 Mbps e 200 Mbps e são projetados para serem escalonados usando grupos de escalonamento de serviço.
O primeiro passo é determinar uma estimativa base da taxa de transferência necessária para cada aplicação para a qual o gerenciamento de tráfego é planejado. Em seguida, decida se a licença de 25 Mbps ou 200 Mbps é apropriada. Para requisitos de maior rendimento por aplicação, a licença de 200 Mbps é apropriada devido à existência de menos dispositivos no geral. Para requisitos menores ou mais refinados, a licença de 25 Mbps é mais apropriada. Se maximizar o uso de recursos for importante, a licença de 200 Mbps fará uso mais eficiente do hardware subjacente para uma taxa de transferência específica.
É possível misturar e combinar tipos de licença dentro de um ambiente, mas um aplicativo específico será atendido apenas por um tipo de licença.
Para cada aplicação, determine:
Ao pensar em volatilidade, há algumas variáveis a considerar. Primeiro, os gatilhos para eventos de dimensionamento são baseados na taxa de transferência, nos limites da CPU e/ou na memória do dispositivo mais ocupado em um grupo de dimensionamento de serviço, obtidos em uma média de cinco minutos. Como uma nova instância do BIG-IP Per-App VE levará um breve período para se tornar ativa após a inicialização, é recomendável provisionar o requisito base com capacidade para aproximadamente 20 minutos de crescimento máximo esperado. Dessa forma, os serviços podem se adaptar à demanda e ainda ter alguma capacidade para lidar com os picos esperados.
Embora o dimensionamento possa ser complexo, com o BIG-IP Cloud Edition, as instâncias de cada aplicativo podem ser flexíveis conforme a demanda, portanto, buscar a perfeição — ou criar capacidade excedente excessiva — não é necessário.
A capacidade de dimensionamento de serviço é implementada de forma diferente entre os ambientes.
Na AWS, o dimensionamento vertical e horizontal é feito pelo balanceador de carga AWS ELB Classic, fácil de usar.
No VMware, o dimensionamento de serviço, o DDoS de camada 4 e as funções de firewall são fornecidos por VEs BIG-IP especiais. Esses VEs são configurados para simplesmente distribuir tráfego para os VEs BIG-IP Per-App e também para fornecer controle de acesso à camada de rede e mitigação de DDoS.
As instâncias de dimensionamento automático são projetadas para oferecer alto rendimento, baixa complexidade e compartilháveis entre vários aplicativos.
O BIG-IQ oferece uma API REST, permitindo a implantação de serviços de aplicativos do catálogo de serviços programaticamente. Para obter detalhes sobre a API REST, consulte a documentação do BIG-IQ .
O BIG-IP Cloud Edition oferece o poder, a segurança e a flexibilidade dos serviços de aplicativos F5 de novas maneiras. Isso inclui uma nova plataforma por aplicativo que pode ser ampliada ou reduzida conforme a demanda, além de recursos de autoatendimento. As equipes de segurança podem criar políticas de segurança de aplicativos e mitigação de DDoS, e as equipes de rede podem anexá-las a modelos de aplicativos e adicioná-los ao catálogo de serviços para usuários específicos. As equipes de aplicativos podem escolher entre um catálogo de serviços predefinido e implantar serviços em um grupo de dimensionamento de serviços que será flexível para atender aos requisitos do aplicativo.
O resultado final é uma solução altamente flexível e escalável que fornece serviços de aplicativos F5 de nível empresarial, com a flexibilidade de instâncias dedicadas, acompanhados por uma redução mensurável na sobrecarga operacional. Essa abordagem capacita as equipes certas a fazer o trabalho certo: agora, os proprietários de aplicativos podem colaborar melhor com as equipes de rede, desenvolvimento e operações de segurança dentro de uma estrutura ágil para melhorar significativamente o desempenho, a disponibilidade e a segurança de todos os aplicativos.