随着应用环境的日益扩大和复杂化,企业对高性能和可扩展性的需求也随之增长。然而,传统的ADC解决方案已经无法满足现代NetOps和DevOps团队的要求,企业急需寻找易于使用、安全性、自动化且可扩展的解决方案,以满足不断变化的市场需求和技术发展。
在此背景下,BIG-IP也必须不断调整和演进,以满足当前和未来的应用交付和安全要求。日前,F5推出BIG-IP Next(下一代 BIG-IP软件),以更好地支持未来的应用环境。BIG-IP Next致力于显著简化运营、增强安全性、增强可观察性,并提供无 与伦比的规模和性能。
1月31日,IT168邀请到了F5资深解决方案顾问路瑞强和力尊信通资深F5工程师那阳两位技术专家坐镇,为大家全面讲解BIG-IP Next解决方案,分享其核心价值、技术优势、产品模块、形态规格、新增功能等内容,并带来BIG-IP Next的线上演示。
本期在线研讨会的主题为“功能全新升级,BIG-IP Next背后优势何在?”,主持人为IT168编辑李雪薇,共分为专家分享与QA问答两大环节,以下为直播内容精编整理。
01 BIG-IP Next核心价值
当前的BIG-IP(TMOS)使用集成的控制平面,性能和可扩展性有限。在大量API操作过程中,加载大量配置、升级操作系统、保证幂等性需要较长时间。区别于BIG-IP(TMOS),BIG-IP Next最大的变化是利用容器技术将控制平面和数据平面分开,容器化的功能单元提高整体性能和可管理性。
F5资深解决方案顾问路瑞强在演讲中表示,“BIG-IP Next最重要的目标是降低运营负担,摆脱时间和精神负担,迈向一个美好的数字世界。”高度安全性;易于使用、自动化且可扩展;多云友好、集中控制和可见性;高度可扩展和高性能是BIG-IP Next的核心价值。
迁移到BIG-IP Next,可以降低操作复杂性。控制平面升级本质上是无中断的,可实现应用零停机时间。BIG-IP Next的主要软件升级只需要大约10分钟,效率较BIG-IP TMOS提升10倍。
BIG-IP Next全面的声明性配置模版套件(FAST)可消除部署复杂性,并在几秒钟内实现部署。所有管理和配置任务均通过BIG-IP Next CM执行,提供单一、现代化的界面和API以实现全面控制,从而提升业务管理和运维能力。
BIG-IP Next提供更高的自动化效率,提供完全集成的自动化工具和遥测工具,无需部署后扩展。BIG-IP Next各个方面都可以通过API进行管理,使其100%自动化,并且以可重复、可靠的方式在几秒钟内部署完全配置的应用程序。
与此同时,BIG-IP Next重新设计的控制平面针对自动化进行了优化,每秒能够处理倍的API请求能力较上一代BIG-IP提升超过40倍,配置更新时间小于10毫秒,以支持高度动态的环境,多线程可同时支持多达10个独特编排器。
BIG-IP Next可以提高安全性并降低业务风险。安全软件开发(SSD)最 佳实践确保安全性是整个开发过程中的首要任务,提高软件质量并减少漏洞。通过静态及动态测试,提升可靠性。
每季度,BIG-IP Next会发布新的安全功能,确保前沿的安全态势,阻止不断变化的威胁。同时,新发现的漏洞补丁最快24小时内交付。iRules和应用模块等元素的版本控制,可以轻松回滚到已知的良好版本并简化故障排除。BIG-IP Next基于角色的访问控制提升了配置管理能力,审计则提供了所有配置变化的可见性。
延续了BIG-IP(TMOS)的数据平面的性能和支持规模,BIG-IP Next提供超大吞吐量和超低延迟,为数百万用户提供最 佳应用体验。它支持多达250万个配置对象,专用和可变的计算资源可确保控制平面的性能和可用性。
在多站点应用场景部署BIG-IP Next,可以轻松实现全局服务器负载均衡(GSLB)。通过最少的配置工作量提供最大的应用程序冗余,实现多站点灵活调度。
BIG-IP Next可以增强应用可观察性,具有广泛应用程序和网络洞察力的精细仪表盘,有助于优化应用程序性能并解决问题。当出现问题时,BIG-IP Next可以快速定位故障,快速隔离,尽快恢复业务。
应用程序和设备数据从BIG-IP Next CM导出到所有流行的第三方可视化软件,包括Splunk、Grafana等。值得一提的是,遥测流(现在基于OpenTelemetry)已融入BIG-IP Next,无需部署后扩展。
BIG-IP Next将保持和扩大BIG-IP(TMOS)的价值。BIG-IP Next所有版本均按照优化的CI/CD开发流程开发,并以安全第一为宗旨,确保频繁、高质量和安全的发布。
02 BIG-IP Next产品模块和用例
BIG-IP Next的产品模块共有八个,分别是BIG-IP Next LTM、BIG-IP Next WAF、BIG-IP Next Edge Firewall、BIG-IP Next SSL Orchestrator、BIG-IP Next Access、BIG-IP Next DNS、BIG-IP Next CGNAT、BIG-IP Next Policy Enforcer。目前,BIG-IP Next LTM和BIG-IP Next WAF已经推出,其余产品模块正在陆续开发中。
BIG-IP Next LTM模块延续了BIG-IP LTM的核心用例,具备安全的应用程序交付功能,SSL/TLS卸载功能,应用程序性能优化功能,以编程方式控制网络和应用程序流量,通过监控和引导流量以保持应用程序的高可用性。
在BIG-IP LTM的基础上,BIG-IP Next LTM增加了iRules版本控制,增强的可观测性,以及可重用、直观的配置模版。BIG-IP Next LTM加快了发布周期,并且缩短应用程序的停机时间。
相比BIG-IP高级WAF ,BIG-IP Next WAF的功能变化并不是特别大,主要集中在管理层面。BIG-IP Next WAF新增了快速加入、统一可视性、简化策略管理功能,提升了安全效率。
03 BIG-IP Next自动化管理
BIG-IP Next自动化管理分为Application Services Ext. 3(AS3)、FAST模板、遥测流、声明式设备上线四大板块。
AS3取代了iControl的REST API,是所有BIG-IP Next配置的外部API。它是一种声明式API,需要的配置领域知识显著减少,并且可以将部署速度加快一个数量级。因为AS3与BIG-IP Next CM一起部署,所以无需下载/安装。
FAST模板支持通过直观的GUI模板创建声明性AS3配置,更加贴合用户的使用方式,提供“快速”且高度可重复的应用程序配置过程。
BIG-IP Next的遥测流基于OpenTelemetry(OTEL),OpenTelemetry提供标准化工具,可以更轻松地与大多数第三方可视化软件(如 Splunk、Grafana 等)集成。
声明式设备载入支持BIG-IP Next实例的初始配置,例如设置自有IP和VLAN,它与当今用于BIG-IP的DO会有细微差别。
BIG-IP Next CM(集中管理器)是BIG-IP Next的原生默认用户界面,具备简单且自动化的工作流程,直观、数据丰富的仪表板,可跨平台管理BIG-IP Next实例。
通过BIG-IP Next CM,可以实现集中监控、警报和报告,实例启动,快速和声明式应用部署,加速BIG-IP Next迁移,综合了仪表盘、分析和数据流、证书管理、无缝实例升级、备份和恢复、许可证管理,QKView管理和iHealth集成。
04 迁移到BIG-IP Next
使用BIG-IP Next CM迁移服务,进行BIG-IP Next迁移。路瑞强表示,“把传统的BIG-IP(TMOS) UCS文件导入BIG-IP Next CM,可将文件转换为 BIG-IP Next上的FAST模板或AS3声明,然后下发到BIG-IP Next里即可完成迁移。”BIG-IP Next会自动识别并解决常见迁移问题,支持按应用迁移。
现有的BIG-IP(TMOS)和BIG-IP Next可以在同一rSeries/VELOS实例上并行运行,以简化采用和迁移。
会上,力尊信通资深F5工程师那阳带来了迁移到BIG-IP Next的在线演示。其中包括四部分:添加一个BIG-IP Next实例到BIG-IP Next 集中管理系统;通过BIG-IP Next集中管理系统激活实例;BIG-IP Next集中管理系统下发应用;从传统BIG-IP迁移到BIG-IP Next。
05 圆桌讨论
Q1:F5 BIG-IP Next相较于其他同类产品有哪些优点和独特之处?
路瑞强:BIG-IP Next是专为现代应用和云容器化平台开发而设计的。与传统的应用交付平台相比,它更加面向未来,更能适应未来应用的变化。虽然目前从功能上看,传统模式与BIG-IP Next相差不大,但随着业务和平台的发展,两者之间的差异将逐渐显现。
那阳:BIG-IP Next更偏向于未来的现代化应用,致力于更好地支持用户发布未来的容器化业务或虚拟化平台业务。相比其他应用产品或传统的BIG-IP系统,BIG-IP Next更注重轻量化和简单易用,以适应未来的现代化应用需求。
Q2:对于希望采用F5 BIG-IP Next的企业,您有什么建议吗?
路瑞强:如果某个企业希望采用BIG-IP Next,那么现在正是一个绝 佳的时机。尽管BIG-IP Next的基础平台有所变化,但其功能和性能与传统的BIG-IP类似。在当前环境下,企业可以直接部署BIG-IP Next,并将其与现有业务进行衔接。随着业务的发展,BIG-IP Next也会不断进步和变化,这些变化与现代应用系统的变化相匹配。因此,越早介入BIG-IP Next的使用,将为企业后续的应用发展及配合打下更好的基础。
那阳:通过使用BIG-IP Next,用户可以轻松地管理和监控应用,同时不断演变自己的应用,与BIG-IP Next进行更好地契合。
Q3:F5 BIG-IP Next在未来有哪些可能的发展方向或改进空间?
路瑞强:由于BIG-IP Next基于容器化平台构建,因此它具备强大的灵活性,能够与业务紧密结合,并朝着虚拟化方向发展。目前,BIG-IP Next在灵活性方面仍有改进空间,但已经可以通过API接口实现很多功能。从长远角度来看,BIG-IP Next可能会朝着Service mesh等新兴方向发展,带来更大的变革。
那阳:在功能方面,目前BIG-IP Next主要提供服务和负载均衡两个模块。未来,可能会考虑将其他功能模块加入到BIG-IP Next上,以满足更多用户需求。作为一名经常与用户沟通的专家,我更加关注细节和用户体验。虽然我们已经开发出许多功能,比如业务迁移和发布等,但某些细节仍需进一步开发和完善。
Q4:在分布式云环境中,有什么故障恢复的机制和策略?
路瑞强:当BIG-IP Next设备或虚拟机出现故障时,我们可以通过集成的高可用能力,将业务切换到其他设备上。针对不同层面的故障,需要采取不同的处理方式,并根据业务需求和成本考虑选择合适的方案。
那阳:传统的BIG-IP Next通常采用集群或主备部署方式,以实现高可用性。实际上,BIG-IP Next操作系统支持HA部署关系,以确保高可用性。如果其中一台实例出现故障,流量可以自动切换到其他实例,从而保证业务的正常运行。
Q5:BIG-IP Next与各种主流云服务兼容性做的如何?
路瑞强:在兼容性方面,由于F5的解决方案采用底层虚拟机形式,因此我们与主流虚拟机平台进行了对接,确保符合各种主流虚拟化模式。目前,我们已经与各大主流虚拟机平台进行了对接,例如AWS、腾讯和阿里等。对于更小规模的云平台,具体情况需要具体评估。总体而言,只要虚拟化平台是基于标准化的特定标准,通常都能够实现良好的兼容性。
那阳:大家在考虑兼容性问题时不必过于担忧,我们会全力支持主流云的部署,为用户提供可靠的支持和服务。
Q6:特定场景下的复杂分布式云架构中,如何通过人力与软件的协调来确保设备的整体管理效率和安全性?
路瑞强:在复杂的分布式架构下,无论结构多么繁杂,管理的核心仍然是我们之前提到的自动化。自动化处理的都是标准化的任务,但不可避免地,会有一些特殊情况和需求需要人力介入。在处理这些情况时,我们首先需要对其进行分类,识别出哪些场景是高频使用的,哪些是低频的。
对于高频场景,我们可以根据具体需求进行标准化处理,进而通过API接口实现自动化。而低频的特殊场景,则可能需要人力干预。当然,随着业务的发展和变化,一些原本认为特殊的情况可能会逐渐变得常规化。这时,我们可以将这些场景从人力处理的部分迁移到自动化处理的范畴内,以提高效率和响应速度。
那阳:在BIG-IP Next中,BIG-IP Next CM发挥了关键作用,有效解决了当前的管理问题。它能够集中接入各种应用实例,无论是分布式云还是现有的数据中心资源。通过BIG-IP Next CM,我们可以统一管理这些分散的设备分布,确保安全性和稳定性。