F5应用交付解决方案综述.docx
- 文档编号:25469516
- 上传时间:2023-06-09
- 格式:DOCX
- 页数:25
- 大小:1,005.24KB
F5应用交付解决方案综述.docx
《F5应用交付解决方案综述.docx》由会员分享,可在线阅读,更多相关《F5应用交付解决方案综述.docx(25页珍藏版)》请在冰豆网上搜索。
F5应用交付解决方案综述
应用交付网络(ADN)
解决方案综述
F5Networks
目录
前言4
当今的IT系统现状分析4
传统的企业IT架构面临的新挑战5
1.如何保证应用的可用性5
2.如何提升应用的访问速度6
3.如何提升不同类型的访问终端的访问速度7
4.如何保证数据在基于WEB方式传输时的数据安全7
5.如何提升安全防御能力7
6.如何提供更便捷的VPN访问方式7
7.如何摆脱传统文件存储基础架构的束缚7
传统的企业IT架构存在的弊端9
1.复杂的部署方式9
2.网络延时增加9
3.增加运维成本10
ADN-实现现代企业IT架构目标的源动力10
1.ADN体系架构各关键元素介绍11
TM/OS-ADN的核心元素11
BIG-IPGlobalTrafficManager-全球网流量管理器12
BIGIP-LinkController-多链路接入智能控制器12
Wom-广域网数据传输加速器12
FirePass-SSLVPN接入控制器13
BIG-IPLocalTrafficManager-本地流量管理器14
BIGIPWebAccelerator-Web应用加速器15
BIGIPASM(ApplicationSecurityManager)-Web应用防火墙15
F5AcopiaARX智能文件虚拟化15
EnterpriseManager-企业管理器16
I-Control-免费的应用开发接口16
2.ADN各元素在企业网络中的部署建议17
链路接入部分17
应用前端18
文件存储服务器前端19
3.ADN架构让企业应用发布高枕无忧20
保证应用的可用性20
提升应用的访问速度20
保证数据在基于WEB方式传送时的数据安全20
显著提升安全防御能力21
提供便捷的应用访问方式21
建立容灾中心,避免站点故障21
统一管理,应用维护的真正体现21
灵活的扩展架构21
简化的部署方式21
节省运维成本22
总结22
前言
随着信息技术几十年来的飞速发展,目前几乎所有的现代化企业都已经或正在把企业信息化作为企业发展的战略之一。
企业信息化规划则是实施这一战略的蓝图。
企业信息化规划以整个企业的发展目标,发展战略,和企业各部门的目标与功能为基础,结合行业信息化方面的实践和对信息技术发展趋势的掌握,提出企业的信息化远景,目标,和战略,全面系统地指导企业信息化的进程,协调发展地进行信息技术的应用,及时地满足企业发展的需要,以及有效充分地利用企业的资源。
不断提升并完善企业信息化的价值是一项复杂的系统工程,它既需要软件和硬件设备的大量投资,又需要人力、物力、智力的投入。
近年来,很多企业都加快了信息化建设的步伐,通过互联网及企业内部网(专网),宣传企业或开展电子商务;使用办公OA系统、ERP、CRM等信息管理系统;建立自己的门户网站等,以此提高企业核心竞争力。
因此,在网络信息技术高速发展的今天,企业信息网络是否高效、畅通、安全在很大程度上影响企业的生产、销售、管理等各个环节。
对于现代企业来说,及时了解客户的需求和市场动态非常重要,建立一个高效、可靠、灵活的企业信息网络架构就显得尤为迫切。
当今的IT系统现状分析
传统大中型企业在信息化建设中,根据其自身的特点,在前期规划中均采用了以网络连通性为核心的规划理念。
同时,为了能够实现“快速”,“安全”,“高可用”的用户访问体验,企业的IT建设步伐,一直没有停顿过。
然而,企业的关键商业信息(如WEB、CRM、ERP、Mail、OA等)都是通过一个虚拟的访问管道将信息传递给企业内部或外部用户、分支机构、合作伙伴。
如下图所示:
随着基于网络化应用规模不断的扩大,企业的经营运作对网络应用的依赖越来越强,在企业将商业信息通过这个虚拟的访问管道进行应用发布的过程中,必然会经过物理存在的服务器,应用,门户,ISPs等元素到达不同的类型的客户端最终到达用户,任何基于网络的应用故障,访问缓慢,服务器宕机,安全漏洞,攻击等问题的出现,都会使原本畅通的管道变窄,无法提供最佳的用户访问体验,最终严重影响企业的正常运作,从而降低企业生产力,丧失信誉度,影响企业形象等。
如下图所示:
传统的企业IT架构面临的新挑战
在多年的企业信息化建设从无到有的过程中,企业的IT架构已经从以网络部署为核心向一切以保证应用发布为导向的目标发展。
“怎样才能不做任何改动就能让我的应用运行得更好,并且不会增加基础设施成本及管理上的显著开销呢?
”。
“怎么样才能使我的网络及应用尽可能优化、尽可能简单、同时对资源的影响又最小?
”。
众多企业的CIO或CTO们,正在面临如何保证并提升应用发布管道的畅通,如何有效进行资源整合,如何保证关键应用的发布,如何整体提高网络及应用的安全等问题所带来的前所未有的挑战。
1.如何保证应用的可用性
企业现有应用系统中常用的OA系统,Mail系统,KOA系统,财务系统,物流系统,WWW发布,网上定单系统,CRM、ERP等众多的应用已成为企业日常运作的重要组成部分,任何一个系统的访问失败都会影响企业运营的进行。
然而,用户在通过网络访问到企业所发布的应用所经过的处理环节中,造成应用访问失败的原因有很多,比如:
单一的Internet或专线接入链路出现的单点故障,各网络设备或安全网关类设备的异常中断,后台服务器软硬件系统的失效或日常维护时的停机重启等操作,都无法有效保证企业关键应用系统可以7*24小时不间断运行。
2.如何提升应用的访问速度
业务大集中后,所有关键应用都将以企业总部为中心,各分支机构、合作伙伴、通过Internet或专线访问的方式进行发布,然而:
●总部Internet链路接入的带宽不断扩大,但访问速度仍然很慢
大量非关键应用的流量在网络进行传播,使得无限扩充的链路带宽始终无法得到有效利用。
企业内部用户访问internet资源时,或外部用户访问企业发布的内部资源时,会受到ISP提供商网间互通的瓶颈,造成访问快慢不一的现像。
例如:
如果企业采用的ISP是通过网通接入的,在访问处于电信的资源时,会由于不同ISP之间互连互通的问题造成访问变慢,而访问网通资源时,就不会存在问题。
●如何向遍布在全国范围的服务网络提供相同的快速访问途径
各分支机构或合作伙伴采用的网络接入方式,带宽的接入质量存在差异性,造成了访问企业总部应用时的快慢不一。
大数量的应用数据传输时出现的延时或丢包等现像,严重影响了企业的关键信息数据发布或收集。
●如何有效提升服务器的性能
当应用系统模块的增加,突发流量的产生,SSL业务对服务器压力,不均衡的服务器资源使用时,采用简单的服务器硬件升级方式,造成投入更多的服务器升级成本的同时,却无法真正实时智能的缓解服务器的性能压力。
●如何加快WEB应用的访问速度
当前,许多企业在实施了数百万美元的web应用部署之后,却发现与原有的客户端服务器应用相比,新部署的性能不能让用户感到满意。
同时,企业出于监管和数据安全性要求需要将服务器集中管理,而web应用的用户却作为远程分支办事处和移动用户而分布得更加分散。
与此同时,不幸的是,广域网延迟、错误和其它问题使得web应用无法快速交付。
在门户应用、CRM应用、协作应用及其它企业应用情形中,web应用架构师和管理员发现其交付性能难以满足用户的期望。
●安全与性能如何才能兼得?
为保护企业网络及应用的安全,应对永不消失的黑客攻击、恶意入侵、垃圾邮件等等的侵扰,企业在网络中添加了更种IDS、IPS,防火墙,VPN之类的安全网关设备,对用户的身份进行认证,对访问请求进行层层过滤,虽然提高了企业网络的安全程度,但却严重影响了用户访问到应用的速度,造成生产力下降。
例如防病毒设备的网络吞吐量通常只有3-10Mbps,因此网络中的安全设备成为了制约网络传输速度的新的瓶颈点。
3.如何提升不同类型的访问终端的访问速度
基于CDMA、GPRS的拨号上网方式,具备上网功能的手持设备,如PDA,智能手机等被广泛应用,使用户可以随时随地的访问企业的内部信息,然而无论企业端的网络多么畅通,服务器处理性能如何强大,都无法解决由于客户端访问速率低所产生的问题。
4.如何保证数据在基于WEB方式传输时的数据安全
银行帐号,电子定单,财务数据等关键的应用数据通过基于WEB应用的方式进行传输时,一旦非法人员获取,将使企业或合作伙伴造成重大的经济损失。
5.如何提升安全防御能力
变化多样的网络攻击及蠕虫病毒在企业的网络中大量泛滥,促使企业不得不想尽一切办法来提升“木桶”的高度,以此来抵挡各种类型的攻击。
目前,企业更多是将精力投放在对网络层的入侵防护,但从近期的攻击来看,多数都是通过WEB应用进入的。
随着互联网资源的广泛利用,各大企业公司对网络流量管理及安全应用的需求也日益增长。
现在,针对WEB应用的攻击方式层出不穷,例如cookies篡改、劫持WEB会话、还有就是利用脚本来实现攻击的phishers(网络钓鱼者)。
这些WEB应用攻击是网络防火墙等无法识别的攻击类别,这种请求在网络层的防护来说具有合法的格式,是一种有效的请求,既不是蠕虫、也不是其它什么病毒。
它唯一出格的行为是:
想要访问未授权的信息。
6.如何提供更便捷的VPN访问方式
随着企业的业务发展,对于便捷安全的远程接入的需求越来越强,远程接入的使用者的需求就是可以使用任何上网设备,随时随地接入企业网络,访问数据。
以往的IPSecVPN因为无法解决高可用性以及受网络接入条件的限制,无法满足随时随地接入的需求,具体表现在客户端使用不方便、某些网络条件下无法接入、无法满足7×24小时的高可用要求。
7.如何摆脱传统文件存储基础架构的束缚
当前的文件存储基础架构存在一些与自身相关的问题:
*复杂性。
今天,一般的企业存储基础架构由一系列存储平台、文件系统和操作系统组成,而这些设备可能来自不同供应商。
遗憾的是,大多数设备并没有完美无缝地一起协同工作,而且每个设备不得不作为存储“孤岛”进行管理。
*缺乏灵活性。
用户和应用程序静态映射到包含它们需要访问的数据的物理文件存储资源。
在某些环境中,这有可能产生数百或数千个独立映射(或安装点)。
每当文件存储环境发生变化,例如,当提供新存储或移动文件时,这些静态映射都会被破坏。
更新环境时,要求手动配置和系统停机。
事实上,企业战略集团(ESG)估计超过40%的企业每周或每月都要进行数据迁移,而大约58%的企业报告因为数据迁移而导致它们延长停机时间或遭遇突然停机。
此外,这些停机与当今全天候的全球业务环境要求格格不入,意外停机已越来越不能被容忍。
*低效率。
虽然可能有一些特定的文件服务器或网络连接存储(NAS)设备得到高度利用,但总的看来,文件存储设备并没有被充分利用,在大多数企业环境中容量利用率平均起来仅达到40-50%。
这通常不是设备利用率不足的结果,而是设备供应过多的结果,因为一直没有一种简单但又不具破坏性的方法在不会造成停机的情况下平衡文件系统的需求或增加容量。
*大规模增长。
容量需求正在快速增长,而文件数据占到了该增长的70%以上。
这进一步加剧了这个问题:
随着存储需求的增长,需要不断补充存储设备,这又会使环境变得更加复杂、更不灵活和效率更低。
对更大存储容量永不满足的需求,再加上管理存储所需的更大成本,导致了存储费用螺旋式上升。
因此,必须要有一个更好的方法来管理这种快速增长的文件存储基础架构,而且不会相应地增加管理费用。
传统的企业IT架构存在的弊端
传统的企业IT架构由于以前更关注网络连通性的架构设计,因此在企业面临上述挑战时,通常都是采用“打补丁”式的解决方案将负载均衡设备,安全网关,带宽管理,SSL加速,应用防火墙等产品添加到网络中,如下图所示:
这种“打补丁”式的方案虽然可以有效解决性能压力,访问延迟,安全漏洞等问题,但在实际使用中,其结果却是管理费用浩大、繁杂,导致显著的应用延迟。
企业仅仅是在“拆东墙补西墙”,并未真正解决问题。
这些问题主要体现在以下几个方面:
1.复杂的部署方式
在添加这些产品时,将涉及各厂商设备之间兼容性问题,互协调性等问题。
而为避免点单故障问题,也将采用冗余的方式,对原有网络的进行大的改动。
2.网络延时增加
每添加一台设备都将加大网络的延时,都有可能成为新的性能瓶颈点。
3.增加运维成本
方案中使用了大量新兴的如负载均衡,流量控制,连接优化等多种多样的复杂技术,这样就必需要求企业的技术人员需要掌握更多的新兴技术,才能对各厂商的产品进行管理。
同时,企业需要与越来越多的产品提供商,服务提供商进行沟通,大大增加了企业的运维投入成本。
ADN-实现现代企业IT架构目标的源动力
基于现代企业IT架构目标的广泛需求,F5公司率先推出了确保网络/应用可用性,提升处理速度,促进安全等三大技术为一体的统一网络/应用基础IT架构,即ADN(应用交付网络)解决方案。
F5公司的ADN解决方案以确保应用交付为核心,其产品及技术涉及到了负载均衡,应用健康状况监控,带宽管理,应用加速,数据压缩,SSL加速,SSLVPN安全远程接入,防止拒绝服务攻击等世界领先的技术。
如上图所示:
F5公司所推荐基于ADN的IT架构设计中,极大减少了企业的投入成本,并可以利用F5公司所提供的产品及技术提升企业原有网络/应用的可用性,性能及安全性。
1.ADN体系架构各关键元素介绍
F5公司的ADN体系统架构依托于传统的网络架构基础之上,并以确保应用发布为核心。
因此,在ADN架构中,各组成部分将主要围绕可用性,高效,安全等三大方面。
ADN各元素包括:
●TM/OS-ADN的核心元素
ADN的核心是一款创新体系结构,称为TM/OS(流量管理/操作系统),它为企业提供了一套统一系统来帮助其实现最佳应用交付。
TM/OS针对BIG-IP上的每项功能都做了改进,在支持BIG-IP智能地适应应用与网络日新月异的需求同时,提供了面向所有服务的完全可见性、灵活性和控制能力。
TM/OS使BIG-IP能够高效地将客户机与服务器端数据流隔离开来、独立维持每个连接设备的最佳性能,并承担起系统间的通信工作,以改进应用性能。
TM/OS融合了可定制的iRules和通用检测引擎,为处理应用交易或流程中的应用流量提供了前所未有的控制能力。
通过全面的有效负载检测和转换能力、事件驱动的iRules和会话感知的交换技术,BIG-IP负载均衡器提供了业内最智能的控制点,因此能够以网速解决各种应用交付问题。
F5产品家族中所有运行在TM/OS体系架构中的产品,即可以单独运行在一台设备上,又可以以软件模块的形式共同运行在同一台设备中,减少硬件设备数量。
通过TM/OS的创新体系结构,任何与BIG-IP相连的系统或IP应用都将可以更高效地工作。
●BIG-IPGlobalTrafficManager-全球网流量管理器
BIG-IP全球流量管理(以前称为3-DNS)可以为运行于多个全球(或全国)散布的数据中心的应用提供极高的可用性、最出色的性能和集中式管理。
基于F5模块化和可扩展的TMOS构架,BIG-IP全球流量管理器可根据业务策略、数据中心和网络条件来分配最终用户应用请求,以确保最高的可用性。
●
BIGIP-LinkController-多链路接入智能控制器
随着企业开始更多地使用互联网来交付其应用,只有一条到公共网络的链路意味着较高的单点故障和网络安全性风险。
BIG-IP链路控制器可以无缝地监控多条WANISP连接的可用性和性能,以智能地管理到某一站点的双向流量,从而提供出色的容错性和优化的互联网访问。
凭借F5的TMOS体系结构,BIG-IP链路控制器提供了改善的链路性能和较高的可用性,以及灵活、强大的状态检测、全面的安全性和改进的可用性等附加优势。
●Wom-广域网数据传输加速器
Wom是一款硬件解决方案,能够在广域网中实现局域网一样的应用性能。
Wom可对文件传输、电子邮件、客户端-服务器应用、数据复制及其它应用进行加速,改善所有广域网用户的服务性能和可靠性。
对于数据中心,Wom具有较高的容错性和可扩展性,可支持高达20,000条优化连接。
对于分支办事处,Wom具有较高的容错性、静音性和性能,可支持高达1,000条优化连接。
Wom解决方案可在所有广域网中无缝运行,包括专用链路、IPVPN、帧中继和卫星连接。
●FirePass-SSLVPN接入控制器
借助FirePass,企业将能够支持在家办公或在路上移动办公的员工,使用任何支持Web的设备,通过任意接入网络随时随地安全地远程访问网络资源。
通过FirePass平台,企业将可以获得卓越的性能和出色的可扩展性、以及易于管理的特性和先进的应用安全性,进而受益匪浅。
此外,该产品还提供了业界唯一的开放式应用编程接口(API)、“VisualPolicyEditor(可视化策略编辑器)”和软件开发商套件包(SDK),并带有众多同类产品所没有的一系列独特性能与功能。
●BIG-IPLocalTrafficManager-本地流量管理器
BIG-IP本地流量管理器对进出应用的流量了若指掌,可帮助实现最大的应用可用性与性能加速。
主要提供:
可靠性-提供业界最成熟、最先进的系统,以确保应用的可靠性。
应用加速-提供无可比拟的控制能力以实现高达三倍的应用性能加速,确保高优先级应用可最先得到服务,并卸载极耗资源的服务器循环。
降低服务器与带宽成本-通过一整套丰富的基础设施优化特性而实现三倍的服务器容量提升;通过智能HTTP压缩、带宽管理及其它特性减少80%的带宽成本。
更高的网络与应用安全性-从DoS保护到隐蔽(cloaking)再到应用攻击过滤,BIG-IP提供了网络中其它设备所无法提供的关键安全特性。
无可比拟的应用智能与控制能力-业界唯一一款可实现完整应用流畅性的解决方案,支持网络速的全负载检测和程式基于事件的流量管理,以对应用流进行分析和做出响应。
绿色IT-通过i-ControlAPI接口,可供第三方供应商与F5系列产品进行连接,从而让应用能够根据自身需求对网络进行优化和开发,可以实现服务器的智能使用。
所有IP应用的总集成-提供一款全面的解决方案,可集成所有应用,不只是基于Web的协议。
为企业提供一款支持所有IP应用的集中式解决方案,包括原有和新出应用(如VOIP),全在单个统一的系统内。
业内领先的性能-提供业内最快速的流量管理解决方案,以满足企业在安全性、内容交付和性能优化方面的需求。
提供目前市面上最佳的SSLTPS、批量加密以及最高数量的并发SSL连接。
●BIGIPWebAccelerator-Web应用加速器
F5的WebAccelerator是一款高级web应用交付解决方案产品,可提供一系列智能技术,以解决影响用户性能的浏览器、web应用平台和广域网延迟相关问题。
凭借F5的智能浏览器参考(IBR)特性,WebAccelerator可将许多web应用、门户应用、CRM应用及协作应用的用户端性能提升高达10倍,这些应用包括MSSharepoint、OraclePortal、MSOutlookWebAccess、Siebel、Hyperion、Peoplesoft、Plumtree、SAP,以及其它定制web应用。
●BIGIPASM(ApplicationSecurityManager)-Web应用防火墙
ASM是一款Web应用防火墙,提供了完善的前瞻性应用层安全保护,能够有效抵御传统防火墙和其它类型安全设备不能检测或预防的安全隐患。
ASM与其它入侵检测和防护设备的区别在于,它采用了一种积极的安全模型,能够筛选出潜在的安全威胁。
消极的安全模型通常根据已知的威胁列表,对进入的流量进行筛选。
与此不同,ASM采用了“crawler”技术来搜索应用并创建一个允许进入规则集或策略列表。
这些策略用于筛选所有直接到此应用的流量,并拒收任何与策略不符的流量。
这一方法的优势在于,它能够识别并阻止一些“零时差(zeroday)”攻击。
此类新病毒一般不存在现有的配置文件,但经证明会给企业带来重大损失。
●F5AcopiaARX智能文件虚拟化
F5AcopiaARX设备是具有高性能、高可用性的智能文件虚拟化系统,能够大幅度地简化文件存储管理。
使用F5AcopiaARX设备,您可以将智能文件虚拟化引入到文件存储基础架构中,消除与存储管理有关的所有障碍并自动完成许多存储管理任务,从而突破这些限制和约束。
这将大幅度地帮您降低成本、提高企业灵活性和业务效率。
●EnterpriseManager-企业管理器
F5硬件型企业管理器使您可以集中管理网络中的所有F5设备。
借助企业管理器,您可以:
o针对应急计划存档设备配置
o对新设备作集中、远程配置,无需到现场
o降低设备管理的人工成本
o轻松、快速地部署软件升级与安全补丁
企业管理器产品支持所有F5TMOS设备。
这使用户在单个界面即可完成所有关键设备管理功能,从而减少单台设备管理所需的时间。
●I-Control-免费的应用开发接口
F5产品包括一个称为i-Control的开放式API、以及一种基于标准的语言,从而使得F5产品能够在相互之间、以及与其它网络设备和应用进行通信。
I-Control允许用户创建一种“可识别应用”的网络。
在这一网络中,应用能够自动预测不断变化的网络条件,并相应地做出响应和调整。
通过进行这一通信,它能够消除应用和流量管理设备之间的手动干预。
从而企业将无需耗费技术人员大量的宝贵时间来进行服务器维护等日常工作,并能够自动完成诸多当前仍需要手动干预的工作。
2.ADN各元素在企业网络中的部署建议
●链路接入部分
o部署BIG-IPLController
选择两个或两个以上的不同ISP运营商,作为企业对Internet的出口,并在Internet出口处部署BIG-IPController,由链路控制器提供智能选路功能。
即可避免因单条Internet链路故障等问题造成的Internet故障,又可以解决各ISP运营商之间因为网间路由产生的访问瓶颈所造成的应用访问缓慢。
o部署Wom
如果企业的分支机构或合作伙伴在远程访问总部的应用数据时出现大量延迟,可以在访问端及总部LTM上集成部署Wom广域加速模块。
Wom可对文件传输、电子邮件、客户端-服务器应用、数据复制及其它应用进行加速,在广域网中实现局域网一样的应用性能。
o部署FirePass
借助FirePass强大的SSLVPN功能,企业将能够支持在家办公或在路上移动办公的员工,使用任何支持Web的设备(如PDA,手机等),通过任意接入网络随时随地安全地远程访问网络资源。
o部署BIP-IPGlobaltrafficmanagement
一旦企业建立灾备中心并部署了BIP-IPGlobaltrafficmanagement后,当主中心的IDC出现站点级别的重大事故时,BIG-IP全球流量管理器可以智能将用户的请求导向备份中心,及时恢复业务。
BIG-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- F5 应用 交付 解决方案 综述