【51CTO.com原創(chuàng)稿件】專家介紹： 吳靜濤，F(xiàn)5大中華區(qū)首席技術(shù)官。1999年開(kāi)始進(jìn)入應(yīng)用交付的前身-負(fù)載均衡領(lǐng)域，2002年加入F5 Networks，能夠從系統(tǒng)架構(gòu)層面如何進(jìn)行靈捷部署提出自己的獨(dú)到見(jiàn)解，涉及技術(shù)包括應(yīng)用高可用技術(shù)，優(yōu)化技術(shù)和應(yīng)用安全防護(hù)技術(shù)等，對(duì)互聯(lián)網(wǎng)的新技術(shù)有深入理解與掌控。

　在未來(lái)科技時(shí)代，應(yīng)用交付應(yīng)該如何發(fā)展?

　　過(guò)去，金融、電信行業(yè)的大客戶非常樂(lè)意選擇F5的雙活數(shù)據(jù)中心解決方案，因?yàn)镕5的這個(gè)解決方案能夠快速地把一個(gè)容災(zāi)中心變成可以同時(shí)使用的雙活的數(shù)據(jù)中心，投資回報(bào)率等于翻一倍。

　　隨著時(shí)代發(fā)展，這些客戶開(kāi)始希望在公有云、私有云與混合云構(gòu)建之間，找到一個(gè)新的平衡點(diǎn)。有的客戶已經(jīng)擁有了一個(gè)非常好的運(yùn)行的雙活數(shù)據(jù)中心，可同時(shí)又想選擇另外一個(gè)公有云。眾所周知，自己搭建的數(shù)據(jù)中心和公有云的環(huán)境不同，運(yùn)營(yíng)方式也不相同，以應(yīng)用交付的安全策略為例，不同公有云之間的運(yùn)行方法都不一致。那么究竟該如何保證客戶自己的雙活數(shù)據(jù)中心、公有云，乃至不同云之間，都能取得一個(gè)完全一致的應(yīng)用交付策略呢?

[[221950]]

[[221951]]

吳靜濤，F(xiàn)5大中華區(qū)首席技術(shù)官

　　這個(gè)問(wèn)題是很多客戶的困惑，也是F5努力的方向之一。F5希望在新科技云集的環(huán)境下，幫助企業(yè)客戶來(lái)解決這樣一個(gè)最直接的一個(gè)挑戰(zhàn)。

　　F5認(rèn)為，第一步客戶需要在傳統(tǒng)的數(shù)據(jù)中心的南北流量中，能夠享有更好的應(yīng)用交付服務(wù);第二步是在不同的云環(huán)境中，如何能更好地在應(yīng)用與應(yīng)用之間進(jìn)行東西流量的調(diào)度。這其中涉及到很多方面的協(xié)同，例如如何在同一個(gè)平臺(tái)上實(shí)現(xiàn)DevOp的操作，實(shí)現(xiàn)同平臺(tái)的交付跟調(diào)度、外部移動(dòng)互聯(lián)網(wǎng)用戶如何優(yōu)化、新的安全隱患如何化解，如何做應(yīng)用級(jí)別甚至API級(jí)別的可編程對(duì)抗防護(hù)，這將是一個(gè)探索、研發(fā)和產(chǎn)出并進(jìn)的階段。

　　當(dāng)南北流量進(jìn)入雙活數(shù)據(jù)中心之后……

　　當(dāng)南北流量從外邊的用戶端到達(dá)客戶的雙活數(shù)據(jù)中心之后，用戶應(yīng)該采用什么樣的應(yīng)用交付技術(shù)?F5最近就在針對(duì)全平臺(tái)做硬件性能的大幅度提升。過(guò)去每過(guò)兩三年，F(xiàn)5都會(huì)提升一次平臺(tái)性能，以配合業(yè)界的發(fā)展。

　　BIG-IP的2000系列將慢慢退出市場(chǎng)，新一代的平臺(tái)是i2600、i4600一系列的X600為模板的系列，該系列最大的特色就是在價(jià)格不變的前提下，性能翻倍。過(guò)去F5其產(chǎn)品性能一直引領(lǐng)應(yīng)用交付市場(chǎng)，現(xiàn)在國(guó)家再次在推倡客戶接入帶寬升級(jí)，那么隨著越來(lái)越多的帶寬的接入，就必然要求客戶的數(shù)據(jù)中心有更大的吞吐。所以在這個(gè)時(shí)間段，F(xiàn)5適時(shí)推出下一代的高性能平臺(tái)，能夠?qū)δ媳钡牧髁窟M(jìn)入提供一個(gè)更好的應(yīng)用交付服務(wù)。

　　除了性能需要提升之外，應(yīng)用的環(huán)境也發(fā)生了很大的變化?，F(xiàn)在絕大多數(shù)應(yīng)用都不僅僅是一個(gè)WEB、APP、DB這樣一個(gè)簡(jiǎn)單的環(huán)境，例如一個(gè)用戶在接入的過(guò)程中，可能首先通過(guò)一個(gè)登錄認(rèn)證的網(wǎng)關(guān)，同時(shí)還可能涉及到GPS定位的網(wǎng)關(guān)、支付的網(wǎng)關(guān)，很多都是由API接口構(gòu)成的一個(gè)復(fù)雜環(huán)境。傳統(tǒng)的負(fù)載均衡或者應(yīng)用交付能力已經(jīng)不太能滿足實(shí)際的需求。

　　對(duì)此F5的構(gòu)想是希望在云端各個(gè)API接口調(diào)用的過(guò)程中，能夠以虛機(jī)的形式，在Docker的環(huán)境里實(shí)現(xiàn)對(duì)東西流量的交付服務(wù)。這是一個(gè)全新的架構(gòu)，它在私有云、公有云中，特別是在Docker跟DevOps的環(huán)境當(dāng)中，將會(huì)起到非常重要的作用。

　　如何做同平臺(tái)的調(diào)度?

　　有一個(gè)現(xiàn)象大家生活中很常見(jiàn)：當(dāng)人們打開(kāi)手機(jī)端的APP，從辦公室走向停車場(chǎng)時(shí)，網(wǎng)絡(luò)由Wi-Fi變成普通4G，很明顯，手機(jī)端網(wǎng)絡(luò)接入的原地址會(huì)改變。那么當(dāng)客戶端的Source IP原地址變更了，在數(shù)據(jù)中心服務(wù)的過(guò)程當(dāng)中，系統(tǒng)是否會(huì)認(rèn)為這不是一個(gè)人，從而中斷應(yīng)用服務(wù)?進(jìn)而要求客戶重新登錄認(rèn)證?

　　這樣的處理方式客戶肯定不能接受。那么應(yīng)該如何處理呢?F5有非常好的解決辦法：在雙活數(shù)據(jù)中心跟云的過(guò)渡過(guò)程中，F(xiàn)5可以實(shí)現(xiàn)在客戶端第一次進(jìn)來(lái)登錄認(rèn)證完成之后，F(xiàn)5給他分配了一個(gè)DCID，不論接入環(huán)境如何改變，只要DCID不變，系統(tǒng)都可以快速判斷出該用戶整個(gè)服務(wù)鏈路，于是可以仍然在原地址上繼續(xù)提供服務(wù)，確保用戶應(yīng)用不中斷。

　　毫無(wú)疑問(wèn)，這是在多云調(diào)度過(guò)程中必須實(shí)現(xiàn)的一個(gè)技術(shù)，也是F5在推廣同平臺(tái)服務(wù)時(shí)，客戶經(jīng)常咨詢的一個(gè)現(xiàn)象。F5的愿景是希望讓客戶的應(yīng)用在數(shù)據(jù)中心、在不同云環(huán)境中，都能夠以統(tǒng)一平臺(tái)去做調(diào)度實(shí)現(xiàn)，而且在每個(gè)調(diào)度的過(guò)程當(dāng)中都可以經(jīng)過(guò)API接口直接調(diào)用，而不是以前的人工手工配置。

　　移動(dòng)應(yīng)用如何優(yōu)化?

　　現(xiàn)如今App使用率越來(lái)越高，手機(jī)銀行短短幾年內(nèi)就占據(jù)了網(wǎng)銀一半的客戶訪問(wèn)量，而且這個(gè)比例還在不斷升高。APP的使用率越來(lái)越高，這同時(shí)也意味著對(duì)移動(dòng)用戶的優(yōu)化正在成為一個(gè)非常重要的課題。

　　F5曾在數(shù)據(jù)中心做應(yīng)用監(jiān)控過(guò)程中發(fā)現(xiàn)，有時(shí)候從數(shù)據(jù)中心的運(yùn)維角度去看，客戶訪問(wèn)非常正常，沒(méi)有任何問(wèn)題，但實(shí)際上卻不斷接到移動(dòng)用戶的投訴。這顯然給用戶的使用帶來(lái)非常不好的體驗(yàn)。F5認(rèn)為，真正以用戶為中心的新的平臺(tái)建設(shè)過(guò)程當(dāng)中，每一個(gè)用戶都非常重要，因此移動(dòng)應(yīng)有的優(yōu)化需要做的更加合理普遍。以一家銀行客戶為例，銀行的外網(wǎng)通過(guò)不同的運(yùn)營(yíng)商十幾條線路接入互聯(lián)網(wǎng)，運(yùn)營(yíng)商的路由協(xié)議BGP每?jī)芍苷{(diào)整一次，這可能導(dǎo)致有的客戶接入網(wǎng)絡(luò)的鏈路會(huì)比較曲折，有的山西用戶要通過(guò)日本路由地址才能接回?cái)?shù)據(jù)中心，速度慢，體驗(yàn)非常差。

　　為了解決這個(gè)問(wèn)題，F(xiàn)5能夠根據(jù)用戶的實(shí)際需求，每?jī)蓚€(gè)星期或者每個(gè)月進(jìn)行一次準(zhǔn)動(dòng)態(tài)的調(diào)整，配合外網(wǎng)真實(shí)變化。如此一來(lái)，在完全不增加帶寬成本的情況下，就可以提高外網(wǎng)用戶實(shí)時(shí)體驗(yàn)。這就是F5為了優(yōu)化用戶體驗(yàn)所做的努力。

　　可編程的現(xiàn)場(chǎng)對(duì)抗，帶來(lái)更高水準(zhǔn)的安全防護(hù)

　　F5目前是全球應(yīng)用安全防火墻最高出貨量的廠商，沒(méi)有之一。在過(guò)去的幾年里，F(xiàn)5對(duì)應(yīng)用安全的投入越來(lái)越高。那么F5究竟如何在應(yīng)用安全領(lǐng)域幫助客戶的呢?

　　首先來(lái)看看API和Serverless(無(wú)服務(wù)器架構(gòu))。在過(guò)去的兩三個(gè)月里，Serverless非常流行，它給大家提供一個(gè)可能性，讓應(yīng)用被越多越多的拆開(kāi)，變成各個(gè)組件跟模塊，各個(gè)組件跟模塊之間都以互相調(diào)用來(lái)組成最后的應(yīng)用服務(wù)。事實(shí)上，最初這些模塊都是給內(nèi)部做調(diào)度使用的，并沒(méi)有安全方面的考慮，但是當(dāng)這些API 打包給外部提供服務(wù)時(shí)，就有可能遭受到安全攻擊，出現(xiàn)異常流量。

　　那么對(duì) API 的防護(hù)應(yīng)該如何去操作呢?其實(shí)客戶真正需要的是在用戶現(xiàn)場(chǎng)，用編程的方式去對(duì)應(yīng)用進(jìn)行安全加固。每個(gè)API都由自己去研發(fā)加固的可能性不大，更可行的方法是用一個(gè)可編程的對(duì)抗體系去在現(xiàn)場(chǎng)根據(jù)應(yīng)用特征，根據(jù)API實(shí)際需求做好應(yīng)用安全防護(hù)與鏈接管理，以及加固服務(wù)，這恰恰是F5的強(qiáng)項(xiàng)。在可編程方面、現(xiàn)場(chǎng)處理方面、應(yīng)用配合方面，F(xiàn)5可以完全地搭建出API整個(gè)安全防護(hù)體系，保障應(yīng)用的安全。

　　目前市場(chǎng)常規(guī)的安全解決方案，無(wú)論是防火墻、IPS、IDS、ICS，還是WAF，大多數(shù)都只能防范一些固定的、有特征的或者是已知的攻擊與異常流量。如果在一個(gè)10G流量的攻擊中，有DDoS攻擊，也有 RST攻擊或半連接攻擊，例如在一個(gè)特定的鏈接上有5000個(gè)訪問(wèn)，其中有一條是未知的攻擊流量，那么幾乎沒(méi)有任何安全可以進(jìn)行有效防護(hù)。F5認(rèn)為現(xiàn)在絕大部分態(tài)勢(shì)感知系統(tǒng)都可以做到非常好的數(shù)據(jù)收集與分析，但事實(shí)上如何去控制現(xiàn)網(wǎng)的業(yè)務(wù)流量，去控制應(yīng)用路由，實(shí)際上是要通過(guò)API接口，能夠讓設(shè)備用可編程的方式做現(xiàn)場(chǎng)對(duì)抗的一個(gè)過(guò)程?？删幊痰默F(xiàn)場(chǎng)對(duì)抗正是F5在安全防護(hù)中更大的一個(gè)優(yōu)勢(shì)。

　　F5現(xiàn)在已經(jīng)正式的把自己的Application Delivery Controller的名字改成了Integrated Application Service這樣一個(gè)完全整合應(yīng)用服務(wù)的新理念。希望能夠幫助大企業(yè)客戶在未來(lái)發(fā)展過(guò)程中，特別在交付服務(wù)方面能夠沒(méi)有后顧之憂，更快速地支持到自己的業(yè)務(wù)。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】