目的
當前,企業若要將應用程式向互聯網廣告宣傳或在多雲環境中連接應用程式,通常需要在資料中心的DMZ 區域中配置和管理來自不同供應商的多個網路和安全設備。透過將 F5 rSeries 設備連接到F5分散式雲端(XC),並在其上安裝客戶邊緣(CE)站點,這一過程將變得更加簡便。此舉還可以提供 API 保護、Web 應用防火牆、DDoS 防護、機器人緩解等安全服務。在 F5 rSeries上部署的 CE 是一種單一供應商的融合解決方案,專為企業的多雲應用連接與安全需求而設計。
本指南介紹了在F5 rSeries硬體上部署客戶邊緣站點的參考架構,並解釋了部署選項和將rSeries設備連接到F5分散式雲端平台的通用使用情境。
受眾
本指南適用於現有及潛在的F5 rSeries 客戶,這些客戶的應用程式是由 rSeries 上的 BIG-IP 進行負載平衡,並希望透過F5全球網路將其應用程式發佈至互聯網,或在混合雲或邊緣使用情境下發佈至其他網路/雲端,並為這些應用程式啟用F5 XC分散式雲端服務。本指南的目標讀者還包括技術人員,如網路運維團隊(NetOps)和解決方案架構團隊,這些讀者希望深入了解如何在rSeries設備上部署高可用的F5分散式雲端客戶邊緣(CE)站點的各種選項。
本指南假設讀者已熟悉路由協定、DNS 及 VLAN 等基本概念,並且對各種F5 XC概念有基本認識,例如負載平衡、BGP配置、站點與虛擬站點、站點本地內部(SLI)和站點本地外部(SLO)介面。
介紹
F5 rSeries 設備是一個新一代硬體平台,具備高度可擴展的微服務架構,用於支援您的關鍵任務應用程式和網路部署。它提供了一個整合平台,支持 BIG-IP 應用程式交付服務以及使用 F5 XC 客戶邊緣(Customer Edge)的F5 XC 多雲應用連接和安全服務。
BIG-IP 通過應對各類流量需求,確保應用程式的持續可用性,讓使用者能夠隨時存取所需的應用。通過靜態和動態負載平衡消除單點故障,BIG-IP 能夠幫助您的組織在任何情況下保持應用程式的高可用性和可靠性。
透過在 rSeries 設備上部署CE並將其連接至雲端,使用者可以實現跨混合雲或邊緣/分支地點的無縫應用程式交付和連接,或輕鬆地透過 F5 XC 全球網路將應用程式發佈至互聯網,並利用區域邊緣節點來卸載 DDoS 保護、Web 應用和 API 保護(WAAP)等安全服務。
使用案例
將應用程式發佈至互聯網
如果需要將 BIG-IP 上的虛擬伺服器發佈至互聯網,傳統上必須在資料中心的 DMZ 區域配置和管理多個網路與安全設備,以執行例如從公有 IP 到虛擬伺服器私有 IP 的 NAT轉換、DDoS防護、防火牆、DNS解析等操作。透過在 rSeries 設備上安裝 CE 站點並將其連接至雲端,這一過程可以大大簡化。
使用 F5 XC 控制台,使用者可以配置分散式負載平衡器(HTTP或TCP),將 BIG-IP 虛擬伺服器添加到其資源池並將其發佈至互聯網。F5 XC 會自動通過其全球網路中所有 PoP 位置的 REs,使用任播 IP 地址發佈虛擬伺服器,並將該域名添加到公有 DNS 區域,還為 HTTPs 端點提供自動證書。使用者還可以從同一個中央控制台啟用安全功能,例如 WAF、DDoS 防護、API 檢測等。此外,使用者還可以利用其他 F5 XC 服務,如 DNS 負載平衡和 CDN 來支援公有應用程式。
混合雲應用程式交付
隨著應用程式從內部資料中心轉移至公有雲,我們需要混合雲的網路和安全性來確保業務的連續性。傳統上,這是通過私有連接至雲端、SD-WAN 或 VPN 來實現的。然而,這會將整個網路暴露於雲端,並且需要額外的安全設備,如防火牆,來限制 IP 地址的存取。由於 IP 地址可能是短暫的,且應用程式是動態的,在這種傳統架構下管理安全性變得具有挑戰性。
使用者可以透過 F5 XC 的分散式負載平衡器,利用已連接雲端的 rSeries 設備來簡化應用程式的連接。使用者可以使用 F5 XC 的控制台將 BIG-IP 虛擬伺服器添加到其資源池,並將其發佈到一個或多個公有雲站點。這樣可以僅將需要的應用程式和 API 廣告給其他網路/雲端,而無需直接連接網路,從而簡化管理並減少應用程式的攻擊面。
此外,使用者還可以透過 F5 XC 控制台為這些應用程式啟用安全服務,如 WAF、API 檢測等。
邊緣應用程式交付
對於需要存取資料中心服務的邊緣應用程式(例如分公司應用程式需要存取內部的資料庫),傳統解決方案是使用 SD-WAN 或 VPN 來連接網路。然而,這會帶來許多挑戰,例如IP地址重疊以及管理數百個 VPN連接。此外,分公司地點本質上安全性較低,因此保護這些大量連接成為一項運營挑戰。
使用者可以通過 F5 XC App Connect 簡化這一過程,將 BIG-IP上的內部虛擬伺服器廣告至所有邊緣站點,只需使用單一的分散式負載平衡配置。BIG-IP 虛擬伺服器可以被添加到資源池,並與內部 rSeries 設備上的虛擬站點關聯,然後廣告至包含所有分公司的虛擬站點。這樣一來,任何對負載平衡的變更都會自動同步應用到所有分公司,保持一致且易於管理。此外,僅將所需的 API 和應用程式進行廣告,這樣可以減少攻擊面。額外的 F5 XC 安全服務也可以在負載平衡器上啟用,並通過簡單的幾次點擊應用到所有分公司。
效益:
在上述每個使用情境中,F5 分散式雲端(XC)與BIG-IP相輔相成,透過在 F5 rSeries 平台上的整合解決方案,提供增強的多雲應用程式交付體驗。使用這種「更好搭配」解決方案的好處包括:
- 輕鬆跨多個雲端連接應用程式
- 克服不同連接網路之間的IP地址重疊問題
- 使用 iRules 進行自定義流量管理
- 使用 APM 和其他 API 閘道功能進行驗證
- 提供進階安全功能,如 API 保護、Web 應用防火牆、DDoS 防護、機器人緩解等
- 支援跨雲端傳遞舊有應用程式
- 啟用XC本身不支援的功能,例如數據重寫、服務配置文件等
- 提供單一供應商解決方案,滿足多雲環境中的所有應用安全、連接性及負載平衡需求。客戶無需為技術支援與不同供應商合作。
CE 部署拓撲
F5 rSeries 設備上可以部署多個虛擬設備。每個虛擬設備的實例(例如BIG-IP、BIG-IP Next 或 CE)稱為一個租戶。F5 建議配置兩台 rSeries 設備,讓它們的租戶配置相同,並在租戶層級維持高可用性(HA)關係。F5OS 平台層沒有提供 rSeries 設備之間的冗餘,這些設備本身對其他設備的存在不知情,也沒有在此層級進行 HA 通訊;HA 關係是由租戶之間建立的。rSeries 不支援在同一台設備內部進行租戶的 HA配置,必須在不同設備中的租戶之間進行配置。
關於 F5 rSeries 設備上的租戶網路配置細節,請參考 rSeries 網路配置。rSeries 設備有一個帶外管理網路,供租戶使用。但CE沒有管理介面,因此其介面連接到內聯 VLAN,如下圖所示的拓撲結構。
1. 在兩台或更多rSeries設備上部署虛擬站點
如果您有兩台 rSeries 設備,您可以在每台設備上部署一個單節點 CE Mesh 站點。這些 CE 必須被分組到一個虛擬站點中。CE 的 SLO 和 SLI 介面必須連接到相應的 VLAN,如下圖所示。其他租戶也可以部署在同一台設備上,例如,圖中展示了以主備模式部署的 BIG-IP。
BIG-IP 的 VLAN 必須可以從 SLI VLAN 存取。
如果您有兩個以上的 rSeries 設備,則可以在更多設備上部署 CE。不需在每個 rSeries 設備上部署 CE。
2. 在一台rSeries設備上部署單節點CE
如果高可用性不是關注的重點,而且您只有一台rSeries設備,您可以在其上部署一個單節點CE。由於我們只有一個 CE 站點,因此不需要將其添加到虛擬站點中。
3. 僅適用於兩台或更多 rSeries 設備上部署CE
如果您的 rSeries 設備上沒有部署其他租戶(例如沒有部署BIG-IP),則可以將所有可用資源分配給部署在其上的 CE 站點。這些 CE 必須被分組到一個虛擬站點中。
虛擬站點和冗餘
一般情況下,建議使用三節點集群的 CE 站點作為推薦的部署拓撲。但對於在 F5 rSeries 設備上的 CE 部署,建議在每台 rSeries 設備上部署單節點 CE 站點,並將它們分組到虛擬站點中。虛擬站點提供了一種在多個站點上同時執行操作的機制,避免了對每個站點重複相同操作的需要。每個單節點站點連接到兩個地理上最近的RE,因此具有兩條隧道以實現冗餘。因此,每個虛擬站點的隧道總數是其中 CE 數量的兩倍。這提供了一種簡單的方法來通過添加所需數量的 CE 來擴展 RE-CE 頻寬。
效益
- 水平可擴展-大量站點可以成為虛擬站點的一部分。
- 提高傳輸能力-虛擬站點中的每個站點都有2條 CE-RE 隧道。
- 配置統一管理-像負載平衡器和安全策略這樣的配置可以一次應用到虛擬站點,並自動實現於虛擬站點中的每個站點。
- 逐個升級-可以逐個升級站點,以避免應用程式的停機時間。
即使是內部應用程式通過 F5 分散式雲存取 SaaS 應用程式,也可以將 SaaS 應用程式廣告至內部虛擬站點的 SLI,並將 SLI IP 地址添加到 BIG-IP 的資源庫中。透過這種方式,BIG-IP 會將流量分配到虛擬站點中的所有 CE,並保持冗餘。
例如,上圖顯示了 AWS Lambda 應用程式被通告至內部虛擬站點,並由BIG-IP負載平衡至內部應用程式。這些站點在此例中使用 Hub-Spoke 站點網狀群組(SMG)連接,其中3節點的 AWS CE 充當中心(Hub)。在這種模式下,每個來自 Spoke 的 CE 將與中心站點的每個控制節點形成一條隧道。因此,虛擬站點中的每個 CE 與 AWS 上的中心站點有3條隧道。
版本支援
使用 F5 XC Customer Edge 的雲端連線 rSeries 裝置的此功能受下列支援:
- F5 r系列設備:5600 / 5800 / 5900/ 10600 / 10800 / 10900 / 12600 / 12800 / 12900
- F5OS:v1.8.0 版本或更高版本。
- F5 XC CE:2024 年 7 月發布或更高版本。
CE 規格指南
每個 CE 節點的最低資源需求為 4 個 vCPU、14 GB RAM 和 80 GB 磁碟。
F5根據效能需求推薦了三種規格的節點:
- 小型:4 個 vCPU 16 GB RAM
- 中型:8vCPU 32 GB RAM
- 大型:16vCPU 64 GB RAM
儘管建議使用上述大小,但可以根據效能需求建立 CE 以在平台上使用額外的 vCPU。 rSeries 平台上可供租用戶使用的 vCPU 數量因 SKU 的不同而異。
有關更多詳細訊息,請參閱rSeries 平台 vCPU 大小調整。
文章來源:DevCentral