Escolar Documentos
Profissional Documentos
Cultura Documentos
Papel blanco
por F5
PAPEL BLANCO
®
Introducción
La explosión en el número de dispositivos conectados y el crecimiento previsto de las comunicaciones machineto-máquina
están colocando nuevas demandas a la infraestructura de aplicaciones centradas en la actualidad. Reconociendo la necesidad
de más fl exible de capacidad, la mejora de la disponibilidad y valor de tiempo de al-rápido, las organizaciones están adoptando
soluciones innovadoras como la computación en nube híbrida, fi nida de redes de software-de, y en DevOps-influenciada
técnicas de suministro ágiles. El desafío de este entorno impulsado por la nube presenta a TI y sus proveedores es la creación
de nuevas arquitecturas de distribución de aplicaciones que aumentan y se integran con estos cambios subyacentes en la
infraestructura. Al mismo tiempo, estas arquitecturas todavía deben suministrar los servicios de aplicación de capa de 4-7 como
Para hacer frente al reto de crear un nuevo modelo de distribución de aplicaciones, F5 ha transformado el diseño de
las redes tradicionales de pares de alta disponibilidad de dispositivos de hardware para crear una nueva arquitectura
El tejido de los servicios de F5 crea un contenedor escalable, todo activo de gran alcance capa de 4-7 servicios de aplicaciones
entregadas como un fondo de recursos flexible. Diseñado para escalar tanto hacia arriba (a través de las actualizaciones de hardware y
licencias) y hacia fuera mediante la adición de más dispositivos, la tela ofrece una capacidad flexible, más e fi ciente de alta disponibilidad
y está listo para ser integrado en los sistemas de automatización a través de una potente API.
Las telas pueden ser creados en los dos centros de datos tradicionales y en entornos de nube y se pueden
conectar a través de muchas capas base y capas de la red. Además, las telas pueden contener ambos aparatos
BIG-IP físicos y virtuales y pueden alojar los servicios suministrados por LineRate punto de carga de componentes
Con los servicios de aplicaciones ahora entregados por un tejido consolidado, multidispositivo, es esencial que estos servicios
se pueden compartir de manera efectiva a través de múltiples aplicaciones, unidades de negocio o clientes con los niveles
adecuados de seguridad y aislamiento para adaptarse a la organización. capacidades multi-tenencia son flexibles, por lo tanto,
mejor utilización de las infraestructuras, los mismos beneficios subyacentes que las “primeras olas fi” de las plataformas
de virtualización de servidores y la nube prometido. Al consolidar más servicios en menos dispositivos (físicos o
virtuales), el ahorro en la adquisición, el apoyo continuo, y la administración se pueden realizar. Al igual que en la
virtualización y la nube, la agilidad es un signi fi cativo beneficio obtenido de la tela y los servicios de multi-alquiler.
1
de aplicaciones de proxy LineRate de precisión y de equilibrador .
Con los servicios de aplicaciones ahora entregados por un tejido consolidado, multidispositivo, es esencial que estos servicios
se pueden compartir de manera efectiva a través de múltiples aplicaciones, unidades de negocio o clientes con los niveles
PAPEL BLANCO
adecuados de seguridad y aislamiento para adaptarse a la organización. capacidades multi-tenencia son flexibles, por lo tanto, ®
mejor utilización de las infraestructuras, los mismos beneficios subyacentes que las “primeras olas fi” de las plataformas
de virtualización de servidores y la nube prometido. Al consolidar más servicios en menos dispositivos (físicos o
virtuales), el ahorro en la adquisición, el apoyo continuo, y la administración se pueden realizar. Al igual que en la
virtualización y la nube, la agilidad es un signi fi cativo beneficio obtenido de la tela y los servicios de multi-alquiler.
Una vez que los nuevos servicios se pueden aprovisionar a una infraestructura existente, sin la necesidad de comprar o
crear nuevos componentes, el tiempo para el suministro (y desabastecer) nuevos servicios se reduce drásticamente. Con
un aislamiento seguro de las redes y las cargas de trabajo, nuevos clientes, proyectos o unidades de negocio pueden ser
revisados por un pool de recursos ampliable suministro de la capa de 4-7 servicios que requieren sus aplicaciones.
Mientras todo esto rápido (y, a menudo auto-servicio) de suministro de infraestructuras aporta valor a las líneas de negocio que
consumen los servicios, sino que también debe facilitar el control y la supervisión del departamento de TI. Mediante la creación
de servicios estandarizados disponibles desde la tela de los servicios, y la asignación de controles de recursos a los inquilinos,
TI puede distribuir los costes de infraestructura a los inquilinos especí fi cas. Mientras devolución de cargo es un negocio y
decisiones de la organización, alguna forma de “showback” debe ser visto como un requisito para los requisitos de varios
inquilinos. Esto es especialmente cierto en las organizaciones que tienen una gran demanda de TI sin explotar, que autoservicio
La entrega de multi-alquiler
Las organizaciones tienen diferentes requisitos técnicos y de negocio para multitenencia dependiendo de factores tales como la
naturaleza de sus negocios (por ejemplo, requisitos normativos o de mercado alrededor de la seguridad de datos), sus modelos de
financiación, o su estrategia de TI más amplio. F5 ofrece una serie de diferentes modelos de múltiples clientes para permitir a los
clientes crear una arquitectura que se adapta mejor a sus necesidades individuales. A continuación se presentan cuatro modelos de
múltiples clientes, seguido por sugerencias sobre la manera de asignar cada uno a un conjunto particular de los requerimientos del
negocio.
diseño multi-arrendatario flexible que ofrece tanto la aplicación de trá fi co aislamiento y separación administrativa entre
los inquilinos. dominios de rutas y particiones administrativas están disponibles en todas las plataformas BIG-IP.
2
dominios de ruta y particiones administrativas
dominios de rutas y particiones administrativas, tecnologías BIG-IP de dos centrales, se pueden utilizar para crear un
PAPEL BLANCO
diseño multi-arrendatario flexible que ofrece tanto la aplicación de trá fi co aislamiento y separación administrativa entre
®
Diseños multi-alquiler
los inquilinos. dominios depara
rutasely F5 de alto administrativas
particiones rendimiento Servicios de Telaen todas las plataformas BIG-IP.
están disponibles
Dominios de ruta crear espacios de direcciones fi nidas estrictamente de dentro de una red. Cada dominio de ruta contiene
espacios de direcciones IP, información de enrutamiento, y VLANs. espacios de direcciones IP pueden ser duplicadas entre
dominios, lo que permite una fácil reutilización de la RFC 1918 direccionamiento privado para múltiples clientes o proyectos.
dominios de ruta se pueden estrictamente aislados uno de otro, o han controlado explícitamente el acceso entre ellos. Esto
permite que un “front end” común que se presentará a una red de acceso pero con servicios que se ejecutan dentro de los
espacios dedicados inquilino. A pesar de que los recursos del sistema no se dedican de forma explícita, cada dominio puede
ser la tasa de conexiones o limitado por el rendimiento para proporcionar alguna restricción de recursos. Este diseño permite el
uso deficiente más ef de recursos del sistema, ya que cada dominio va a consumir sólo los recursos que necesita.
particiones administrativos garantizar que los usuarios especí fi cos tienen acceso a sólo las particiones para las
que están autorizados. Esto es además del acceso basado en roles que restringe a los usuarios a las operaciones
especí fi cas. Con particiones administrativas, objetos con fi guración se colocan en particiones fi cos que sólo los
usuarios autorizados puedan acceder. Mientras que este diseño tiene algunos límites en cuanto al número de
objetos y particiones, es muy capaz de mantener muchos cientos de particiones administrativas y dominios de ruta,
VcMP
Virtual en clúster multiprocesamiento (VcMP) crea varias instancias, aisladas del software BIG-IP en una sola
plataforma de hardware F5. Cada instancia tiene su propia CPU, memoria y disco, y puede tomar ventaja de
múltiples núcleos de CPU asignados utilizando el mismo diseño de multiprocesamiento en clúster utilizado en todas
1
las plataformas de F5. “invitados” BIG-IP de F5 carrera de hardware VcMP y usar una, purposebuilt hipervisor basado
3
VcMP
Virtual en clúster multiprocesamiento (VcMP) crea varias instancias, aisladas del software BIG-IP en una sola
plataforma de hardware F5. Cada instancia tiene su propia CPU, memoria y disco, y puede tomar ventaja de
múltiplesBLANCO
PAPEL núcleos de CPU asignados utilizando el mismo diseño de multiprocesamiento en clúster utilizado en todas
®
1
las plataformas
Diseños de F5. “invitados”
multi-alquiler para el F5BIG-IP de F5
de alto carrera de Servicios
rendimiento hardware VcMP y usar una, purposebuilt hipervisor basado
de Tela
en estándares que proporciona una seguridad robusta y aislamiento.
2
Cada huésped VcMP puede ejecutar una versión aislado, independiente del software BIG-IP, permitir la diferenciación de los
servicios utilizados por los inquilinos, y ser actualizadas o reiniciado sin interrupción a otros huéspedes. Además, en las
plataformas VIPRION, las instancias de los huéspedes pueden ser dinámicamente escalar a consumir más recursos según se
requiera. Diferente número de núcleos se pueden asignar a los clientes que se ejecutan en una plataforma para permitir la
creación de los inquilinos con diferentes capacidades. Además, los huéspedes pueden asignarse a redes dedicadas o redes
La visibilidad de la infraestructura de red es controlada por el hipervisor-huéspedes sólo puede ver y acceder a sus redes
asignadas. La autenticación y el acceso son controlados individualmente por cada huésped, como es el diseño de alta
disponibilidad, que puede variar entre los huéspedes. Dado que cada huésped es una versión completa del sistema BIG-IP,
multi-alquiler adicional, el uso de dominios de rutas y particiones de administración, puede ser activado dentro de cada uno.
Esto podría permitir a un proveedor de servicios (que podría ser un equipo de TI con los consumidores comerciales
internos) para ofrecer diferentes niveles de multi-alquiler, diferenciados por niveles de aislamiento o el acceso del cliente.
El número máximo de huéspedes VcMP que se pueden crear en una plataforma BIG-IP en particular está determinada
por la memoria de la CPU los núcleos disponibles y otros recursos del sistema. Ya que los huéspedes son núcleos de
3
CPU-duro asignado, sin sobre-aprovisionamiento, este diseño promueve un menor número de clientes de mayor
capacidad al tiempo que permite mayores niveles de aislamiento y seguridad que otros modelos. VIPRION chasis y
proveedores de servicios para crear entornos de computación múltiples clientes con máquinas virtuales que comparten una
infraestructura de cómputo subyacente. Con ediciones de software BIG-IP de F5 y LineRate para hipervisores populares, las
4 5
organizaciones pueden construir soluciones usando inquilino ediciones virtuales dedicados de la misma manera que lo han
por la memoria de la CPU los núcleos disponibles y otros recursos del sistema. Ya que los huéspedes son núcleos de
3
CPU-duro asignado, sin sobre-aprovisionamiento, este diseño promueve un menor número de clientes de mayor
capacidad al tiempo que permite mayores niveles de aislamiento y seguridad que otros modelos. VIPRION chasis y
proveedores de servicios para crear entornos de computación múltiples clientes con máquinas virtuales que comparten una
infraestructura de cómputo subyacente. Con ediciones de software BIG-IP de F5 y LineRate para hipervisores populares, las
4 5
organizaciones pueden construir soluciones usando inquilino ediciones virtuales dedicados de la misma manera que lo han
Con instancias virtuales separadas que proporcionan servicios de aplicaciones dedicadas a los inquilinos específicos, los
servicios de la capa 4-7 que las aplicaciones de inquilinos requieren pueden ser fuertemente acoplados a los servidores de
aplicaciones. Esto crea un paquete totalmente aisladas de con fi guración que puede ser replicado o emigraron a otros lugares
para escala o disponibilidad fácilmente. Con una selección de plataformas soportadas F5, las organizaciones pueden escoger el
BIG-IP Completa de características de la plataforma BIG-IP: módulos de software, iRules, plantillas de aplicaciones, base de
Virtual datos de análisis. necesidades de recursos más altos para el disco, CPU y memoria.
Edition
LineRate Un simple y de alto rendimiento, pero equilibrador de carga ligera. Adecuado para despliegues a gran
Point escala donde se requieren cientos de casos. Orquestación listo con una API REST completa.
LineRate Punto extiende LineRate en un proxy de aplicación de alto rendimiento que ofrece una ruta de datos
precisión totalmente programable usando Node.js con acceso a miles de módulos de Node.js.
Toda la gestión de los recursos, al igual que los componentes del servidor, es manejado por el marco de
5
virtualización subyacente. Los dispositivos virtuales BIG-IP y LineRate están disponibles en diferentes capacidades
LineRate Un simple y de alto rendimiento, pero equilibrador de carga ligera. Adecuado para despliegues a gran
Point escala donde se requieren cientos de casos. Orquestación listo con una API REST completa.
LineRate Punto extiende LineRate en un proxy de aplicación de alto rendimiento que ofrece una ruta de datos
PAPEL BLANCO
precisión totalmente programable usando Node.js con acceso a miles de módulos de Node.js. ®
Toda la gestión de los recursos, al igual que los componentes del servidor, es manejado por el marco de
virtualización subyacente. Los dispositivos virtuales BIG-IP y LineRate están disponibles en diferentes capacidades
de rendimiento (actualizables por la licencia), por lo que los inquilinos se puede dar tanta capacidad, ya que
El modelo de edición virtual del multitenencia ofrece una escalabilidad prácticamente ilimitada, como adicionales VE
dispositivos pueden ser creados según sea necesario. Con una selección de plataformas (ver recuadro), las organizaciones
pueden elegir entre dispositivos ligeros con funcionalidad central o plataformas que ofrecen una rica gama de
funcionalidades (como aplicación web fi rewalling, gestión de acceso remoto, y la aceleración de capa de aplicación), que
La gestión de los dispositivos virtuales múltiples creadas por este modelo inquilino tiene que ser una prioridad ya que es
probable que haya más casos de software independientes que en el dominio de ruta o modelos VcMP. La plataforma
6
BIG-IQ puede gestionar la creación, la concesión de licencias, y la gestión de dispositivos virtuales BIG-IP sin embargo una
Mientras que los dispositivos virtuales F5 de todos los sabores ofrecen una amplia gama de servicios de aplicaciones,
que les falta el hardware especializado de las plataformas BIG-IP y VIPRION físicas.
Híbrido
Cuando las organizaciones requieren de Denegación de Servicio Distribuida (DDoS) mitigación de ataques, servicios fi
cortafuego a escala, de alto volumen sesión SSL descifrado y hardware dedicado puede ser más rentable que una
infraestructura informática de los productos básicos. Al mismo tiempo, las ventajas del modelo altamente escalable, flexible,
dispositivo virtual de multi-alquiler son muy atractivos. Un modelo híbrido ofrece lo mejor de ambos mundos. Se permite que
los servicios centrados en la red y separación básica fi c tráfico para ser manejados por un dispositivo de hardware
especializado de alta capacidad, y los servicios centrado en las aplicaciones tales como la gestión de tráfico c, aplicación fi
rewalling, o lógica de aplicación real para ser manejado por las piscinas de los dispositivos virtuales correspondientes.
6
infraestructura informática de los productos básicos. Al mismo tiempo, las ventajas del modelo altamente escalable, flexible,
dispositivo virtual de multi-alquiler son muy atractivos. Un modelo híbrido ofrece lo mejor de ambos mundos. Se permite que
los servicios centrados en la red y separación básica fi c tráfico para ser manejados por un dispositivo de hardware
especializado de alta capacidad, y los servicios centrado en las aplicaciones tales como la gestión de tráfico c, aplicación fi
PAPEL
rewalling,BLANCO
o lógica de aplicación real para ser manejado por las piscinas de los dispositivos virtuales correspondientes.
®
Además de las ventajas de la capacidad y la flexibilidad, el modelo híbrido ofrece una separación limpia de la
funcionalidad con los servicios de capa de red administrados en uno Servicios de componentes y la capa de
aplicación en otro.
los equipos de aplicaciones pueden tener un control administrativo completo de todos los dispositivos de nivel de aplicación,
pero con aislamiento de otros inquilinos, creando límites de fallo en el caso de configuración Miscon fi u otro error humano. Al
utilizar el equilibrio de carga capacidades del dispositivo de capa de red, dispositivos virtuales más pequeña de capa de
aplicación múltiples se pueden utilizar a escala horizontalmente con la aplicación de tráfico c distribuido más debajo de esa
capa.
Este modelo es altamente escalable ya que muchas de las plataformas BIG-IP están equipadas con hardware de procesamiento
de red que permite que cientos de Gigabits de rendimiento en un solo dispositivo. En la capa de servicios de aplicaciones a
continuación, las organizaciones pueden seleccionar de la plataforma que se adapte a sus necesidades comerciales y técnicas.
administración
Todos los dispositivos de F5 ofrecen CLI, interfaz gráfica de usuario y acceso a la API REST, lo que permite la gestión de con fi guración
manual o programática. Se recomienda la orquestación a través BIG-IQ u otra herramienta de orquestación uso de la API, para
garantizar operaciones repetidas fiables. Sin embargo, cuando los inquilinos necesitan una amplia personalización único, se utiliza la
En infraestructuras de múltiples inquilinos, la segregación y el control de acceso de administración es con frecuencia una
preocupación primordial como el impacto de Miscon fi guración puede afectar a más servicios, unidades de negocio o
clientes. Gestión de los sistemas que abarcan múltiples aplicaciones presenta objetivos de alto valor para el compromiso y
se debe dar una protección adecuada, especialmente cuando se exponen a las redes externas.
7
BIG-IP Access Policy Manager (APM) ofrece una completa gama de herramientas para autenticar la red, API, o interfaz gráfica de
administración
Todos los dispositivos de F5 ofrecen CLI, interfaz gráfica de usuario y acceso a la API REST, lo que permite la gestión de con fi guración
manual o programática. Se recomienda la orquestación a través BIG-IQ u otra herramienta de orquestación uso de la API, para
PAPEL BLANCO
®
garantizar operaciones repetidas fiables. Sin embargo, cuando los inquilinos necesitan una amplia personalización único, se utiliza la
Diseños multi-alquiler para el F5 de alto rendimiento Servicios de Tela
interfaz gráfica de usuario.
En infraestructuras de múltiples inquilinos, la segregación y el control de acceso de administración es con frecuencia una
preocupación primordial como el impacto de Miscon fi guración puede afectar a más servicios, unidades de negocio o
clientes. Gestión de los sistemas que abarcan múltiples aplicaciones presenta objetivos de alto valor para el compromiso y
se debe dar una protección adecuada, especialmente cuando se exponen a las redes externas.
BIG-IP Access Policy Manager (APM) ofrece una completa gama de herramientas para autenticar la red, API, o interfaz gráfica de
usuario el acceso a los dispositivos. Con características tales como un túnel de inscripción, chequeo de punto final, y un editor de
políticas altamente con fi gurable visual, BIG-IP APM puede ser usado para construir los controles de seguridad apropiadas para
Cada una de las arquitecturas descritas anteriormente ofrece un diseño multi-alquiler pero diferente válida. ¿Cómo deberían
las organizaciones seleccionar el mejor modelo para sus negocios? En primer lugar, deben entender sus prioridades en
La separación y el ¿Cómo están aislados los inquilinos de la carga de trabajo puede un inquilino afectan a los recursos disponibles para el
aislamiento otro? Cómo aparte es el acceso a la administración entre los inquilinos? Tenga en cuenta que todos los diseños ofrecen
Recursos e fi ¿Qué niveles de utilización se puede lograr? Esto suele ser un inverso al aislamiento métrica por encima de las
ciencia más recursos que son compartidos entre los inquilinos, menos el exceso de aprovisionamiento de sobrecarga es
Simplicidad ¿Qué tan complejo es el manejo probable que sea y cuánto coordinación
entre dispositivos es probable que se requiera? ¿Cuántas acciones herramientas de orquestación que tenga que tomar a
Flexibilidad ¿Cuántas diferentes servicios o arrendatario tipos Puede el soporte de diseño? ¿Puede haber diferentes
capacidades de software entre los inquilinos o diferentes versiones? ¿Qué tan ancha una serie de usos será el
apoyo a la infraestructura?
Con una ponderación de estos atributos, podemos examinar los cuatro diseños y les anotar en cada categoría. La tabla de
puntuaciones por debajo de las arquitecturas uno con respecto al otro- no en relación con la ponderación de sus necesidades
de un cliente en particular. Para obtener una guía amplia y sencilla, multiplicar la puntuación por debajo de la ponderación
Diseño ion SEPArAt y ion isolat Recursos e fi ciencia Simpl ty ici Flexibi ty li
VcMP ●●● ● ●● ●● 8
Con una ponderación de estos atributos, podemos examinar los cuatro diseños y les anotar en cada categoría. La tabla de
puntuaciones por debajo de las arquitecturas uno con respecto al otro- no en relación con la ponderación de sus necesidades
PAPEL BLANCO
de un cliente en particular. Para obtener una guía amplia y sencilla, multiplicar la puntuación por debajo de la ponderación
®
Diseños
superior enmulti-alquiler para el F5 de alto rendimiento Servicios de Tela
cada categoría.
Diseño ion SEPArAt y ion isolat Recursos e fi ciencia Simpl ty ici Flexibi ty li
VcMP ●●● ● ●● ●●
Esto crea un punto muy básico y puede eliminar algunos diseños de la consideración de un escenario particular.
obviamente, será necesaria una consideración más profunda con el fin de tomar una decisión informada de un diseño
sobre otro, o incluso un diseño personalizado construido a partir de componentes de cada modelo.
Resumen
Los diferentes modelos de múltiples clientes que ofrece la tela de servicios de alto rendimiento F5 permiten a un conjunto
coherente de servicios de aplicaciones para ser entregados a través de múltiples aplicaciones, unidades de negocio o
clientes, pero con los niveles de separación y aislamiento a medida para satisfacer las necesidades de la organización.
Como resultado, las empresas pueden lograr una mayor e fi ciencia, disminuir los costos y mejorar la agilidad, todo lo cual
será necesario para cosechar los bene fi cios de los cambios en curso en el entorno de TI.
1
http://www.f5.com/pdf/white-papers/vcmp-wp.pdf
2
http://www.f5.com/pdf/white-papers/multi-tenancy-security-vcmp-tb.pdf
3
https://support.f5.com/kb/en-us/solutions/public/14000/200/sol14218.html
4
https://linerate.f5.com
5
https://support.f5.com/content/kb/en-us/products/big-ip_ltm/manuals/product/vesupported-hypervisor-
6
https://f5.com/products/big-iq
F5 Networks, Inc.
401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 Américas Asia y el Pacífico Europa / Oriente Medio / África Japón
www.f5.com info@f5.com apacinfo@f5.com emeainfo@f5.com f5j-info@f5.com
© 2016 F5 Networks, Inc. Todos los derechos reservados. F5, F5 Networks y el logotipo son marcas comerciales de F5 F5 Networks, Inc. en los EE.UU. y en ciertos otros países. Otras marcas comerciales F5 se identifican en f5.com. Otros
productos, servicios o nombres de empresas mencionados en este documento pueden ser marcas comerciales de sus respectivos propietarios sin respaldo o afiliación, expresa o implícita, reivindicado por F5. 0113