將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/8/2

以應用為中心實施政策 保障新興應用可管理與安全性

全軟體ADC展累積功力 助DevOps實作自動化

洪羿漣
為了在全球數位化浪潮中贏得先機,現代企業莫不積極發展新興應用創造競爭優勢,對於微服務(Microservice)架構與容器(Container)技術環境寄予高度期望。
日前F5 Networks發布的2018年版應用程式交付現狀(The State of Application Delivery)年度研究報告中指出,亞太區受訪企業中有69%認同優化IT基礎架構將為數位轉型奠定基礎,並衍生出IT應用系統流程自動化與協作能力的需求,有44%表示應用開發方式因此而改變,正在評估探索微服務與容器技術的則有37%。現階段台灣多數企業進展的腳步雖較其他區域緩慢,但最終仍無法迴避數位化掀起的產業升級與變革聲浪。

打造協同工作平台降低溝通障礙

經由調查數據可發現,企業營運競爭力不可或缺的應用系統正在邁向新的里程碑,從既有單體式進化到微服務架構,進而推動應用落實部署模式的轉變,不僅只是架構於Hypervisor平台之上,亦大幅採用集結國際IT大廠組成的雲端原生運算基金會(CNCF)主導的開放原始碼軟體堆疊,其中最受關注的專案當屬Docker容器技術,以及負責自動部署、擴展、管理容器化應用程式的Kubernetes。

F5 Networks台灣區資深技術顧問陳廣融觀察,微服務架構的應用服務成功關鍵,必須得引進DevOps,亦即讓應用與維運團隊建立協同合作的工作模式。身為最貼近應用服務的ADC技術廠商,正擁有絕佳的優勢可成為輔助實踐的平台。


▲ F5 BIG-IP Cloud Edition全軟體的ADC方案為各個應用程式提供擴充性服務與安全防護。(資料來源:F5 Networks)


應用部署架構從虛擬化演進到Docker,可同時在雲端平台與地端實作,從而使企業IT架構發展成為多雲應用模式。若採用的是各個雲端平台供應商內建的負載平衡機制,單純就管理面而言,必須得先學習多種平台的操作邏輯與方式,才得以實踐協同作業的自動化運作模式。陳廣融指出,如此狀況下,F5正可發揮所長,運用近期推出的BIG-IP Cloud Edition協同工作機制輔助執行自動化配置,可供網路與安全維運人員事前定義範本,讓應用開發人員套用執行部署,簡化彼此之間溝通的障礙,同時補強Layer 4到Layer 7所需的彈性控管與整合元件能力。

謹慎看待新技術可能衍生新問題

▲ F5 Networks台灣區資深技術顧問陳廣融指出,ADC領域發展已超過二十年,不論應用架構演進到微服務,抑或式容器技術的多雲應用環境,仍須確保穩定、安全、高可用性,ADC廠商累積的領域知識與經驗同樣得以有所發揮。
負責維運建置於應用服務與存取用戶之間的ADC技術人員,最大的挑戰是必須持續不斷地學習各種新技術,並且掌握公有雲的運作邏輯進而發展整合機制。陳廣融指出,經過實際部署Docker與Kubernetes之後,即可發現容器技術之所以受到開源社群成員推崇的原因。相較於過去建置新系統,要先安裝作業系統、更新修補程式、設定網站服務參數,如今Docker映像檔案的產生,只要把所有底層套件先行以文字描述,部署時推送文字檔案即可Pull執行完成。

傳統的IT從業人員,通常是從安裝電腦的軟硬體開始學習。如今的世代則是虛擬主機從啟用到刪除,可以在完全無須登入下遠端派送執行指令操作即可,運行過程中萬一出現錯誤可直接刪除,立刻啟用新的虛擬主機遞補即可。

「業界常見的說法是,虛擬主機是分鐘級,而Docker卻可達到秒級,因此受到IT人員高度重視,不過由於技術來自開源社群,版本更新速度相當快,現階段仍有信任度的問題須突破,畢竟Docker屬於作業系統層的隔離,安全性與可用性是否足夠穩定,更是商業營運評估所關注的焦點。」陳廣融說。

他進一步說明,以虛擬環境來看,Hypervisor層之上啟用的虛擬主機,若無法達到確實隔離,則難以保證安全性。其實Hypervisor發展十多年來技術已足夠成熟,問題是駭客仍舊可以找到漏洞發動滲透入侵。發展至今大約五年左右的Docker,隔離程度絕對不及Hypervisor,畢竟Hypervisor是從底層硬體就已虛擬化,Docker則不涉及底層架構,因此必須有工具輔助確保安全性與可用性。

Cloud Edition建立應用等級控管措施

F5日前發布的BIG-IP Cloud Edition,為全軟體式的ADC方案,可融入於容器環境中,透過開放式API支援部署於內部資料中心抑或是各個雲端平台,DevOps團隊成員可透過圖形化儀表板,以應用服務為單位(Per App)的方式查看運行狀態、分析與控制,提高營運管理與溝通協調的效率。

陳廣融說明,F5設計以全代理式架構,主要運作核心為TMOS系統,制定的範本須區隔用戶端與伺服器端,各自以事件驅動執行處理用戶端連線到應用系統流量,是由iRule語法撰寫規則用以提高轉發效能,包含調整修改配置,語法本身主要採用標準Node.js實作,才得以降低整合新應用架構的門檻;至於外部介接是基於iControl API控制,可彈性整合自動化組態、網管等系統。

以部署架構來看,過去負載平衡通常建置在防火牆後方,屬於共享型態,全功能整合於單一設備,以資源池方式配置應用所需,並依據總體資源用量增添設備擴充叢集,BIG-IP Cloud Edition獨特之處即在於基於App來進行配置。搭配F5 Container Connector方案,就如同容器環境的控制器,負責API的溝通,取得資訊後亦可自動更新負載平衡配置與導向連線存取行為。

「在容器集群環境中,Pod所組成的微服務,不論是Master或Worker節點,皆是以命名空間(Namespace)溝通,必須透過API控制。Kubernetes是透過YAML腳本,指定微服務需配置的實例(Instance),可隨著用量增加彈性擴充。這是F5正積極發展容器內部負載平衡機制的重要方向。」陳廣融說。

這篇文章讓你覺得滿意不滿意
送出
相關文章
跨雲容器傳輸 ADC新契機
授權模式貼近雲端服務 補強南北向負載平衡
架構計費隨應用演進 延伸舊設備免重新學習
挾專精強項補雲端弱點 ADC伴企業轉型架構
穿透SSL迷霧 為DevOps打底
留言
顯示暱稱:
留言內容:
送出