【51CTO.com原創(chuàng)稿件】專家介紹： 吳靜濤，F(xiàn)5大中華區(qū)首席技術官。1999年開始進入應用交付的前身-負載均衡領域，2002年加入F5 Networks，能夠從系統(tǒng)架構層面如何進行靈捷部署提出自己的獨到見解，涉及技術包括應用高可用技術，優(yōu)化技術和應用安全防護技術等，對互聯(lián)網(wǎng)的新技術有深入理解與掌控。

　在未來科技時代，應用交付應該如何發(fā)展?

　　過去，金融、電信行業(yè)的大客戶非常樂意選擇F5的雙活數(shù)據(jù)中心解決方案，因為F5的這個解決方案能夠快速地把一個容災中心變成可以同時使用的雙活的數(shù)據(jù)中心，投資回報率等于翻一倍。

　　隨著時代發(fā)展，這些客戶開始希望在公有云、私有云與混合云構建之間，找到一個新的平衡點。有的客戶已經(jīng)擁有了一個非常好的運行的雙活數(shù)據(jù)中心，可同時又想選擇另外一個公有云。眾所周知，自己搭建的數(shù)據(jù)中心和公有云的環(huán)境不同，運營方式也不相同，以應用交付的安全策略為例，不同公有云之間的運行方法都不一致。那么究竟該如何保證客戶自己的雙活數(shù)據(jù)中心、公有云，乃至不同云之間，都能取得一個完全一致的應用交付策略呢?

[[221950]]

[[221951]]

吳靜濤，F(xiàn)5大中華區(qū)首席技術官

　　這個問題是很多客戶的困惑，也是F5努力的方向之一。F5希望在新科技云集的環(huán)境下，幫助企業(yè)客戶來解決這樣一個最直接的一個挑戰(zhàn)。

　　F5認為，第一步客戶需要在傳統(tǒng)的數(shù)據(jù)中心的南北流量中，能夠享有更好的應用交付服務;第二步是在不同的云環(huán)境中，如何能更好地在應用與應用之間進行東西流量的調(diào)度。這其中涉及到很多方面的協(xié)同，例如如何在同一個平臺上實現(xiàn)DevOp的操作，實現(xiàn)同平臺的交付跟調(diào)度、外部移動互聯(lián)網(wǎng)用戶如何優(yōu)化、新的安全隱患如何化解，如何做應用級別甚至API級別的可編程對抗防護，這將是一個探索、研發(fā)和產(chǎn)出并進的階段。

　　當南北流量進入雙活數(shù)據(jù)中心之后……

　　當南北流量從外邊的用戶端到達客戶的雙活數(shù)據(jù)中心之后，用戶應該采用什么樣的應用交付技術?F5最近就在針對全平臺做硬件性能的大幅度提升。過去每過兩三年，F(xiàn)5都會提升一次平臺性能，以配合業(yè)界的發(fā)展。

　　BIG-IP的2000系列將慢慢退出市場，新一代的平臺是i2600、i4600一系列的X600為模板的系列，該系列最大的特色就是在價格不變的前提下，性能翻倍。過去F5其產(chǎn)品性能一直引領應用交付市場，現(xiàn)在國家再次在推倡客戶接入帶寬升級，那么隨著越來越多的帶寬的接入，就必然要求客戶的數(shù)據(jù)中心有更大的吞吐。所以在這個時間段，F(xiàn)5適時推出下一代的高性能平臺，能夠?qū)δ媳钡牧髁窟M入提供一個更好的應用交付服務。

　　除了性能需要提升之外，應用的環(huán)境也發(fā)生了很大的變化。現(xiàn)在絕大多數(shù)應用都不僅僅是一個WEB、APP、DB這樣一個簡單的環(huán)境，例如一個用戶在接入的過程中，可能首先通過一個登錄認證的網(wǎng)關，同時還可能涉及到GPS定位的網(wǎng)關、支付的網(wǎng)關，很多都是由API接口構成的一個復雜環(huán)境。傳統(tǒng)的負載均衡或者應用交付能力已經(jīng)不太能滿足實際的需求。

　　對此F5的構想是希望在云端各個API接口調(diào)用的過程中，能夠以虛機的形式，在Docker的環(huán)境里實現(xiàn)對東西流量的交付服務。這是一個全新的架構，它在私有云、公有云中，特別是在Docker跟DevOps的環(huán)境當中，將會起到非常重要的作用。

　　如何做同平臺的調(diào)度?

　　有一個現(xiàn)象大家生活中很常見：當人們打開手機端的APP，從辦公室走向停車場時，網(wǎng)絡由Wi-Fi變成普通4G，很明顯，手機端網(wǎng)絡接入的原地址會改變。那么當客戶端的Source IP原地址變更了，在數(shù)據(jù)中心服務的過程當中，系統(tǒng)是否會認為這不是一個人，從而中斷應用服務?進而要求客戶重新登錄認證?

　　這樣的處理方式客戶肯定不能接受。那么應該如何處理呢?F5有非常好的解決辦法：在雙活數(shù)據(jù)中心跟云的過渡過程中，F(xiàn)5可以實現(xiàn)在客戶端第一次進來登錄認證完成之后，F(xiàn)5給他分配了一個DCID，不論接入環(huán)境如何改變，只要DCID不變，系統(tǒng)都可以快速判斷出該用戶整個服務鏈路，于是可以仍然在原地址上繼續(xù)提供服務，確保用戶應用不中斷。

　　毫無疑問，這是在多云調(diào)度過程中必須實現(xiàn)的一個技術，也是F5在推廣同平臺服務時，客戶經(jīng)常咨詢的一個現(xiàn)象。F5的愿景是希望讓客戶的應用在數(shù)據(jù)中心、在不同云環(huán)境中，都能夠以統(tǒng)一平臺去做調(diào)度實現(xiàn)，而且在每個調(diào)度的過程當中都可以經(jīng)過API接口直接調(diào)用，而不是以前的人工手工配置。

　　移動應用如何優(yōu)化?

　　現(xiàn)如今App使用率越來越高，手機銀行短短幾年內(nèi)就占據(jù)了網(wǎng)銀一半的客戶訪問量，而且這個比例還在不斷升高。APP的使用率越來越高，這同時也意味著對移動用戶的優(yōu)化正在成為一個非常重要的課題。

　　F5曾在數(shù)據(jù)中心做應用監(jiān)控過程中發(fā)現(xiàn)，有時候從數(shù)據(jù)中心的運維角度去看，客戶訪問非常正常，沒有任何問題，但實際上卻不斷接到移動用戶的投訴。這顯然給用戶的使用帶來非常不好的體驗。F5認為，真正以用戶為中心的新的平臺建設過程當中，每一個用戶都非常重要，因此移動應有的優(yōu)化需要做的更加合理普遍。以一家銀行客戶為例，銀行的外網(wǎng)通過不同的運營商十幾條線路接入互聯(lián)網(wǎng)，運營商的路由協(xié)議BGP每兩周調(diào)整一次，這可能導致有的客戶接入網(wǎng)絡的鏈路會比較曲折，有的山西用戶要通過日本路由地址才能接回數(shù)據(jù)中心，速度慢，體驗非常差。

　　為了解決這個問題，F(xiàn)5能夠根據(jù)用戶的實際需求，每兩個星期或者每個月進行一次準動態(tài)的調(diào)整，配合外網(wǎng)真實變化。如此一來，在完全不增加帶寬成本的情況下，就可以提高外網(wǎng)用戶實時體驗。這就是F5為了優(yōu)化用戶體驗所做的努力。

　　可編程的現(xiàn)場對抗，帶來更高水準的安全防護

　　F5目前是全球應用安全防火墻最高出貨量的廠商，沒有之一。在過去的幾年里，F(xiàn)5對應用安全的投入越來越高。那么F5究竟如何在應用安全領域幫助客戶的呢?

　　首先來看看API和Serverless(無服務器架構)。在過去的兩三個月里，Serverless非常流行，它給大家提供一個可能性，讓應用被越多越多的拆開，變成各個組件跟模塊，各個組件跟模塊之間都以互相調(diào)用來組成最后的應用服務。事實上，最初這些模塊都是給內(nèi)部做調(diào)度使用的，并沒有安全方面的考慮，但是當這些API 打包給外部提供服務時，就有可能遭受到安全攻擊，出現(xiàn)異常流量。

　　那么對 API 的防護應該如何去操作呢?其實客戶真正需要的是在用戶現(xiàn)場，用編程的方式去對應用進行安全加固。每個API都由自己去研發(fā)加固的可能性不大，更可行的方法是用一個可編程的對抗體系去在現(xiàn)場根據(jù)應用特征，根據(jù)API實際需求做好應用安全防護與鏈接管理，以及加固服務，這恰恰是F5的強項。在可編程方面、現(xiàn)場處理方面、應用配合方面，F(xiàn)5可以完全地搭建出API整個安全防護體系，保障應用的安全。

　　目前市場常規(guī)的安全解決方案，無論是防火墻、IPS、IDS、ICS，還是WAF，大多數(shù)都只能防范一些固定的、有特征的或者是已知的攻擊與異常流量。如果在一個10G流量的攻擊中，有DDoS攻擊，也有 RST攻擊或半連接攻擊，例如在一個特定的鏈接上有5000個訪問，其中有一條是未知的攻擊流量，那么幾乎沒有任何安全可以進行有效防護。F5認為現(xiàn)在絕大部分態(tài)勢感知系統(tǒng)都可以做到非常好的數(shù)據(jù)收集與分析，但事實上如何去控制現(xiàn)網(wǎng)的業(yè)務流量，去控制應用路由，實際上是要通過API接口，能夠讓設備用可編程的方式做現(xiàn)場對抗的一個過程?？删幊痰默F(xiàn)場對抗正是F5在安全防護中更大的一個優(yōu)勢。

　　F5現(xiàn)在已經(jīng)正式的把自己的Application Delivery Controller的名字改成了Integrated Application Service這樣一個完全整合應用服務的新理念。希望能夠幫助大企業(yè)客戶在未來發(fā)展過程中，特別在交付服務方面能夠沒有后顧之憂，更快速地支持到自己的業(yè)務。

【51CTO原創(chuàng)稿件，合作站點轉載請注明原文作者和出處為51CTO.com】