F5 Networks niezawodny dostęp do aplikacji i serwisów Łukasz Formas Field System Engineer Europa Wschodnia l.formas@f5.com
2 Agenda Trochę o F5... Definicje Rozwiązanie
3 O firmie Lider w dostarczaninu rozwiązań Application Delivery Networking optymizacji, zabezpieczenia i dostępności aplikacji, serwisów, serwerów i storeage Założona 1996/Na giełdzie 1999 Około 1,700 pracowników FY07 Revenue: $526M FY08 Revenue: $650M 170 160 150 140 130 120 110 100 90 80 70 60 50 40 30 20 10 0 3Q06 4Q06 1Q07 2Q07 3Q07 4Q07 1Q08 2Q08 3Q08 4Q08 1Q09 2Q09 $ Millions Service Product
4 F5 Globalnie Tomsk Seattle HQ San Jose Spokane Chicago New York Washington DC Chertsey HQ Paris Munich Tel Aviv Beijing Seoul Tokyo HQ Shanghai Guangzhou Hong Kong Singapore HQ Sydney Międzynarodowse HQ Seattle oraz Regionalne HQ / Centra serwisowe F5 Biura regionalne
5 Infrastruktura rozumiejąca aplikacje Użytkownicy Centrum obliczeniowe Dom Biuro W trasie Application Delivery Network SAP Microsoft Oracle Klienci Partnerzy Pracownicy Konsultanci VoIP CDN Video FTFP Radius HTTP /HTML, SIP, RTP, SRTP, RTCP, SMTP, FTP, SFTP, RTSP, SQL, CIFS, MAPI, IIOP, SOAP, XML etc F5 sprawia, ze aplikacje i serwisy dzialajace w sieci sa bezpieczne, dostepne i szybko dzialajace
6 Wirtualizacji i optymalizacja aplikacji i serwisów Komórka Centrum przetwarzania danych Domowy PC Zdalny WAN Enterprise Manager / ControlPoint BIG IP Global Traffic Manager BIG IP Link Controller FirePass SSL VPN isession BIG IP Local Traffic Manager BIG IP Web Accelerator Aplikacje & Storage BIG IP Application Security Manager ARX File/Data Virtualization icontrol PC LAN TMOS WLAN Infrastruktura F5 uwolnienie IT, optymalizacja biznesu
7 Business Continuity Business Continuity Planning (BCP) to metodologia do stworzenia planu w jaki sposób organizacja podtrzyma, częściowo lub całkowicie przerwane krytyczne funkcje w przewidywalnym czasie po katastrofie
Recovery Point and Recovery Time Objectives 8 RTO (recovery time objective) to maksymalny, dopuszczalny czas po przerwie na przywrócenie systemów, aplikacji, funkcji RPO (recovery point objective) definiuje jak aktualne powinny być dane po katastrofie. RPO to najwcześniejszy punkt w czasie do którego dane mają być odtworzone po przerwie. RPO definiuje maksymalną ilość danych, które organizacja jest w stanie poświęcić. Zero RPO wymaga przetrwania katastrofy bez utraty danych.
Disaster Radius 9 Disaster Radius prawdopodobny zasięg katastrofy wpływa na rozwiązania business continuity Zapasowe DC nie może być w promieniu katastrofy (disaster radius) Zasięg katastrofy w przypadku DC Zdefiniowanie promienia katastroft jest skomplikowane Duże organizacje używają strategi wielo-poziomowej: 2 DC w obrębie miasta 3 DC - regionalnie
10 Business Continuity dla krytycznych zasobów (biznes) Zero data loss: żadne dane nie mogą zostać utracone (recovery-point objective) Zsynchronizowane informacja: pewnośc że dane są konsystentne i zsynchronizowane Brak przestoju: nie można tolerować niedostepności serwisu dla klientów lub niemożność działanaia w przedłużającym się czasie (recovery time objective) Disaster-Proof: Potrzeba ochrony przed potencjalnym regionalnym i geograficznym zagrożeniem Właściwe zarządzanie powyższymi jest krytyczne dla sukcesu
11 Disaster Recovery Plan Disaster Recovery usunięcie skutków awarii. Obejmuje dane, hardware i software krytyczny dla biznesu aby zrestartować operacje w przypadku katastrofy (spowodowanej również błędem ludzkim). Powinien również zawierać odtworzenie zasobów ludzkich.
12 Przyczyny Katastrofy naturalne Pożar Awaria zasilania Atak terrorystyczny Zorganizwoane przerwy Awarie sprzętu i systemu Błędy ludzkie Wirusy/ataki komputerowe Wymagania prawne Strajki pracownicze Zarazy (ludzkie) nie dotykające bezpośrednio infrastruktury
13 Przyczyny i rozwiązania Katastrofy naturalne Pożar Awarie zasilania Ataki terrorystyczne Zorganizowane przestoje Awarie sprzętu/systemów Błędy ludzkie Wirusy/ataki komputerowe Wymogi prawne Strajki pracownicze Epidemie Redundantne DC Redundantne DC Redundantne DC Redundantne DC Redundantne DC, bezp. dostęp, App FW Globalne i Lokalne HQ Redundantne DC, centralne zarządz. Bezpieczny dostęp, App FW Bezpieczny dostęp, App FW, FIPS Redundantne DC Bezpieczne dostęp, WAN optimization Redundantne DC są kluczem!
14 Redundantne DC Krytyczne aplikacje w wielu DC: przynajmniej 2 lub 3 Geograficzne rozrzucone Np: 1 w USA, 1 w Europie, 1 w Azji Każde powinno być wielo-dostępowe Łącząc wymagania Globalne zarządzanie ruchem Bezpieczny, zdalny dostęp dla użytkowników Ochrona publicznie dostępnych aplikacji Replikacja stanów aplikacji (np. DB replication) pomiedzy DC Szybkie działanie aplikacji poprzez łącza WAN
15 Konsolidacja Data Center Konsolidacja Data Center to podejście zoptymalizowania technologi w jednym lub kilku DC w celu osiągnięcia: Redukcji kosztów Zwiększenia wydajności Minimalizacji ryzyka To podejście zawiera w sobie planowanie, optymalizację, i fizyczną migrację systemów i urządzeń.
Zabezpieczenie zdalnego dostępu 16 Zdalny dostęp dp zasobów jest krytyczny Główne wymagania: Z dowolnego urządzenia (np. kiosk lub PC, handheld) Z dowolnego OS (np. Windows, MAC, Linux etc.) Dobrze znany i publiczny URL dostępowy Backup (standby) VPN appliance dostepny w zdalnym DC Obsługujący wielu użytkowników Username/password takie samo jak korporacyjne same as corporate ID Testowany przynajmnie raz do roku
Łącząc to wszystko 17 Business Continuity Zero loss, Zsynchronizowane info, bez przestoju, testy System dyskretny RTO / RPO Implementacje planów Disaster recovery / Consolidation określają RTO / RPO Disaster Recovery Rosnacy priorytet Potrzebny krótki czas przywrócenia Data recovery continuum of service Traditionally, the faster you want to get data back, the more you will pay Continuous Data Protection Synchronous Replication M irroring Konsolidacja Polepsza TCO i bezpieczenstwo Polepsza czas odpowiedzi aplikacji (przy poprawnej implementacji) Rozwiązania F5 pomagają użytkownikom osiągnąć zadania opisane w planach Business Continuity, Disaster Recovery i konsolidacji Costs $$$$$ Off-Site Storage Tape-Based Backup File Server Protection Disk Based Backup Snapshot F5 Solutions make secondsto-failover cost effective Days to Hours Hours to Minutes Minutes to Seconds R ecovery Tim e O bjective Source: Network World, The New Face of Disaster Recovery, 050806
PC dom PC LAN WLAN Wirtualizacja Serwer web Serwer web Serwer web Serwer web Serwer aplikacji Serwer aplikacji Serwer aplikacji Serwer web Serwer aplikacji Serwer web NetApp EMC 18 Serwer plków Windows Wirtualizacja na poziomie plików komórka Zdalny WAN ARX Serwer plików Windows Wirtualizacja serwerówweb Wirtualizacja serwerów aplikacyjnych LTM & WA LTM Wirtualizacja DC i połączeń GTM & LC
19 Wirtualizacja ośrodków obliczeniowych
20 Wysokie koszty przestoju 33% firm nie ma planów Disaster Recovery 16% firm traci pomiedzy $100-$500K/dzień 26% firm nie wie w ogóle ile traci Źródło: Raport AT&T iiaem 47% cytowanych firm stwierdza że rozwiązania disaster recovery powinne być jako pierwsze uwzględniane w budżecie Network Computing Survivor s Guide, 2006
Przekierowanie użytkownika to najlepszego, dostepnego DC Klient 21 DC1 (Główne) L DNS DC 2 (Zapasowe) Router Router BIG IP GTM BIG IP GTM BIG IP LTM BIG IP LTM Serwery korporacyjne Serwery korporacyjne
22 Zarządzanie aplikacjami Dostarcza unikalnej elastyczności i inteligencji aby sprostac pojawiającym się wyzwaniom Centrum danych A Centrum danych B Wysoko dostępne Łatwe w utrzymaniu
23 Wirtualizacja wewnątrz ośrodków obliczeniowych
Bezpieczny dostęp do aplikacji 24 Użytkownik Urządzenie Polityki dostępu Aplikacje Laptop Corporate Policy Kiosk Policy Internet Firewall FirePass + + End-Point Secure Access Policy Management Portal dostępowy Microsoft Exchange Server Dostęp do aplikacji Kiosk Mini browser policy Komórka Corporate Policy Korzyści SSL-VPN oparty o przeglądarkę Intranet Dostęp do sieci PC klienta niskie koszty zarządzania i supportu Polityki dostępu Ochrona Wymuszenie zasad dostępu
25 Bezpieczeństwo aplikacji (web) Inteligentne decyzje zezwalające tylko na dobre zachowania - Pozytywny model bezpieczeństwa Przeglądarka Definicja dobrego i złego zachowania
Zintegrowane rozwiązanie 26 DoS and SYN Flood Protection Network Address/Port Translation Application Attack Filtering Certificate Management DoS and DDos protection Brute Force attacks protection Resource Cloaking Advanced Client Authentication Firewall - Packet Filtering Selective Content Encryption Cookie Encryption Content Protection Protocol Sanitization Comprehensive Load Balancing Advanced Application Switching Customized Health Monitoring Intelligent Network Address Translation Advanced Routing Intelligent Port Mirroring IPv6 Gateway Universal Persistence Response Error Handling Session / Flow Switching Network Virtualization System Resource Control Application Templates Dashboard Secure and Accelerated DC to DC data flow SSL Acceleration Quality of Service Connection Pooling Intelligent Compression L7 Rate Shaping Content Spooling/Buffering TCP Optimization Content Transformation Caching TCP Express
Dynamiczne, na żądanie bezpieczeństwo aplikacji 27 Zalety: Pierwszy skalowany na żądanie Web Application Firewall Zaawansowane bezpieczeństwo Doskonała wydajność Wgląd w ruch aplikacyjny Lepsze bezpieczeństwo Wieksza wydajność!
28 Niesamowita niezawodność Client Server Wielopoziomowa redundancja Awaria blade a nie powoduje awarii urządzenia Redundantne i wymienialne componenty Zawsze dostępny