在API超越應(yīng)用的時代,企業(yè)應(yīng)如何持續(xù)推進數(shù)字化擴展(下)

來源:F5科技
作者:宋志麒
時間:2024-11-01
1826
前面「數(shù)字化擴展階段應(yīng)用服務(wù)常見問題」部分,我們詳細羅列了云基礎(chǔ)架構(gòu)建設(shè)、應(yīng)用現(xiàn)代化、應(yīng)用上云,以及多云環(huán)境下應(yīng)用移植性能力建設(shè)過程中與應(yīng)用服務(wù)相關(guān)的常見問題,這些問題也是對組織在過去多年實際生產(chǎn)運營中遇到問題的總結(jié)。

03

「一塊區(qū)域、一個平臺、一套規(guī)范」:優(yōu)化數(shù)字化擴展階段的應(yīng)用服務(wù)

前面「數(shù)字化擴展階段應(yīng)用服務(wù)常見問題」部分,我們詳細羅列了云基礎(chǔ)架構(gòu)建設(shè)、應(yīng)用現(xiàn)代化、應(yīng)用上云,以及多云環(huán)境下應(yīng)用移植性能力建設(shè)過程中與應(yīng)用服務(wù)相關(guān)的常見問題,這些問題也是對組織在過去多年實際生產(chǎn)運營中遇到問題的總結(jié)。本部分探討組織應(yīng)如何應(yīng)對這些問題,并探討在數(shù)字化擴展趨勢下如何優(yōu)化應(yīng)用服務(wù),即如何通過了解應(yīng)用變化并落實統(tǒng)一規(guī)范治理,利用自動化、多租戶自服務(wù)、流水線驅(qū)動等新場景技術(shù),提升運維、生產(chǎn)和治理管理的水平,保證在數(shù)字化擴展階段現(xiàn)代化的應(yīng)用平滑上云。解決這些問題并優(yōu)化數(shù)字化擴展階段的應(yīng)用服務(wù)的方法可以總結(jié)為一句話:「一塊區(qū)域、一個平臺和一套規(guī)范」。一塊區(qū)域指的是在多云之前規(guī)劃的多云前置網(wǎng)絡(luò)區(qū)域;一個技術(shù)平臺指的是在多云前置網(wǎng)絡(luò)區(qū)域建設(shè)的多云統(tǒng)一API網(wǎng)關(guān)技術(shù)平臺;一套規(guī)范指的是結(jié)合業(yè)界領(lǐng)先的理念,為新技術(shù)和新方法論的使用制定的規(guī)范模板,并基于規(guī)范模板將新技術(shù)應(yīng)用于統(tǒng)一的多云API網(wǎng)關(guān)平臺。接下來,我們將從這三個方面依次展開詳細說明。

多云前置網(wǎng)絡(luò)區(qū)域

如下圖所示,多云前置網(wǎng)絡(luò)區(qū)域的主要目的是部署多云統(tǒng)一API網(wǎng)關(guān)技術(shù)平臺,該平臺的作用是保證應(yīng)用和工作負載在多云和傳統(tǒng)數(shù)據(jù)中心之間的可移植性及遷移的平滑性。從負載均衡的角度,多云前置網(wǎng)絡(luò)區(qū)域分為三層:第一層是傳統(tǒng)硬件,可選擇F5新一代R系列硬件。該層主要用于多云多區(qū)的調(diào)度,通常采用資源池分布式方式進行部署。業(yè)界常用兩種方式:內(nèi)網(wǎng)DNS和動態(tài)路由。動態(tài)路由的硬件負載需要與云底層SDN網(wǎng)絡(luò)通道緊密互動,實現(xiàn)跨多云和多可用區(qū)的請求接入,跨可用區(qū)的多鏈路冗余訪問,并具備Anycast能力,以在保證業(yè)務(wù)在多云多可用區(qū)冗余的基礎(chǔ)上實現(xiàn)優(yōu)化。

36CCFDE1-8196-4C8C-A1DA-6BA85CEFCBB7.png

第二層采用業(yè)界領(lǐng)先的軟負載NGINX進行建設(shè)。NGINX是一個輕量級、事件驅(qū)動的七層負載均衡器,具有出色的性能和高并發(fā)處理能力,能夠處理數(shù)千個并發(fā)連接,適用于高負載的網(wǎng)絡(luò)環(huán)境。第二層主要作為七層負載均衡,承擔云上基于域名和請求路徑URL的現(xiàn)代應(yīng)用負載調(diào)度職責。

第三層包括云上租戶內(nèi)的軟負載,例如K8S容器平臺的Ingress控制器。將云上租戶內(nèi)的軟負載統(tǒng)一到多云前置區(qū)域,是為了進行統(tǒng)一的規(guī)劃與治理,確保新技術(shù)和新方法論與組織已有的管理流程規(guī)范以及技術(shù)職能部門有力結(jié)合,使云上新技術(shù)和新場景能夠真正提升組織的運營管理水平,提高云上業(yè)務(wù)的可靠性。

多云多區(qū)流量調(diào)度

下圖展示了基于動態(tài)路由方式實現(xiàn)的多云多區(qū)工作負載調(diào)度示意。位于不同區(qū)域的F5新一代R系列負載均衡器具有相同的地址,例如1.1.1.1:80。在區(qū)域1訪問該地址時,動態(tài)路由調(diào)度會將請求轉(zhuǎn)發(fā)到區(qū)域1;在區(qū)域2訪問該地址時,請求會被轉(zhuǎn)發(fā)到區(qū)域2。當區(qū)域2的應(yīng)用系統(tǒng)發(fā)生故障后,區(qū)域2的客戶端訪問該地址時,請求會被轉(zhuǎn)發(fā)到區(qū)域1。

48110069-63DB-413E-B792-956E3D1F87AD.png

這種就近Anycast的實現(xiàn)是通過路由協(xié)議BGP和OSPF來通知路由器哪個節(jié)點是‘最近’的。每個節(jié)點向路由器宣告自己的IP地址,路由器維護一個路由表,并選擇離客戶端最近的節(jié)點。從負載均衡的角度,多云多區(qū)雙平面調(diào)度的關(guān)鍵在于通過動態(tài)路由協(xié)議和云區(qū)域的數(shù)據(jù)中心網(wǎng)絡(luò)建立通道。負載均衡的虛擬IP地址是路由器路由表中的一個條目,負載均衡器很好地支持動態(tài)路由,并可根據(jù)自身的健康檢查進行路由條目的宣告與收斂。只有健康檢查成功的虛擬服務(wù)才會被宣告到路由器,當健康檢查失敗時,路由條目會迅速收斂。路由器可以基于ECMP實現(xiàn)四層負載的水平擴展,保證云上按需擴展的能力。

以多云多區(qū)調(diào)度的一個平面為切入點,架構(gòu)也具備高可靠性與高可用性,在交換機層面,采用雙機的架構(gòu),負載均衡資源池化在保證了彈性擴展的同時,也具備高可靠性,四層負載均衡負載7層軟負載同樣資源池化部署,具體彈性水平擴展、高可靠和高可用等特點。

現(xiàn)代應(yīng)用負載調(diào)度

第二層軟負載的主要作用是進行現(xiàn)代應(yīng)用的負載調(diào)度。在數(shù)字化擴展階段,應(yīng)用現(xiàn)代化通常采用微服務(wù)架構(gòu)。在微服務(wù)架構(gòu)下,一個系統(tǒng)被拆分為成千上百個微服務(wù)?,F(xiàn)代應(yīng)用負載調(diào)度基于域名和請求URL進行智能請求路由。具體來說,現(xiàn)代應(yīng)用負載調(diào)度分為以下幾類:

C6E942B1-97B7-4D48-87A5-152BF237CEA9.png

F10643E7-B7A5-4036-BF0E-3DEE48B45488.png

上圖所示的基于比率的灰度路由是現(xiàn)代應(yīng)用負載調(diào)度的典型場景。通常,組織中的業(yè)務(wù)上云、應(yīng)用現(xiàn)代化和微服務(wù)改造不是一蹴而就的,而是逐步完成的。以某個特定的應(yīng)用為例,通常該應(yīng)用最初是在數(shù)據(jù)中心的虛擬化平臺上運行的。隨著應(yīng)用架構(gòu)的改造和上云,應(yīng)用系統(tǒng)的某個特定模板完成了改造并上云,這就需要在云前置進行基于比率的灰度流量調(diào)度。

云租戶內(nèi)負載控制

云租戶內(nèi)負載控制指的是運行在云內(nèi)特定租戶中的軟負載,云內(nèi)負載控制器指的是部署在云內(nèi)的控制平面程序,該控制器主要負責將云內(nèi)和云外網(wǎng)絡(luò)打通,將云內(nèi)應(yīng)用變化或云內(nèi)負載均衡的變化通過API的方式推送到云外。例如overlay網(wǎng)絡(luò)下業(yè)務(wù)請求進入云內(nèi)需要通過隧道技術(shù),隧道技術(shù)下則需要將云內(nèi)的應(yīng)用IP地址等通過API的方式實時更新到云外負載均衡,一邊更好的實現(xiàn)云內(nèi)外的更好的聯(lián)動,真正實現(xiàn)將云自動化自服務(wù)與組織的規(guī)范流程有力的結(jié)合起來。云內(nèi)負載控制器可以很好的實現(xiàn)云內(nèi)的負載的水平擴展,例如外部負載均衡負載云內(nèi)負載均衡的架構(gòu)下,外部負載均衡的Member就是云內(nèi)負載均衡的虛擬服務(wù)地址,當云內(nèi)負載均衡虛擬服務(wù)地址變化后則需要及時更新云外負載均衡的Member,如果業(yè)務(wù)請求流量大,云內(nèi)負載均衡進行了水平擴容,則需要及時更新云外負載均衡虛擬服務(wù),增加新的Member。

多云統(tǒng)一API網(wǎng)關(guān)平臺

多云統(tǒng)一API網(wǎng)關(guān)平臺位于多云之前,提供多云的統(tǒng)一入口,支持現(xiàn)代應(yīng)用服務(wù)的智能調(diào)度與控制。作為組織的多云統(tǒng)一流量調(diào)度平臺,它基于現(xiàn)代多云流量調(diào)度管理方法,實現(xiàn)多云流量的規(guī)范治理。這個平臺是開放、可擴展且可重用的,支持不同部門之間的協(xié)作與創(chuàng)新。它基于流行的開源軟件與商業(yè)負載均衡結(jié)合的方式,構(gòu)建了一個自主可控的API技術(shù)平臺。

D9DE4B08-866A-4E22-B519-8B1A91014380.png

如上圖所示,多云統(tǒng)一API網(wǎng)關(guān)平臺分為數(shù)據(jù)面和控制面。數(shù)據(jù)面負責轉(zhuǎn)發(fā)和傳輸應(yīng)用流量及數(shù)據(jù)流量,重點關(guān)注響應(yīng)速度、安全可靠性、水平擴展能力,以及多云多區(qū)應(yīng)用的多活高可用性??刂泼鎰t負責管理數(shù)據(jù)面流量轉(zhuǎn)發(fā)的行為,執(zhí)行標準的控制和訪問策略,并提供流量的可觀測性和洞察數(shù)據(jù)。

F5 R系列實現(xiàn)跨多云可用區(qū)應(yīng)用負載轉(zhuǎn)發(fā)

數(shù)據(jù)平臺的三層架構(gòu)核心思想是在云前置區(qū)域規(guī)劃一個邏輯和物理上的網(wǎng)絡(luò)區(qū)域,構(gòu)建三層負載均衡。第一層是硬件資源池,負責多云多區(qū)的調(diào)度;第二層是軟負載資源池,負責云上微服務(wù)應(yīng)用的現(xiàn)代應(yīng)用負載調(diào)度;第三層是租戶內(nèi)的負載均衡,作為云內(nèi)應(yīng)用的入口,負責確保租戶內(nèi)應(yīng)用的高可靠性。

我們堅信,隨著組織在數(shù)字化轉(zhuǎn)型之旅中的不斷前進,對應(yīng)用交付和安全服務(wù)的需求和復(fù)雜性將急劇上升。這種復(fù)雜性挑戰(zhàn)了IT管理應(yīng)用流量、安全基礎(chǔ)設(shè)施以及滿足客戶需求的能力。憑借F5 R系列這一下一代平臺架構(gòu),性能提升高達100%,您可以使應(yīng)用交付基礎(chǔ)設(shè)施具備未來適應(yīng)性,并提升服務(wù)速度以滿足現(xiàn)代化要求。除了性能提升,F(xiàn)5 R系列還應(yīng)對多云多區(qū)趨勢,提供基于租戶的設(shè)計邏輯。租戶是云環(huán)境中的顯著特點,F(xiàn)5 R系列的租戶設(shè)計與云內(nèi)租戶理念類似,租戶獨享計算資源。在多云前置網(wǎng)絡(luò)區(qū)域部署F5 R系列硬件,可在應(yīng)用負載層面構(gòu)建租戶資源池,使應(yīng)用負載層面的租戶與云可用區(qū)內(nèi)的應(yīng)用租戶一一對應(yīng),從而提升治理規(guī)范中的安全性和應(yīng)用彈性擴展能力。

CA02F384-E0C6-4349-A215-FAE58C741BAF.png

F5 R系列租戶提供嚴格的資源隔離機制,確保不同租戶的數(shù)據(jù)、配置和流量互不干擾。每個租戶可以獨立配置其網(wǎng)絡(luò)、安全策略和應(yīng)用服務(wù),同時支持按需擴展資源,以滿足不同租戶的需求增長。通過集中化的管理控制臺和現(xiàn)代API,管理員可以統(tǒng)一配置和監(jiān)控所有租戶的服務(wù),從而簡化操作并提高效率。下表列出了F5 R系列不同型號所支持的最大租戶數(shù):

F036B27F-70AD-4273-BF71-17F9DB39A4E4.png

NGINX作為流量最繁重的Web服務(wù)器和反向代理已被廣泛知曉。隨著企業(yè)和組織在數(shù)字化擴展、應(yīng)用現(xiàn)代化以及多云多區(qū)流量調(diào)度方面的需求不斷增加,NGINX,特別是在被F5收購之后,已經(jīng)發(fā)展成為一個針對多云現(xiàn)代應(yīng)用的體系化產(chǎn)品平臺。如果您的應(yīng)用部署在全球多個公共云數(shù)據(jù)中心以及傳統(tǒng)數(shù)據(jù)中心,并希望通過一個控制臺監(jiān)控基礎(chǔ)設(shè)施、解決安全漏洞并評估NGINX集群的健康狀況,您可以選擇NGINX ONE。

如果您是開源NGINX的用戶并希望使用一些增強功能,可以選擇NGINX Plus,其主要增加了主動健康檢查、API能力、可觀測健康指標等功能,使其成為構(gòu)建統(tǒng)一API網(wǎng)關(guān)的關(guān)鍵組件。NGINX管理套件提供了一系列企業(yè)級擴展、安全、可觀測和治理工具,您可以依賴此套件進行API網(wǎng)關(guān)構(gòu)建。基于NGINX,NGINX應(yīng)用防護提供輕量級、高性能的七層應(yīng)用和API安全攻擊防護能力,有效保護并緩解針對應(yīng)用程序和API的第七層拒絕服務(wù)攻擊。對于Kubernetes上的業(yè)務(wù)流量管理,您可以選擇NGINX Ingress Controller和NGINX Gateway Fabric。

NGINX API路由能力

API路由是API網(wǎng)關(guān)的核心能力之一,主要指根據(jù)HOST和URL請求進行轉(zhuǎn)發(fā)。在數(shù)字化擴展階段,同一個應(yīng)用可能會有多個版本同時存在,此時灰度路由(灰度發(fā)布)用于在不同版本之間轉(zhuǎn)發(fā)請求,并基于生產(chǎn)流量驗證新版本的性能?;叶嚷酚刹捎弥鸩椒帕康牟呗裕且淮涡詫⑿掳姹净蚬δ苋客扑徒o所有用戶,而是首先選擇一小部分用戶作為試點。

API路由還可以基于HTTP協(xié)議的多種屬性進行轉(zhuǎn)發(fā),例如特定的HTTP頭屬性、Cookie、源地址、和HTTP URL參數(shù)等。NGINX API路由的能力如下表所示:

79A0C735-3156-4554-8DB4-DDA519E4E178.png

在數(shù)字化擴展階段,組織的主要任務(wù)包括應(yīng)用的現(xiàn)代化和構(gòu)建跨云與數(shù)據(jù)中心的應(yīng)用及工作負載的可移植性。根據(jù)F5《應(yīng)用策略現(xiàn)狀報告》,從2023年開始,超過一半的組織已通過現(xiàn)代化應(yīng)用替代傳統(tǒng)應(yīng)用。傳統(tǒng)應(yīng)用通常按功能模塊拆分,不同的功能模塊由不同的項目組開發(fā),并通過多個微服務(wù)實現(xiàn)。不同模塊的微服務(wù)通過URL進行區(qū)分,因此API網(wǎng)關(guān)的多路徑路由變得尤為重要。下圖展示了多路徑路由的示意。

EBA15CF3-A822-49B9-9471-A34CA21AD72B.png

多路徑路由可以結(jié)合HOST,通過HOST進一步細化API請求的路由。NGINX不僅支持基于HOST的轉(zhuǎn)發(fā),還支持HTTPS請求。同時,NGINX在根據(jù)HOST和URL轉(zhuǎn)發(fā)時,也具備跨租戶能力。

灰度路由主要應(yīng)用于數(shù)字化擴展階段中,實現(xiàn)跨云可用區(qū)和傳統(tǒng)數(shù)據(jù)中心之間應(yīng)用負載的可移植性。作為API網(wǎng)關(guān)的核心功能之一,灰度路由允許在不同環(huán)境中逐步引入新版本的應(yīng)用,確保負載遷移過程的平穩(wěn)性和可靠性。它在應(yīng)用負載在云可用區(qū)和傳統(tǒng)數(shù)據(jù)中心之間的遷移中扮演著關(guān)鍵角色,與現(xiàn)代應(yīng)用的SRE(Site Reliability Engineering)理論密切相關(guān)。

這種遷移能力或工作負載轉(zhuǎn)移的實現(xiàn),往往涉及到不同的方法和策略。SRE理論強調(diào)通過持續(xù)監(jiān)控和優(yōu)化操作,確保服務(wù)的高可用性和可靠性,灰度路由則是支持這一目標的有效工具之一。通過逐步放量和驗證新版本,灰度路由幫助確保在進行應(yīng)用遷移和負載調(diào)整時,能夠平衡風險,優(yōu)化用戶體驗。

802E4C8F-5FD7-433A-B19A-152449E3B541.png

上圖展示了灰度路由在實際業(yè)務(wù)場景中的典型應(yīng)用。例如,在信創(chuàng)改造過程中,遷移并非一蹴而就,而是逐步完成的。灰度路由允許模塊逐步遷移,一次只切換一部分流量。信創(chuàng)服務(wù)和非信創(chuàng)服務(wù)可以同時運行,通過灰度路由實現(xiàn)平穩(wěn)過渡。

在這個場景中,您可以利用HTTP請求頭參數(shù)來控制流量路由。例如,您可以通過檢查請求頭中的X_XC屬性來決定流量的去向。如果請求頭中X_XC的值為true,則將請求轉(zhuǎn)發(fā)到信創(chuàng)區(qū)域;否則,流量繼續(xù)在傳統(tǒng)區(qū)域中處理。這種方式使得在遷移過程中,可以有效地管理和控制新舊版本的并行運行,確保改造過程中的平穩(wěn)過渡和服務(wù)的持續(xù)可用性。

NGINX API限流能力

API限流也是API網(wǎng)關(guān)的主要功能,限流用于拒絕過多的API流量,NGINX支持兩種API限流方式,即防止流量激增的影響和允許一段時間內(nèi)發(fā)送特定數(shù)量的請求。NGINX的limit_req和limit_req_zone指令用于限流,首先通過limit_req_zone定義請求限速的共享內(nèi)存區(qū)域。用于限制對某些資源的請求速,limit_req定義請求限速規(guī)則,關(guān)聯(lián)共享內(nèi)存區(qū)域,為保證業(yè)務(wù)連續(xù)性,NGINX API網(wǎng)關(guān)限流對突發(fā)請求數(shù)采取柔和態(tài)度,NGINX可定義特定窗口時間內(nèi),可以允許最多的請求超過速率限制,應(yīng)用現(xiàn)代微服務(wù)應(yīng)用readness Probe等初始化操作,NGINX提供慢啟動能力,提升整體用戶體驗。

API限流是API網(wǎng)關(guān)的核心功能之一,用于控制和管理流量,以防止系統(tǒng)過載。NGINX提供了兩種主要的API限流方式:

-防止流量激增的影響:通過限制請求的速率,防止突發(fā)流量對系統(tǒng)的影響。

-允許在特定時間內(nèi)發(fā)送特定數(shù)量的請求:設(shè)定一個時間窗口,允許在該時間內(nèi)處理一定數(shù)量的請求。

NGINX的limit_req和limit_req_zone指令用于限流,首先通過limit_req_zone定義請求限速的共享內(nèi)存區(qū)域。用于限制對某些資源的請求速,limit_req定義請求限速規(guī)則,關(guān)聯(lián)共享內(nèi)存區(qū)域。NGINX限流特點是:

-柔和限流:NGINX對突發(fā)請求數(shù)采取柔和態(tài)度,可以在短時間內(nèi)允許請求數(shù)量超過常規(guī)速率限制。

-慢啟動能力:為應(yīng)用現(xiàn)代微服務(wù)提供初始化操作,如readiness Probe等,以提升整體用戶體驗。NGINX能夠在應(yīng)用啟動時逐漸增加流量,避免對新服務(wù)的過大沖擊。

通過這些功能,NGINX確保了API的高可用性和穩(wěn)定性,同時能夠在面對突發(fā)流量時維持服務(wù)質(zhì)量。

NGINX API限流也可基于特定源地址、特定HTTP頭屬性、HTTP Cookie、HTTP URL參數(shù)等,下表為NGINX根據(jù)源地址限流的示例,我們定義的限流速率為每秒請求10次,當請求特定源地址的客戶端每秒鐘請求數(shù)超過10次后會觸發(fā)限流。

FD50E26B-05BB-4856-BD3D-57E07211896E.png

NGINX API安全防護

根據(jù)過去幾年F5《應(yīng)用策略現(xiàn)狀報告》調(diào)研,租戶越來越多地關(guān)注API安全,過去一年有超過80%的組織部署了一種或多種API安全服務(wù)。在多云統(tǒng)一API網(wǎng)關(guān)上,基于F5 NGINX App Protect,您可以使用軟件安全解決方案保護您的應(yīng)用程序和API。該解決方案作為輕量級Web應(yīng)用程序防火墻(WAF)、第7層拒絕服務(wù)(DoS)保護、機器人保護、API安全和威脅情報服務(wù)無縫集成到DevOps環(huán)境中。F5 NGINX App Protect在分布式架構(gòu)和混合環(huán)境中提供一致的保護。NGINX架構(gòu)為模塊化設(shè)計,這種架構(gòu)可以方便擴展,NGINX App Protect是通過擴展NGINX實現(xiàn)的。NGINX App Protect是非常輕量級的,且不會影響NGINX整體請求的處理速率。與傳統(tǒng)的安全方案相比,NGINX App Protect輕量且基于單個應(yīng)用或單個API的防護,將安全能力與應(yīng)用開發(fā)集成,DevOps和DevSecOps可方便地調(diào)整和掌控安全行為和能力。下表匯總了F5 NGINX App Protect構(gòu)建API安全防護的基本能力。

8772A48A-4F55-426E-9E45-52812D200E87.png

NGINX App Protect默認策略可以防護常見的OWASP排名前10的攻擊,例如跨站腳本攻擊(XSS)、SQL注入攻擊、訪問路徑越權(quán)攻擊等。事實上,API安全攻擊中常見的攻擊類型占據(jù)了很大比例。啟用默認策略可以有效地減緩這些常見攻擊。

NGINX APP Protect基本功能包括安全情報告警、策略執(zhí)行模式、IP黑白名單、HTTP合規(guī)性驗證、定義允許訪問的HTTP方法、數(shù)據(jù)保護欲脫敏、請求文件限制、自定義攔截頁面、安全策略集中管理等。安全情報告警指的是NGINX可以將攻擊情報實施發(fā)送給現(xiàn)代可觀察可視化技術(shù)棧,并提供對應(yīng)的模塊快速展示攻擊者信息。自定義允許的訪問方法指定義允許HTTP的訪問方法,例如某微服務(wù)提供了GET方法,那么可以在防護策略中定義只允許GET方法被訪問,當攻擊者嘗試發(fā)送POST等方法是,NGINX直接會攔截攻擊請求。為方便管理,以及滿足安全攻擊應(yīng)對的及時性需要自定義攔截頁面,NGINX安全防護攔截頁面可定義攔截的原因,相關(guān)管理人員的聯(lián)系方式等,下圖為NGINX安全防護自定義攔截頁面的示意。

0D6505D3-1892-4590-B3D4-A8CC26B64D02.png

微服務(wù)應(yīng)用防護針對數(shù)字化擴展階段微服務(wù)容器化部署的特點,可以在K8S入口控制器中定義基于應(yīng)用的防護策略。微服務(wù)之間通過API進行通信,傳輸?shù)臄?shù)據(jù)通常為JSON。基于這些特點,NGINX應(yīng)用級API防護支持以下防護能力:根據(jù)內(nèi)容過濾、非法請求方法、非法目錄訪問、特殊的SQL注入、弱類型密碼、弱類型Token等。

此外,NGINX App Protect還支持通過OpenAPI文檔進行安全防護。通過導入OpenAPI文檔,可以生成白名單策略,白名單策略是防護策略中最為有效的一種。下圖展示了一個OpenAPI文檔,該文檔定義了微服務(wù)支持的所有API以及API請求中的URL參數(shù)類型。例如,文檔中定義了API GET參數(shù)ID的類型為整數(shù)型。如果攻擊者傳遞的參數(shù)不是整數(shù)型,NGINX將攔截該攻擊請求。

635EA3F0-11A2-42E5-809A-46691858B26D.png

gRPC遠程調(diào)用可以提升微服務(wù)通信的效率和數(shù)據(jù)傳輸?shù)耐掏铝?。針對這種類型的通信,NGINX也提供了相關(guān)防護功能。具體而言,NGINX可以實現(xiàn)以下防護:

-gRPC二進制流過濾:對gRPC二進制流進行內(nèi)容過濾,以確保數(shù)據(jù)的安全性。

-gRPC HTTP/2應(yīng)用保護:提供對gRPC基于HTTP/2的應(yīng)用的保護,防止各種攻擊和惡意請求。

控制平面作模塊說明

由于負載類技術(shù)棧在組織中通常被網(wǎng)絡(luò)部門建設(shè)管理,控制平面最主要的工作是落實多云統(tǒng)一API網(wǎng)關(guān)的建設(shè),提升自動化能力,靈活部署能力,云原生應(yīng)用支持能力,在應(yīng)用上云及CICD建設(shè)中增加負載網(wǎng)關(guān)服務(wù)能力,以確保應(yīng)用負載在多云可用區(qū)和數(shù)據(jù)中心間的可移植性。控制平面能力建設(shè)主要是將云上應(yīng)用交付所需要的三層負載統(tǒng)一管理,將應(yīng)用發(fā)布的過程建立業(yè)務(wù)視角的菜單欄,以及統(tǒng)一北向的API,通過API可以操作云上三層負載均衡中的任意一層,控制平面基于菜單欄的能力可以作為組織統(tǒng)一云管理平臺的一個子模塊。

控制平面按照功能側(cè)重可分為如下幾個方面:平臺自動化、部署自動化以及網(wǎng)絡(luò)自動化。平臺自動化是指多云統(tǒng)一網(wǎng)關(guān)平臺具備自動化自服務(wù)能力,數(shù)據(jù)平面硬件負載均衡和軟件負載均衡可以自動化地部署和創(chuàng)建。部署自動化主要是指云上業(yè)務(wù)應(yīng)用的發(fā)布自動化,在部署上線業(yè)務(wù)應(yīng)用的同時,能夠自動化實現(xiàn)業(yè)務(wù)應(yīng)用的負載配置,也就是說,控制平面生成的相關(guān)配置可以有效地推送到相關(guān)的負載實例上。網(wǎng)絡(luò)自動化則是將網(wǎng)絡(luò)部門日常通過人員手動操作的工作,如防火墻規(guī)則和負載均衡規(guī)則,通過自動化來實現(xiàn)。

控制平面還具備服務(wù)發(fā)現(xiàn)與服務(wù)注冊的能力,可以基于DNS技術(shù)實現(xiàn)服務(wù)注冊與服務(wù)發(fā)現(xiàn)。當創(chuàng)建服務(wù)時,會相應(yīng)地創(chuàng)建DNS記錄。在服務(wù)發(fā)布過程中,服務(wù)發(fā)布描述文件中的域名通過注冊中心進行指定,控制平面在服務(wù)發(fā)布過程中進行服務(wù)發(fā)現(xiàn),將域名對應(yīng)的IP地址添加為負載均衡的Member。

控制平面還具備可觀測能力??捎^測性指的是在計算系統(tǒng)和應(yīng)用程序中能夠有效地監(jiān)控、測量和理解其狀態(tài)、行為和性能的能力。它是確保系統(tǒng)正常運行和進行故障排除的關(guān)鍵能力,尤其在大規(guī)模、分布式和復(fù)雜的多云應(yīng)用交付環(huán)境中尤為重要。

多云可用區(qū)場景治理規(guī)范

多云場景治理規(guī)范的主要目的是在云技術(shù)的大背景下,高效且高質(zhì)量地應(yīng)用新技術(shù)和方法論,并與組織已有的管理流程和質(zhì)量保證規(guī)范整合,以確保業(yè)務(wù)運營的質(zhì)量。具體來說,這包括現(xiàn)代應(yīng)用下模板化的治理規(guī)范。模板化規(guī)范基于統(tǒng)一的API網(wǎng)關(guān)平臺,在該平臺上通過模板實現(xiàn)多云可用區(qū)的場景治理規(guī)范。

針對多云可用區(qū)架構(gòu)下的軟負載,我們制定了不同的業(yè)務(wù)發(fā)布模板。這些模板基于云原生的YAML格式,可以通過API或界面快速生成。當前平臺支持的業(yè)務(wù)發(fā)布模板包括:

-HTTP反向代理模板

-HTTP負載均衡模板

-gRPC HTTP2請求路由模板

-WebSocket請求路由模板

-TCP反向代理模板

-TCP負載均衡模板

-現(xiàn)代應(yīng)用負載調(diào)度模版

-限流接入控制模板

如下圖所示,以現(xiàn)代應(yīng)用負載調(diào)度模板為例,為滿足信創(chuàng)化建設(shè)的需要,user服務(wù)需要同時支持多個版本。通過HTTP請求頭屬性X-TM-Header來控制流量的轉(zhuǎn)發(fā)行為。當請求中X-TM-Header的值為特定值時,流量將被轉(zhuǎn)發(fā)到信創(chuàng)2.0版本。

在此需求下,流量調(diào)度模板如下圖右側(cè)所示。模板的YAML定義了VirtualServer類,VirtualServer通過在注冊中心注冊的服務(wù)名稱(域名)來管理兩個服務(wù),并在路由轉(zhuǎn)發(fā)策略部分定義了基于HTTP頭屬性的判斷邏輯。

1A16DD0C-12D4-4274-8EDC-FE337D5BD95D.png

04

多云統(tǒng)一API網(wǎng)關(guān)平臺收益總結(jié)

根據(jù)過去幾年F5《應(yīng)用策略現(xiàn)狀報告》,我們發(fā)現(xiàn)隨著數(shù)字化轉(zhuǎn)型的深入,以及人工智能對業(yè)務(wù)的推動,組織對應(yīng)用服務(wù)和安全服務(wù)的需求越來越多。我們將數(shù)字化轉(zhuǎn)型分為三個階段:任務(wù)自動化、數(shù)字化擴展和人工智能輔助業(yè)務(wù)。本文主要從組織數(shù)字化轉(zhuǎn)型的第二階段切入,說明在數(shù)字化擴展階段組織重點工作——應(yīng)用現(xiàn)代化以及構(gòu)建應(yīng)用多云可用區(qū)和數(shù)據(jù)中心工作負載遷移能力的過程中的問題,并詳細闡述了如何通過「一塊區(qū)域、一個平臺、一套規(guī)范」—即以多云統(tǒng)一API網(wǎng)關(guān)平臺來解決數(shù)字化擴展過程中常見的問題。多云統(tǒng)一API網(wǎng)關(guān)是以F5 R系列硬件及F5 NGINX為核心構(gòu)建的,通過結(jié)合治理規(guī)范,可有效優(yōu)化數(shù)字化擴展階段的應(yīng)用服務(wù)。

根據(jù)2024年F5《應(yīng)用策略現(xiàn)狀報告》,在應(yīng)用現(xiàn)代化方面,95%的組織部署了API網(wǎng)關(guān),以構(gòu)建跨云和數(shù)據(jù)中心的應(yīng)用負載可移植性。應(yīng)用程序及工作負載能夠在多個環(huán)境或多云環(huán)境中運行,使組織能夠在多個環(huán)境下操作,從而提升其數(shù)字化成熟度。在數(shù)字化擴展階段,應(yīng)用架構(gòu)要求系統(tǒng)能夠在面對故障、錯誤或災(zāi)難時,維持正常運作并快速恢復(fù),這種能力被定義為應(yīng)用的彈性。67%的調(diào)查者表示,多云可用區(qū)及跨云和數(shù)據(jù)中心的可移植性確實提供了這種彈性。我們都知道,停機是不可避免的,它們會發(fā)生在每個組織中。即使是最優(yōu)秀、最著名的品牌也會經(jīng)歷停機。無論是由于配置更改、人員錯誤,還是自然災(zāi)害,你都希望擁有這種彈性,以便將應(yīng)用程序遷移到最合適的位置,從而確保業(yè)務(wù)能夠繼續(xù)運行。

多云統(tǒng)一API網(wǎng)關(guān)的核心價值在于為組織提供跨云可用區(qū)和數(shù)據(jù)中心的可移植能力。這種能力能夠協(xié)助組織實現(xiàn)應(yīng)用現(xiàn)代化改造、進行灰度上云、分發(fā)應(yīng)用負載在多云可用區(qū)和數(shù)據(jù)中心之間,甚至支持應(yīng)用從云端回遷。多云統(tǒng)一API網(wǎng)關(guān)為組織帶來的主要收益包括:

-首先,解決了數(shù)字化擴展階段在應(yīng)用現(xiàn)代化及跨云和數(shù)據(jù)中心負載遷移中的實際問題。通過統(tǒng)一規(guī)范和平臺,避免了各項目組各自為政的現(xiàn)象,解決了多云架構(gòu)下現(xiàn)代應(yīng)用負載調(diào)度的可靠性差、流量管理混亂及潛在運營風險等問題。

-其次,引領(lǐng)了技術(shù)體系的變革,保障了組織核心業(yè)務(wù)從傳統(tǒng)主機到分布式架構(gòu)的遷移,并確保核心業(yè)務(wù)在云端的高效可靠運行。這一過程中采用了現(xiàn)代應(yīng)用新方法論,如DevOps和SRE。

第三,構(gòu)建了敏捷的產(chǎn)研體系,通過推動IT敏捷交付和敏捷研發(fā)能力,促進了組織的敏捷轉(zhuǎn)型,支持了端到端的敏-捷業(yè)務(wù)能力。

-第四,推動了平臺化能力建設(shè)。構(gòu)建的多云統(tǒng)一網(wǎng)關(guān)平臺是支持熱點業(yè)務(wù)、新型應(yīng)用、AI和ChatGPT等技術(shù)的驅(qū)動平臺。

-最后,促進了組織的數(shù)字化轉(zhuǎn)型。通過提升用戶的數(shù)字化體驗,構(gòu)建數(shù)字化金融生態(tài),落地開放組織戰(zhàn)略、數(shù)字經(jīng)濟戰(zhàn)略及數(shù)智化戰(zhàn)略,實現(xiàn)了組織的全面數(shù)字化轉(zhuǎn)型。

立即登錄,閱讀全文
原文鏈接:點擊前往 >
文章來源:F5科技
版權(quán)說明:本文內(nèi)容來自于F5科技,本站不擁有所有權(quán),不承擔相關(guān)法律責任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
相關(guān)文章
F5全新報告揭示AI時代API安全面臨嚴峻挑戰(zhàn)
F5全新報告揭示AI時代API安全面臨嚴峻挑戰(zhàn)
F5日前發(fā)布《2024年應(yīng)用策略現(xiàn)狀報告:API安全》(以下簡稱為“報告”),揭示了跨行業(yè)API安全面臨的嚴峻現(xiàn)狀。
AI
F5 Networks
云服務(wù)
2024-12-10
F5推出AI網(wǎng)關(guān),管理并保護快速增長的AI流量和應(yīng)用需求
F5推出AI網(wǎng)關(guān),管理并保護快速增長的AI流量和應(yīng)用需求
F5(NASDAQ:FFIV)日前宣布推出搶先體驗版F5 AI網(wǎng)關(guān)(AI Gateway),以簡化企業(yè)在推動AI部署過程中應(yīng)用、API和大語言模型(LLMs)間的交互。
AI
F5 Networks
云服務(wù)
2024-11-27
F5搭載NVIDIA BlueField-3 DPU賦能加速AI應(yīng)用交付
F5搭載NVIDIA BlueField-3 DPU賦能加速AI應(yīng)用交付
F5(NASDAQ:FFIV)日前宣布推出BIG-IP Next for Kubernetes,一項全新的創(chuàng)新AI應(yīng)用交付和應(yīng)用安全解決方案,旨在為服務(wù)提供商和大型企業(yè)提供集中控制點,以加速、保護和簡化流入和流出大型人工智能(AI)基礎(chǔ)設(shè)施的數(shù)據(jù)流量。
F5 Networks
云服務(wù)
2024-11-03
F5研究顯示:企業(yè)加速IT發(fā)展,以充分挖掘生成式AI潛力
F5研究顯示:企業(yè)加速IT發(fā)展,以充分挖掘生成式AI潛力
F5(NASDAQ:FFIV)日前發(fā)布《2024年數(shù)字化企業(yè)成熟度指數(shù)報告》(以下簡稱“報告”),該報告對全球企業(yè)數(shù)字化轉(zhuǎn)型工作進行全面分析,強調(diào)了生成式人工智能(AI)的顯著影響及其在推動各行業(yè)數(shù)字化成熟度方面的關(guān)鍵作用。
F5 Networks
云服務(wù)
2024-11-02
優(yōu)質(zhì)服務(wù)商推薦
更多