Bereitstellung von Anwendungen als Self-Service
29. September 2019Bislang war es Aufgabe der Netzwerk-Administratoren, Anwendungen zur Unterstützung der App-Entwickler bereitzustellen und für deren (möglichst) reibungslosen Betrieb zu sorgen. Auch der Einsatz von „klassischen“ Netzwerkdiensten – wie Load Balancing und Traffic Management – nahm einen hohen Stellenwert bei der Netzwerkstabilität ein. Doch die starre Trennung zwischen „Netzwerk“ und „Anwendung“ verschwimmt zunehmend. Das ist unter anderem den aktuellen Ansätzen der digitalen Transformation zu verdanken: Unternehmen verändern hierarchische Organisationsmodelle zu einem „Netzwerk aus Teams“, die eng zusammenarbeiten. Dieser Ansatz basiert auf Self-Service für Entwickler und Application Owner sowie einem schnellen Zugriff auf Technologien und Analyse- Informationen.
Im Zuge von DevOps und agilen Entwicklungsprozessen müssen App-Teams ihre eigenen Netzwerkanforderungen definieren und verwalten können. Das erfordert ein Umdenken bei der Verwaltung der Netzwerktechnologien sowie eine neue Rolle des Netzwerkadministrators. Dieser kann aufgrund der steigenden Komplexität der Technologien sowie Geschwindigkeit der Veränderungen gar nicht mehr alle Anforderungen in ausreichend kurzer Zeit erfüllen.
Die Lösung liegt hier in der Auslagerung – sowohl der Technologien und Anwendungen in die Cloud als auch der Verantwortung für die Bereitstellung und Verwaltung der Anwendungen an die Application Owner. Damit entwickelt sich der Netzwerkadministrator zum Business Enabler und Berater, der die notwendigen Funktionen als Self-Service bietet. Dies ermöglicht zum Beispiel die BIG-IP Cloud Edition, welche das Management-Tool BIG-IQ enthält. Es besitzt vier besondere Funktionen:
- Vorlagen für Anwendungen: Damit lassen sich Anwendungsrichtlinien standardisieren, die zur Bereitstellung einer Anwendung in einem Servicekatalog erforderlich sind. Dabei gibt es Templates für viele gängige Applikationen. Die jeweilige Vorlage wird vom Domänenexperten (in der Regel dem Netzwerkadministrator) definiert und enthält die entsprechenden Netzwerk- und Sicherheitsdienste. Er legt die jeweilige Vorlagen und fügt es einem Katalog von Application Templates hinzu. Dabei kann er eine bestehende Anwendung kopieren oder eine neue Vorlage erstellen. Der Domänenexperte konfiguriert die Einstellungen und stellt dem App-Besitzer eine begrenzte Anzahl von Konfigurationsoptionen zur Verfügung. So kann das App-Team die Anwendungsdienste ohne großes Know-how für Sicherheit oder Konfiguration des Application Delivery Controller (ADC) verwalten. Damit stehen Anwendungen schneller bereit, da der App-Besitzer dies über eine einfache Nutzeroberfläche oder einen API-Aufruf erledigt. Ein App-Besitzer wählt eine Vorlage aus, die zur gewünschten Bereitstellung passt, füllt die erforderlichen Felder aus und klickt dann auf „Bereitstellen“. BIG-IQ unterstützt auch die Erstellung von Workflows, so dass Änderungen und Implementierungen überprüft und sogar getestet werden, bevor sie in die Produktion gehen.
- Granulare rollenbasierte Zugriffskontrolle: Role-Based Access Control (RBAC) ermöglicht die Anpassung des Benutzerzugriffs auf verwaltete Geräte auf Basis von Zuständigkeiten. Dadurch lassen sich bestimmte Berechtigungen vergeben, so dass nur die BIG-IP-Objekte angezeigt werden oder veränderbar sind, auf die ein Benutzer zugreifen darf.
- Automatische Skalierung: Die Lösung analysiert den Zustand und die Leistung der Anwendungen. Wenn Metriken wie Antwortzeiten, Latenz oder Durchsatz den entsprechenden Bedarf anzeigen, kann sie weitere BIG-IP-Geräte auf Basis vordefinierter Vorlagen aufbauen und sogar automatisch Lizenzen vergeben. Bei abnehmendem Datenverkehr löscht sie automatisch nicht benötigte Geräte und gibt die Lizenzen an den Pool zurück. Dadurch sinken die Kosten und Ressourcen werden besser gesteuert. Eine Gruppe von Geräten zur Bereitstellung flexibel skalierbarer ADC-Dienste für eine oder mehrere Anwendungen wird als Service Scaling Group (SSG) bezeichnet. BIG-IQ verwendet dabei Device Templates, um neu skalierte Geräte und Application Templates für anwendungsspezifische Konfigurationen bereitzustellen. Zudem verwendet die Lösung offene Schnittstellen und REST-APIs, um die Anbindung von Automatisierungs- und Orchestrierungstools zu erleichtern
- Rollenspezifische Dashboards: Damit lassen sich je nach Anwendung von den berechtigten Personen Leistung, Zustand und Konfiguration der Server, die diese Anwendung unterstützen, sowie damit verbundene Dienste verfolgen. Diese rollenspezifischen Dashboards bieten nicht nur einen schnellen Einblick in den Status der Anwendung, sondern ermöglichen auch die schnelle Lösung von Performance-Problemen. Dazu dient zum Beispiel die Anzeige, ob das Problem auf Client- oder Server-Seite liegt. Darüber hinaus können diese Analysen bei sich ändernden Verkehrs- und Leistungsbedingungen das Hoch- oder Herunterfahren weiterer virtueller BIG-IPs automatisch auslösen.
Services für jede App
Bisherige Application Delivery Controller sind entweder Hardware-basiert oder funktionieren als virtuelle Lösung Software-basiert. Damit lassen sie sich zwar grundsätzlich auch in Cloud-Umgebungen einsetzen, doch dienen sie hier zur Verwaltung dutzender bis hunderter Apps. Soll nun eine Anwendung geändert oder ein Service neu angebunden werden, kann das Herunterfahren der Lösung nötig sein. Ein solches Wartungsfenster ist aber immer schwieriger zu finden, da die anderen Application Owner oft eine ständige Verfügbarkeit ihrer Anwendungen erwarten.
Entsprechend limitiert die BIG-IP Cloud Edition die Services auf jeweils eine Anwendung. So lassen sich Änderungen an einer App durchführen, ohne die anderen Anwendungen zu beeinträchtigen.
Dies unterstützt nicht nur den Self-Service-Ansatz und erhöht die Flexibilität, sondern senkt auch Kosten, indem der Software-Umfang kleiner ist und weniger Speicherplatz benötigt. Eine Instanz startet dadurch deutlich schneller, wodurch die Agilität weiter erhöht wird. Der integrierte Licence Manager zur dynamischen Verwaltung der Lizenzen auf Basis virtueller Editionen pro App reduziert zusätzlich Kosten. Vor allem wenn Lizenzen nur für einen kurzen Zeitraum benötigt werden, lassen sie sich schnell und flexibel auf andere Instanzen übertragen.
Der integrierte Local Traffic Manager (LTM) unterstützt die Bereitstellung der Anwendung für die Benutzer in einer zuverlässigen, sicheren und optimierten Weise. Er bietet die Erweiterbarkeit und Flexibilität von intelligentem Traffic Management mit der notwendigen Programmierbarkeit, um virtuelle und Cloud-basierte Infrastrukturen zu verwalten. Damit lassen sich Anwendungen schneller und zuverlässiger vereinfachen, automatisieren und anpassen.
Zur Sicherung der Anwendungen und Daten enthält jede Instanz eine Advanced Web Application Firewall (WAF). Sie schützt Anwendungen vor Layer 7 Distributed Denial-of-Service (DDoS)-Angriffen, bösartigem Bot-Verkehr und Schwachstellen. Zusätzlich bietet sie Sicherheit vor Identitätsdiebstahl und Credential Stuffing.
Ralf Sydekum ist Technical Manager DACH bei F5 Networks