.png "Рисунок 1. Традиционное расположение контроллеров доставки приложений в ЦОД — между межсетевым экраном и серверами приложений (по данным Fortinet).") |
| Рисунок 1. Традиционное расположение контроллеров доставки приложений в ЦОД — между межсетевым экраном и серверами приложений (по данным Fortinet). |
Контроллеры доставки приложений (Application Delivery Controller, ADC) обеспечивают ускорение работы приложений и балансировку нагрузки между серверами. Обычно они размещаются в центре обработки данных между межсетевым экраном и серверами приложений (см. Рисунок 1).
«Контроллеры доставки приложений ведут происхождение от балансировщиков нагрузки, базовой функцией которых является снижение нагрузки на серверы путем равномерного распределения трафика между ними, — рассказывает Алексей Андрияшин, системный инженер компании Fortinet. — Их можно считать следующим поколением балансировщиков нагрузки с такими расширенными функциями, как маршрутизация и управление трафиком на уровне приложений, снижение нагрузки при шифровании SSL и сжатии данных. Использование балансировщиков и контроллеров доставки приложений позволяет обеспечить непрерывность работы при отказе маршрутизаторов и серверов приложений, а также компенсировать ограниченность ресурсов серверов, в частности, освободив их от шифрования SSL».
Виртуализация, облачные вычисления и BYOD требуют трансформации ЦОД, и здесь полезными оказываются ADC. Они помогают ускорить развертывание новых приложений и сервисов и обеспечить высокую доступность и производительность в условиях стремительного роста объемов трафика. При использовании мобильных устройств ADC позволяют удаленным пользователям комфортно работать со своими приложениями и данными — почти, как у себя в офисе. Для этого используются такие средства, как кэширование, сжатие данных, управление сеансами и прозрачная маршрутизация к ближайшему ЦОД. Новые поколения контроллеров доставки приложений применяются для более широкого круга задач, в том числе для управления трафиком и разгрузки SSL, играют роль межсетевого экрана для Web-приложений (WAF) и т. д.
ЗАДАЧИ ADC
ADC решают задачу доставки приложений конечным пользователям с приемлемой задержкой и скоростью реакции на действия последних (см. Рисунок 2). Тем самым их применение позволяет оптимизировать производительность на стороне ЦОД и сетевой инфраструктуры. Как поясняет Василий Солдатов, системный инженер Brocade, классические ADC, называемые компанией контроллерами трафика приложений, решают несколько основных задач: обеспечение масштабирования серверных приложений и сетевой инфраструктуры заказчика; повышение уровня защиты приложений и сервисов; оптимизация ресурсов серверов приложений и создание для серверов приложений конфигураций высокой доступности.
.png "Рисунок 2. Контроллеры доставки приложений обеспечивают максимальную доступность приложений, масштабируемость и производительность, повышают эффективность инфраструктуры и делают работу пользователей более комфортной.") |
| Рисунок 2. Контроллеры доставки приложений обеспечивают максимальную доступность приложений, масштабируемость и производительность, повышают эффективность инфраструктуры и делают работу пользователей более комфортной. |
По словам Алексея Андрияшина, распространение облачных сервисов и средств виртуализации вкупе с повышением мобильности пользователей способствует развитию рынка и технологий контроллеров доставки приложений. Новая функциональность позволяет обеспечить защиту передаваемых данных и контроль устройств, средства автоматизации и отказоустойчивости. Развитие облачных технологий диктует необходимость поддержки географически распределенных кластеров с адаптивными функциями балансировки трафика. А увеличение производительности серверов делает возможным использование виртуальных контроллеров доставки приложений.
Контроллеры трафика приложений могут иметь различные области использования (см. Рисунок 3), рассказывает Василий Солдатов. Вот некоторые из задач, решаемых ADC:
- балансировка и коммутация трафика уровня L4–7 по модели OSI;
- балансировка и коммутация почтового трафика;
- прозрачная коммутация трафика кэш-серверов;
- балансировка и коммутация трафика виртуальных машин, интеграция с гипервизорами VMware и Microsoft Hyper-V;
- балансировка межсетевых экранов, а также защита сетевой инфраструктуры ЦОД заказчика от атак DoS.
.png "Рисунок 3. Средства ADC, чаще всего используемые приложениями, и наиболее важные критерии выбора контроллеров доставки приложений заказчиками (по данным IDG, апрель 2013 года).") |
|
.png "Рисунок 3. Средства ADC, чаще всего используемые приложениями, и наиболее важные критерии выбора контроллеров доставки приложений заказчиками (по данным IDG, апрель 2013 года).") |
|
| Рисунок 3. Средства ADC, чаще всего используемые приложениями, и наиболее важные критерии выбора контроллеров доставки приложений заказчиками (по данным IDG, апрель 2013 года). |
Все большую популярность приобретает использование контроллеров трафика приложений для обеспечения отказоустойчивости территориально распределенных объектов заказчика с помощью протокола Global Server Load Balancing (GSLB).
Другая важная задача — обеспечение надежного и постоянного доступа при перемещении пользователей между сетями операторов связи и публичными точками доступа. Решить ее непросто. Для этого сетевая инфраструктура должна поддерживать высокую производительность и бесперебойную работу в проводных и беспроводных сетях независимо от вида трафика, масштабироваться с использованием внутренних ресурсов или публичных облаков, обеспечивать детальный контроль и управление трафиком.
Безопасность сети также имеет критическое значение, поэтому практически повсеместно используется SSL, однако шифрование может негативно влиять на производительность. Наконец, чтобы снизить непроизводительные потери, инфраструктуру ЦОД, как и развертывание и администрирование приложений, требуется упростить, а гибкость инфраструктуры должна способствовать ее адаптации к меняющимся требованиям сервисов и приложений.
ADC считаются отличным инструментом для достижения перечисленных целей. Повышение производительности приложений и эффективная защита — их базовые задачи. Контроллеры приложений абстрагируют сервисы приложений и позволяют ИТ-подразделениям гибко распределять ресурсы. Однако в реальности большинство ADC не вполне соответствуют требованиям виртуализированных, облачных ЦОД и инфраструктур, обслуживающих мобильных пользователей.
Одно из препятствий — схема лицензирования, при которой нужно заранее покупать оборудование с необходимой пропускной способностью, даже если его мощности долгое время будут задействоваться не полностью. Кроме того, большинство современных ADC не обладают достаточной производительностью для внедрения повсеместного шифрования SSL, у них имеются лишь ограниченные средства для поддержки облачной архитектуры и мобильных пользователей. Немногие унаследованные ADC способны поддерживать гибридные облака. В лучшем случае они несколько улучшают производительность мобильных соединений или управление корпоративными и операторскими сетями. Большинство контроллеров приложений не предусматривают также возможностей анализа трафика, они могут быть сложными в инсталляции и обслуживании.
Учитывая стремление заказчиков к снижению эксплуатационных затрат и повышению операционной эффективности, необходимо, чтобы ADC поддерживали одновременно несколько средств управления, включая классическую командную строку (CLI), Web-управление, SNMP, API-интерфейс, OpenStack, CloudStack.
ВИРТУАЛИЗАЦИЯ КОНТРОЛЛЕРОВ ДОСТАВКИ ПРИЛОЖЕНИЙ
В течение последнего года практически все вендоры ADC внесли в них довольно серьезные изменения. На рынок ADC оказывают влияние несколько факторов. Прежде всего это виртуализация, программно конфигурируемые сети (SDN), облачные вычисления и информационная безопасность.
Переход к облачной модели меняет традиционные модели предоставления сервисов и доставки приложений, при этом он предполагает высокий уровень виртуализации ИТ-инфраструктуры и более эффективное использование сетей. Более всего заметно влияние виртуализации — это своего рода «побочный эффект» серверной виртуализации. Виртуальные ADC заменяют физические устройства, а управлять ими можно как единым пулом, перераспределяя ресурсы между виртуальными контроллерами приложений.
«Большинство организаций ищут пути снижения издержек и повышения эффективности бизнеса. Для этих целей широко используются средства виртуализации. В то же время контроллеры доставки приложений сами по себе способны существенно оптимизировать затраты на обслуживание серверов приложений, — говорит Алексей Андрияшин. — При виртуализации контроллеров доставки приложений достигается синергетический эффект. Это повышение доступности приложений до уровня 99,999% за счет устранения критичных точек отказа, снижение затрат на поддержку инфраструктуры и управление на 70%, снижение затрат на размещение и обеспечение оборудования электропитанием на 60%, сокращение серверной инфраструктуры на 40%, снижение требований к необходимой пропускной способности сетевого оборудования на 30%».
В целом использование виртуальных контроллеров трафика приложений значительно повышает живучесть и эффективность ЦОД, комментирует Василий Солдатов. При этом уменьшаются капитальные расходы, снижается размер затрат на абонента, улучшаются характеристики доставки сервиса (SLA). А благодаря поддержке протоколов OpenStack и CloudStack виртуальным контроллером трафика приложений Brocade vADX можно управлять с помощью централизованной системы оркестрации стороннего производителя.
Какие же проблемы возникают при виртуализации контроллеров доставки приложений и как они решаются? Основная проблема связана с производительностью всего комплекса в целом, поясняет Алексей Андрияшин. При виртуализации ресурсы платформы виртуализации используются всеми приложениями, которые базируются на данном сервере. Поэтому очень важно контролировать корректное распределение ресурсов и заботиться о гарантированном выделении необходимых мощностей контроллерам доставки приложений (современные средства виртуализации позволяют это делать). Еще одна проблема заключается в том, что разработчик контроллеров доставки приложений не может гарантировать производительность виртуальной системы, так как этот показатель зависит в первую очередь от характеристик базовой серверной платформы.
КЛАСТЕРИЗАЦИЯ ADC
Кластеризация ADC повышает производительность и доступность комплекса, осуществляющего балансировку и доставку приложений. «Кластеризация требуется в тех случаях, когда необходимо гарантировать высокий уровень доступности приложений, — поясняет Алексей Андрияшин. — При этом следует четко понимать разницу между двумя возможными режимами кластеризации: равномерным распределением нагрузки между узлами кластера и резервированием узлов, при котором активна только часть оборудования. Чтобы исключить перегрузку узлов кластера, рекомендуется выбирать второй режим, при котором часть оборудования находится в горячем резерве, а в пиковые показатели загрузка активной части не превышает 70%. В этом случае при отказе одного из узлов кластера не возникнет ситуация, когда остальные узлы окажутся перегружены и не способны справиться с возложенной на них задачей. Простой пример: кластер состоит из двух узлов и работает в режиме балансировки нагрузки. Если каждый узел загружен на 50%, то при выходе из строя одного из контроллеров на оставшуюся часть ляжет двойная нагрузка».
Очень часто компании, которые нуждаются в контроллерах доставки приложений, используют географически разнесенные ЦОД. В этом случае необходим режим балансировки ADC. Подобный вариант кластеризации часто называют Global Server Load Balancing. Географически распределенные кластеры ADC нередко используются при облачных вычислениях. При этом распределение нагрузки происходит с учетом доступности ЦОД для оптимизации затрат на передачу трафика.
ДИНАМИКА РЫНКА
Сегмент ADC динамично меняется, на рынке возникают новые альянсы. Вендоры, ранее сдержанно относившиеся к виртуализации, более внимательно присматриваются к облачной модели. Компании, занимающиеся исключительно ADC, стремятся расширить свой бизнес за счет смежных областей, в частности, встраивают в свои решения функции обеспечения безопасности и защиты от угроз, мониторинга сетевой инфраструктуры и производительности.
Более 80% прибыли производители ADC пока что получают от продажи физических платформ, но, по прогнозам, поставки виртуальных контроллеров приложений будут расти ежегодно на десятки процентов. Что касается безопасности, несколько производителей уже оснастили свои ADC функциями межсетевого экрана.
.png "Рисунок 4. По данным Infonetics Research (июнь 2013 года), тройка лидеров мирового рынка ADC включает компании F5, Citrix и Radware.") |
| Рисунок 4. По данным Infonetics Research (июнь 2013 года), тройка лидеров мирового рынка ADC включает компании F5, Citrix и Radware. |
По данным Infonetics Research, мировой рынок контроллеров доставки приложений вырос во II квартале 2013 года на 4% по сравнению с предыдущим годом. Аналитики с оптимизмом оценивают перспективы данного сегмента, отмечая возобновление отложенных ранее крупных проектов и увеличение инвестиций в ADC.
У некоторых компаний, включая A10 Networks, Array Networks, Barracuda, F5, Kemp Technologies и Radware, продажи ADC составляют большую часть оборота. Контроллеры доставки приложений поставляют также Brocade, Citrix, Riverbed/Stingray и Coyote Point Systems (недавно приобретенная Fortinet), но у них это не основной продукт. Лидером мирового рынка ADC остается компания F5 (см. Рисунок 4). Ее продукты среднего и начального уровня — BIG-IP 4000 и BIG-IP 2000 — пользуются высоким спросом (см. Рисунок 5).
.png "Рисунок 5. Виртуальный контроллер доставки приложений F5 BIG-IP повышает комфортность работы пользователей и предлагает средства, эквивалентные физическим устройствам BIG-IP, включая управление трафиком, балансировку серверной нагрузки, межсетевое экранирование, ускорение работы Web-приложений.") |
| Рисунок 5. Виртуальный контроллер доставки приложений F5 BIG-IP повышает комфортность работы пользователей и предлагает средства, эквивалентные физическим устройствам BIG-IP, включая управление трафиком, балансировку серверной нагрузки, межсетевое экранирование, ускорение работы Web-приложений. |
Заметным событием стал уход с рынка ADC сетевого гиганта Cisco осенью 2012 года: компания отказалась от развития своего продукт ACE в пользу Citrix NetScaler, который теперь и продает своим заказчикам, испытывающим потребности в ADC.
СОВРЕМЕННЫЙ ADC: КАКОЙ ОН?
В заключение приведем некоторые примеры предлагаемых вендорами продуктов.
F5 наращивает объемы продаж, регулярно выпуская новые версии ПО и аппаратных платформ. В июле вышла BIG-IP 11.4 с улучшенной масштабируемостью и новыми функциями SDN. В феврале F5 приобрела LineRate — разработчика технологии для сетевых сервисов уровня приложений для среды SDN. В числе других недавних приобретений — ScaleN. Ее опыт в многоарендной виртуализации будет, несомненно, полезен для улучшения горизонтального и вертикального масштабирования контроллеров доставки приложений от F5. Недавно F5 обновила свою модель лицензирования с расчетом на провайдеров облачных сервисов. Кроме того, теперь контроллеры F5 наряду с VMware поддерживают все основные гипервизоры, включая KVM.
Контроллер доставки приложений Citrix NetScaler оптимизирован с учетом требований современного ЦОД (см. Рисунок 6). По мнению аналитиков, в нем применяются одни из самых совершенных в отрасли средств балансирования нагрузки, кэширования и сжатия данных. В результате достигается высокая производительность. Встроенная технология TriScale позволяет создавать масштабируемые отказоустойчивые кластерные конфигурации — до 32 активных узлов. TriScale означает возможность масштабирования в «трех измерениях»: наращивание мощности одного устройства при покупке дополнительных лицензий, построение кластера, где каждый узел берет на себя часть нагрузки, а весь кластер функционирует как один ADC, а также запуск до 40 независимых виртуальных устройств ADC в архитектуре NetScaler SDX.
.png "Рисунок 6. Контроллер доставки приложений Citrix NetScaler включает в себя межсетевой экран, работающий на уровне приложений, и систему DLP, а его вычислительной мощности хватает для широкого использования SSL и применения правил шифрования в соответствии с заданными политиками.") |
| Рисунок 6. Контроллер доставки приложений Citrix NetScaler включает в себя межсетевой экран, работающий на уровне приложений, и систему DLP, а его вычислительной мощности хватает для широкого использования SSL и применения правил шифрования в соответствии с заданными политиками. |
Разделяемый контроллер SDX обеспечивает эффективную защиту данных за счет полной изоляции виртуальных устройств. Виртуальные контроллеры в NetScaler SDX ускоряют развертывание приложений и сервисов, а разработчики могут тестировать новые продукты, не опасаясь нанести вред рабочей среде. Виртуальный ADC ведет себя точно так же, как физический. Версия NetScaler SDX с виртуальными контроллерами дает возможность консолидировать инфраструктуру.
NetScaler Cloud-Bridge распространяет функции ADC с ЦОД на внешнее облако, поддерживая на должном уровне производительность при использовании внутренних и внешних ресурсов, упрощает развертывание гибридных облаков. Как и ADC от F5, NetScaler предусматривает встроенную интеграцию с сервисами IaaS от Amazon Web Services, позволяя заказчикам добавлять или удалять мощности по мере необходимости.
Не забыли разработчики и о мобильных вычислениях. В частности, NetScaler может динамически доставлять контент на разные мобильные устройства, а поддержка протоколов класса Multipath TCP обеспечивает постоянный доступ при переключении между сетями 3G/4G и беспроводной корпоративной сетью, то есть соединение не прерывается. Для управления мобильными устройствами и создания библиотек с одобренными администратором мобильными приложениями NetScaler можно интегрировать с Citrix XenMobile. Программное обеспечение NetScaler Insight Center и NetScaler Action Analytics обеспечивает мониторинг трафика и его анализ в реальном времени, динамическое выполнение заданных правил. По отзывам заказчиков, NetScaler достаточно просто настроить и запустить в работу. Все делается с помощью задания правил — никакого программирования и написания сценариев не потребуется.
В июне Citrix анонсировала программу миграции ACE Migration Program (AMP), которая будет действовать до декабря 2013 года. Представленная в апреле 2012 года технология Citrix TriScale для NetScaler предусматривает несколько моделей масштабирования ADC: оплата по мере роста, кластеризация или консолидация на единой многоарендной платформе. Чтобы справляться с пиковыми нагрузками, организации могут использовать пакеты NetScaler Burst Pack для временного (на период до 90 дней) наращивания мощности.
Radware продолжает добавлять в свою продуктовую линейку новые средства, в основном касающиеся безопасности и противодействия атакам, особенно в области SDN. Совместно с Juniper компания Radware полностью интегрировала свой ADC с операционной системой Juniper Networks JunOS. А пользователи IBM SmartCloud могут применять виртуальные ADC Radware в частном, публичном или гибридном облаке. Radware также работает с VMware и Red Hat над интеграцией своих продуктов с технологиями виртуализации. Контроллеры Radware уже поддерживают не только гипервизор VMware, но и KVM, Open Xen.
Компания A10 Networks стремительно наращивает в последние годы свой бизнес. Ранее виртуальный контроллер доставки приложений A10 SoftAX поддерживал только VMware ESX, но теперь работает в среде Citrix XenServer и KVM. В области SDN этот вендор сотрудничает с NEC: SoftAX-2 можно использовать в комбинации с NEC ProgrammableFlow Controller.
Компания Brocade поставляет свой ADX ADC ряду вендоров как OEM-решение. Ее линейка контроллеров доставки приложений пополнилась новым программным продуктом Brocade Virtual ADX. Виртуальный контроллер трафика приложений Brocade vADX представляет собой виртуальную машину с полным функционалом, присущим аппаратным контроллерам трафика приложений. Он позволяет осуществлять балансировку трафика виртуальных машин прямо на уровне сервера, заказчику нет необходимости в этом случае создавать дополнительный уровень сетевой инфраструктуры.
Разработчики Riverbed еще пару лет назад осознали необходимость расширения функций за рамки оптимизации WAN. Компания вышла на рынок ADC, приобретя британскую Zeus Technologies. Программное обеспечение последней было использовано при создании линейки Stingray и пополнении продуктов Riverbed для управления производительностью приложений. Оно является также ключевым компонентом решений Riverbed AWS и помогает Riverbed развивать партнерство с такими крупными производителями приложений, как Oracle. Недавно ее Stingray Traffic Manager был сертифицирован SAP сразу по трем категориям: надежность, доступность и безопасность.
Array Networks, Barracuda и Kemp Technologies нашли на рынке ADC свои собственные ниши. Array Networks укрепилась на азиатском рынке ADC и имеет там значительную долю, но расширяет свое присутствие и в США. Наряду с ADC она предлагает также продукты оптимизации WAN и шлюзы безопасности. Год назад Array Networks выпустила виртуальное устройство vAPV, функционирующее на ее аппаратной платформе AVX и в среде виртуализации VMware или Citrix.
Barracuda Networks предлагает по конкурентным ценам продукты безопасности, хранения данных и доставки приложений. Аналитики отмечали такие достоинства продуктов Barracuda, как хорошие функции балансировки нагрузки, но в целом считали ее платформу ADC недостаточно функциональной, однако в апреле Barracuda наконец выпустила полноценное устройство ADC.
Продукты KEMP Technologies также считаются отличными балансировщиками нагрузки, к тому же с очень привлекательным соотношением цены и производительности, хотя и не называются ADC. KEMP дополняет их средствами аутентификации и SSO, предлагает унифицированное решение для развертывания на нескольких площадках. Эта компания имеет стратегическое партнерство с Cisco и Dell, что позволяет ей расширять клиентскую базу.
Продукты и технологии компании Coyote Point, также ранее считавшейся нишевым игроком, после ее приобретения Fortinet дополнили портфель Fortinet Network Security.
Тем временем в отрасли набирает популярность новый подход — «ADC как услуга» (Application Delivery Controller-as-a-Service, ADCaaS). Так, полгода назад компания Riverbed анонсировала новую платформу для облачных провайдеров, с помощью которой они могут предлагать услуги ADCaaS на базе Riverbed Stingray Services Controller. Как заявляется, динамичная и «эластичная» инфраструктура доставки приложений предоставляет провайдерам инструменты для автоматического выделения ресурсов, развертывания, лицензирования и измерения сервисов приложений.
Stingray Services Controller также предусматривает возможность развертывания виртуальных контроллеров Stingray Traffic Manager на стандартных серверах. Виртуальные STM обеспечивают масштабирование сервисов ADC по требованию в соответствии с используемыми в ЦОД приложениями.
Тем самым устраняются недостатки традиционных ADC, при использовании которых часто требуется поддерживать дорогие и мощные платформы, когда в них еще нет необходимости, а также внедрять сложные многоарендные решения, хотя в итоге получаются ограниченно масштабируемые, плохо адаптируемые и не «программно определяемые» системы, затрудняющие развертывание ADC и управление ими в виртуальной среде. ADCaaS называют новой парадигмой, однако по сути это все те же виртуальные контроллеры доставки приложений.
Не исключено, что роль ADC будет меняться и соответствующие проблемы производительности будут решаться уже на уровне контроллеров SDN — как в классическом варианте с OpenFlow, так и в проприетарных решениях вендоров наподобие Cisco ACI. Да и маршрутизаторы «обрастают» все новыми функциями. Так, например, маршрутизаторы Cisco ISR 2911 могут решать задачи оптимизации доставки приложений, обеспечения QoS, приоритизации трафика приложений, однако делают это на канальном уровне, а не на уровне приложений, как ADC. В любом случае в ближайшем будущем ADC не останутся без работы.
Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.