云原生可谓是当今云计算领域最火的概念之一。简单来说,云原生不仅仅是要迁移到云,而是要充分利用云基础设施和服务的独特性来快速交付业务价值。在F5高级解决方案架构师林静看来,云原生对于企业来说包含着三个层面的含义。一是企业的基础架构,二是企业在云原生场景下应用开发的变化,三是企业如何调整组织文化来更好地适应云原生的技术特点。其中,最为重要的就是基础架构的重塑和改造,这是企业走向云原生要走的第一步,也是最重要的一步。

林静对此过程进行了详细介绍:首先,把传统的基础设施转型成为可编程的模式,使得基础设施具有可组装的Backing Services能力,使其具备弹性和可扩展的能力。这意味着要把传统服务的能力抽象出来成为上层可调用、可编排的接口,然后把传统的服务能力施加到现代上层的业务诉求当中。由此可见,基础设施的转型是非常重要的。之后使用新的技术,包括微服务、容器、Kubernetes等,来构建新的现代应用架构,去适配当前迫切的需求。最后,将转型后的基础设施和现代化的架构相融合。

转型

在传统的基础设施领域,F5负责从数据中心入口的边界,到数据中心服务的认证,再到后台的应用负载均衡,以及应用服务的发布和应用服务的策略管控,所有工作都是围绕应用来做的,这也是F5的“本职工作”:将应用更好的、更安全的、更优化地发布和交付。

在传统的基础设施中,F5为承载传统的API服务,Web服务,以及需要第三方互联的服务的平台提供了可编程的能力,并把这个能力释放给上层,使之可以充分调用这些服务。在这个过程中,F5首先要在底层快速部署实例,在实例上快速部署应用或者服务,把应用和服务快速进行模板化,以适配不同的场景或环境。底层的服务资源或者硬件资源能否租户化,能否通过接口快速调配资源,这些都需要用接口的能力。F5在抽象层有DO、AS3、FAST、 F5OS-API等接口,在此之上,F5提供了Ansible、Terrafrom等自动化的编排工具,让客户更好的把能力、接口、上层的服务整合进去,需要提供可编程的生态。

构建

说到构建新的云原生,做好新的技术,企业往往采用可组装架构,也可以理解为企业的私有云。大多数企业的私有云更像是把公有云的技术和模式搬到私有云上,做资源的调配和管理。但是在资源管理之上所需要的组装服务能力能否将公有云的模式迁移到私有云上是一个难点。很多企业的做法是做公有云的私有化,还有的企业用户会在此基础上做PaaS。

F5在现代传统的基础服务解决方案基础之上增加了新的,完全融入到现代云原生架构下的解决方案。F5会帮助用户做公有云的改造和适配,做公有云私有化模式下的功能增强,帮助用户更好的把公有云私有化。

此外,在公有云的模式下,F5提供了很多 SaaS服务,如果企业要建设PaaS,同样也可以在PaaS中做云原生的解决方案,如PaaS的入口、Kubernetes Control的入口,服务网格,现代云原生安全等技术。

在运行方面,F5会通过NGINX标准的APP Server和Unit提供多语言的运营服务器,在容器Kubernetes体系下提供标准的Kubernetes Ingress Controller,即商业版的Ingress Controller。其次F5提供了NGINX Service Proxy容器化层的代理,以及 API管理解决方案。在Kubernetes环境下的东西向流量管理,F5提供了Service Mesh解决方案,包括在NGINX基础上的NGINX Service Mesh解决方案,帮助解决东西向的服务治理工作,以及F5的Aspen Mesh解决方案,即基于146的企业级分享型服务网解决方案。随着微服务量的增多,传统的在边界上进行防御的模型不太适应当前微服务场景,NGINX APP Protect可以帮助用户在Kubernetes体系下,在现代云原生体系下构建应用层的安全,保障应用本身的安全。

此外,F5还在公有云上提供一些SaaS类的服务,包括平台类的服务、应用安全类的服务、应用分析与数字化体验增强的洞察类服务、智能DNS服务、反欺诈的安全解决方案等。在整个混合云的架构平台建设上,F5通过收购Volterra构建了平台层的能力和边缘计算的能力。

林静透露,NGINX还将在近期发布两个开源项目。一是围绕开源的微服务网格应用网络,二是NGINX控制面项目的开源,这两个项目的开源会帮助用户更好的在云原生的场景下,基于NGINX的技术栈,开发自己服务网格的应用,和NGINX控制面的技术。

融合

F5用创新的Hub模式和Egress解决方案,帮助传统的网络人员融入到新的PaaS平台中,完成角色之间的融合。Hub模式在Kubernetes中单列出一个模拟的空间区域。这个模拟的空间区域只归网络团队管理。F5的控制器快速地把业务团队自行发布的业务重新写入外部基础设施上。这样既解决了业务部门团队不用了解F5技术细节的诉求,也避免了网络团队对应用团队的侵入。这样一来,Hub模式把传统的基础设施类的能力和PaaS体系下的,或者Kubernetes体系下的能力非常好的融合起来,解决了用户在走向云原生过程中的一个实际挑战。这个解决方案叫做入口Ingress的解决方案,F5的标准名称叫Container Ingress Services。

Egress解决方案瞄准的是技术挑战、角色挑战。在容器的出向流量,由于容器的IP地址是不断变化的,这意味着传统的防火墙无法基于IP地址精细化调配,所有控制策略的位置必须要能够动态的感应到容器的变化,这是一个技术的挑战。F5的解决方案通过自动化的控制器,通过Kubernetes的接口进行通讯,自动化的将设备写入到外部的F5策略控制器上。

对业务部门和网络安全部门来说,由于大家的安全诉求不同,所以要基于什么样的策略,由哪个部门来管理是摆在客户面前很现实的问题。F5的解决方案将安全策略规则分成三类,一类是企业垂直类的策略,一类是Kubernetes或者云原生平台本身平台级的策略,一类是平台里某一部分业务的策略,一个业务单元的策略。每个业务单元还会有很多具体的微服务,其中某几个微服务有独特的需求,启动某个微服务是互联第三方的,为独立的微服务单元需要配置精细化的单独的条目,形成三层的策略概念。每一层策略是不同的决策人关注的,通过分层的设计帮助企业当中不同的人关注不同的策略资源,使得在出向的安全上,传统的安全人员和现代的组织架构实施这两者之间可以很好的配合,避免产生管理和技术相互之间的低效沟通,更高效的实现云原生。

结语

在云原生领域, F5关注的不仅仅是云原生的技术,而是从技术、人文等方面统一考虑,关注的是企业整体解决方案的能力。基于对传统基础设施深刻的理解,F5将帮助用户真正在数据中心的角度下,在每个层面上做好云原生。

来源:51CTO赵立京