Dokonale vyrovnanß zßtý×

SystÚmy pro vyrovnßvßnÝ zßtý×e představovaly dřÝve dosti jednoduchß zařÝzenÝ, neboŁ jenom distribuovaly u×ivat...


SystÚmy pro vyrovnßvßnÝ zßtý×e představovaly dřÝve dosti jednoduchß zařÝzenÝ,
neboŁ jenom distribuovaly u×ivatelskÚ po×adavky z internetu mezi skupinu
server¨ namÝsto jen jednoho. Vzhledem ke snaze vřrobc¨ vzßjemný se odliÜit a se
zvyÜujÝcÝ se sofistikovanostÝ web¨ Ŕi firemnÝch intranet¨ jsou vÜak souŔasnÚ
load balancery doplnýny přemÝrou dodateŔnřch funkcÝ, sahajÝcÝch od zpracovßnÝ
SSL (SSL off-loadingu) přes akceleraci webovřch aplikacÝ a× po inspekci obsahu
a bezpeŔnostnÝ filtry, kterÚ zajiÜŁujÝ ochranu před hackery zneu×ÝvajÝcÝmi
znßmÚ slabiny, aby zÝskali kontrolu nad webovřmi servery Ŕi aplikacemi.
BIG-IP 6800 Local Traffic Manager spoleŔnosti F5 Networks a ZXTM (Zeus
Extensible Traffic Manager) 7000 firmy Zeus Technologies reprezentujÝ dva
zßkladnÝ typy systÚm¨ pro rozdýlovßnÝ zßtý×e, zalo×enÚ na přepÝnßnÝ a
smýrovßnÝ. BIG-IP je zalo×enř na gigabitovÚm přepÝnaŔi se 16 10/100/1000
mýdýnřmi Ethernet porty a Ŕtyřmi SFP (Small Form-factor Pluggable) GBIC
(Gigabit Interface Converter) optickřmi porty. ZXTM je server se dvýma
procesory Opteron, kterř je vybaven Ŕtyřmi 10/100/1 000 Ethernet porty (plus
dodateŔnřm portem urŔenřm pouze pro sprßvu).
ObtÝ×nÚ rozhodovßnÝ
PřepÝnanÚ systÚmy bylo dřÝve trochu obtÝ×nýjÜÝ konfigurovat a byly mÚný
rozÜiřitelnÚ ne× systÚmy vyu×ÝvajÝcÝ smýrovßnÝ, na nich× bý×el plnohodnotnř
operaŔnÝ systÚm - tento rozdÝl je vÜak ji× minulostÝ. TakÚ BIG-IP u× pou×Ývß
plnohodnotnř operaŔnÝ systÚm a mß mno×stvÝ volitelnřch komponent pro dodateŔnou
funkcionalitu. NejvýtÜÝmi rozdÝly jsou tak v dneÜnÝ dobý - alespo˛ na prvnÝ
pohled - poŔet dostupnřch ethernetovřch port¨ a cena.
RozhodovßnÝ o nßkupu se bude z velkÚ Ŕßsti odvÝjet od toho, zda podporujete
clusterovanÚ webovÚ aplikace pro internÝ pou×itÝ. Stßle přitom existuje velmi
mßlo firem, kterÚ by vyu×Ývaly vÝcenßsobnřch gigabitovřch připojenÝ k
internetu. Jestli×e pou×Ývßte vÝce internÝch webovřch aplikacÝ nebo komplexnÝ
clusterovou architekturu, m¨×e vßm BIG-IP ulehŔit ×ivot, neboŁ bez problÚm¨
podporuje vÝce subsÝtÝ a clustery.
MnozÝ z vřrobc¨ publikujÝ vřkonnostnÝ statistiky, je× jsou v podstatý
bezvřznamnÚ, napřÝklad stovky tisÝc souŔasnřch připojenÝ. Tyto statistiky jsou
Ŕasto generovßny s vyu×itÝm paket¨ nulovÚ velikosti, kterÚ se v reßlnÚm svýtý
nevyskytujÝ. Ve skuteŔnosti vÜak samotnÚ sÝŁovÚ připojenÝ zahltÝte
pravdýpodobný jeÜtý před tÝm, ne× zpozorujete degradaci vřkonu vyplřvajÝcÝ z
hardwarovřch omezenÝ load balanceru. Vřjimkou mo×nß bude, kdy× chcete provßdýt
operace, je× vy×adujÝ znaŔnou mÝru vřpoŔetnÝho zpracovßnÝ. Operace, jako jsou
SSL ÜifrovßnÝ, přepisovßnÝ hlaviŔek, tzv. "sticky sessions" pro e-commerce,
smýrovßnÝ v clusteru zalo×enÚ na URL, obsahu a cookies, nebo po×adavky na
analřzu informacÝ o překroŔenÝ mezÝ, mohou load balancer zahltit pomýrný rychle.
Produkty v testu
Při testovßnÝ týchto dvou produkt¨ s vyu×itÝm reßlnÚho provozu jsme nicmÚný
zjistili, ×e jedinß gigabitovß linka byl saturovßna dřÝve, ne× systÚmy zaŔaly
zpomalovat z d¨vodu vřkonnostnÝch omezenÝ - a to dokonce i u operacÝ nßroŔnřch
na vyu×itÝ procesoru. Tak×e i kdy× zmÝnýnß zařÝzenÝ pro rozdýlovßnÝ zßtý×e
m¨×ete zahltit prostřednictvÝm velkÚho objemu malřch paket¨, abyste sestavili
mnoho souŔasnřch připojenÝ, v reßlnÚm provozu k tomu zřejmý nedojde. Pokud tato
připojenÝ skuteŔný nýco dýlajÝ, pak spÝÜe zahltÝte svÚ internetovÚ připojenÝ,
ne× abyste se setkali s tÝm, ×e vyu×itÝ kterÚhokoliv z týchto zařÝzenÝ narazÝ
na limit jeho kapacity.
NaÜe testovßnÝ zahrnovalo zřÝzenÝ nýkolika server¨ se stejnřm webem - demoverzÝ
aplikace pro
e-commerce. Ka×dř load balancer byl vyu×it pro vytvořenÝ virtußlnÝho clusteru
server¨, je× se liÜily v poŔtu a vřkonu procesor¨. PotÚ jsme vyu×ili generßtor
provozu Ixia 400T a software IxLoad, abychom simulovali velkř poŔet u×ivatel¨
přistupujÝcÝch k webu. Oba produkty pro vyrovnßvßnÝ zßtý×e byly schopny udr×et
skuteŔnÚ zatÝ×enÝ server¨ na konzistentnÝ ·rovni, dokonce i kdy× se jejich
vřpoŔetnÝ kapacity vřznamný liÜily. Nßsledný jsme zapnuli nýkolik funkcÝ, jako
je zpracovßnÝ SSL sessions a zabezpeŔenÝ na aplikaŔnÝ ·rovni, a pokusili se
load balancery přetÝ×it simulovßnÝm mnoha souŔasný se připojujÝcÝch u×ivatel¨.
V obou přÝpadech bylo zahlcenÝ týchto systÚm¨ mo×nÚ pouze při generovßnÝ umýle
malřch sessions. Při simulaci provozu bylo gigabitovÚ připojenÝ zahlceno dřÝve,
ne× bylo dosa×eno vřkonnostnÝch omezenÝ BIG-IP 6800 nebo ZXTM 7000.
Dopl˛kovÚ funkce
Oba produkty nabÝzejÝ Üirokou paletu funkcÝ vŔetný řÝzenÝ ·rovný slu×eb a
formovßnÝ ÜÝřky pßsma, ochrany proti ·tok¨m DoS (Denial of Service),
perzistence sessions zalo×enÚ na URL, cookies, informacÝch v hlaviŔkßch Ŕi
dalÜÝch metodßch a takÚ podporu webovřch slu×eb, stejný jako standard¨ XML,
XPath a XSLT. Mezi jejich schopnosti zamýřenÚ na akceleraci aplikacÝ patřÝ
komprese pro mnoho typ¨ webovřch aplikacÝ (nejen HTML) a obý zařÝzenÝ dokß×ou
vyrovnßvat zßtý× mezi vÝce weby, stejný jako mezi vÝce servery v rßmci jednoho
webu. F5 i Zeus poskytujÝ rovný× skriptovacÝ jazyk a API pro integraci s
firemnÝmi aplikacemi.
NýkterÚ z týchto funkcÝ jsou dostupnÚ volitelný za přÝplatek. Zde mß Zeus
vřhodu v tom, ×e v zßkladnÝ cený je zahrnuto vÝce funkcÝ, aŔkoliv u F5 jsou
odpovÝdajÝcÝ funkce obvykle o nýco sofistikovanýjÜÝ a poskytujÝ mo×nosti
snazÜÝho nasazenÝ. ZXTM 7000 napřÝklad obsahuje filtrovßnÝ HTTP pro obranu před
zneu×itÝm zranitelnostÝ, musÝte si vÜak z webu firmy Zeus stßhnout soubor
definic a ty pak přidßvat manußlný. Modul ASM (Application Security Module)
poskytovanř F5 naproti tomu nabÝzÝ ochranu před vÝce typy ·tok¨ a vyu×Ývß
slu×bu automatickÚ aktualizace. Na druhÚ straný vÜak ASM stojÝ dodateŔnřch 12
500 dolar¨.
F5 BIG-IP 6800
F5 Networks vyrßbÝ load balancery u× celřch deset let, tedy ne mÚný, ne×
kterßkoliv firma zasahujÝcÝ do tohoto segmentu trhu. Produkt tohoto vřrobce se
v pr¨býhu let vyvinul v sofistikovanÚ, funkŔný bohatÚ a snadno pou×itelnÚ
zařÝzenÝ. Vezmeme-li v ·vahu Üirokou Ükßlu komplexnÝch ·loh, je× je BIG-IP
schopno vykonßvat, je třeba řÝci, ×e produkt nenÝ komplikovanýjÜÝ, ne× je
nezbytnÚ. SprßvnÝ rozhranÝ je jasnÚ a lze se v ným snadno pohybovat, přiŔem×
klßvesovÚ zkratky zmÝr˛ujÝ nepřÝjemnosti, kterÚ přinßÜejÝ ·lohy vy×adujÝcÝ
opakovanÚ vklßdßnÝ dat, jako je přidßvßnÝ server¨ do virtußlnÝho clusteru.
BIG-IP vybavenř mnoha přepÝnanřmi porty je vhodnř nejen pro internetovÚ
aplikace, ale takÚ pro internÝ webovÚ aplikace, je× mohou pro optimßlnÝ vřkon
vy×adovat vÝce gigabitovřch spoj¨. NaÜe testovacÝ zařÝzenÝ bylo limitovßno na
osm gigabitovřch Ethernet port¨, tak×e jsme nebyli schopni urŔit, zda BIG-IP
pracuje jako neblokujÝcÝ přepÝnaŔ přes vÜechny porty, rozhodný je vÜak schopen
zvlßdnout osm gigabit¨ webovÚho provozu, ani× by to představovalo přÝliÜ velkou
re×ii nebo latenci.
Rozsßhlß sada funkcÝ BIG-IP nenÝ zadarmo. Nebylo by tý×kÚ utratit a× 150 000
dolar¨ za konfiguraci sestßvajÝcÝ ze dvou jednotek pro zajiÜtýnÝ fail-overu se
vÜemi funkcemi a nezanedbatelnřm roŔnÝm předplatnřm pro aktualizace a podporu.
Na druhÚ straný by ale pßr BIG-IP mýl břt schopen podporovat bez jakÚhokoliv
ÜkobrtnutÝ dokonce i ty nejvýtÜÝ komerŔnÝ weby.
ZvlßÜtnÝ zmÝnku si zasluhuje volitelnÚ zabezpeŔenÝ na aplikaŔnÝ ·rovni.
Application Security Module je nejnovýjÜÝ nabÝdkou pro platformu BIG-IP. SystÚm
ASM, zalo×enř na aplikaŔnÝm firewallu F5 TrafficShield, poskytuje sofistikovanÚ
funkce zabezpeŔenÝ na aplikaŔnÝ ·rovni, kterÚ jdou daleko za hranici bý×nÚho
filtrovßnÝ HTTP. Podobný jako dobrř firewall je i tato aplikace automaticky
aktualizovßna vřrobcem F5 s tÝm, jak jsou identifikovßny novÚ hrozby, přiŔem× v
nÝ obsa×enÚ sady pravidel pokrřvajÝ mnoho webovřch aplikacÝ.
BIG-IP je neobyŔejný dobře funkŔný vybavenÚ a sofistikovanÚ zařÝzenÝ pro
vyrovnßvßnÝ zßtý×e a optimalizaci webovřch aplikacÝ s vysokou kapacitou a
skvýlou mÝrou jednoduchosti pou×itÝ. Mo×nß, ×e takovou kapacitu nebudete
potřebovat, pokud nemßte rozsßhlř intranet s mno×stvÝm webovřch aplikacÝ -
mnohÚ firmy se vÜak dnes tÝmto smýrem vydßvajÝ.
Zeus ZXTM 7000 4.0r1
ZXTM 7000 je zalo×en na serveru ve 2U Üasi se dvýma CPU Opteron a posÝlenou
verzÝ Linuxu. To znamenß, ×e pokud je to nezbytnÚ, m¨×ete snadno přidat
ethernetovÚ porty nebo desku pro akceleraci SSL. AŔkoliv Ŕtyři 10/100/1000
porty vypadajÝ ve srovnßnÝ s 20 porty BIG-IP jako ponýkud chudÜÝ vřbava,
internetovÚ připojenÝ výtÜiny organizacÝ nedisponuje propustnostÝ dokonce ani
ve vřÜi jednoho gigabitu. ZXTM 7000 je takÚ vřznamný levnýjÜÝ ne× BIG-IP, a to
s vÝce funkcemi zahrnutřmi v zßkladnÝ cený.
Instalace je snadnß. K dispozici jsou pr¨vodci, kteřÝ zaŔßteŔnÝkovi umo×nÝ
systÚm rychle zprovoznit pomocÝ jednoduchÚ konfigurace virtußlnÝho serveru,
stejný jako přÝstup přes přÝkazovou řßdku pro otrlejÜÝ administrßtory, kteřÝ
preferujÝ skriptovßnÝ.
ZXTM nabÝzÝ Üirokou sadu funkcÝ. Kromý vyrovnßvßnÝ zßtý×e poskytuje zpracovßnÝ
SSL (SSL off-load), kompresi, optimalizaci TCP, přepisovßnÝ HTML, sledovßnÝ
přÝtomnosti s ohledem na aplikace, filtrovßnÝ HTTP pro zabezpeŔenÝ aplikacÝ a
podporu XML/SOAP provozu - a to vÜe v zßkladnÝm balÝku. Mezi volitelnÚ funkce
patřÝ monitorovßnÝ ·rovný slu×eb, sprßva ÜÝřky pßsma, cachovßnÝ obsahu a karta
pro akceleraci SSL certifikovanß pro FIPS Level 3.
ZXTM 7000 nabÝzÝ vynikajÝcÝ vřkon a nabitou sadu funkcÝ. Vzhledem k tomu, ×e
jej lze snadno propojovat do clusteru a× do rozsahu 64 jednotek, nabÝzÝ takÚ
vhodnř zp¨sob, jak zaŔÝt s vyrovnßvßnÝm zßtý×e v relativný malÚm rozsahu a
postupný systÚm Ükßlovat s tÝm, jak se rozr¨stajÝ vaÜe aplikace.
VelkÚ IP nebo malř Zeus
BIG-IP disponuje nýkterřmi sofistikovanřmi funkcemi, jako je bezpeŔnostnÝ
modul, je× nabÝzejÝ výtÜÝ schopnosti a snazÜÝ konfiguraci ne× jim odpovÝdajÝcÝ
funkce v produktu firmy Zeus, jejich d¨myslnost se vÜak odrß×Ý ve vyÜÜÝ cený.
Jestli×e jste ochotni proÜlapat se o nýco mÚný sch¨dnou cestou, abyste
nakonfigurovali systÚm Zeus, poskytne vßm tento produkt výtÜinu mo×nostÝ, je×
nabÝzÝ BIG-IP.
Jestli×e ji× mßte zařÝzenÝ zajiÜŁujÝcÝ funkci aplikaŔnÝho firewallu, pak vßs
bude zajÝmat předevÜÝm to, ×e oba produkty nabÝzejÝ alespo˛ do omezenÝ danÚho
poŔtem port¨ srovnatelnř vřkon. BIG-IP bude lepÜÝ volbou tehdy, jestli×e
vyu×Ývßte rozsßhlř intranet, v ným× velkř poŔet u×ivatel¨ přistupuje k webovřm
aplikacÝm. Pro firmu, kterß dosßhla maximßlnÝho zatÝ×enÝ svÚho web serveru a
chce zaŔÝt rozdýlovat zßtý× mezi vÝce stroj¨, nabÝzÝ ZXTM ni×ÜÝ poŔßteŔnÝ cenu,
ovÜem s mo×nostÝ vysokÚ Ükßlovatelnosti do budoucna. (wep) 6 1022

HodnocenÝ
Sprßva Vřkon Jednoduchost Funkce Hodnota
Produkt (25 %) (25 %) pou×itÝ (20 %) (20 %) (10 %) Celkem Prodejce
F5 Networks BIG-IP 6800 8 9 8 9 8 8,5 Soft-tronik, www.soft-tronik.cz
Zeus ZXTM 7000 4.0r1 8 9 8 8 9 8,4 Zeus Technology, www.zeus.com
Zdroj: Infoworld 2006, IDG USA

F5 Networks BIG-IP 6800
vřkon, funkce, Ükßlovatelnost, aplikaŔnÝ firewall
cena

Cena*: BIG-IP 6800 zaŔÝnß na 52 495 dolarech Application Security Module 13 125
dolar¨
* Prodejce uvßdÝ cenu pro ČR v dolarech.

Zeus ZXTM 7000 4.0r1
Zeus ZXTM 7000 4.0r1

Ükßlovatelnost, vřkon, funkce

konfigurace a sprßva

Cena*: ZXTM 7000 zaŔÝnß na 29 700 dolarech, bez ceny dodßvky nebo podpory

*Produkt v ČR nemß přÝmÚho distributora, proto je cena uvedena v dolarech

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.