映射应用程序并设计体系结构
以下各节将帮助您了解应用程序在现有环境中的组合方式,以及如何设计其新体系结构。
映射应用程序
将应用程序及其关联的依赖项迁移到 AWS Cloud 时,没有标准方法。下表概述了通常随 F5 BIG-IP 工作负载迁移到 AWS Cloud 的不同应用程序的主要注意事项。
| 应用程序类型 | 应用场景 | 建议采取的措施 |
|---|---|---|
| 定制或商用现成 (COT) 应用程序 |
您计划在将应用程序迁移到 AWS 云后关闭数据中心或托管实例,或者混合运行本地和 AWS 产品或服务。您不打算实现这些应用程序的现代化。 您可能已将 F5 应用交付控制器 (ADC) 应用程序组件可能同时迁移,也可能不迁移。 |
查看当前的 F5 配置,并将其分解为需要迁移的应用程序组件。 确保通过模块或 F5 Good、Better、Best (GBB) |
| 具有高合规性或安全性相关要求的应用程序 |
尽管这些应用程序可以重新托管、重新平台化或重新架构,但它们需要高级保护。 这些高级保护可能包括行为保护、移动应用安全、高级爬虫程序检测、深度 IP 智能和响应数据的出口过滤。 |
如果您已在使用 F5 ASM,请确保迁移安全性或合规性策略。 如果这是一个新应用程序,那么您应该评估利用 F5 ASM 或 F5 Web 应用程序防火墙 (F5 WAF) |
| 托管在 Amazon Elastic Container Service (Amazon ECS)、Amazon Elastic Kubernetes Service (Amazon EKS) 或托管 K8S |
这些应用程序需要协议调整,例如移动或其他有损网络类型、HTTP 优化、可编程数据平面 (iRules) 或调整负载平衡算法的高级服务。 | 有关容器入口,请参阅 F5 文档中的 F5 容器入口服务 |
| 联合命名空间或混合应用程序 |
在这些应用程序中,演示层的交付在混合部署中联合,或者所使用的服务在混合部署中。 例如,您可以在本地使用 F5 GTM 和 F5 LTM,并利用 F5 GTM 的高级功能来映射复杂的依赖关系和将客户发送到哪个位置的高级逻辑。 |
此部署应至少具备两个 F5 DNS 系统或 F5 分布式云 DNS 该部署需要在 AWS Cloud 中创建一个或多个 VPC。 需要将一个 VPC 作为数据中心映射到系统中。如果您使用转换 VPC 设计,则可能是多个 VPC。 |
| 性能优化的应用程序 | 在会话层 (L4) 和应用程序层 (L7) 上可能具有高度优化配置文件的应用程序、移动应用程序,或者由于与 AWS Cloud 之间的迁移而担心延迟增加、HTTP 优化 (SPDY) 和压缩的应用程序。 |
这需要部署运行标准类型虚拟服务器(完整 TTCP 代理)或更高版本(应用程序代理,如 HTTP)的 F5 LTM 系统,并且应用程序服务器和客户之间的对称流量较低。 流量可以由源网络地址转换 (SNAT) 处理,或者 F5 BIG-IP 实例可以作为实例和路由表的默认网关。 |
| 跨多个可用区的内部应用程序,高可用性(HA)但无 DNS | 您需要部署应用程序并希望支持跨区域以提高可用性,但不想使用 DNS 并且无法更改 IP 地址。 | 您将需要使用 VPC 中与虚拟专用网关对等的客户网关来公布外部地址空间,并使用 F5 Advanced HA iAPP 模板 |
| WAF 或 IDS/IPS 应用程序 | 这些应用程序需要高级安全功能,例如 SNORT 签名、机器人保护、深度复杂的 WAF 规则集(2900+ 签名)以及安全扫描程序集成。 | 选择满足应用程序需求的 CloudFormation 模板拓扑(AWS Auto Scaling、高可用性、独立),然后创建并验证相应的安全策略。 |
| 安全和服务传输 VPC 应用程序 |
这是中转 VPC 的变体,您可以在其中集中 Internet 或 Intranet 的安全性和服务,并将其与其他 VPC 对等。 此拓扑可以与其他应用程序类型和用例列表一起使用。它用于减少组织 VPC 结构的互联网攻击面、集中控制和分离职责。它还用于在特定 VPC、其他 VPC 和互联网之间插入高级应用程序和安全服务。 |
部署中转 VPC 以及对等(应用程序)VPC IP 地址可见性要求。 |
| DNS 安全、快速和混合应用程序 | 在 AWS 云和数据中心复制安全且一致的 DNS 查找表,并能够处理大量 DNS 查询;通过 Direct Connect 避免直接连接中断;跨环境集中管理、基于策略的 DNS;DNS 缓存和 DNS 协议验证和安全 (DNSSEC)。 | 使用最佳实践来部署 DNS 并将每个 VPC 视为一个虚拟数据中心。 |
规划架构
下图显示了通过 AWS Transit Gateway 连接的边缘 VPC 和应用程序 VPC 的基准架构。VPC 可以是相同账户的一部分,也可以是不同账户的一部分。
例如,登录区通常会部署一个网络账户,用于控制边缘 VPC。此架构可帮助用户在应用程序套件中利用通用策略、流程和平台。
下图显示了部署在活动备用集群中的 F5 BIG-IP 工作负载中的两个网络接口 (NIC) 实例。您可以向这些系统添加更多弹性网络接口,直至达到实例限制。F5 建议您在部署中使用多可用区模式,以避免可用区故障。
