Was ist ein Application Delivery Controller?

Werbung
Whitepaper
Was ist ein Application
Delivery Controller?
Application Delivery Controller (ADC) haben sich im letzten Jahrzehnt
immer weiter verbreitet. Dies liegt größtenteils daran, dass veraltete
Load-Balancing-Appliances heute oft nicht mehr in der Lage sind,
alle Anforderungen an die Anwendungsbereitstellung
und die Anwendungs-Performance zu erfüllen.
citrix.de
Whitepaper
Was ist ein Application Delivery Controller?
Application Delivery Controller sind Netzwerk-Appliances, die entwickelt
wurden, um die Performance, Sicherheit und Widerstandsfähigkeit von
Anwendungen zu erhöhen, die über das Internet bereitgestellt werden.
In diesem Whitepaper werden einige Kernaufgaben von Application Delivery Controllern vorgestellt und
die Vorteile sowohl für Anwender als auch für Anwendungs-Administratoren beschrieben.
Anwendungsbereitstellung
Anwendungen haben sich über die Jahre deutlich weiterentwickelt. Unter dem Begriff „Bereitstellung“ versteht
man allgemein die Übertragung einer Anwendung an den Anwender in Zeiten von Mobility und Cloud.
Geschäftliche Anwendungen in Unternehmen sind nicht länger nur Desktop-Software, die auf einem lokalen
Server installiert wurde und auf die von Anwendern im LAN zugegriffen wird. Moderne Anwendungen müssen
sich über alle Arten von Netzwerken ausführen lassen, auch außerhalb des physischen Arbeitsplatzes.
ADC sind ein wichtiger Teil der Infrastruktur vieler Unternehmen und sorgen dafür, dass sich Anwendungen an
die heute genutzten Netzwerke und Protokolle anpassen. Sie stellen zudem sicher, dass Anwendungen mit
optimaler Performance ausgeführt werden, immer verfügbar sind und keine Sicherheitsrisiken für den
Anwender oder das Unternehmen darstellen.
Anwendungsverfügbarbeit
Anwender erwarten heute, dass die Endgeräte und Anwendungen, mit denen sie täglich interagieren, immer
funktionieren und dass Informationen nach Bedarf sofort verfügbar sind. Diese Erwartungen übertragen sie auf
andere Endgeräte und Anwendungen, die sie verwenden. Um die Mitarbeiter von heute zufriedenzustellen,
müssen Unternehmensanwendungen so intuitiv und benutzerfreundlich wie diejenigen sein, die sie für private
Aufgaben und zur Unterhaltung nutzen.
Viele Mitarbeiter sind nicht länger auf abgeschottete Endgeräte im Unternehmensbesitz beschränkt, sondern
können ihre privaten Endgeräte nutzen, um zu arbeiten, wo immer sie wollen. Da Menschen zu jeder Tagesund Nachtzeit arbeiten können, muss die IT sicherstellen, dass die Server und Anwendungen am Arbeitsplatz
rund um die Uhr verfügbar sind. Unternehmen investieren viel Geld in IT-Infrastruktur, mit der sichergestellt wird,
dass Mitarbeiter bei Bedarf stets Zugriff auf Anwendungen und Informationen haben.
Server können natürlich aus vielerlei Gründen ausfallen: von mechanischen Problemen bis hin zu Überlastung
und Sicherheitsverstößen. Wenn ein Server ausfällt, können Anwendungen, die auf ihm ausgeführt werden,
nicht mehr genutzt werden.
IT-Organisationen können sich auf diese Situationen vorbereiten, indem sie ihre Infrastruktur ausfalltolerant
auslegen. Zusätzliche Server im Rechenzentrum oder an einem externen Standort einzurichten sind typische
Failover-Strategien. ADC können dabei helfen, mithilfe eines nahtlosen Failovers Hochverfügbarkeit von
Anwendungen zu garantieren. Dies wird erreicht, indem Anwendungs-Workloads auf ein Cluster aus aktiven
Servern an einem oder mehreren Standorten verteilt werden.
citrix.de
2
Whitepaper
Was ist ein Application Delivery Controller?
Wie das Load Balancing von Servern hilft
Server Load Balancing hilft beim Verteilen des Traffics auf ein Server-Cluster, um die Nutzung zu optimieren,
die Reaktionsfähigkeit zu verbessern und die Verfügbarkeit zu erhöhen.
Ein ADC nutzt Algorithmen und Richtlinien, um zu bestimmen, wie eingehender Anwendungs-Traffic verteilt
wird. Das Rundlauf-Verfahren (Round Robin) ist eine ziemlich einfache Form des Load Balancing. Hierbei
werden Client-Anfragen nacheinander an die einzelnen Server weitergeleitet. Bei dieser Methode wird
davon ausgegangen, dass alle Server gleich sind. Sie berücksichtigt nicht den Systemstatus oder die
Reaktionsfähigkeit. Ein Administrator kann zusätzliche Richtlinien einrichten, die Server auf bestimmte Kriterien
hin überprüfen, bevor sie entscheiden, an welchen Server die eingehende Anfrage gesendet werden soll.
Der ADC kann die Paket-Header nach Stichworten oder angeforderten Dateitypen durchsuchen und die
Anfrage anhand dieser Informationen an den geeigneten Server weiterleiten.
Abbildung 1. Aktives Monitoring stellt sicher, dass Anfragen zu verfügbaren Servern gesendet werden
ADC werden auch besonders wegen ihrer Monitoring-Funktionen benötigt. Diese Funktionen für die
Überwachung des Systemstatus und -zustands eines Servers gehen über den Standard-Ping hinaus. Wenn
sich beim Monitoring herausstellt, dass ein Server ein Problem hat oder bestimmte Systemkriterien, die die
Zuverlässigkeit eines Servers bescheinigen, nicht erfüllt werden, leitet der ADC den Traffic zu einem alternativen
Server um, sodass eine mögliche Unterbrechung vermieden wird (siehe Abbildung 1).
ADC können zudem Echtzeit- und Verlaufsanalysen für Anwender- und Netzwerk-Traffic bereitstellen, darunter
Statistiken für Paketumlaufzeiten, Bandbreitennutzung sowie Rechenzentrums- und WAN-Latenz. Diese
Informationen helfen Help-Desk-Mitarbeitern dabei, Zeit bei der Identifizierung einer Problemursache
einzusparen und Anwendern eine schnellere Lösung zu bieten.
Server Load Balancing über mehrere Standorte
Load Balancing ist ein wichtiger Service in jedem Rechenzentrum mit hohem Datenaufkommen. Ein ADC kann
Traffic jedoch auch zu einem Server-Cluster in einem ganz anderen Rechenzentrum weiterleiten. Dies wird
Global Server Load Balancing genannt. Die Server im anderen Rechenzentrum können einen weiteren ADC als
Front-End verwenden, der gemeinsam mit der ersten Appliance arbeitet. Diese beiden Standorte können
entweder für den Aktiv/Passiv- oder Aktiv/Aktiv-Modus konfiguriert werden. Letzterer ermöglicht es, dass an
beiden Standorten aktiver Support für eingehenden Traffic geboten wird. Jeder ADC erkennt, welchem
Rechenzentrum ein Anwender am nächsten ist und leitet die Client-Anfrage zu einem Server in diesem
citrix.de
3
Whitepaper
Was ist ein Application Delivery Controller?
Rechenzentrum weiter. Durch diesen Prozess werden die Latenz und die Paketumlaufzeiten für
Anwenderan­fragen minimiert, um einen besseren Benutzerkomfort zu ermöglichen.
Diese Konfiguration ermöglicht auch Business Continuity, sollte ein Rechenzentrum komplett ausfallen. Wenn
Datenverkehr zu diesem Rechenzentrum geleitet wird, leitet der ADC ihn zu einem verfügbaren ADC an einem
verbundenen Standort um. Dieser ADC kann den Datenverkehr dann an einen funktionierenden Server
weiterleiten.
Anwendungs-Performance
Wenn die Performance von Anwendungen den Erwartungen von Anwendern nicht gerecht wird, kann
ihre Produktivität signifikant darunter leiden. Ein ADC kann zahlreiche Mechanismen einsetzen, um die
Anwendungs-Performance zu verbessern, besonders in mobilen Netzwerken und Netzwerken mit hoher Latenz.
Load Balancing von SQL-Datenbanken ist ein Mechanismus, der zu Performance-Steigerungen führen kann.
Das SQL Load Balancing nutzt viele der Techniken, die beim Load Balancing von TCP-Traffic genutzt werden,
setzt diese aber auf Datenbankebene um. Für jede SQL-Transaktion wird eine richtlinienbasierte Logik
eingesetzt. Dadurch wird die Anzahl der Anfragen und Verbindungen verbessert, die innerhalb des
Datenbank-Clusters verarbeitet werden können.
Andere übliche ADC-Services zur Optimierung der Anwendungs-Performance sind das Offloading von
rechenintensiven Aufgaben, Verbindungs-Multiplexing, Komprimierung und Caching.
SSL und TLS sind Voraussetzungen für geschäftliche Transaktionen über das Internet. Traffic mit neuen
Verschlüsselungen zu managen ist sehr rechenintensiv. ADC können besonders hohe Mengen an
verschlüsseltem und nicht verschlüsseltem Traffic verarbeiten. Der ADC kümmert sich um Zertifikate und
entschlüsselt Traffic, bevor er den Server erreicht.
TCP-Multiplexing ist eine effektive Methode, um große Mengen an eingehenden Server-Anfragen zu
verarbeiten. Durch TCP-Multiplexing werden aktive Verbindungen zwischen dem ADC und den Servern
aufrechterhalten. Sobald Traffic den ADC erreicht, nutzt dieser diese offenen Kanäle und leitet Anfragen um.
Dadurch wird das ineffiziente Öffnen und Schließen jeder Transaktion vermieden, durch das die ServerPerformance negativ beeinträchtigt wird.
Performance-Optimierung in mobilen Netzwerken
ADC können auch Performance-Vorteile in mobilen Netzwerken bieten. Webseiten, die für High-SpeedInternetgeschwindigkeiten entwickelt wurden, bieten oft nicht denselben Benutzerkomfort auf einem mobilen
Endgerät, das sich über ein Netzwerk mit geringer Bandbreite verbindet.
Ein ADC kann mithilfe mehrerer kreativer Mechanismen die Bereitstellung von Webinhalten über mobile
Netzwerke optimieren. Ein Beispiel ist das Domain Sharding. Die Optimierung auf der Verbindungsebene wird
auf eine einzelne Domain angewandt. Inhalte auf jeder Seite werden in eine Reihe von Subdomains unterteilt,
sodass eine größere Anzahl von Kanälen geöffnet werden kann. Dadurch werden die Seitenladezeiten verringert
und die Performance verbessert.
ADC haben einen Einblick in die bereitgestellten Inhalte und können die Bereitstellung von Webseiten mit
großen Bilddateien weiter optimieren, indem sie GIF-Dateien in das effizientere PNG-Dateiformat konvertieren.
citrix.de
4
Whitepaper
Was ist ein Application Delivery Controller?
Andere große Komponenten einer Webseite sind umfassende Skripte und Cascading Style Sheets(CSS)-Dateien.
ADC können diese komprimieren, indem sie unnötige Zeichen sowie Leerzeichen entfernen. Im komprimierten
Zustand werden Dateien deutlich schneller über das Netzwerk übertragen. Dadurch werden Download-Zeiten
erheblich reduziert.
Sicherheit von Anwendungen und Anwendern
Die Bereitstellung über das Internet brachte neue Gefahren und Sicherheitslücken mit sich, mit denen sich
traditionelle LAN-basierte Anwendungen niemals befassen mussten. Während Mitarbeiter immer mobiler
wurden und Remote-Zugriff auf Anwendungen und Daten benötigten, mussten IT-Administratoren strengere
Sicherheitsmaßnahmen einführen, um sich vor externen Angriffen und Datenverlust zu schützen.
ADC fungieren als natürlicher Eingangspunkt bzw. Gateway zum Netzwerk. Sie authentifizieren jeden Anwender,
der Zugriff auf eine Anwendung fordert. Wenn die Anwendung SaaS-basiert ist, kann der ADC die Identität eines
Anwenders mithilfe eines Active Directory-Datenspeichers im Rechenzentrum validieren. Dadurch müssen
Anmeldeinformationen nicht in der Cloud gespeichert werden. Die macht den Prozess nicht nur sicherer sondern
verbessert auch den Benutzerkomfort, da ein Single Sign-On für mehrere Anwendungen ermöglicht wird.
SAML, das auf XML basierende Protokoll, wird nun weithin verwendet, um den Anmeldeprozess für
Anwendungen zu vereinfachen. Der ADC kann als SAML-Agent agieren und Anwender über Datenspeicher
identifizieren und ihnen Berechtigungen erteilen. Einige Anwendungen erlauben die Nutzung von
Anmeldedaten über Webseiten wie Facebook oder Google+, um die Identität zu validieren, bevor der Zugriff
ermöglicht wird. ADC können in dieser Hinsicht als SAML-Identitäts- oder Service Provider agieren.
Distributed-Denial-of-Service(DDoS)-Angriffe haben drastisch zugenommen.1 Webinhalte von Unternehmen
werden besonders häufig angegriffen, mit dem Ziel, ihre Server zu überlasten, sodass der Geschäftsbetrieb zum
Stillstand kommt. Der ADC kann Maßnahmen zur Ratenbegrenzung implementieren, um interne
Serverressourcen vor diesen speziellen Angriffen zu schützen. Wenn eine ungewöhnlich große Anzahl an
eingehenden Anfragen auftritt, kann der ADC diese Anfragen drosseln und die von ihnen verbrauchte
verfügbare Bandbreite minimieren oder die Anfragen komplett verwerfen.
ADC vereinen Load Balancing und fortschrittliche Layer-7-Schutzmaßnahmen – eine Funktion, die traditionell
nur in eigenständigen Lösungen verfügbar war. Anwendungs-Firewalls können Datenpaket-Header nach
verdächtigen Inhalten oder bösartigen Skripten durchsuchen, die von der Netzwerk-Firewall eventuell nicht
entdeckt werden (siehe Abbildung 2).
Abbildung 2. Layer-7-Schutz, der die Fähigkeiten einer Netzwerk-Firewall übersteigt
Jonathan Keane. Anzahl der DDoS-Angriffe im zweiten Quartal 2015 auf Rekordniveau. Digital Trends. 19. August 2015.
http://www.digitaltrends.com/computing/ddos-attacks-hit-record-numbers-in-q2-2015/
1
citrix.de
5
Whitepaper
Was ist ein Application Delivery Controller?
Ein ADC unterstützt sowohl positive als auch negative Sicherheitsmodelle. Wenn ein ADC in den „Lernmodus“
gesetzt wird, kann er den Datenverkehr analysieren, um Anwendungsmuster einer normalen Verwendung
zu bestimmen. Wenn eine böswillige eingehende Anfrage z. B. über SQL Injection oder Cross-Site Scripting
gesendet wird, wird diese automatisch vom ADC gekennzeichnet und blockiert. Der ADC kann zudem
signaturbasierte Schutzfunktionen durch die Integration von Sicherheitslösungen von Drittanbietern wie
Qualys integrieren. Durch die Kombination dieser Schutzmaßnahmen kann der ADC ein umfassendes
Hybrid-Sicherheitsmodell für Anwendungen und Anwender ermöglichen.
Wie geht die Entwicklung im ADC-Bereich weiter?
ADC bieten IT-Organisationen bereits erhebliche Vorteile, indem sie die sichere Bereitstellung von
Anwendungen und Daten an den Anwender garantieren. Sie werden sich jedoch weiterhin an die immer
fortschrittlicheren Anwendungen anpassen. Software-definierte Netzwerke stellen hohe Anforderungen und
setzen voraus, dass auch ein ADC „as a service“ funktioniert. Da Netzwerkprotokolle anwendungsorientierter
werden, müssen auch ADC sich anpassen und sich selbst automatisieren, um eine einfache Optimierung und
zuverlässigen Schutz für jede Art von Anwendungen zu bieten.
Die folgenden Videos bieten Ihnen weitere Informationen:
Wie ein ADC bei der Optimierung von Microsoft-Umgebungen hilft
Was ist NetScaler?
Corporate Headquarters
Fort Lauderdale, FL, USA
India Development Center
Bangalore, Indien
Latin America Headquarters
Coral Gables, FL, USA
Silicon Valley Headquarters
Santa Clara, CA, USA
Online Division Headquarters
Santa Barbara, CA, USA
UK Development Center
Chalfont, Großbritannien
EMEA Headquarters
Schaffhausen, Schweiz
Pacific Headquarters
Hongkong, China
Über Citrix
Citrix (NASDAQ:CTXS) führt die Umstellung auf Software-definierte Arbeitsplätze an und unterstützt neue Formen der effizienten
Zusammenarbeit – mit Lösungen in den Bereichen Virtualisierung, Mobility Management, Netzwerk und SaaS. Citrix-Lösungen ermöglichen
sichere, mobile Arbeitsumgebungen und erlauben Mitarbeitern, mit jedem Endgerät und über jedes Netzwerk und jede Cloud direkt auf
ihre Anwendungen, Desktops, Daten und Kommunikationsdienste zuzugreifen. Mehr als 330.000 Unternehmen und über 100 Millionen
Anwender setzen weltweit auf Technologie von Citrix. Der Jahresumsatz 2014 betrug 3,14 Milliarden US-Dollar. Weitere Informationen unter
www.citrix.de.
Copyright © 2015 Citrix Systems, Inc. Alle Rechte vorbehalten. Citrix und NetScaler sind Marken von Citrix Systems, Inc. und/oder
Tochtergesellschaften, die u. U. in den USA und anderen Ländern registriert sind. Weitere in diesem Dokument genannte Produkt- und
Unternehmensnamen sind Marken ihrer jeweiligen Unternehmen.
1015/PDF/10770
citrix.de
6
Herunterladen