Che cos`è un application delivery controller?

Transcript

White paper
Che cos’è un application
delivery controller?
Gli ADC hanno acquistato importanza nel corso
dell’ultimo decennio, in gran parte a causa della crescente
necessità, da parte delle appliance di bilanciamento del
carico legacy, di gestire requisiti di distribuzione delle
applicazioni più avanzati e migliorare le prestazioni delle
applicazioni.
citrix.it
White paper
Che cos’è un application delivery controller?
Gli application delivery controller (ADC) sono appliance di rete
appositamente costruite la cui funzione è quella di migliorare le
prestazioni, la sicurezza e la resilienza delle applicazioni distribuite
attraverso il web.
Questo white paper presenta molti dei servizi di base forniti dagli ADC e spiega come essi
favoriscono sia gli utenti sia gli amministratori delle applicazioni.
Distribuzione delle applicazioni
Nel corso degli anni, le applicazioni si sono evolute in modo significativo. Il termine “distribuzione”
è ormai generalmente accettato come il mezzo per fornire un’applicazione all’utente in questa
nuova era della mobility e del cloud. In ambito aziendale, le applicazioni di business non sono più
semplicemente software limitati al desktop e installati su un server locale accessibile dagli utenti
attraverso la LAN. Le moderne applicazioni devono poter funzionare su tutti i tipi di rete e anche al
di fuori del luogo di lavoro fisico.
Gli ADC, ampiamente impiegati come strumento chiave in azienda, aiutano le applicazioni ad
adattarsi alle reti e ai protocolli utilizzati oggi. Essi assicurano inoltre che le applicazioni
mantengano prestazioni ottimali, siano sempre disponibili e non presentino rischi per la sicurezza
dell’utente o del business.
Disponibilità delle applicazioni
Il consumatore medio si aspetta che i dispositivi e le applicazioni con cui interagisce ogni giorno
funzionino sempre, e che le informazioni siano subito disponibili quando necessarie. Tali
aspettative riguardano tutti i tipi di dispositivi e applicazioni che il consumatore utilizza. Per
soddisfare i dipendenti, oggi le applicazioni aziendali devono essere tanto intuitive e facili da usare
quanto quelle utilizzate per le attività personali e lo svago.
Molti dipendenti non sono più obbligati ad usare apparecchi bloccati di proprietà dell’azienda, e
possono utilizzare i dispositivi personali al lavoro ogni volta che lo desiderano. Poiché le persone
lavorano a qualsiasi ora, l’IT deve fare in modo che i server e le applicazioni sul posto di lavoro
siano disponibili 24 ore su 24. Le aziende investono fortemente nelle infrastrutture IT per garantire
che i dipendenti abbiano sempre accesso alle applicazioni e alle informazioni necessarie.
Naturalmente, i server possono subire guasti per una serie di motivi che vanno dai problemi
meccanici all’utilizzo eccessivo e le violazioni della sicurezza. Se un server subisce un guasto, le
applicazioni che vi risiedono diventano inutilizzabili o inaccessibili.
Le organizzazioni IT possono ovviare a questi eventi garantendo una certa tolleranza di errore nei
propri ambienti. L’impiego di server aggiuntivi nel datacenter o in housing è una tipica strategia di
failover. Gli ADC possono contribuire a garantire un’elevata disponibilità delle applicazioni
consentendo un failover senza interruzioni. Ciò avviene bilanciando i carichi di lavoro delle
applicazioni su un gruppo di server attivi in uno

o più siti.
citrix.it
2
White paper
A cosa serve il bilanciamento del carico del server
Il bilanciamento del carico del server aiuta a distribuire il traffico su un gruppo di server per
ottimizzare l’utilizzo, migliorare la reattività e aumentare la disponibilità.
Un ADC impiega algoritmi e policy per determinare come viene distribuito il traffico delle
applicazioni in entrata. La modalità “round robin”, che inoltra le richieste dei client ad ogni server a
turno, è una forma piuttosto rudimentale di bilanciamento del carico. Questo metodo presuppone
che tutti i server siano uguali, senza tenerne in considerazione la salute o la capacità di risposta. Un
amministratore può implementare ulteriori policy affinché un ADC verifichi la sussistenza di una
serie di criteri prima di determinare a quale server debba essere inviata una richiesta in entrata.
L’ADC può ispezionare le intestazioni dei pacchetti per rilevare parole chiave o i tipi di file richiesti,
e indirizzare la richiesta al server adeguato in base a queste informazioni.
Figura 1. Monitoraggio attivo per garantire che le richieste vengano inviate ai server disponibili
Gli ADC sono ampiamente utilizzati anche per le loro capacità di monitoraggio. Essi sono in grado
di verificare la salute e la funzionalità di un server andando oltre il test ping standard. Se il
monitoraggio indica che un server sta riscontrando un problema, o che determinati criteri di salute
necessari a garantire l’affidabilità di un server non sono rispettati, l’ADC instraderà il traffico verso
un server alternativo, evitando una potenziale interruzione (vedere Figura 1).
Gli ADC possono anche fornire l’analisi in tempo reale e storica di tutto il traffico degli utenti e
della rete, compresi i parametri per i tempi di andata e ritorno, l’utilizzo della banda e la latenza del
datacenter e della WAN. Queste informazioni possono supportare il personale dell’help desk,
riducendo il tempo necessario a identificare la causa di un problema, e aiutare gli utenti fornendo
una risoluzione più rapida.
Bilanciare il carico dei server su più siti
Il bilanciamento del carico è un servizio cruciale in qualsiasi datacenter a traffico elevato, ma un
ADC può anche reindirizzare il traffico verso un gruppo di server situati in un datacenter
completamente diverso. Ciò viene definito “bilanciamento del carico globale del server”. I server
situati nell’altro datacenter possono avere come front-end un altro ADC che operi congiuntamente
alla prima appliance. Questi siti possono essere configurati in modalità sia attivo-passivo sia attivoattivo. In quest’ultimo caso, entrambi i siti supportano attivamente il traffico in entrata. Ogni ADC
rileva il datacenter più vicino a un determinato utente, e instrada la richiesta del client verso un
server situato in quel datacenter. Questo processo riduce al minimo la latenza e i tempi di andata e
ritorno per la richiesta dell’utente e garantisce una migliore esperienza.
citrix.it
3
White paper
Questa configurazione favorisce anche la continuità aziendale qualora un datacenter subisca un
arresto. Quando il traffico viene instradato verso tale datacenter, l’ADC lo devia verso un ADC
disponibile in un sito in housing in grado di indirizzare il traffico verso una risorsa del server
adeguata.
Prestazioni delle applicazioni
Se le prestazioni delle applicazioni non rispondono alle aspettative degli utenti, la produttività può
essere gravemente compromessa. Un ADC può utilizzare una serie di meccanismi per migliorare le
prestazioni delle applicazioni, in particolare sulle reti mobile e ad alta latenza.
Il bilanciamento del carico del database SQL è uno dei meccanismi che possono offrire un
miglioramento delle prestazioni. Il bilanciamento del carico SQL impiega molte delle stesse
tecniche utilizzate per il bilanciamento del carico per il traffico TCP, ma le applica a livello di
database. Esso utilizza una logica basata su policy per ogni transazione SQL, aumentando il
numero di richieste e connessioni che possono essere gestite all’interno del gruppo di database.
Altri servizi comuni per l’ottimizzazione delle prestazioni delle applicazioni offerti da un ADC sono
l’offloading delle attività ad alta intensità di server, il multiplexing delle connessioni, la
compressione e il caching.
L’SSL e il TLS sono strumenti fondamentali per fare impresa sul web. La gestione del traffico
crittografato con nuovi algoritmi richiede un uso intensivo della CPU. Gli ADC sono in grado di
gestire volumi molto elevati di traffico crittografato e non crittografato. L’ADC gestisce i certificati
e decifra il traffico prima che raggiunga il server.
Il multiplexing del TCP è un metodo efficace per gestire grandi volumi di richieste al server in
entrata. Il multiplexing del TCP mantiene le connessioni attive tra l’ADC e i server. Quando il traffico
raggiunge l’ADC, quest’ultimo instrada le richieste utilizzando questi canali aperti, eliminando così
il carico superfluo di “apertura e chiusura” per ogni transazione che può avere un impatto negativo
sulle prestazioni del server.
Ottimizzazione delle prestazioni sulle reti mobile
Gli ADC possono anche fornire vantaggi prestazionali sulle reti mobile. Spesso, le pagine web
progettate per collegamenti Internet ad alta velocità non sono in grado di offrire la stessa
esperienza utente su un dispositivo mobile che si connette a una rete con larghezza di banda
limitata.
Diversi meccanismi creativi consentono a un ADC di ottimizzare la distribuzione dei contenuti web
sulle reti mobile. Un esempio è costituito dal “domain sharding”. L’ottimizzazione a livello di
connessione è applicata a un singolo dominio. Il contenuto di ciascuna pagina viene suddiviso in
una sequenza di sottodomini che permettono di aprire simultaneamente un maggior numero di
canali: in questo modo si riduce il tempo di caricamento delle pagine e si migliorano le prestazioni.
Gli ADC dispongono di una certa visibilità dei contenuti distribuiti, e possono ottimizzare
ulteriormente la distribuzione delle pagine web che contengono immagini di grandi dimensioni
convertendo i file GIF nel più efficiente formato PNG.
Gli altri componenti di grandi dimensioni di una pagina web includono gli script estesi e i fogli di
stile a cascata (CSS), che gli ADC possono comprimere eliminando i caratteri inutili e gli spazi
bianchi. Quando sono compressi, i file attraversano la rete ad una velocità molto superiore, per cui
i tempi di download sono notevolmente ridotti.
citrix.it
4
White paper
Sicurezza delle applicazioni e degli utenti
La distribuzione attraverso il web ha introdotto nuove minacce e vulnerabilità che le tradizionali
applicazioni legate alla LAN non hanno mai dovuto affrontare. Con l’aumento della forza lavoro
mobile, che necessita dell’accesso remoto ad applicazioni e dati, l’IT deve elaborare misure di
salvaguardia più rigorose contro gli attacchi esterni e le perdite di dati.
Gli ADC fungono da porta d’ingresso o gateway naturale per la rete. Essi autenticano ogni utente
che tenta di accedere a un’applicazione. Se l’applicazione è basata su SaaS, l’ADC può verificare
l’identità di un utente utilizzando un archivio dati di Active Directory in locale che elimina la
necessità di memorizzare le credenziali nel cloud. Non solo questo processo è più sicuro, ma
migliora anche l’esperienza dell’utente, consentendo l’autenticazione single sign-on per più
applicazioni.
SAML, il protocollo basato su XML, è oggi ampiamente utilizzato per semplificare il processo di
login alle applicazioni. L’ADC può fungere da agente SAML, autorizzando gli utenti tramite
qualsiasi archivio dati in cui sia possibile confermarne l’identità. Alcune applicazioni consentono
l’utilizzo di credenziali di siti come Facebook o Google+ per convalidare l’identità prima di fornire
l’accesso. In questo senso, gli ADC possono fungere da provider di identità o fornitori di servizi
SAML.
Gli attacchi Distributed Denial-of-Service (DDoS) sono diventati un problema diffuso.1 Le proprietà
web aziendali, in particolare, sono prese di mira con l’intento di sovraccaricare i server e
compromettere lo svolgimento delle attività. L’ADC può attuare misure di rate limiting per
impedire che le risorse del server interne siano colpite da questi attacchi appositamente progettati.
Quando si verifica un aumento insolitamente massiccio delle richieste in entrata, l’ADC può
accelerare queste richieste e ridurre al minimo la quantità di larghezza di banda che esse
consumano, oppure respingere del tutto la richiesta.
Gli ADC hanno combinato il bilanciamento del carico e la protezione avanzata di livello 7,
tradizionalmente disponibili solo come soluzioni standalone. I firewall per le applicazioni possono
ispezionare le intestazioni dei pacchetti di dati in cerca di contenuti sospetti o script dannosi che
potrebbero non essere rilevati dal firewall di rete (vedi Figura 2).
Figura 2. Protezione di livello 7 oltre le capacità di un firewall di rete
Jonathan Keane. DDoS Attacks Hit Record Numbers in Q2 2015. Digital Trends. 19 agosto 2015.
http://www.digitaltrends.com/computing/ddos-attacks-hit-record-numbers-in-q2-2015/
1
citrix.it
5
White paper
Un ADC è in grado di supportare i modelli di sicurezza sia positivi sia negativi. Quando un ADC
viene posto in modalità di “apprendimento”, può analizzare il traffico per determinare i modelli
di utilizzo che indicano un comportamento normale. Se viene inviata una richiesta in entrata
dannosa, ad esempio utilizzando l’SQL injection o il cross-site scripting, l’ADC la segnalerà e la
bloccherà automaticamente. L’ADC può anche utilizzare la protezione basata sulle firme attraverso
l’integrazione con fornitori di servizi di sicurezza di terze parti, come ad esempio Qualys. La
combinazione di questi metodi di protezione consente all’ADC di utilizzare un modello di sicurezza
ibrido completo per le applicazioni e gli utenti.
Qual è il futuro degli ADC?
Gli ADC forniscono già un notevole valore alle organizzazioni IT garantendo la distribuzione sicura
di applicazioni e dati all’utente. Tuttavia, si prevede che essi continueranno a progredire con
l’evolversi delle applicazioni. A causa del software-defined networking, è sempre più necessario
che gli ADC funzionino “as a service”. Poiché i protocolli di rete ruotano sempre più attorno alle
applicazioni, anche gli ADC devono adattarsi e diventare più “automatizzati” per fornire
un’ottimizzazione e una protezione uniformi per ogni tipo di applicazione.
Per ulteriori informazioni, è possibile fare riferimento ai seguenti video:
In che modo un ADC aiuta a ottimizzare gli ambienti Microsoft
Che cos’è NetScaler?
Sede aziendale
Fort Lauderdale, Florida, USA
Centro di sviluppo in India
Bangalore, India
Sede per l'America Latina
Coral Gables, Florida, USA
Sede nella Silicon Valley
Santa Clara, California, USA
Sede Divisione online
Santa Barbara, California, USA
Centro di sviluppo nel Regno Unito
Chalfont, Regno Unito
Sede per Europa, Medio Oriente e Africa
Sciaffusa, Svizzera
Sede per il Pacifico
Hong Kong, Cina
Informazioni su Citrix
Citrix (NASDAQ:CTXS) è l'azienda leader nella transizione verso un luogo di lavoro software-defined, che integra soluzioni di
virtualizzazione, gestione della mobility, networking e SaaS al fine di offrire alle aziende e alle persone nuovi modi per lavorare al meglio.
Le soluzioni di Citrix sono una risorsa essenziale per la mobility aziendale grazie a mobile workspaces sicuri che forniscono alle persone un
accesso immediato ad applicazioni, desktop, dati e comunicazioni su qualsiasi dispositivo, rete e cloud. Con ricavi annuali pari a 3,14 miliardi
di dollari nel 2014, le soluzioni Citrix sono utilizzate da oltre 330.000 organizzazioni e da più di 100 milioni di utenti nel mondo. Maggiori
informazioni sono disponibili su www.citrix.it o www.citrix.com.
Copyright © 2015 Citrix Systems, Inc. Tutti i diritti riservati. Citrix e NetScaler sono marchi registrati di Citrix Systems, Inc. e/o di una delle
sue consociate, e possono essere registrati negli Stati Uniti e in altri paesi. Altri nomi di prodotti e società citati nel presente documento
possono essere marchi delle rispettive società.
1015/PDF/10770
citrix.it
6