eyetronic - Fotolia
Kaufkriterien für Application Delivery Controller (ADC)
Ehe Sie Angebote für Application Delivery Controller einholen, sehen Sie sich unsere 13 ADC-Funktionen an. Erst dann entscheiden Sie, welche Must-haves auf Ihre Liste gehören.
Als Wächter über den Zugang zu Ihren Anwendungen ist ein Application Delivery Controller (ADC) bestens geeignet, um eine breite Palette an Performance- und Sicherheitsdiensten zur Verfügung zu stellen. Da der gesamte Anwendungs-Traffic das ADC-Gerät passieren muss, ist dies eine günstige Stelle, um Funktionen zu implementieren, an die Architekten von Server-Load-Balancern früher nicht gedacht haben.
Die heutigen ADCs haben sich weiterentwickelt und enthalten nun ein Intrusion Prevention System (IPS), eine Web Application Firewall (WAF) und moderne Analysetechnologien. Diese Merkmale ergänzen Funktionen wie Sitzungsoptimierung, Caching und SSL-Offload (Secure Sockets Layer), die aus Load Balancern entstanden.
Application Delivery Controller: das Schweizer Taschenmesser fürs Networking
Bevor Sie sich mit den diversen ADC-Anbietern näher beschäftigen, ist es wichtig zu verstehen, welche Funktionen Sie brauchen. Da ADCs Bestandteil großer und kleiner Netzwerke sind, hängt die benötigte Funktionalität von der Größe und Komplexität Ihrer Infrastruktur ab.
Viele ADC-Anbieter sind seit mehr als 20 Jahren auf dem Markt. Angesichts dieser langen Zeit sollte man eine gepflegte, übersichtliche Liste der Funktionen erwarten, doch das ist nicht der Fall. Vielmehr variieren die Features von Anbieter zu Anbieter, und einige Listen sind überraschend vage gehalten. Passen Sie deshalb genau auf, und fragen Sie die in Betracht kommenden Anbieter nach Details.
Das gehört auf die Anforderungsliste für Application Delivery Controller
Beginnen wir mit den grundlegenden Funktionen, später kümmern wir uns um die erweiterten Merkmale. Die Wichtigkeit der einzelnen Punkte wird je nach Unternehmen unterschiedlich ausfallen.
Server Load Balancing. Hauptkomponente jedes ADCs ist Server Load Balancing (SLB). Damit hat alles begonnen. Im einfachsten Fall handelt es sich um eine Layer-4-Funktion, die eingehenden Traffic zu Back-End-Servern umleitet. Vor einigen Jahren warben SLB-Anbieter offensiv mit den verschiedenen Optionen, die sie nutzen, um Traffic zu routen. Beispielsweise unterstützt ein Anbieter Round-Robin-Verteilung. Dabei ist zunächst Server 1 an der Reihe, gefolgt von Server 2, dann Server 3 und so weiter. Ein anderer Anbieter wiederum überwacht die Last auf dem Zielserver mit einem Agent-Programm und sendet Traffic zu dem Server, der am wenigsten ausgelastet ist.
Zusätzlich zum Traffic-Management unterstützt SLB in der Regel einen Health Check, wobei in periodischen Abständen untersucht wird, ob die Zielserver antworten. Schließlich ist es wenig sinnvoll, den Traffic zu einem nicht reagierenden Server zu senden.
Überraschenderweise konzentrieren sich die ADC-Anbieter heutzutage nicht allzu sehr auf die Besonderheiten ihrer SLB-Funktionalität. Obwohl es sich hierbei um die wohl wichtigste Funktion eines ADCs handelt, ist es nicht einfach, an die Informationen zu kommen, die Sie für eine fundierte Entscheidung benötigen.
Bei Cloud-Deployments ist SLB die möglicherweise am wenigsten relevante Funktion Ihres Application Delivery Controllers, denn diese Funktion lässt sich auch einem Cloud-SLB zuweisen. Da Cloud-Provider wie Amazon Web Services (AWS) und Microsoft Azure grundlegendes Server Load Balancing bieten, ist es nicht nötig, dass Cloud-basierte ADCs diese Funktion übernehmen.
Stattdessen wird diese Aufgabe separat erledigt – etwa von Amazons Elastic Load Balancer oder ähnlichen Azure- oder Google-Cloud-Produkten. Wenn Ihr Deployment-Modell in erster Linie Cloud-basiert ist, dürfte daher SLB keine Priorität sein. Denken Sie jedoch daran, dass von Ihrem Cloud-Provider bereitgestelltes SLB wahrscheinlich deutlich weniger umfangreich ist als das von Ihrem ADC-Anbieter.
Global Server Load Balancing. Obwohl dies eine fortgeschrittene Funktion eines ADC-Geräts ist, handelt es sich um eine Erweiterung der SLB-Funktion. Global Server Load Balancing enthält die gleiche Basisfunktion wie SLB, aber die Zielserver sind lokal über ein LAN sowie remote über ein WAN verbunden. Diese Funktion ist wichtig für Unternehmen mit einer weltweiten Benutzerbasis, die auf Anwendungen von Backend-Servern aus zugreift, die überall stehen könnten.
Anwendungsbeschleunigung und -optimierung. Wenn wir tiefer in den Anwendungs-Traffic vordringen – bis zu Layer 7 –, kommen wir zu dem Bereich, wo aus grundlegendem Server Load Balancing ein ADC wird. Hier klinkt sich der ADC in den Datenfluss der Anwendung ein, anstatt lediglich Traffic umzuleiten. Die meisten ADCs verfügen über irgendeine Form von Caching-, Kompressions- und TCP-Optimierung. Einige Geräte bieten sogar Traffic Shaping.
Caching. ADCs können Inhalte, die häufig von Clients angefragt werden, dynamisch vorhalten. Für die Anwendung ist das typischerweise transparent. Der ADC ist dafür verantwortlich, dass die Inhalte korrekt sind. Caching kann die Arbeitslast für den Backend-Server reduzieren und die Auslieferung an die Clients beschleunigen.
HTTP-Kompression. Wenn der Traffic den ADC durchläuft, kann dieser eine HTTP-Standardkompression anwenden, um die Payload-Größe zu verringern und infolgedessen die Übertragungsgeschwindigkeit zu verbessern. Die HTTP-Kompression wird kaum gemessen. Deren Effizienz hängt von den Inhalten ab. Erwarten Sie davon keine allzu großen Performance-Vorteile.
TCP-Wiederverwendung und Connection Multiplexing. Das kontinuierliche Öffnen und Schließen von TCP-Sitzungen kann eine erhebliche – und überflüssige – Last auf dem Backend-Server erzeugen. Viele ADCs unterstützen die Wiederverwendung oder das Multiplexing von vorhandenen TCP-Sitzungen, um diesen nutzlosen Sitzungs-Overhead zu beseitigen.
Traffic Shaping. Einige Anbieter behaupten auch, dass sie den Traffic formen könnten. Dies bedeutet die Implementierung eines QoS-Schemas (Quality of Service), mit dem bestimmter Datenverkehr priorisiert wird. Das ist keine typische Funktion für ADCs. Solche Eigenschaften sind auf der WAN-Schnittstelle wohl besser aufgehoben.
SSL-Offload. Der gesamte E-Commerce-Traffic läuft über HTTPS, das heißt, er ist per SSL verschlüsselt. Die kryptografische Funktion verbraucht Ressourcen auf dem Backend-Anwendungsserver. Da man generell davon ausgeht, dass das interne Netzwerk hinter dem ADC sicher ist, ist es nicht sinnvoll, dass der ADC den Traffic entschlüsselt, wenn er ins Data Center fließt, und anschließend die ausgehenden Antworten verschlüsselt.
Darüber hinaus können kryptografische Funktionen prozessorintensiv sein. Aus diesem Grund stellen viele ADC-Anbieter kryptografische Hardware-Boards für ihre Hardware-Appliances zur Verfügung, um dieses Offloading zu unterstützen.
Den SSL-Offload auf einem ADC auszuführen, ist äußerst sinnvoll, weil er Ressourcen auf den Anwendungsservern schont und die Installation von Kryptohardware auf den Backend-Servern überflüssig macht.
Eine weitere Überlegung: Kryptografie geht mittlerweile über SSL hinaus. Wenn Sie also diese Funktionalität berücksichtigen, fragen Sie den Anbieter nach Details zur aktuellen oder geplanten Unterstützung neuer Ansätze – zum Beispiel Elliptic Curve Cryptography und Perfect Forward Secrecy.
Intrusion Prevention System. Auch hier gilt: Weil der ADC im Netzwerk am Edge positioniert ist, integrieren einige Anbieter IPS-Funktionen. Vielleicht bewerben sie das nicht einmal explizit als Intrusion Prevention System, sondern verweisen darauf, dass ihr Produkt Angriffen, etwa in Form von Distributed Denial of Service (DDoS), standhalten kann.
Andere Anbieter glauben, die Implementierung von IPS in das ADC-Gerät sei ein Fehler. Sie geben zu bedenken, und ich stimme zu, dass ein eigenständiges IPS der richtige Weg ist, um Traffic zu filtern, bevor er zum ADC gelangt.
Web Application Firewall. Wenn es um Sicherheitsfragen geht, scheint die Integration von WAF-Funktionalität vernünftig. Da der ADC den Traffic auf Anwendungsebene untersucht – im Wesentlichen per Deep Packet Inspection (DPI) – und viele Angriffe über Anwendungen stattfinden, kann es nicht schaden, sich mit einer weiteren Verteidigungslinie vor Bedrohungen zu schützen. Selbst wenn Ihr Intrusion Prevention System DPI beherrscht, gibt es eventuell einige Bedrohungen, die durch die erste Verteidigungslinie schlüpfen und von einer im ADC untergebrachten WAF erwischt werden können. Es empfiehlt sich auf jeden Fall, diese Funktion zu berücksichtigen.
Einige Anbieter dehnen die Packet Inspection auf ausgehende Daten aus. Dies fällt in den Bereich Data Loss Prevention. Einige Hersteller behaupten, sie wären in der Lage, sensible Daten, die exfiltriert werden, zu entdecken und sie entweder komplett zu blockieren oder zu maskieren, bevor sie nach draußen gelangen. Dies ist keine gängige Funktion. Wenn sie vorhanden ist, können die Implementierungen beträchtlich variieren. Machen Sie sich daher eingehend mit den Einzelheiten vertraut, sofern dieser Bereich für Sie interessant ist.
Performance und Durchsatzdrosselung. Zwar ist der Durchsatz keine Funktion per se, trotzdem ist er ein wichtiges Kriterium. ADCs sind ressourcenintensiv. Daher kann die Performance schwanken, je nach den ausgeführten Funktionen und der zugrunde liegenden Hardware oder virtuellen Plattform. Der Preis, den Sie bezahlen, wird höchstwahrscheinlich mit der relativen Performance verknüpft sein, die Sie erhalten.
Einige Anbieter lizenzieren ihre Produkte tatsächlich auf Grundlage der gewünschten Durchsatzrate. Infolgedessen ist die Durchsatzdrosselung eine bewusste Begrenzung des Durchsatzes, um der Lizenz zu entsprechen, die Sie erworben haben.
Lizenzierungsoptionen. Gleichermaßen wichtig ist, wie flexibel der Anbieter in puncto der von Ihnen gekauften Lizenzen ist. Wenn sich Ihre Umgebung ändert und Sie, zum Beispiel, mehr Anwendungen in die Cloud verlagern, ändern sich womöglich auch Ihre ADC-Anforderungen. ADCs können entweder als Hardware-Appliances, Software oder virtuelle Instanzen gekauft werden. Entsprechend könnte sich die Kombination dieser Geräte – und ihre Durchsatzanforderungen – wesentlich ändern.
Überzeugen Sie sich daher, wie flexibel der Anbieter der Application Delivery Controller ist, etwa wenn Sie Ihre Lizenz für die Hardware-Appliance in eine virtuelle Instanz umwandeln möchten. Sie wollen bestimmt nicht für Lizenzen zahlen, die sie nicht mehr nutzen können, und gleichzeitig neue Lizenzen für eine neue Plattform kaufen. Ebenso wollen Sie sicher sein, dass Ihr Anbieter Ihnen erlaubt, Ihre Lizenzen in einem Pool zusammenzufassen und sie nach Bedarf zu verwenden.
Analyseverfahren. Obwohl Analysetechnologien sich nicht als Funktion in den ersten ADC-Geräten fanden, sind sie jetzt in vielen Application Delivery Controllern anzutreffen und können recht nützlich für das Management von Sicherheit und Service Level Agreements (SLA) sein. Da wie erwähnt der meiste oder der gesamte Anwendungs-Traffic den ADC durchläuft und er deswegen sowie aufgrund von DPI, die Details der Anwendung kennt. Für den ADC ist es daher eine relativ leichte Aufgabe, Daten zu erfassen und zu analysieren.
Haken Sie diesen Punkt aber nicht einfach auf Ihrer Anforderungsliste ab. Denn Breite und Tiefe der Analyseverfahren sowie letztlich ihr Nutzen können sich je nach ADC-Anbieter erheblich unterscheiden.
Hinweis der Redaktion:
Die TechTarget-Redakteure haben sich während der intensiven Recherche zum Markt für Application Delivery Controller auf die Unternehmen mit dem breitesten Spektrum an ADC-Funktionen konzentriert – sowohl durch Appliances wie rein durch Software. Unsere Recherche enthält Daten von TechTarget-Studien und -Interviews sowie von Berichten anderer renommierter Marktforschungsinstitute, unter anderem von Gartner.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!