Импортозамещение high-availability решений: обзор китайского балансировщика TongTech
К концу 2023 года большинство балансировщиков в российских ЦОДах по-прежнему западного производства. В прошлом году западные вендоры ушли из России, и оставаться на их оборудовании стало рискованно. Но мигрировать на доступные решения — тоже риск: они на рынке недавно, не хочется быть первым, кто испытывает их на себе.
Эта статья — для тех, кто задумывается об уходе от балансировщиков западных вендоров и хочет потестировать доступные в России решения в своих сценариях. Я Сергей Шульгин, эксперт по сетевым технологиям ИТ-компании К2Тех. Мы протестировали доступные в России балансировщики в нашей испытательной лаборатории. В этой статье я расскажу о китайских балансировщиках TongTech, которые достойно показали себя в наших исследованиях.
Проблемы с зарубежными балансировщиками
Балансировщики — критичная часть инфраструктуры высоконагруженных приложений, от финансового сектора до провайдеров связи и ритейла. От бесперебойной работы балансировки зависит и выручка, и репутация.
До всем известных событий подавляющая часть рынка спокойно пользовалась балансировщиками зарубежных вендоров, которые обеспечивали высокое качество продуктов и поддержки. В 2022 году эти вендоры ушли из России, то есть — перестали поддерживать и обновлять свои решения. Многие заказчики по-прежнему ими пользуются, находя неофициальные пути для обновлений. Но все задумываются о переходе на доступных вендоров и присматриваются к решениям, которые есть на рынке.
Риски продолжения работы на западных вендорах очевидны. Я не буду говорить про неподтверждённые слухи об окирпичивании апплаенсов при подключении к интернету. Но отсутствие обновлений ведёт к накоплению багов и уязвимостей и отставании по поддержке новых функциональностей. А отсутствие технической поддержки оставляет клиентов с проблемами один на один.
Но и с самим процессом миграции на доступных в России вендоров тоже не всё просто. Кейсов внедрений мало, заказчики не понимают, как эти решения поведут себя в их инфраструктуре и могут ли они полноценно заменить балансировщики западного производства. Со всеми этими вопросами заказчики приходят к нам. На часть из них постараюсь ответить в статье.
Мигрировать или подождать?
(спойлер: тестировать)
От ушедших вендоров рано или поздно придется отказаться, поскольку это все больше ставит под угрозу непрерывность бизнеса. Неважно, что станет драйвером или причиной для каждой конкретной компании, но рынок неминуемо к этому придёт. И чтобы это не стало испытанием на скорость, лучше заранее протестировать и обкатать свои сценарии на доступных в России решениях. И даже если не мигрировать прямо сейчас, это обеспечит хороший план на случай экстренной миграции.
Сейчас такое время, когда вендоры, доступные в России, быстро осваивают рынок, готовы к активному развитию своих продуктов и открыты к глубоким доработкам под нужды заказчика. Можно составить грамотное ТЗ и мигрировать на решение, практически «кастомизированное» под задачи конкретного бизнеса.
Шорт-лист балансировщиков и тестирование в нашей лаборатории
Когда мы поняли, что западные вендоры покинут Россию, то начали активно изучать рынок доступных решений, чтобы понимать, что мы можем предложить клиентам в качестве альтернативы. Мы проанализировали балансировщики, доступные в России, по документации и выделили вендоров, которые сопоставимы с ушедшими с рынка и активно развивают свои продукты. В список вошли Radware, TMLake, TongTech, Xpoint, B4Com Technologies.
У нас есть испытательная лаборатория для оборудования в сценариях наших клиентов, сетевые фабрики, стойки под enterprise- и отраслевые решения и всё такое. Так что нам ничего не мешало протестировать балансировщики из нашего шорт-листа в лаборатории. Я собираюсь рассказать про те из них, которые достойно показали себя по итогам испытаний. И сегодня я хочу начать с TongTech, который, кстати сказать, мы уже внедряем у одного из заказчиков.
Параметры балансировщиков TongTech
Форм-факторы
● Физические appliance (ПАКи) с пропускной способностью 10−200 ГБит. Есть модели, основанные на полностью китайской компонентной базе, без участия импортируемых в Китай компонентов.
● Виртуальные appliance с пропускной способностью 1.0−10 ГБит (гранулярность линейки 1 ГБит). Поддержка гипервизоров VMware, KVM.
Балансировка
● Уровни балансировки в OSI: layer 4, layer 7.
● Поддержка прикладных протоколов: TCP/UDP, HTTP/1.0, HTTP/1.1, HTTP/2, FTP, SMTP, LDAP и другие.
● Методы балансировки: тут всё стандартно, поддерживаются методы Round Robin, Weighted Round Robin, Least Connections и другие.
● Persistence (постоянство): если клиентские подключения должны идти к одному и тому же серверу, поддерживаются механизмы persistence по cookie, source IP, destination IP и другие.
Оптимизация нагрузки на прикладные серверы
● Мультплексирование соединений (TCP multiplexing), RAM-кэширование и RAM-компрессия на различных уровнях.
● Работа с протоколами шифрования: перенос нагрузки по шифрованию трафика с прикладных серверов на балансировщик. Поддерживаются SSL 3.0 и TLS 1.2. Поддержка TLS 1.3 — в разработке.
● Поддержка встраиваемых аппаратных SSL-ускорителей: для RSA-соединений SSL/TLS (ключи длинной 2K) и ECC-соединений SSL/TLS (P-256 бит).
● SSL-терминация, SSL-bridging, использование балансировщика как SSL-proxy.
● Настраиваемые cipher suites (комбинации шифров) для SSL/TLS.
Управление контентом
● Поддержка скриптов (eRule) для гибкого управления трафиком приложений. Как и у многих западных вендоров, у TongTech eRule основаны на языке TCL, так что возможен бесшовный переезд скриптов на TongTech.
● За счёт eRule или профилей приложений можно выполнять модификацию TCP-payload, условную модификацию значений HTTP/TCP, роутинг, изменение / добавление заголовков HTTP.
Сеть, маршрутизация
● Поддержка VLAN, транков VLAN 802.1Q, протоколов аггрегации LACP, защиты от петель STP.
● Поддержка протоколов статической и динамической маршрутизации OSPF, BGP.
● Поддержка нескольких таблиц маршрутизации VRF.
Управление балансировщиком
● Интерфейсы: полный GUI, CLI через SSH, полнофункциональный REST API.
● По всем интерфейсам доступ можно ограничить с помощью ACL (access control list) для предотвращения несанкционированного доступа к управлению балансировщиком.
● Для аутентификации администраторов поддерживаются протоколы RADIUS и TACACS+.
● Поддержка RBAC (role-based access control) позволяет создавать роли с гранулярно настроенными полномочиями по доступу и управлению: настроить роли администратора, аудитора и так далее.
GUI: основная панель управления
Сетевая безопасность
Встроенные средства защиты балансировщиков TongTech достаточно просты:
● Доступ к приложениям за балансировщиком можно ограничить с помощью ACL, чтобы предотвратить несанкционированный доступ.
● WAF (web application firewall) есть, но базовый. Он защищает от простых атак, таких как SQL- или XSS-инжекции, позволяет настроить легитимные ссылки приложения.
Эти средства защиты — просто приятный бонус, для полноценной защиты на них рассчитывать не стоит. В портфолио TongTech есть специальное решение для защиты, которое можно поставить рядом с балансировщиком. У части западных балансировщиков средства защиты тоже всегда были дополнительными возможностями, которые требовали покупки отдельных лицензий.
Отказоустойчивость
● HA-кластер на основе протокола VRRP в режиме L3-маршрутизации в конфигурации ACTIVE/STANDBY.
● Настройка failover по условиям.
● Синхронизация клиентских сессий внутри HA-пары. Таким образом, при сбое поддерживается состояние без нарушения подключений клиентов к приложениям.
● Замена блоков питания в горячем режиме.
Логирование и мониторинг
● В GUI доступны дашборды с текущей загрузкой, просмотр отчётов о работе приложений.
● Формируются логи производительности и использования ресурсов балансировщика, логи объёма трафика приложений.
● Логи можно отправлять во внешние системы мониторинга по протоколу SNMP v2. Версия v3 не поддерживается.
● Можно формировать системные отчёты по статистической загрузке.
Мониторинг утилизации ресурсов балансировщика
Мониторинг пропускной способности балансировщика
Техническая поддержка и документация
Документация. С западными вендорами можно было найти любую нужную информацию на порталах документации. У TongTech такого охватного корпуса документации нет. Но зато бренд строит такие отношения с нами и другими партнерами, что мы по запросу предоставляем или быстро создаём необходимую документацию, и наши клиенты этим вполне довольны.
Техподдержка. В связке с вендором мы оказываем техническую поддержку системы. И здесь надо отдать им должное: вендор готов подключаться в удобное клиенту время, даже с учётом разницы во времени с Китаем, и решать проблемы через удалённый доступ. С переводом тоже проблем нет: они общаются на английском, а когда очень нужно, мы приводим технического переводчика.
Доступность доработок. Это большое преимущество перед западными вендорами. Когда вы работаете с TongTech, у вас и вашего интегратора есть на них прямой выход. По опыту, они оперативно доделывают функциональности, которых не хватает, под запрос в течение нескольких месяцев или даже недель. В общем, TongTech, как, впрочем, и другие доступные в России вендоры, гораздо более открыты и отзывчивы к запросам клиентов, поскольку сейчас активно осваивают рынок и конкурируют друг с другом.
Бест-практисы миграции
Сам процесс миграции стандартный. Выбор вендора, тестирование на совместимость с ИТ-инфраструктурой заказчика. Миграция выполняется как blue-green deployment.
С точки зрения организации процесса я рекомендую заложить побольше времени на доработки, которые возможно придётся вносить в ходе проекта. Кейсов использования новых вендоров мало, так что предсказать объём доработок сложнее.
Наконец, если вы обращаетесь для миграции к интегратору, зовите кого-то, кто хорошо понимает в инфраструктуре, имеет достаточно кейсов миграций и мультивендорную экспертизу как в западных, так и в новых вендорах. Ну и учитывайте возможности их испытательной лаборатории: хорошо, когда они могут воспроизвести ваши сценарии с максимально необходимым приближением.
Доступность в России
TongTech пока не имеет представительства в России. Но устройства для тестирования можно без проблем получить через нас или других интеграторов, кто работает с вендором. Интеграторы могут включить предоставление балансировщиков в общий контракт, наряду с предоставлением другого оборудования и услуг.
Мой вердикт про TongTech
TongTech — новый вендор на российском рынке. Да, их балансировщики не воспроизводят функциональности западных аналогов один в один. И у них нет некоторых возможностей (например, поддержка TLS 1.3 — всё ещё в разработке). У них нет таких же всеохватных порталов документации. А внедрение сложнее с точки зрения кастомизации и обкатки.
И всё же наши клиенты довольны. В сценариях, в которых важны отдельные недостающие функциональности, мы как интегратор помогаем найти решение, которое закроет их. Расширять документацию мы тоже со своей стороны помогаем, её корпус растёт и развивается.
В итоге, по моему опыту и результатам наших тестов, балансировщики TongTech отлично подходят для внедрения в проектах по импортозамещению. Ты получаешь рабочую систему и больше не думаешь о том, как в очередной раз обновить балансировщик западного вендора и когда инфраструктура за ним уйдёт в даунтайм.
Про какой следующий балансер из шортлиста рассказать?
Radware, TMLake, TongTech, Xpoint, B4Com Technologies?