落地云原生，你需要这样一个基础架构 原创

万丈高楼平地起，只有基桩打得深、基石打得牢，楼房才能盖得更高、更稳当。数字化转型何尝不是如此——顶层再形形色色的系统应用，最终也离不开底层基础架构的依托。只不过，这个底座必须要因需而变、因时而变，而不是打一处“桩”，盖一栋“楼”。

拿眼下非常流行的云原生应用来说，如果还把它们构建于集中式、复杂化的传统基础架构之上，那就相当于“旧瓶装新酒”，不小心就是“瓶碎酒撒”，白忙活一场。

对此，F5 Networks 高级解决方案架构师林静在日前接受至顶网记者采访时表示，云原生应用灵活、敏捷、简化等独有的特点，对企业IT架构提出了诸多新的要求，主要体现在三个方面：第一，IT服务能力的可编排化。由于IT服务被抽象成了各种原子服务，这对企业在基于事件的自动化、运维数据能力挖掘上都提出了更高的要求；第二，IT架构扁平化。底层网络体系中融入了越来越多的可组装架构，这会弱化以往以网络为中心的思想，平台的能力会变得越来越重要；第三，IT人才混合化。人才条线不再以明显的网络、系统等为边界，技术混合型人才在IT架构平台化的场景中将被日益强化。

F5 Networks 高级解决方案架构师 林静

“这意味着，企业需要使用新的技术，使用云原生的标准、微服务、容器等，来构建现代应用架构，从而适配当前迫切的需求。”林静强调。而在这个过程中，F5已经深耕应用网络多年，要帮助企业构建一个能够满足数字化转型需要，支撑其云原生应用落地的基础架构，应该说驾轻就熟。

三个立足点，一个大平台

从F5的角度进行分解，具体来说，其在云原生的背景下更关注三个方面：一是如何把传统的基础设施转型成可编程的模式，让架构更具弹性和可扩展性；二是如何基于微服务、容器等全新的技术构建现代化的服务架构；三是对二者进行融合。

针对第一点，我们看到，F5过去在传统基础设施中的着力点主要是从数据中心入口的边界，到数据中心服务的认证、后台应用的负载均衡，再到应用服务的发布和策略管控，所有的产品和服务都围绕应用展开。现在，F5只要赋予承载这些服务的平台可编程的能力，并把这样的能力释放给上层，就能很好满足企业在应用灵活调用等方面的需求。

“首先，在基础设施层，我们对F5底层的服务资源和硬件资源进行了租户化，并提供Ansible、Terrafrom等自动化的编排工具，帮助企业通过接口实现快速的资源调配；在抽象层，利用DO和AS3进行业务部署，利用F5OS-API帮助用户适配底层资源的划分等等。”林静解释道。

针对第二点，企业往往会从构建可组装架构着手，也就是搭建自己的私有云，或者直接使用公有云服务。为了融入这一全新的现代云原生架构，F5为自己引入了很多全新的能力——比如，通过收购NGINX，提升包括服务网格和PaaS入口等在内的能力，真正渗透到云原生之中；通过收购Volterra，构建从公有云、私有云到边缘的统一的云原生平台交互能力；通过收购Threat Stack，进一步补足云原生体系下的全栈安全能力。

“举例来说，在运行方面，我们可以通过NGINX标准的APP Server和Unit，提供多语言的运营服务器，并在Kubernetes这个体系下提供标准的Kubernetes Ingress controller；其次，在Kubernetes，我们还会提供NGINX Service Proxy这样的容器化层的代理，以及NGINX提供的API管理，帮助企业进行API的全生命周期管理。”据林静介绍，除了PaaS层，F5还提供很多SaaS服务，涉及安全、分析与洞察、智能DNS等多种应用。

而针对传统架构与现代应用架构的融合，F5认为，关键在于两种不同架构之间的协作。对此，F5还创造性地提出了“内云原生应用服务”和“外云原生应用服务”的概念。前者指的是围绕容器、Kubernetes等技术场景的服务能力；后者指的是在以上这些常规服务下，提供更多的对外能力，比如把内部的应用服务与外部API进行对接和管理。

“在数据中心的边界，从安全到合规运营，我们以前都是虚机的视角，以网格为核心来看待数据中心。但是新的PaaS体系下，所有的IP都具有非常高的动态性，要实现实时监测，安全策略和规范就会受到挑战，因此，传统基础架构和PaaS之间必须进行整合。”林静强调。

搞定技术挑战和角色挑战

如今，F5已经把自己的这一核心思路践行到对企业客户的服务过程中去。以某银行为例：此前，该银行通过云管理中心驱动了自身PaaS体系的建设，但是，在业务发布的过程中，他们发现所有的发布流程最终都会回到网络部门的传统管控模式中来。“这时候就需要两个部门的配合，而云本身的快速、敏捷等特性就会被大大削弱。”林静表示。

对此，F5提出了创新性的Hub模式，也就是“一个中心”的模式。具体来说，是在Kubernetes之上单列出一个模拟的空间区域，由网络团队统一管理，而业务部门自行发布的所有服务最终都可以通过这个中心区域，借助F5的控制器快速被写入基础设施。这样一来，既降低了业务部门的技术使用门槛，也保留了网络团队原来的发布模式，使得两个部门之间能够更好地进行协同。其中所用到的解决方案，F5称为“入口Ingress的解决方案”，即Container Ingress Services。

与之对应，F5还提出了Egress解决方案，主要瞄向的是企业在落地云原生应用过程中的技术和角色挑战。技术挑战主要体现在容器的出向流量方面，由于在出向流量过程中，容器的IP地址不断变化，传统防火墙无法进行精细调配，这意味着所有控制策略的位置必须能够对容器进行动态感应；角色挑战主要体现在不同部门之间的诉求差异，比如业务部门和网络部门会出现不同的安全诉求，最终该由谁来确定策略标准，这就是非常现实的问题。

为此，F5提供了两项针对性的解决方案——通过自动化控制器搞定技术难题，通过安全策略差异化分类 ，降低安全落地难度。“也就是说，我们可以把安全策略规则分成三类：一是企业级基础关键策略，如DNS、NTP、审计系统等；二是各个项目的具体策略；三是微服务下，局部单元服务的精细化控制策略，比如，某几个微服务有独特的需求，启动其中某个微服务后是互联第三方的，因此可以为独立的微服务单元，配置精细化的条目。林静向记者解释，“由于每一层策略的关注者不同，安全角色分离，所以，通过分层的设计，就可以使得传统的安全人员和现代的组织架构实施者之间进行更好的配合，避免产生低效沟通，帮助企业更高效地实现云原生。”

从技术到人才，发挥F5既有强项

总而言之，从传统基础设施服务到上层应用交付，从全中心的应用解决方案，到对应的数字化体验，F5几乎把这些能力都覆盖到了。对于其自身来说，不仅深入到了云原生体系之中，另一方面，也为企业搭起了一个连接传统架构与云原生架构的桥梁。用林静的话说，F5已经把云原生视为其战略规划中非常重要的一部分。

在此过程中，F5的目标是从基础架构网络、应用网络、安全和应用运行四个方面入手，“帮助企业构建更好的数字体验的应用”。比如，为企业交付一致性部署、多云的工作负载管理、边缘应用管理、现代应用安全、应用洞察等多云应用能力；提供平台级的运维能力、更好的服务代理、服务治理和DevOps等基础架构组建能力；同时，还要保证包含网络、主机、应用等层面的全栈安全。

但是，这并不意味着对F5过去的产品进行全盘推翻，而是赋予老技术新能力。“比如，借助于F5 CRS控制器技术，可以把传统的F5解决方案技术引入到PaaS平台或者现代体系当中，帮助业务更好、更快地发布。”林静表示。“再比如，通过AI对数据的洞察，还可以帮助企业提高应用的自适应能力，提升应用的数字体验，帮助用户更好地管理混合云及边缘上的应用，优化并保护应用安全。”

“当然，我们并不只是关注云原生的技术，还会从技术、文化，或者人才等方面进行统一考虑，并且，基于F5对传统基础设施的深刻理解，去帮助用户真正在数据中心的角度下，在每个领域上做好云原生这件事。”林静总结说，“换句话说，F5正在利用自身对企业和行业深厚的理解，提供越来越现代的、新型的解决方案，这是F5在云原生领域非常大的优势。”而究其本质，你会发现，无论是通讯管控还是服务管理，这些都是F5原来的强项，只不过是切换到了一个全新的场景中去而已。“所以，对于F5来说，我们从来没有离开过，而是一直在深耕。”