Application-Performance-Management
Anwendungsnahe Verkehrsregelung
Application Delivery Controllers - auch Application Frontends genannt - verfolgen durch vielfältige Mittel ein klares Ziel: die Performance von Anwendungen zu sichern - auch beim Zugriff über das Web. Innovative Anbieter wie Redline oder Netscaler konkurrieren hier mit Application-Switching-Größen wie F5 und Radware. WAN-Spezialisten wie Peribit und Expand Networks kümmern sich als Ergänzung dazu um die Anbindung von Zweigstellen.
Lahmt eine Anwendung, dann heißt es gerne: "Das Netzwerk ist schuld!" Allzu oft – so bei der
Umstellung auf Webbasis – müssen Netzwerker ausbaden, dass eine Applikation zunächst gar nicht für
Fernzugriffe konzipiert war. Tricks wie Kompression und SSL-Offload sollen dann für Speed sorgen.
Erschwerend wirkt, dass Webapplikationen alle Daten über Port 80 schicken. Traditionelles
Traffic-Management anhand der Port-Nummer greift so zu kurz.
Dies erfordert es, zur Leistungssteigerung den Applikationen selbst auf den Pelz rücken. Eine
noch junge Gerätekategorie – Application Delivery Controllers (ADCs) oder Application Frontends
(AFEs) genannt – tritt an, den Anwendungen Beine zu machen. Als direkt den Web- oder
Applikationsservern vorgeschaltete Instanz – in der Regel als Appliance, teils auch mittels
Application-Switch – vereinen ADCs/AFEs auf einer Plattform diverse Methoden der
Traffic-Optimierung und -Sicherung. Zu den Kernfunktionen zählt das US-Beratungshaus APM Advisors:
Load Balancing, TCP-Offload/-Multiplexing, HTTP-Kompression, SSL-Offload, Caching und Security. Die
Konsolidierung von Optimierungsmaßnahmen soll Antwortzeiten verkürzen, die Netzwerkarchitektur
vereinfachen und den Support-Aufwand senken. Die ausgefeilteren Lösungen bieten per Rules Engine
die Option, eigene Regeln hinzuzufügen – etwa um spezifische Performance- und Sicherheitsprobleme
anzugehen.
Multifunktionsgeräte
Zu den ADC-Vorreitern zählen Unternehmen wie Redline oder Netscaler. Redlines AFEs der
EX-Familie arbeiten als HTTP-Proxy und bieten statt reiner Paketinspektion eine
datenflussorientierte Transaktionsvermittlung. So kann ein EX zum Beispiel Fehlermeldungen abfangen
und Requests erneut absetzen. Mittels TCP-Multiplexing übernimmt die Appliance die Hauptarbeit der
TCP-Terminierung: Zu den Backend-Systemen hält sie einige Kanäle offen, den ständigen Auf- und
Abbau der TCP-Verbindungen erledigt sie selbst. Neben SSL-Terminierung und -Beschleunigung
beherrscht die neuste EX-Version auch dynamisches Caching. Für mehr Sicherheit prüft sie die
Protokollkonformität und konvertiert in Echtzeit HTTP- zu SSL-Verkehr. URLs ändert sie bei Bedarf
und leitet den Datenfluss um. "Resource Cloaking" verhindert, dass Angreifer leichtfertig
Informationen über Art und Softwarestatus des Servers erhalten. Mit der Overdrive-Rules-Engine
definiert der Admin beliebige Aktionen. So variiert er zum Beispiel die Antworten einer Anwendung
ja nach verwendetem Browser (Content Transformation) oder fängt notfalls Zero Day Attacks (also
Angriffe, für die noch keine Abwehrsignaturen existieren) manuell ab. Laut Hersteller skaliert die
Plattform in Active-N-Vermaschung. Redline ist gerade dabei, den indirekten Vertrieb über Oneaccess
durch eine Niederlassung in Deutschland zu ergänzen.
Derlei Multifunktionsgeräte haben etablierten Application-Switch-Anbietern zunächst einigen Wind
aus den Segeln genommen. Laut Gartner-Analyst Mark Fabbi hat es F5 aber dank der aktuellen
Big-IP-Produktlinie erneut geschafft, sich an die Spitze des ADC-Marktes zu setzen (Bild 1). Deren
Betriebssystems TMOS Version 9 ist modular aufgebaut und kann somit laut F5 Funktionen hinzunehmen,
ohne bei der parallelen, Event-basierten Abarbeitung von Tasks Performance einzubüßen. Big-IP
arbeitet als Full Proxy. Neben klassischem Load Balancing beherrscht das Gerät diverse Mechanismen
vom Rate Shaping über TCP Multiplexing bis hin zur IPv6-Übersetzung, Cookie-Verschlüsselung und
Resource Cloaking. Individuelle Content Transformation erfolgt über die Irules-Engine, die der
Hersteller mit zahlreichen Applikationen verzahnt hat. Während Redlines Engine leicht verständliche
If-then-Regeln verwendet, dürften sich mit F5s Interface vor allem Unix-Admins wohl fühlen. Hierbei
sind auch applikationsspezifische Managementrollen möglich. Seit Februar verfügbar ist das neue
Highend-Gerät Big-IP 6800, das den maximalen Durchsatz von zwei auf vier GBit/s steigert. Caching
fehlt F5 noch, aber das soll TMOS v9.0.5 in Kürze ändern. Das Feature TCP Express verdreifacht dann
laut Hersteller auch die Effizienz der Bandbreitennutzung. Zudem bringt der Hersteller mit dem
Big-IP Application Accelerator 3400 bald eine Multifunktions-Appliance auf den Markt, die Redline
und Co. gezielt das Wasser abgraben soll. In Vorbereitung ist eine modulare Kombination aus Switch
und Blade-Servern, ähnlich dem Ansatz des Security-Spezialisten Crossbeam. Hier arbeitet F5 noch an
der Event-Korrelation.
Anders als F5 setzt Radware traditionell statt auf den integrierten eher auf den
Point-Solutions-Ansatz: für jeden Einsatzfall eine Appliance mit einer Rack-Höheneinheit (HE). Auf
der Basis des Application Switch III und der flexiblen Synapps-Architektur verwendet der Hersteller
immer die gleiche Box mit jeweils anderer Software. Ziel ist konstant hohe
Multi-Gigabit-Performance. Doch auch bei Radware ist eine Konsolidierung von Funktionen zu
beobachten. So vereint der Accelerator Certain-T 100 Webkompression, SSL-Offload und
TCP-Multiplexing. Diesen Sommer sollen die Geräte Fireproof (Firewall und IDS) und Content
Inspection Director (Content- und URL-Filtering) in der Lösung Secureflow zusammenfließen. Radwares
Policy-Engine erlaubt ebenfalls individuelle Regeln, was die Anwender laut Hersteller vor allem für
zeitnahes Einspielen aktueller Security-Filter nutzen. Neu ist unter anderem das Management der
SIP-Dienstgüte (Session Initiation Protocol). In Kürze sollen zudem Verbesserungen des
Konfigurationsmanagements, Reportings und Troubleshootings folgen, außerdem erstmals ein zwei HE
großes Gerät für den hochverfügbaren Carrier-Einsatz.
Interessante Lösungen kommen auch von den Anbietern Netscaler, Swan Labs, Fineground und Zeus.
Netscalers 9000-Serie halbiert laut Hersteller die Antwortzeiten durch L7-Switching mit zahlreichen
Optimierungs- und Sicherheitsverfahren einschließlich TCP-Multiplexing. Netscaler will in Kürze
UDP-Kompression hinzunehmen, ebenso Geräte für das Edge-Caching. Swan Labs‘ Netcelera-AFEs
verbinden Zugriffsoptimierung, parallele Request-Abarbeitung sowie Caching und skalieren dabei
sogar bis 622 MBit/s. Eine neue Version soll im Mai kommen. Netscaler wie auch Swan Labs verhandeln
derzeit mit potenziellen deutschen Vertriebspartnern.
Finegrounds AFE Velocity vereint HTTP- und XML-Optimierung mit Security und agentenlosem
Performance-Monitoring. Velocity-FS beschleunigt Dateitransfers über das WAN. Geplant ist der
Ausbau zur Cluster-Fähigkeit. Der Vertrieb läuft über Eurosel und BMC Software. Zeus‘ ZXTM
erweitert als Softwarelösung Webserver um Traffic-Optimierungs- und Security-Funktionen. ZXTM ist
aber auch als Appliance erhältlich und konkurriert somit direkt mit F5 und Radware. Im Sommer will
Zeus Intrusion-Prevention-Funktionen anbauen. Deutscher Vertriebspartner ist Pyramid Systems.
Asymmerischer und symmetrischer Ansatz
ADCs/AFEs arbeiten asymmetrisch: Sie befinden sich auf der Serverseite der Verbindung – eben als
Frontend einer Applikation. Client-seitig sind sie auf den Leistungsumfang des Browsers angewiesen,
zum Beispiel für HTTP-Kompression. WAN-Optimierungs-Appliances à la Packeteer, Peribit und Expand
hingegen arbeiten symmetrisch: Die Geräte sind an beiden Enden einer Verbindung – zum Beispiel der
Standleitung zu einer Filiale – positioniert. Das lässt mehr Spielraum für netzwerknahe Aktionen
wie die Manipulation der TCP-Fenstergröße oder das Überspringen von Empfangsbestätigungen. Unter
den WAN-Optimierern hat kürzlich Peribit zum Marsch auf die Applikationsebene geblasen: Neben dem
Webverkehr beschleunigt Peribits Sequence Mirror nun auch Microsoft-Exchange- und CIFS-Datenströme.
Das "Appflow"-Verfahren überspringt dabei Bestätigungszyklen und schickt Datenblöcke sozusagen auf
Vorrat. Laut Peribit beschleunigt dies den Applikationsverkehr schon bei Verbindungen mit nur 30
Millisekunden Latenzzeit.
Fazit
Multifunktionsgeräte zur Applikationsbeschleunigung sind auf dem Weg vom taktischen Mittel der
Problemlösung zur strategisch genutzten Netzwerkkomponente. Das Konsolidieren von Features auf
einer Plattform erleichtert den Administratoren die Arbeit. Da hier jeweils nur ein Anbieter zum
Zuge kommt, ist ein heftiger Kampf um Marktanteile zu erwarten – was Unternehmen für sich nutzen
können. Symmetrisch arbeitende WAN-Optimierung bringt schnelle Erfolge, das asymmetrische Szenario
der AFEs ist jedoch das anspruchsvollere – und oft das wichtigere. Nützlich wäre es, wenn
ADC/AFE-Anbieter die symmetrische WAN-Optimierung mit aufgreifen würden. Der Routerhersteller
Juniper hat das begriffen: Er hat kürzlich ein Angebot unterbreitet, um sowohl Redline als auch
Peribit zu übernehmen.
Info: F5: www.f5.com Fineground: www.fineground.com Juniper: www.juniper.com
Netscaler: www.netscaler.com Peribit: www.peribit.com Radware: www.radware.com Redline:
www.redlinenetwork.com Swan Labs: www.swanlabs.com Zeus: www.zeus.com
Lesen Sie mehr zum Thema
