К концу 2023 года большинство балансировщиков в российских ЦОДах по-прежнему западного производства. В прошлом году западные вендоры ушли из России, и оставаться на их оборудовании стало рискованно. Но мигрировать на доступные решения — тоже риск: они на рынке недавно, не хочется быть первым, кто испытывает их на себе.
Эта статья — для тех, кто задумывается об уходе от балансировщиков западных вендоров и хочет потестировать доступные в России решения в своих сценариях. Я Сергей Шульгин, эксперт по сетевым технологиям ИТ-компании К2Тех. Мы протестировали доступные в России балансировщики в нашей испытательной лаборатории. В этой статье я расскажу о китайских балансировщиках TongTech, которые достойно показали себя в наших исследованиях.
Балансировщики — критичная часть инфраструктуры высоконагруженных приложений, от финансового сектора до провайдеров связи и ритейла. От бесперебойной работы балансировки зависит и выручка, и репутация.
До всем известных событий подавляющая часть рынка спокойно пользовалась балансировщиками зарубежных вендоров, которые обеспечивали высокое качество продуктов и поддержки. В 2022 году эти вендоры ушли из России, то есть — перестали поддерживать и обновлять свои решения. Многие заказчики по-прежнему ими пользуются, находя неофициальные пути для обновлений. Но все задумываются о переходе на доступных вендоров и присматриваются к решениям, которые есть на рынке.
Риски продолжения работы на западных вендорах очевидны. Я не буду говорить про неподтверждённые слухи об окирпичивании апплаенсов при подключении к интернету. Но отсутствие обновлений ведёт к накоплению багов и уязвимостей и отставании по поддержке новых функциональностей. А отсутствие технической поддержки оставляет клиентов с проблемами один на один.
Но и с самим процессом миграции на доступных в России вендоров тоже не всё просто. Кейсов внедрений мало, заказчики не понимают, как эти решения поведут себя в их инфраструктуре и могут ли они полноценно заменить балансировщики западного производства. Со всеми этими вопросами заказчики приходят к нам. На часть из них постараюсь ответить в статье.
(спойлер: тестировать)
От ушедших вендоров рано или поздно придется отказаться, поскольку это все больше ставит под угрозу непрерывность бизнеса. Неважно, что станет драйвером или причиной для каждой конкретной компании, но рынок неминуемо к этому придёт. И чтобы это не стало испытанием на скорость, лучше заранее протестировать и обкатать свои сценарии на доступных в России решениях. И даже если не мигрировать прямо сейчас, это обеспечит хороший план на случай экстренной миграции.
Сейчас такое время, когда вендоры, доступные в России, быстро осваивают рынок, готовы к активному развитию своих продуктов и открыты к глубоким доработкам под нужды заказчика. Можно составить грамотное ТЗ и мигрировать на решение, практически «кастомизированное» под задачи конкретного бизнеса.
Когда мы поняли, что западные вендоры покинут Россию, то начали активно изучать рынок доступных решений, чтобы понимать, что мы можем предложить клиентам в качестве альтернативы. Мы проанализировали балансировщики, доступные в России, по документации и выделили вендоров, которые сопоставимы с ушедшими с рынка и активно развивают свои продукты. В список вошли Radware, TMLake, TongTech, Xpoint, B4Com Technologies.
У нас есть испытательная лаборатория для оборудования в сценариях наших клиентов, сетевые фабрики, стойки под enterprise- и отраслевые решения и всё такое. Так что нам ничего не мешало протестировать балансировщики из нашего шорт-листа в лаборатории. Я собираюсь рассказать про те из них, которые достойно показали себя по итогам испытаний. И сегодня я хочу начать с TongTech, который, кстати сказать, мы уже внедряем у одного из заказчиков.
GUI: основная панель управления
Встроенные средства защиты балансировщиков TongTech достаточно просты:
Эти средства защиты — просто приятный бонус, для полноценной защиты на них рассчитывать не стоит. В портфолио TongTech есть специальное решение для защиты, которое можно поставить рядом с балансировщиком. У части западных балансировщиков средства защиты тоже всегда были дополнительными возможностями, которые требовали покупки отдельных лицензий.
Мониторинг утилизации ресурсов балансировщика
Мониторинг пропускной способности балансировщика
Документация. С западными вендорами можно было найти любую нужную информацию на порталах документации. У TongTech такого охватного корпуса документации нет. Но зато бренд строит такие отношения с нами и другими партнерами, что мы по запросу предоставляем или быстро создаём необходимую документацию, и наши клиенты этим вполне довольны.
Техподдержка. В связке с вендором мы оказываем техническую поддержку системы. И здесь надо отдать им должное: вендор готов подключаться в удобное клиенту время, даже с учётом разницы во времени с Китаем, и решать проблемы через удалённый доступ. С переводом тоже проблем нет: они общаются на английском, а когда очень нужно, мы приводим технического переводчика.
Доступность доработок. Это большое преимущество перед западными вендорами. Когда вы работаете с TongTech, у вас и вашего интегратора есть на них прямой выход. По опыту, они оперативно доделывают функциональности, которых не хватает, под запрос в течение нескольких месяцев или даже недель. В общем, TongTech, как, впрочем, и другие доступные в России вендоры, гораздо более открыты и отзывчивы к запросам клиентов, поскольку сейчас активно осваивают рынок и конкурируют друг с другом.
Сам процесс миграции стандартный. Выбор вендора, тестирование на совместимость с ИТ-инфраструктурой заказчика. Миграция выполняется как blue-green deployment.
С точки зрения организации процесса я рекомендую заложить побольше времени на доработки, которые возможно придётся вносить в ходе проекта. Кейсов использования новых вендоров мало, так что предсказать объём доработок сложнее.
Наконец, если вы обращаетесь для миграции к интегратору, зовите кого-то, кто хорошо понимает в инфраструктуре, имеет достаточно кейсов миграций и мультивендорную экспертизу как в западных, так и в новых вендорах. Ну и учитывайте возможности их испытательной лаборатории: хорошо, когда они могут воспроизвести ваши сценарии с максимально необходимым приближением.
TongTech пока не имеет представительства в России. Но устройства для тестирования можно без проблем получить через нас или других интеграторов, кто работает с вендором. Интеграторы могут включить предоставление балансировщиков в общий контракт, наряду с предоставлением другого оборудования и услуг.
TongTech — новый вендор на российском рынке. Да, их балансировщики не воспроизводят функциональности западных аналогов один в один. И у них нет некоторых возможностей (например, поддержка TLS 1.3 — всё ещё в разработке). У них нет таких же всеохватных порталов документации. А внедрение сложнее с точки зрения кастомизации и обкатки.
И всё же наши клиенты довольны. В сценариях, в которых важны отдельные недостающие функциональности, мы как интегратор помогаем найти решение, которое закроет их. Расширять документацию мы тоже со своей стороны помогаем, её корпус растёт и развивается.
В итоге, по моему опыту и результатам наших тестов, балансировщики TongTech отлично подходят для внедрения в проектах по вендорозамещению. Ты получаешь рабочую систему и больше не думаешь о том, как в очередной раз обновить балансировщик западного вендора и когда инфраструктура за ним уйдёт в даунтайм.
Про какой следующий балансер из шортлиста рассказать?
Radware, TMLake, TongTech, Xpoint, B4Com Technologies?
Эта статья — для тех, кто задумывается об уходе от балансировщиков западных вендоров и хочет потестировать доступные в России решения в своих сценариях. Я Сергей Шульгин, эксперт по сетевым технологиям ИТ-компании К2Тех. Мы протестировали доступные в России балансировщики в нашей испытательной лаборатории. В этой статье я расскажу о китайских балансировщиках TongTech, которые достойно показали себя в наших исследованиях.
Проблемы с зарубежными балансировщиками
Балансировщики — критичная часть инфраструктуры высоконагруженных приложений, от финансового сектора до провайдеров связи и ритейла. От бесперебойной работы балансировки зависит и выручка, и репутация.
До всем известных событий подавляющая часть рынка спокойно пользовалась балансировщиками зарубежных вендоров, которые обеспечивали высокое качество продуктов и поддержки. В 2022 году эти вендоры ушли из России, то есть — перестали поддерживать и обновлять свои решения. Многие заказчики по-прежнему ими пользуются, находя неофициальные пути для обновлений. Но все задумываются о переходе на доступных вендоров и присматриваются к решениям, которые есть на рынке.
Риски продолжения работы на западных вендорах очевидны. Я не буду говорить про неподтверждённые слухи об окирпичивании апплаенсов при подключении к интернету. Но отсутствие обновлений ведёт к накоплению багов и уязвимостей и отставании по поддержке новых функциональностей. А отсутствие технической поддержки оставляет клиентов с проблемами один на один.
Но и с самим процессом миграции на доступных в России вендоров тоже не всё просто. Кейсов внедрений мало, заказчики не понимают, как эти решения поведут себя в их инфраструктуре и могут ли они полноценно заменить балансировщики западного производства. Со всеми этими вопросами заказчики приходят к нам. На часть из них постараюсь ответить в статье.
Мигрировать или подождать?
(спойлер: тестировать)
От ушедших вендоров рано или поздно придется отказаться, поскольку это все больше ставит под угрозу непрерывность бизнеса. Неважно, что станет драйвером или причиной для каждой конкретной компании, но рынок неминуемо к этому придёт. И чтобы это не стало испытанием на скорость, лучше заранее протестировать и обкатать свои сценарии на доступных в России решениях. И даже если не мигрировать прямо сейчас, это обеспечит хороший план на случай экстренной миграции.
Сейчас такое время, когда вендоры, доступные в России, быстро осваивают рынок, готовы к активному развитию своих продуктов и открыты к глубоким доработкам под нужды заказчика. Можно составить грамотное ТЗ и мигрировать на решение, практически «кастомизированное» под задачи конкретного бизнеса.
Шорт-лист балансировщиков и тестирование в нашей лаборатории
Когда мы поняли, что западные вендоры покинут Россию, то начали активно изучать рынок доступных решений, чтобы понимать, что мы можем предложить клиентам в качестве альтернативы. Мы проанализировали балансировщики, доступные в России, по документации и выделили вендоров, которые сопоставимы с ушедшими с рынка и активно развивают свои продукты. В список вошли Radware, TMLake, TongTech, Xpoint, B4Com Technologies.
У нас есть испытательная лаборатория для оборудования в сценариях наших клиентов, сетевые фабрики, стойки под enterprise- и отраслевые решения и всё такое. Так что нам ничего не мешало протестировать балансировщики из нашего шорт-листа в лаборатории. Я собираюсь рассказать про те из них, которые достойно показали себя по итогам испытаний. И сегодня я хочу начать с TongTech, который, кстати сказать, мы уже внедряем у одного из заказчиков.
Параметры балансировщиков TongTech
Форм-факторы
- Физические appliance (ПАКи) с пропускной способностью 10−200 ГБит. Есть модели, основанные на полностью китайской компонентной базе, без участия импортируемых в Китай компонентов.
- Виртуальные appliance с пропускной способностью 1.0−10 ГБит (гранулярность линейки 1 ГБит). Поддержка гипервизоров VMware, KVM.
Балансировка
- Уровни балансировки в OSI: layer 4, layer 7.
- Поддержка прикладных протоколов: TCP/UDP, HTTP/1.0, HTTP/1.1, HTTP/2, FTP, SMTP, LDAP и другие.
- Методы балансировки: тут всё стандартно, поддерживаются методы Round Robin, Weighted Round Robin, Least Connections и другие.
- Persistence (постоянство): если клиентские подключения должны идти к одному и тому же серверу, поддерживаются механизмы persistence по cookie, source IP, destination IP и другие.
Оптимизация нагрузки на прикладные серверы
- Мультплексирование соединений (TCP multiplexing), RAM-кэширование и RAM-компрессия на различных уровнях.
- Работа с протоколами шифрования: перенос нагрузки по шифрованию трафика с прикладных серверов на балансировщик. Поддерживаются SSL 3.0 и TLS 1.2. Поддержка TLS 1.3 — в разработке.
- Поддержка встраиваемых аппаратных SSL-ускорителей: для RSA-соединений SSL/TLS (ключи длинной 2K) и ECC-соединений SSL/TLS (P-256 бит).
- SSL-терминация, SSL-bridging, использование балансировщика как SSL-proxy.
- Настраиваемые cipher suites (комбинации шифров) для SSL/TLS.
Управление контентом
- Поддержка скриптов (eRule) для гибкого управления трафиком приложений. Как и у многих западных вендоров, у TongTech eRule основаны на языке TCL, так что возможен бесшовный переезд скриптов на TongTech.
- За счёт eRule или профилей приложений можно выполнять модификацию TCP-payload, условную модификацию значений HTTP/TCP, роутинг, изменение / добавление заголовков HTTP.
Сеть, маршрутизация
- Поддержка VLAN, транков VLAN 802.1Q, протоколов аггрегации LACP, защиты от петель STP.
- Поддержка протоколов статической и динамической маршрутизации OSPF, BGP.
- Поддержка нескольких таблиц маршрутизации VRF.
Управление балансировщиком
- Интерфейсы: полный GUI, CLI через SSH, полнофункциональный REST API.
- По всем интерфейсам доступ можно ограничить с помощью ACL (access control list) для предотвращения несанкционированного доступа к управлению балансировщиком.
- Для аутентификации администраторов поддерживаются протоколы RADIUS и TACACS+.
- Поддержка RBAC (role-based access control) позволяет создавать роли с гранулярно настроенными полномочиями по доступу и управлению: настроить роли администратора, аудитора и так далее.
GUI: основная панель управления
Сетевая безопасность
Встроенные средства защиты балансировщиков TongTech достаточно просты:
- Доступ к приложениям за балансировщиком можно ограничить с помощью ACL, чтобы предотвратить несанкционированный доступ.
- WAF (web application firewall) есть, но базовый. Он защищает от простых атак, таких как SQL- или XSS-инжекции, позволяет настроить легитимные ссылки приложения.
Эти средства защиты — просто приятный бонус, для полноценной защиты на них рассчитывать не стоит. В портфолио TongTech есть специальное решение для защиты, которое можно поставить рядом с балансировщиком. У части западных балансировщиков средства защиты тоже всегда были дополнительными возможностями, которые требовали покупки отдельных лицензий.
Отказоустойчивость
- HA-кластер на основе протокола VRRP в режиме L3-маршрутизации в конфигурации ACTIVE/STANDBY.
- Настройка failover по условиям.
- Синхронизация клиентских сессий внутри HA-пары. Таким образом, при сбое поддерживается состояние без нарушения подключений клиентов к приложениям.
- Замена блоков питания в горячем режиме.
Логирование и мониторинг
- В GUI доступны дашборды с текущей загрузкой, просмотр отчётов о работе приложений.
- Формируются логи производительности и использования ресурсов балансировщика, логи объёма трафика приложений.
- Логи можно отправлять во внешние системы мониторинга по протоколу SNMP v2. Версия v3 не поддерживается.
- Можно формировать системные отчёты по статистической загрузке.
Мониторинг утилизации ресурсов балансировщика
Мониторинг пропускной способности балансировщика
Техническая поддержка и документация
Документация. С западными вендорами можно было найти любую нужную информацию на порталах документации. У TongTech такого охватного корпуса документации нет. Но зато бренд строит такие отношения с нами и другими партнерами, что мы по запросу предоставляем или быстро создаём необходимую документацию, и наши клиенты этим вполне довольны.
Техподдержка. В связке с вендором мы оказываем техническую поддержку системы. И здесь надо отдать им должное: вендор готов подключаться в удобное клиенту время, даже с учётом разницы во времени с Китаем, и решать проблемы через удалённый доступ. С переводом тоже проблем нет: они общаются на английском, а когда очень нужно, мы приводим технического переводчика.
Доступность доработок. Это большое преимущество перед западными вендорами. Когда вы работаете с TongTech, у вас и вашего интегратора есть на них прямой выход. По опыту, они оперативно доделывают функциональности, которых не хватает, под запрос в течение нескольких месяцев или даже недель. В общем, TongTech, как, впрочем, и другие доступные в России вендоры, гораздо более открыты и отзывчивы к запросам клиентов, поскольку сейчас активно осваивают рынок и конкурируют друг с другом.
Бест-практисы миграции
Сам процесс миграции стандартный. Выбор вендора, тестирование на совместимость с ИТ-инфраструктурой заказчика. Миграция выполняется как blue-green deployment.
С точки зрения организации процесса я рекомендую заложить побольше времени на доработки, которые возможно придётся вносить в ходе проекта. Кейсов использования новых вендоров мало, так что предсказать объём доработок сложнее.
Наконец, если вы обращаетесь для миграции к интегратору, зовите кого-то, кто хорошо понимает в инфраструктуре, имеет достаточно кейсов миграций и мультивендорную экспертизу как в западных, так и в новых вендорах. Ну и учитывайте возможности их испытательной лаборатории: хорошо, когда они могут воспроизвести ваши сценарии с максимально необходимым приближением.
Доступность в России
TongTech пока не имеет представительства в России. Но устройства для тестирования можно без проблем получить через нас или других интеграторов, кто работает с вендором. Интеграторы могут включить предоставление балансировщиков в общий контракт, наряду с предоставлением другого оборудования и услуг.
Мой вердикт про TongTech
TongTech — новый вендор на российском рынке. Да, их балансировщики не воспроизводят функциональности западных аналогов один в один. И у них нет некоторых возможностей (например, поддержка TLS 1.3 — всё ещё в разработке). У них нет таких же всеохватных порталов документации. А внедрение сложнее с точки зрения кастомизации и обкатки.
И всё же наши клиенты довольны. В сценариях, в которых важны отдельные недостающие функциональности, мы как интегратор помогаем найти решение, которое закроет их. Расширять документацию мы тоже со своей стороны помогаем, её корпус растёт и развивается.
В итоге, по моему опыту и результатам наших тестов, балансировщики TongTech отлично подходят для внедрения в проектах по вендорозамещению. Ты получаешь рабочую систему и больше не думаешь о том, как в очередной раз обновить балансировщик западного вендора и когда инфраструктура за ним уйдёт в даунтайм.
Про какой следующий балансер из шортлиста рассказать?
Radware, TMLake, TongTech, Xpoint, B4Com Technologies?
Комментарии (6)
fireDB
27.11.2023 10:35Спасибо за обзор! Весьма интересно!
Не хватает сравнительных характеристик с другими системами на реальных тестах.
gmini
причем тут импортозамещение, если замещающее решение тоже импортное?
SShulgin Автор
Внес уточнение в заголовок. Спасибо за замечание!