——中国信息主管网专访F5中国区技术总监吴静涛
有一位朋友告诉我这么一件事,曾经他一个亲戚来北京旅游,到他家看了一下,说:“北京这么大,坐车要那么久,恐怕交个电话费都要坐一个小时车。”他笑了笑说不用,他直接用笔记本上的招行专业版就可以交电话费、煤气费、手机费、还可以随便买东西、汇款、转帐等等。看得他亲戚直说:“啊,没想到网络还这么好,我还以为全是木子美,芙蓉姐姐什么的人在网上跳呢。”
的确,越来越深入的网上银行应用正在逐渐改变人们对互联网的娱乐看法,互联网不仅可以传递视听和做简单的互动,还能传递各种应用来改变人们的生活。但这些应用绝非像一般的网站在服务器上一放这么简单,人们能够安全、快速和高可用地在网上使用真金白银,因为这背后有一个应用交付的技术。
什么是应用交付?它有什么特殊之处?它是如何运作的?为寻求这些问题的答案,中国信息主管网记者专访了F5公司的中国区技术总监吴静涛。F5是应用交付网络领域的全球领先企业,其总部位于美国西雅图市。
F5中国区技术总监吴静涛:需要引入独立的应用交付技术,构成应用交付网络(ADN:Application Delivery Networking),把IT应用高效地交付到最终用户手上。
中国信息主管网:什么是应用交付?银行IT建设会用到哪些应用交付技术?
吴静涛:现在的业务与IT高度融合,特别是银行业,几乎所有的业务都会开发成相应的IT应用,但光靠传统的网络技术已无法有效传送这些复杂的IT应用,会有各种拥塞、瘫痪以及不安全等因素,这需要引入独立的应用交付技术,构成应用交付网络(ADN:Application Delivery Networking),把IT应用高效地交付到最终用户手上。
作为一种综合性设备,应用交付可以通过综合本地负载均衡、链路负载均衡、WAN优化加速等等技术手段,并以应用交付控制器(ADC)等网络平台来实现网络高性能且稳定可靠的网络。其最早的引导是F5等厂商。虽然这是一项新兴的网络技术,但由于它是将关键应用与基础网络设备相关联的系统解决方案,因此,随着市场认知度的逐渐增强,ADC也引起了传统的网络技术厂商的极大关注。
F5针对银行的应用交付技术涵盖了高可用、快速和安全的所有方面的设备和解决方案。
在高可用类型产品中,包括多数据中心(IDC)协同工作,数据中心(IDC)业务容灾,ISP链路均衡,Web/APP均衡。
所谓多数据中心协同工作,就是主数据中心、同城灾备和异地灾备三个或更多的数据中心一起协同工作,这就是F5提出的“备而不废”的概念,这样银行的灾备就不只是当灾难发生才起作用,平时也能产生功效。
业务容灾是相对数据容灾更高层次的灾难备份,当灾难发生的时候,银行能通过灾备中心直接把业务切换过来,而不只是做数据切换,用户不会感受到银行业务的变化。像工行就是做的业务容灾,它的网上业务非常频繁,特别需要用到这个技术。
优化加速类产品包括SSL加速,广域网传输加速,动静态页面加速,连接优化,协议优化。
出于众所周知的原因,银行的网上数据都是SSL加密的,所传送的数据不容易被网络***截获和解密。但这个过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用SSL加密的服务器工作效率只有普通情况下的十分之一。F5的优化技术可以把SSL卸载到负载均衡设备上,这样服务器效率就能增加十倍以上。如果只用负载均衡,可能要用10台服务器,加上优化之后,则只需要4台服务器。
F5的其他优化加速特别是对动态页面的加速促成了银行纷纷采用B/S结构,目前中国只有两家银行还固守C/S结构。所谓B/S结构,就是Browser/Server,浏览器/服务器模式,而C/S结构是Client/Server,客户端/服务器模式,这两种模式的差别在于前者把软件装在服务器上,用户直接通过浏览器就能在任何地方进行操作而不用安装任何专门的软件,做到客户端零维护,这样系统的扩展升级非常容易。
安全类产品包括网络安全防护,DOS/DDOS***防护,应用安全防护等等。
总之,目前F5为银行提供的产品和功能很多,主要为银行解决网上业务的交付问题,包括网上银行,内部管理,OA,中间业务等的服务器压力卸载和服务能力扩展,用户体验提升,IDC容灾……
中国信息主管网:银行为什么需要应用交付技术,而不是靠扩充服务器、加大带宽等传统手段来解决问题?
吴静涛:这是历史原因造成的,我们传统的网络协议(TCP/IP协议,诞生于1983年)都是为局域网设计的,但是现在基于XML和面向结构的开发技术,都是为了应用更灵活、更高效的开发而产生的,越来越多新的应用和针对新的应用的结构,已经把摩尔定律所能带来的提升给淹没了。所以光靠扩充服务器、加大带宽等措施就会遇到一个不可逾越的瓶颈,投入很大,效率却不见提高。
具体来讲,TCP在最初设计时没考虑到高带宽情况下远程传输的延迟问题,也没考虑到网络上那么多应用产生的那么多TCP连接,而对于多个连接间存在的相互关联关系的处理,都是TCP协议没有涵盖的,需要高层协议或其他设备的支持。在安全方面,很多网络***都以TCP作为依据。
要解决以上这些问题,就必需引入应用交付技术。用户开发一个网上应用的目的,当然是给更多的人用的更好,而如果在规划应用的前期没有考虑到包括TCP优化的一系列应用交付问题,即使应用构建好了,可是交付不到用户,或交付品质不高,包括停机,页面慢,出现安全问题等,那这些投资和工作就等于是白做了,是很可惜的。
F5中国区技术总监吴静涛:F5是从业务持续性入手,解决高可用问题、解决优化问题、解决应用安全的问题,是一步一步地迈向客户的最终需求……
中国信息主管网:应用交付既然这么独特,但似乎也是近几年才悄然兴起,F5是如何配合银行的IT建设把应用交付切入进去的?
吴静涛:5年到10年前,银行的IT规划还处于局域网的阶段,当年主机部门只考虑运算能力,网络部门更着重于联通性,不注重延迟丢包,安全部门只考虑网络安全,没有考虑应用安全。而一旦接入互联网,这些情况的出现不是自己可以解决的,只能骂电信局。网上业务的开展就是这5年10年的突然一个变化,结果网络部门、主机部门、运维部门、安全部门都没有准备好,但是网上银行又必须做,不做不行啊,银行确实存在着这方面的局限,就需要一些安全的厂商、交付的厂商,就需要F5这种完全考虑到交付的性质:高可用、优化和安全的全部整体方案一起来做,让别人帮他交付,银行才能更专心地做自己的业务。
从业务规划的角度来看,可以是阶梯状的顺序:首先保证业务持续性,然后是用户体验,再就是安全问题。但是从IT规划的角度来看,这些必须在第一天就要全部考虑到,在前期就要有一个总体规划,否则一旦扩容出现变动,不可能修改业务来适应,只能是修改甚至换掉IT系统,那么以前的很多就白做了。有银行专门点名让我参加他们的三年IT规划,以便银行专注于自己的业务逻辑,让F5帮助把这些业务交付出去。F5也就不只是一个产品和解决方案提供商,还进而成了一个咨询服务商。在这方面,经验特别重要,F5的工程师都有5、6年的银行服务经验,积累了各种问题的解决方式,而且F5的工程师极少流动,这一点是很宝贵的。
F5是从业务持续性入手,解决高可用问题、解决优化问题、解决应用安全的问题,是一步一步地迈向客户的最终需求,而客户也在一步一步地迈向他真正的需求所在,这些都是需要一个过渡的过程,F5就是在这个过渡过程中配合客户的需求在走,而且越来越深入。
中国信息主管网:现在很多银行都应走到信息安全这一步了,一方面银行要保证安全运行,另一方面要投入更多的应用参与市场竞争,加大了风险的发生几率,针对这一对矛盾,F5可以提供什么样的建议?
吴静涛:安全是一个太大的题目,今天我们可能更多从应用安全的角度来提供建议:更多的应用的确给安全运行带来很大风险,我建议银行要特别注意应用***的防范。因为安全部门以前的网络安全概念和网络***防护根本无法解决网上的应用***,最明显的就是目前常见的防火墙,***检测和IPS等设备的特征码技术在银行的SSL加密流量下毫无用处。
这意味着什么呢?我们知道银行都需要SSL加密通讯,网上所有设备看到的都是加密的。看不见就意味着防不了, 防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的***,有如紫禁城城墙很厚,但大门洞开。加上近几年的***行为有很大变化,不像以前是以停止服务***的求名为主,而是“悄悄地进村,开枪的不要”,以***系统后的求利为主,更多的***希望的是通过应用***得到利益,所以应用安全是目前银行需要特别关注的方面。
安全方面也是应用交付的一个重要方面,被***导致系统瘫痪或被******导致的关键信息泄漏都是可以归类为交付故障。F5做应用安全有得天独厚的优势,因为SSL只能在服务器上解密,而F5的设备是离服务器最近的。F5把SSL卸载,就是明码了,再做应用安全就可行了。这是由F5的位置决定的,而不是功能决定的。
F5中国区技术总监吴静涛:F5的设备离服务器最近,做应用安全有得天独厚的优势,这是由F5的位置决定的,而不是功能决定的。
中国信息主管网:金融危机下,包括银行在内的各家企业都在缩减成本,IT投资首当其冲,F5有没有受到这样的冲击?将如何拓展市场?
吴静涛:目前看影响不是特别大,因为网上业务的开展使得用户看到了真正的节约成本,提高效率的方法,以网上银行开展的比较好的银行看,网银占业务的比例都已经超过了20%,高的甚至接近50%,对比传统营业厅的投入产出是绝对的优势;特别是在金融危机的情况下,客户开展网上业务,或优化现有网上业务的需求更加迫切,f5反而应该在这种情况下更多的帮助客户在新的网上业务构建的初期考虑的交付问题,避免网上业务的失败,并更好的帮助客户优化和交付现有网上业务,和客户一起度过这个艰苦的阶段。
F5下一步是拓展中小银行的市场,这取决于这些银行的战略发展。目前很多特别是江浙一带的中小银行在突破地域限制向全国发展,它不可能像工行那样在全国布网点——工行能有这么多网点也是花了二十几年的时间,这对中小银行不现实。如今网上银行应用越来越多,线下银行服务基本都能在线上实现。那么中小银行要开拓全国市场最有效的办法就是网上银行,这就是F5的机会。
F5也不只针对银行的网上业务,银行的内部业务,前置机、中间件接口(煤气、电费、水费……)和OA管理,核心业务转化为B/S结构,都需要应用交付。
中国信息主管网:看来银行的系统是越来越多,针对这点业界在鼓吹“虚拟化”的概念,但之前我们采访到一家银行,认为虚拟化技术不太稳定和安全,所以不考虑使用,F5如何看待这个问题?
吴静涛:虚拟化技术不稳定和不安全,的确是一个普遍看法,这是因为一般认为虚拟化是将1台设备虚拟为多台设备来提高利用率,提高ROI,实际上虚拟化可以分为不同的含义,包括操作系统,应用服务器,应用,管理,网络,硬件,存储,服务等很多方面(如下图),我们一般层面上了解的操作系统虚拟化容易让人联想到不稳定(实际上各虚拟化厂商也都可以通过自己的技术避免),但是将多个应用服务器虚拟为一个虚拟服务器的负载均衡技术反而是提高稳定性和安全性的方法,也是各×××普遍采用的技术,而多IDC,多isp链路的协同工作所构建的虚拟化网上应用,可以确保用户在任何服务器,链路故障,甚至是IDC故障的情况下都可以得到满意的服务,这就更是×××所乐于采用的技术了。
中国信息主管网:说到对复杂系统的整合简化,现在流行的云计算、绿色IT、SOA也包括虚拟化似乎都有这么一个方向,应用交付与它们是什么关系呢?
吴静涛:从云计算概念来讲,它要构建一个强大的服务能力,比如GOOGLE,它后台可不是一台、两台服务器,而是成千上万的服务器组,这就是一个云计算。当多服务器、多数据中心协同工作的时候,F5的技术就是一个必备技术,这其实与云计算是一个相辅相成的概念。大家只不过是从不同的切入点进来逐渐走到了一起。(罗提)
有一位朋友告诉我这么一件事,曾经他一个亲戚来北京旅游,到他家看了一下,说:“北京这么大,坐车要那么久,恐怕交个电话费都要坐一个小时车。”他笑了笑说不用,他直接用笔记本上的招行专业版就可以交电话费、煤气费、手机费、还可以随便买东西、汇款、转帐等等。看得他亲戚直说:“啊,没想到网络还这么好,我还以为全是木子美,芙蓉姐姐什么的人在网上跳呢。”
的确,越来越深入的网上银行应用正在逐渐改变人们对互联网的娱乐看法,互联网不仅可以传递视听和做简单的互动,还能传递各种应用来改变人们的生活。但这些应用绝非像一般的网站在服务器上一放这么简单,人们能够安全、快速和高可用地在网上使用真金白银,因为这背后有一个应用交付的技术。
什么是应用交付?它有什么特殊之处?它是如何运作的?为寻求这些问题的答案,中国信息主管网记者专访了F5公司的中国区技术总监吴静涛。F5是应用交付网络领域的全球领先企业,其总部位于美国西雅图市。
F5中国区技术总监吴静涛:需要引入独立的应用交付技术,构成应用交付网络(ADN:Application Delivery Networking),把IT应用高效地交付到最终用户手上。
中国信息主管网:什么是应用交付?银行IT建设会用到哪些应用交付技术?
吴静涛:现在的业务与IT高度融合,特别是银行业,几乎所有的业务都会开发成相应的IT应用,但光靠传统的网络技术已无法有效传送这些复杂的IT应用,会有各种拥塞、瘫痪以及不安全等因素,这需要引入独立的应用交付技术,构成应用交付网络(ADN:Application Delivery Networking),把IT应用高效地交付到最终用户手上。
作为一种综合性设备,应用交付可以通过综合本地负载均衡、链路负载均衡、WAN优化加速等等技术手段,并以应用交付控制器(ADC)等网络平台来实现网络高性能且稳定可靠的网络。其最早的引导是F5等厂商。虽然这是一项新兴的网络技术,但由于它是将关键应用与基础网络设备相关联的系统解决方案,因此,随着市场认知度的逐渐增强,ADC也引起了传统的网络技术厂商的极大关注。
F5针对银行的应用交付技术涵盖了高可用、快速和安全的所有方面的设备和解决方案。
在高可用类型产品中,包括多数据中心(IDC)协同工作,数据中心(IDC)业务容灾,ISP链路均衡,Web/APP均衡。
所谓多数据中心协同工作,就是主数据中心、同城灾备和异地灾备三个或更多的数据中心一起协同工作,这就是F5提出的“备而不废”的概念,这样银行的灾备就不只是当灾难发生才起作用,平时也能产生功效。
业务容灾是相对数据容灾更高层次的灾难备份,当灾难发生的时候,银行能通过灾备中心直接把业务切换过来,而不只是做数据切换,用户不会感受到银行业务的变化。像工行就是做的业务容灾,它的网上业务非常频繁,特别需要用到这个技术。
优化加速类产品包括SSL加速,广域网传输加速,动静态页面加速,连接优化,协议优化。
出于众所周知的原因,银行的网上数据都是SSL加密的,所传送的数据不容易被网络***截获和解密。但这个过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用SSL加密的服务器工作效率只有普通情况下的十分之一。F5的优化技术可以把SSL卸载到负载均衡设备上,这样服务器效率就能增加十倍以上。如果只用负载均衡,可能要用10台服务器,加上优化之后,则只需要4台服务器。
F5的其他优化加速特别是对动态页面的加速促成了银行纷纷采用B/S结构,目前中国只有两家银行还固守C/S结构。所谓B/S结构,就是Browser/Server,浏览器/服务器模式,而C/S结构是Client/Server,客户端/服务器模式,这两种模式的差别在于前者把软件装在服务器上,用户直接通过浏览器就能在任何地方进行操作而不用安装任何专门的软件,做到客户端零维护,这样系统的扩展升级非常容易。
安全类产品包括网络安全防护,DOS/DDOS***防护,应用安全防护等等。
总之,目前F5为银行提供的产品和功能很多,主要为银行解决网上业务的交付问题,包括网上银行,内部管理,OA,中间业务等的服务器压力卸载和服务能力扩展,用户体验提升,IDC容灾……
中国信息主管网:银行为什么需要应用交付技术,而不是靠扩充服务器、加大带宽等传统手段来解决问题?
吴静涛:这是历史原因造成的,我们传统的网络协议(TCP/IP协议,诞生于1983年)都是为局域网设计的,但是现在基于XML和面向结构的开发技术,都是为了应用更灵活、更高效的开发而产生的,越来越多新的应用和针对新的应用的结构,已经把摩尔定律所能带来的提升给淹没了。所以光靠扩充服务器、加大带宽等措施就会遇到一个不可逾越的瓶颈,投入很大,效率却不见提高。
具体来讲,TCP在最初设计时没考虑到高带宽情况下远程传输的延迟问题,也没考虑到网络上那么多应用产生的那么多TCP连接,而对于多个连接间存在的相互关联关系的处理,都是TCP协议没有涵盖的,需要高层协议或其他设备的支持。在安全方面,很多网络***都以TCP作为依据。
要解决以上这些问题,就必需引入应用交付技术。用户开发一个网上应用的目的,当然是给更多的人用的更好,而如果在规划应用的前期没有考虑到包括TCP优化的一系列应用交付问题,即使应用构建好了,可是交付不到用户,或交付品质不高,包括停机,页面慢,出现安全问题等,那这些投资和工作就等于是白做了,是很可惜的。
F5中国区技术总监吴静涛:F5是从业务持续性入手,解决高可用问题、解决优化问题、解决应用安全的问题,是一步一步地迈向客户的最终需求……
中国信息主管网:应用交付既然这么独特,但似乎也是近几年才悄然兴起,F5是如何配合银行的IT建设把应用交付切入进去的?
吴静涛:5年到10年前,银行的IT规划还处于局域网的阶段,当年主机部门只考虑运算能力,网络部门更着重于联通性,不注重延迟丢包,安全部门只考虑网络安全,没有考虑应用安全。而一旦接入互联网,这些情况的出现不是自己可以解决的,只能骂电信局。网上业务的开展就是这5年10年的突然一个变化,结果网络部门、主机部门、运维部门、安全部门都没有准备好,但是网上银行又必须做,不做不行啊,银行确实存在着这方面的局限,就需要一些安全的厂商、交付的厂商,就需要F5这种完全考虑到交付的性质:高可用、优化和安全的全部整体方案一起来做,让别人帮他交付,银行才能更专心地做自己的业务。
从业务规划的角度来看,可以是阶梯状的顺序:首先保证业务持续性,然后是用户体验,再就是安全问题。但是从IT规划的角度来看,这些必须在第一天就要全部考虑到,在前期就要有一个总体规划,否则一旦扩容出现变动,不可能修改业务来适应,只能是修改甚至换掉IT系统,那么以前的很多就白做了。有银行专门点名让我参加他们的三年IT规划,以便银行专注于自己的业务逻辑,让F5帮助把这些业务交付出去。F5也就不只是一个产品和解决方案提供商,还进而成了一个咨询服务商。在这方面,经验特别重要,F5的工程师都有5、6年的银行服务经验,积累了各种问题的解决方式,而且F5的工程师极少流动,这一点是很宝贵的。
F5是从业务持续性入手,解决高可用问题、解决优化问题、解决应用安全的问题,是一步一步地迈向客户的最终需求,而客户也在一步一步地迈向他真正的需求所在,这些都是需要一个过渡的过程,F5就是在这个过渡过程中配合客户的需求在走,而且越来越深入。
中国信息主管网:现在很多银行都应走到信息安全这一步了,一方面银行要保证安全运行,另一方面要投入更多的应用参与市场竞争,加大了风险的发生几率,针对这一对矛盾,F5可以提供什么样的建议?
吴静涛:安全是一个太大的题目,今天我们可能更多从应用安全的角度来提供建议:更多的应用的确给安全运行带来很大风险,我建议银行要特别注意应用***的防范。因为安全部门以前的网络安全概念和网络***防护根本无法解决网上的应用***,最明显的就是目前常见的防火墙,***检测和IPS等设备的特征码技术在银行的SSL加密流量下毫无用处。
这意味着什么呢?我们知道银行都需要SSL加密通讯,网上所有设备看到的都是加密的。看不见就意味着防不了, 防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的***,有如紫禁城城墙很厚,但大门洞开。加上近几年的***行为有很大变化,不像以前是以停止服务***的求名为主,而是“悄悄地进村,开枪的不要”,以***系统后的求利为主,更多的***希望的是通过应用***得到利益,所以应用安全是目前银行需要特别关注的方面。
安全方面也是应用交付的一个重要方面,被***导致系统瘫痪或被******导致的关键信息泄漏都是可以归类为交付故障。F5做应用安全有得天独厚的优势,因为SSL只能在服务器上解密,而F5的设备是离服务器最近的。F5把SSL卸载,就是明码了,再做应用安全就可行了。这是由F5的位置决定的,而不是功能决定的。
F5中国区技术总监吴静涛:F5的设备离服务器最近,做应用安全有得天独厚的优势,这是由F5的位置决定的,而不是功能决定的。
中国信息主管网:金融危机下,包括银行在内的各家企业都在缩减成本,IT投资首当其冲,F5有没有受到这样的冲击?将如何拓展市场?
吴静涛:目前看影响不是特别大,因为网上业务的开展使得用户看到了真正的节约成本,提高效率的方法,以网上银行开展的比较好的银行看,网银占业务的比例都已经超过了20%,高的甚至接近50%,对比传统营业厅的投入产出是绝对的优势;特别是在金融危机的情况下,客户开展网上业务,或优化现有网上业务的需求更加迫切,f5反而应该在这种情况下更多的帮助客户在新的网上业务构建的初期考虑的交付问题,避免网上业务的失败,并更好的帮助客户优化和交付现有网上业务,和客户一起度过这个艰苦的阶段。
F5下一步是拓展中小银行的市场,这取决于这些银行的战略发展。目前很多特别是江浙一带的中小银行在突破地域限制向全国发展,它不可能像工行那样在全国布网点——工行能有这么多网点也是花了二十几年的时间,这对中小银行不现实。如今网上银行应用越来越多,线下银行服务基本都能在线上实现。那么中小银行要开拓全国市场最有效的办法就是网上银行,这就是F5的机会。
F5也不只针对银行的网上业务,银行的内部业务,前置机、中间件接口(煤气、电费、水费……)和OA管理,核心业务转化为B/S结构,都需要应用交付。
中国信息主管网:看来银行的系统是越来越多,针对这点业界在鼓吹“虚拟化”的概念,但之前我们采访到一家银行,认为虚拟化技术不太稳定和安全,所以不考虑使用,F5如何看待这个问题?
吴静涛:虚拟化技术不稳定和不安全,的确是一个普遍看法,这是因为一般认为虚拟化是将1台设备虚拟为多台设备来提高利用率,提高ROI,实际上虚拟化可以分为不同的含义,包括操作系统,应用服务器,应用,管理,网络,硬件,存储,服务等很多方面(如下图),我们一般层面上了解的操作系统虚拟化容易让人联想到不稳定(实际上各虚拟化厂商也都可以通过自己的技术避免),但是将多个应用服务器虚拟为一个虚拟服务器的负载均衡技术反而是提高稳定性和安全性的方法,也是各×××普遍采用的技术,而多IDC,多isp链路的协同工作所构建的虚拟化网上应用,可以确保用户在任何服务器,链路故障,甚至是IDC故障的情况下都可以得到满意的服务,这就更是×××所乐于采用的技术了。
中国信息主管网:说到对复杂系统的整合简化,现在流行的云计算、绿色IT、SOA也包括虚拟化似乎都有这么一个方向,应用交付与它们是什么关系呢?
吴静涛:从云计算概念来讲,它要构建一个强大的服务能力,比如GOOGLE,它后台可不是一台、两台服务器,而是成千上万的服务器组,这就是一个云计算。当多服务器、多数据中心协同工作的时候,F5的技术就是一个必备技术,这其实与云计算是一个相辅相成的概念。大家只不过是从不同的切入点进来逐渐走到了一起。(罗提)