Application Delivery Networking

Pod pojmem ADN se skrývají tři základní oblasti, které společně zlepšují dostupnost, výkon a uživatelské vnímání aplikací. Jedná se o

• optimalizaci,
• zajištění dostupnosti a
• zebezpečení aplikace.

Optimalizační techniky

V rámci zlepšení výkonu se při implementaci ADN pro danou aplikaci zaměřujeme na dva základní postupy:

• Maximalizaci využití dostupných zdrojů
• Minimalizaci mimoaplikačních aktivit aplikace.

První oblast je pokryta zejména optimalizací využití přístupových tras, kdy je nutno s každým klientem zacházet jinak z důvodu jeho „last mile“ připojení. Je třeba zohlednit rozdíly mezi vysokoškolským studentem sedícím na páteřní části akademické sítě, který má všechna data ihned a tímtéž studentem sbírajícím houby v lese a vítězoslavně třímajícím svůj chytrý telefon připojený přes Edge s latencí líné obsluhy v hospůdce páté cenové skupiny. Cílem je v tomto případě nejen optimalizace využití celé přístupové trasy, ale i maximální udržení uživatelského komfortu i tam, kde je to pro aplikaci obtížné či dokonce neřešitelné. Tyto optimalizace spočívají především v maximálním zefektivnění využití přenosového protokolu TCP.

Každá aplikace musí pro obsloužení klienta provádět činnosti, které přímo nesouvisí se samotnou logikou aplikace. Když účetní vyplňuje daňové přiznání, provádí určitou aplikační činnost. Ovšem pak je třeba dát vyplněný glejt do obálky, nalepit známku, napsat adresu finančního úřadu a vyrazit na poštu. Což jsou činnosti, které je mnohem lepší svěřit sekretářce, která s nimi poradí lépe, levněji a efektivněji, aniž bychom plýtvali časem pana účetního. V rámci ADN jsou to často právě ony činnosti, které vůbec nesouvisí, jako je obsluha TCP spojení, šifrování, komprese dat a další činnosti, které lépe a levněji udělá právě ADN platforma. Díky tomu můžete využít výkon serverů k činnostem, kvůli kterým jste si je kupovali.

Zajištění dostupnosti

ADN platformy se kromě optimalizace zabývají i zlepšením dostupnosti aplikace. Opět k tomu využívají řadu technik, které umožňují obsloužit klienta téměř za jakýchkoliv okolností. V praxi se můžeme setkat s několika stupni problémů, které nám pomůže vyřešit vhodně navržená architektura ADN a navazující infrastruktura:

• Přetížení aplikačního serveru,
• lokální částečný výpadek služby,
• katastrofické selhání datového centra.

ADN infrastruktura kontinuálně monitoruje služby poskytované jednotlivými aplikačními servery i servery samotné. V případě problémů na serveru nebo se službou je schopna směrovat požadavky na jiný aplikační server. Využívá k tomu různé techniky load-balancingu od obyčejného ententyky až po zohlednění zátěže serveru (hodí se například v případě, kdy z konzole někdo omylem ve špičce spustí náročnou úlohu). To mimo rozložení zátěže umožňuje i rozložení rizika a podílu neuspokojených klientů v případě selhání serveru. Je rozhodně lepší, když vypadne jeden server z pěti, než jeden jediný.

Katastrofická selhání sice nejsou příliš častá, ale jsou o to bolestivější z pohledu dopadu na klienty. Výpadek celého datového centra je většinou smrtícím úderem pro poskytované služby. Přesto i zde lze v případě vhodně navržené infrastruktury, záložního datového centra a s využitím dynamického DNS a dalších technik zajistit relativně rychlé směrování klientů. Samozřejmě je možno tuto techniku využít i tak, že jsou obě centra aktivní a ADN se v tomto případě stará o to, aby se klient dostal do datového centra, které je schopno jej obsloužit v nejkratší možné době.

Bezpečnost

Aplikační vrstva je asi jednou z nejcitlivějších z hlediska zabezpečení. ADN je díky těsné integraci optimálním místem pro zajištění maximální bezpečnosti aplikace na všech vrstvách:

• Skrytí informací o infrastruktuře,
• aplikační firewall,
• aktivní ochrana proti DoS/DDoS útokům,
• zabezpečení přenosových kanálů šifrováním.

Skrytí informací o aplikační infrastruktuře značným způsobem omezuje možnosti útočníka. Při neznalosti adresace, aplikační platformy a dalších informací, které lze u většiny aplikací snadno zjistit, je vedení útoku značně obtížnější.

Většina ADN platforem v sobě navíc integruje webový aplikační firewall, popřípadě další moduly sloužící ke kontrole vybraných komunikačních protokolů, zejména http a SMTP. Webový aplikační firewall je možno za určitých okolností považovat téměř za součást aplikace, protože mimo standardních detekčních mechanismů založených na signaturách, nabízí i dynamické syntaktické a sémantické kontroly včetně definice pohybu klienta po aplikaci.

DoS útok je jedna z věcí, proti které lze bojovat. Je samozřejmé, že je-li schopen útočník saturovat linku do Internetu, nezbývá příliš mnoho možností. Nicméně v drtivé většině případů je aplikace přetížena dávno předtím. A zde infrastruktura ADN pomáhá aplikaci přežít horké chvilky. Techniky jako delayed binding ve spojení se sledováním počtu požadavků na aplikaci pomáhají aplikaci vyřídit relevantní požadavky, zatímco ty, které mají za cíl působit škody (identifikované na základě počtu requestů, nedokončených otevření spojení atd.) se k aplikaci vůbec nedostanou.

ADN platformy pak zcela samozřejmě poskytují robustní šifrovací nástroje, které umožňují zabezpečit kanál směrem ke klientovi a díky jejich flexibilitě jsou mnoha společnostmi používány i pro řešení vzdáleného přístupu.