К концу 2023 года большинство балансировщиков в российских ЦОДах по-прежнему западного производства. В прошлом году западные вендоры ушли из России, и оставаться на их оборудовании стало рискованно. Но мигрировать на доступные решения — тоже риск: они на рынке недавно, не хочется быть первым, кто испытывает их на себе.

Эта статья — для тех, кто задумывается об уходе от балансировщиков западных вендоров и хочет потестировать доступные в России решения в своих сценариях. Я Сергей Шульгин, эксперт по сетевым технологиям ИТ-компании К2Тех. Мы протестировали доступные в России балансировщики в нашей испытательной лаборатории. В этой статье я расскажу о китайских балансировщиках TongTech, которые достойно показали себя в наших исследованиях.



Проблемы с зарубежными балансировщиками


Балансировщики — критичная часть инфраструктуры высоконагруженных приложений, от финансового сектора до провайдеров связи и ритейла. От бесперебойной работы балансировки зависит и выручка, и репутация.

До всем известных событий подавляющая часть рынка спокойно пользовалась балансировщиками зарубежных вендоров, которые обеспечивали высокое качество продуктов и поддержки. В 2022 году эти вендоры ушли из России, то есть — перестали поддерживать и обновлять свои решения. Многие заказчики по-прежнему ими пользуются, находя неофициальные пути для обновлений. Но все задумываются о переходе на доступных вендоров и присматриваются к решениям, которые есть на рынке.

Риски продолжения работы на западных вендорах очевидны. Я не буду говорить про неподтверждённые слухи об окирпичивании апплаенсов при подключении к интернету. Но отсутствие обновлений ведёт к накоплению багов и уязвимостей и отставании по поддержке новых функциональностей. А отсутствие технической поддержки оставляет клиентов с проблемами один на один.

Но и с самим процессом миграции на доступных в России вендоров тоже не всё просто. Кейсов внедрений мало, заказчики не понимают, как эти решения поведут себя в их инфраструктуре и могут ли они полноценно заменить балансировщики западного производства. Со всеми этими вопросами заказчики приходят к нам. На часть из них постараюсь ответить в статье.

Мигрировать или подождать?


(спойлер: тестировать)

От ушедших вендоров рано или поздно придется отказаться, поскольку это все больше ставит под угрозу непрерывность бизнеса. Неважно, что станет драйвером или причиной для каждой конкретной компании, но рынок неминуемо к этому придёт. И чтобы это не стало испытанием на скорость, лучше заранее протестировать и обкатать свои сценарии на доступных в России решениях. И даже если не мигрировать прямо сейчас, это обеспечит хороший план на случай экстренной миграции.

Сейчас такое время, когда вендоры, доступные в России, быстро осваивают рынок, готовы к активному развитию своих продуктов и открыты к глубоким доработкам под нужды заказчика. Можно составить грамотное ТЗ и мигрировать на решение, практически «кастомизированное» под задачи конкретного бизнеса.

Шорт-лист балансировщиков и тестирование в нашей лаборатории


Когда мы поняли, что западные вендоры покинут Россию, то начали активно изучать рынок доступных решений, чтобы понимать, что мы можем предложить клиентам в качестве альтернативы. Мы проанализировали балансировщики, доступные в России, по документации и выделили вендоров, которые сопоставимы с ушедшими с рынка и активно развивают свои продукты. В список вошли Radware, TMLake, TongTech, Xpoint, B4Com Technologies.
У нас есть испытательная лаборатория для оборудования в сценариях наших клиентов, сетевые фабрики, стойки под enterprise- и отраслевые решения и всё такое. Так что нам ничего не мешало протестировать балансировщики из нашего шорт-листа в лаборатории. Я собираюсь рассказать про те из них, которые достойно показали себя по итогам испытаний. И сегодня я хочу начать с TongTech, который, кстати сказать, мы уже внедряем у одного из заказчиков.

Параметры балансировщиков TongTech


Форм-факторы


  • Физические appliance (ПАКи) с пропускной способностью 10−200 ГБит. Есть модели, основанные на полностью китайской компонентной базе, без участия импортируемых в Китай компонентов.
  • Виртуальные appliance с пропускной способностью 1.0−10 ГБит (гранулярность линейки 1 ГБит). Поддержка гипервизоров VMware, KVM.

Балансировка


  • Уровни балансировки в OSI: layer 4, layer 7.
  • Поддержка прикладных протоколов: TCP/UDP, HTTP/1.0, HTTP/1.1, HTTP/2, FTP, SMTP, LDAP и другие.
  • Методы балансировки: тут всё стандартно, поддерживаются методы Round Robin, Weighted Round Robin, Least Connections и другие.
  • Persistence (постоянство): если клиентские подключения должны идти к одному и тому же серверу, поддерживаются механизмы persistence по cookie, source IP, destination IP и другие.

Оптимизация нагрузки на прикладные серверы


  • Мультплексирование соединений (TCP multiplexing), RAM-кэширование и RAM-компрессия на различных уровнях.
  • Работа с протоколами шифрования: перенос нагрузки по шифрованию трафика с прикладных серверов на балансировщик. Поддерживаются SSL 3.0 и TLS 1.2. Поддержка TLS 1.3 — в разработке.
  • Поддержка встраиваемых аппаратных SSL-ускорителей: для RSA-соединений SSL/TLS (ключи длинной 2K) и ECC-соединений SSL/TLS (P-256 бит).
  • SSL-терминация, SSL-bridging, использование балансировщика как SSL-proxy.
  • Настраиваемые cipher suites (комбинации шифров) для SSL/TLS.

Управление контентом


  • Поддержка скриптов (eRule) для гибкого управления трафиком приложений. Как и у многих западных вендоров, у TongTech eRule основаны на языке TCL, так что возможен бесшовный переезд скриптов на TongTech.
  • За счёт eRule или профилей приложений можно выполнять модификацию TCP-payload, условную модификацию значений HTTP/TCP, роутинг, изменение / добавление заголовков HTTP.

Сеть, маршрутизация


  • Поддержка VLAN, транков VLAN 802.1Q, протоколов аггрегации LACP, защиты от петель STP.
  • Поддержка протоколов статической и динамической маршрутизации OSPF, BGP.
  • Поддержка нескольких таблиц маршрутизации VRF.

Управление балансировщиком


  • Интерфейсы: полный GUI, CLI через SSH, полнофункциональный REST API.
  • По всем интерфейсам доступ можно ограничить с помощью ACL (access control list) для предотвращения несанкционированного доступа к управлению балансировщиком.
  • Для аутентификации администраторов поддерживаются протоколы RADIUS и TACACS+.
  • Поддержка RBAC (role-based access control) позволяет создавать роли с гранулярно настроенными полномочиями по доступу и управлению: настроить роли администратора, аудитора и так далее.




GUI: основная панель управления

Сетевая безопасность


Встроенные средства защиты балансировщиков TongTech достаточно просты:
  • Доступ к приложениям за балансировщиком можно ограничить с помощью ACL, чтобы предотвратить несанкционированный доступ.
  • WAF (web application firewall) есть, но базовый. Он защищает от простых атак, таких как SQL- или XSS-инжекции, позволяет настроить легитимные ссылки приложения.

Эти средства защиты — просто приятный бонус, для полноценной защиты на них рассчитывать не стоит. В портфолио TongTech есть специальное решение для защиты, которое можно поставить рядом с балансировщиком. У части западных балансировщиков средства защиты тоже всегда были дополнительными возможностями, которые требовали покупки отдельных лицензий.

Отказоустойчивость


  • HA-кластер на основе протокола VRRP в режиме L3-маршрутизации в конфигурации ACTIVE/STANDBY.
  • Настройка failover по условиям.
  • Синхронизация клиентских сессий внутри HA-пары. Таким образом, при сбое поддерживается состояние без нарушения подключений клиентов к приложениям.
  • Замена блоков питания в горячем режиме.

Логирование и мониторинг


  • В GUI доступны дашборды с текущей загрузкой, просмотр отчётов о работе приложений.
  • Формируются логи производительности и использования ресурсов балансировщика, логи объёма трафика приложений.
  • Логи можно отправлять во внешние системы мониторинга по протоколу SNMP v2. Версия v3 не поддерживается.
  • Можно формировать системные отчёты по статистической загрузке.




Мониторинг утилизации ресурсов балансировщика



Мониторинг пропускной способности балансировщика

Техническая поддержка и документация


Документация. С западными вендорами можно было найти любую нужную информацию на порталах документации. У TongTech такого охватного корпуса документации нет. Но зато бренд строит такие отношения с нами и другими партнерами, что мы по запросу предоставляем или быстро создаём необходимую документацию, и наши клиенты этим вполне довольны.

Техподдержка. В связке с вендором мы оказываем техническую поддержку системы. И здесь надо отдать им должное: вендор готов подключаться в удобное клиенту время, даже с учётом разницы во времени с Китаем, и решать проблемы через удалённый доступ. С переводом тоже проблем нет: они общаются на английском, а когда очень нужно, мы приводим технического переводчика.

Доступность доработок. Это большое преимущество перед западными вендорами. Когда вы работаете с TongTech, у вас и вашего интегратора есть на них прямой выход. По опыту, они оперативно доделывают функциональности, которых не хватает, под запрос в течение нескольких месяцев или даже недель. В общем, TongTech, как, впрочем, и другие доступные в России вендоры, гораздо более открыты и отзывчивы к запросам клиентов, поскольку сейчас активно осваивают рынок и конкурируют друг с другом.

Бест-практисы миграции


Сам процесс миграции стандартный. Выбор вендора, тестирование на совместимость с ИТ-инфраструктурой заказчика. Миграция выполняется как blue-green deployment.
С точки зрения организации процесса я рекомендую заложить побольше времени на доработки, которые возможно придётся вносить в ходе проекта. Кейсов использования новых вендоров мало, так что предсказать объём доработок сложнее.

Наконец, если вы обращаетесь для миграции к интегратору, зовите кого-то, кто хорошо понимает в инфраструктуре, имеет достаточно кейсов миграций и мультивендорную экспертизу как в западных, так и в новых вендорах. Ну и учитывайте возможности их испытательной лаборатории: хорошо, когда они могут воспроизвести ваши сценарии с максимально необходимым приближением.

Доступность в России


TongTech пока не имеет представительства в России. Но устройства для тестирования можно без проблем получить через нас или других интеграторов, кто работает с вендором. Интеграторы могут включить предоставление балансировщиков в общий контракт, наряду с предоставлением другого оборудования и услуг.

Мой вердикт про TongTech


TongTech — новый вендор на российском рынке. Да, их балансировщики не воспроизводят функциональности западных аналогов один в один. И у них нет некоторых возможностей (например, поддержка TLS 1.3 — всё ещё в разработке). У них нет таких же всеохватных порталов документации. А внедрение сложнее с точки зрения кастомизации и обкатки.
И всё же наши клиенты довольны. В сценариях, в которых важны отдельные недостающие функциональности, мы как интегратор помогаем найти решение, которое закроет их. Расширять документацию мы тоже со своей стороны помогаем, её корпус растёт и развивается.
В итоге, по моему опыту и результатам наших тестов, балансировщики TongTech отлично подходят для внедрения в проектах по вендорозамещению. Ты получаешь рабочую систему и больше не думаешь о том, как в очередной раз обновить балансировщик западного вендора и когда инфраструктура за ним уйдёт в даунтайм.

Про какой следующий балансер из шортлиста рассказать?
Radware, TMLake, TongTech, Xpoint, B4Com Technologies?