Hlavní navigace

Jakub Pavlík (F5, Volterra): Dnes není možné mít jen firewally, aplikace běží všude a nikde

9. 3. 2021
Doba čtení: 12 minut

Sdílet

 Autor: Jakub Pavlík
F5 Networks za 11 miliard koupila Volterru, jejíž součástí je od začátku Jakub Pavlík. V rozhovoru přibližuje, co za tím stojí.

Jakub Pavlík spoluzaložil a prodal startup TCP Cloud do rukou Mirantisu, obchod vyšel asi na miliardu. Následně stál u rozjezdu projektu Volterra, který nedávno za 11 miliard koupil americký F5 Networks. V této síťařské společnosti zůstává a má na starost pražský tým spojený s dalšími lidmi z Japonska a USA.

Pavlík v rozhovoru pro Lupu popisuje, co Volterra dělá, jak se začíná rozvíjet svět distribuovaných aplikací, které „běží všude a nikde“, jak tomu pomohlo otevření Kubernetes ze strany Googlu nebo proč už by nechtěl prodávat OpenStack.

Po prodeji TCP Cloudu jsi po čase z Mirantisu odešel s tím, že místo manažerování chceš zpět k technologiím a založil jsi pražskou kancelář Volterry. Teď vás koupila ještě větší korporace. Nastane po čase stejný scénář?

F5 je o dost větší firma než Mirantis, nicméně my pořád pracujeme stále stejným způsobem. Jsme součástí bezpečnostní divize. Mým nadřízeným je Ankur Singla, který byl CEO Volterry, takže se mě přechod zatím nijak nedotýká. Pořád pracujeme na technologii a neřeším věci kolem managementu. Časem to k tomu ale asi sklouzne. Nabíráme lidi a máme plány.

Takže třeba za pět let, až splníš vše, co bylo slíbeno, rozjedeš další projekt?

To je dost daleko, ale nevylučuji to. Nicméně v tuto chvíli máme jasně daný plán rozvoje. Těším se na to, protože si nyní sáhneme na veliké projekty. F5 má prodejní sílu. Doteď jsme měli do padesáti enterprise zákazníků (a stovky freemium) a půjdeme do stovek až tisíců.

To zní dost podobně tomu, jak jste se díky Mirantisu s TCP Cloudem dostali do AT&T a podobně.

Ano, v Čechách jsme tehdy dělali instalace do padesáti serverů a v DirecTV to bylo 1500 serverů. Tady to bude dost podobné a bude to technologická výzva. Kromě Prahy mám lidi v Japonsku, kde máme nejvíce zákazníků, a Spojených státech a budeme muset provozovat globální službu.

Jaký je plán toho, co chcete dělat v Praze?

Největší pražské know-how v rámci F5 je Kubernetes, infrastrukturní orchestrace, automatizace, tedy takzvané cloud native. Plánem je rozšíření týmu. Netýká se to pouze samotné Volterry, ale také Big IP, což je nejprodávanější load balancer od F5. Už nějakou dobu se ho snaží přenést z monolitického zařízení na serveru na kontejnerizovanou platformu. Teď v Česku máme patnáct lidí a mohli bychom se dostat k padesáti.

Čím vším se Volterra před prodejem zabývala?

Vezmu to v kontextu. Mezi roky 2010 až 2018 začaly přicházet veřejné a soukromé cloudy. Myšlenkou bylo vzít věci ze statických datacenter a dát je do cloudu a zefektivnit tím provoz a zrychlit dodávky na trh. TCP dělal tuto práci. Zpětně viděno to bylo značně neefektivní a dnes je vidět, že privátní cloudy docela umírají a přechází se hlavně do veřejných cloudů.

Pak přišly mikroslužby a softwarové kontejnery, takže aplikace neběží jako jedna monolitická věc. Google uvolnil Kubernetes a další technologie, které s tímto pomáhají. Takže dnes máme distribuované aplikace, které jsou nasazené v kontejnerech a mohou běžet kdekoliv. Podobné je to u uživatelů. Dříve šlo o statickou věc, typicky domácí počítač. Dnes už jde o mobily, senzory a podobně.

A třetí věcí je lokalita. Přecházíme od toho, že zařízení má jasně danou pevnou IP adresu, k tomu, že má Device ID, podle kterého ho lze sledovat. To vše vede k tomu, že není možné používat pouze klasické statické firewally na základě IP adres a pravidel, povolovat porty a podobně. Jde o dynamické prostředí, do kterého vstupuje faktor, že aplikace komunikují hlavně skrze API. Vše je REST nebo gRPC komunikace. Je třeba vidět, co si aplikace „říkají“, kdo s kým komunikuje, je možné si vykreslit a zobrazit propojení. A tohle všechno je třeba umět skrze veřejné a privátní cloudy, edge zařízení a tak dále.

Volterra tedy začala poskytovat cloudovou SaaS platformu, kde je možné tohle všeho sledovat na jednom místě, distribuovaně a může to běžet kdekoliv. Není to ale pouze o edge zařízeních a dalších. Mezi zákazníky třeba máme jednu britskou banku, která k Office 365 přistupuje z virtuálních desktopů, což se děje přes naši proxy.

Pražský tým, který byl u zrodu Volterry
Autor: Volterra

Pražský tým, který byl u zrodu Volterry

Jak si tuto proxy představit? Potřebuji k ní v lokální síti nějakou hardwarovou „krabičku“?

Těchto hardwarových appliance máme několik modelů – serverovou do datacentra nebo IoT. Ale děláme software, který může být virtuální a běžet například na VMwaru, Google Cloudu nebo Intel NUC. Jediné, čím jsme tuto chvíli limitováni, je architektura od Intelu. Nepodporujeme ARM.

Nebude vám absence ARMu zrovna v edge computingu a spol. chybět?

Máme interní plán podporu pro ARM vyvinout. Aktuálně ho nepodporujeme z toho důvodu, že používáme technologii Intel DPDK, která umožňuje procesovat pakety na síťový provoz mimo kernel, a to přímo v user space. Příklad: když budeš na serveru s Linuxem routovat pakety, uroutuješ jich třeba 500 tisíc za sekundu. S DPDK jseš schopný na dvou jádrech udělat deset milionů za sekundu. Datovou cestu tedy stavíme na této technologii.

Ze začátku je také drahé udržovat dva vývojové týmy pro dvě architektury. Vsadili jsme na to, že chceme mít ten samý software, který běží v Intel NUC, spustitelný v serveru pro DDoS ochranu. Nechtěli jsme udržovat dva odlišné softwarové stacky, to byla hlavní myšlenka. Do budoucna je to otázka velikosti trhu. Když někdo přijde s odpovídajícím byznysem, budeme schopní ARM rozjet.

Intel každopádně není synonymem pro mobilní čipy a edge zařízení. Nebude omezující říkat zákazníkům, že si třeba k vysílači na 5G mají dát Intel NUC místo nějaké menší krabičky na ARMu?

Podporu ARMu doděláme. Máme i řešení na 5G. Důvody našeho rozhodnutí už jsem popsal. Také šlo o testování. Měli jsme stočlenný tým, většina byli inženýři. Museli jsme vybrat výseč trhu, na kterou se zaměříme z pohledu investic a podobně. Tento use case jsme hledali asi rok.

Takže Intel dával smysl z pohledu instalované báze, enterprise podpory a tak dále?

Přesně tak. Dnes je ARM moderní a s čipem M1 ho začal tlačit i Apple, ale tři roky zpátky to zase tak horké nebylo. Navíc naše technologie musí zvládnout DDoS útoky.

Jak probíhá implementace?

My máme dva produkty – VoltStack a VoltMesh. Mesh je od vrstvy L3 do L7 distribuovaný routing a processing. Stack dokáže spouštět Kubernetes aplikace, spravovat je a tak dále. Dejme tomu, že zákazník už používá Kubernetes a má pět lokalit. Řeší to, jak v clusterech vystaví služby či jak je propojí mezi sebou. Spustí náš node, nebo kolik jich potřebuje, a ten dokáže udělat průzkum, naučit se dostupné služby a pak už je možné pracovat se správou a nasazováním a nahlížet do toku dat. Tento discovery proces podporujeme z DNS záznamů, Kubernetes a Consulu.

Takže jde o plug and play řešení?

Ano, říkáme tomu zero touch. Cílem je, aby nasazení bylo triviální a zvládl ho kdokoliv. A aby se vše spravovalo centrálně a uživatel dostával notifikace podobně jako v telefonu. To je velký rozdíl oproti dnešnímu prodeji softwaru a licencí. Red Hat nebo VMware musí prodat software, někdo musí nainstalovat controllery, řídicí prvky a vše nastavit. U nás je možné proces zvládnout automaticky třeba přes flashku do deseti minut.

Nemají admini obavy, aby něco takového nepáchalo neplechu?

Máme jednoho velkého zákazníka v Japonsku. S ním jsme navázali přímé propojení (direct connect). Máme přímé spojení mezi jejich a naším nejbližším datacentrem. Provoz nejde přes internet, ale pomocí dedikované linky. Tunel se navazuje také skrze tuto linku. Navazujeme spojení přes IPSec nebo SSL VPN. Ta umí komunikovat přes proxy.

Volterra, respektive F5, si tedy nakupuje vlastní dedikované linky po světě?

Tomu, o čem jsme se teď bavili, říkáme customer edge. Jde o zařízení, které spravujeme z našeho SaaS portálu, ale zařízení nevlastníme a běží u zákazníka. Pak máme regional edge. Aktuálně máme deset PoPů (přípojné body, point of presence) umístěných v datacentrech Equinix. Tam máme vlastní anycast síť a internet backbone. Zařízení či aplikaci je možné na dva kliky vystavit po celém světě na anycast IP adrese. Volterra má větší kapacitu, než jakou měl F5 Silverline. Jsme schopní nabídnout skoro všechny služby, která má Cloudflare. Například velké francouzské firmy Cdiscount nebo BetClic nás používají na DDoS ochranu.

Konkurovat Cloudflare a dalším je jedna z cest, kudy půjdete?

To už z části F5 dělala. F5 má zároveň skvělý Web Application Firewall a bot detection. F5 rovněž loni za miliardu dolarů koupilo Shape Security, což my do zmiňovaných částí integrujeme. Díky tomu budeme moci přímo poskytnout tyto ochrany.

Když u zákazníků reálně děláte edge computing, co to v praxi je?

Hlavně je to velký buzzword. Podoba edge teprve přichází. Nějakou dobu to trvá, stejně jako to trvalo u cloudu. Mohu říct dva příklady. Aktuálně řešíme dobíjecí stanice elektrovozů. Auto, které za den posbírá 4 TB dat, by mohlo s Volterra nodem integrovaným v nabíjecí stanici zálohovat data, stáhnout aktualizace, očistit informace. V Japonsku pak řešíme propojení všech nádraží.

Tak jako dnes Google každému dá Kubernetes a nástroje okolo, které lidi z DevOps milují, ty samé nástroje, ale pro edge, dokážeme dát my. Tímto směrem to půjde a vývoj bude podobný jako v adopci cloudu. Zatím je edge na začátku.

Jakub Pavlík
Autor: Jakub Pavlík

Jakub Pavlík

Před časem jsem byl v jedné továrně ve Švédsku, kde se data ze strojů nejdříve „předžvýkávala“ na edge zařízeních na místě a až poté se posílala k dalšímu zpracování do cloudu, konkrétně do Azure. To jsou věci, které už jsou vidět.

Ano, ale takových továren zatím není tolik. Pokud by něco takového chtěla nasadit síť prodejen do všech svých provozoven, zřejmě to tak jednoduché mít nebude, pokud na to nebude mít dedikovaný tým lidí.

Předpokládám, že Azure, AWS, Google Cloud a další vám v prosazování edge budou pomáhat, protože je to v jejich zájmu a aktivně na to vyvíjí služby a nástroje?

Ano a také se nesnažíme být jejich konkurence, ale doplněk. Jsme zalistovaní v jejich obchodech s aplikacemi a službami. Proto chce F5 orchestrovat Big IP v cloudech. My jsme ideální nástroj na spouštění.

Přípravy na straně poskytovatelů jsou vidět. Microsoft už si pro Azure dělá společně s partnery vlastní IoT čipy, které zabezpečeně komunikují přímo s cloudem.

Azure byl první Kubernetes, který začal podobné bezpečné propojení podporovat a pracovat s certifikáty na této úrovni. My se na bezpečnost také hodně orientujeme. Všechny naše služby komunikují přes NTLS. Bavil jsem se s jedním týmem z Česka, který vyvíjí senzory do postelí, díky čemuž lze poznat dýchání a podobně. Ptal jsem se jich, jakým způsobem rotují certifikáty. Často tato problematika není vyřešená. My vedle každého kontejneru pouštíme takzvanou side car. Ta dodává kryptografickou identitu typu X.509 certifikátů. Ty běží v paměti, takže při restartu jsou pryč a je třeba si vyžádat nové. My je rotujeme. Vývojář jen spustí aplikaci a lokálně z disku si sáhne na identitu.

Když certifikát běží v RAMce, jak řešíte zranitelnosti, kdy je možné manipulovat s pamětí a podobně?

Ve scénáři customer edge, o kterém jsem mluvil, počítáme s tím, že instalace patří zákazníkovi. V regional edge máme hodně striktní bezpečnostní pravidla, která zamezí volání systémových funkcí, je možné vynutit read only a tak dále.

Jak dlouho může celý koncept, na kterém děláte, narážet na určitý odpor trhu? Pamatuji si například na začátky SDN. VMware tehdy koupil startup Nicira, tenkrát to bylo snad za čtvrtinu jeho ročních tržeb, s tím, že v případě sítí zopakuje to, co se mu povedlo se servery – tedy virtualizaci. Dost síťařů se tomu tehdy smálo, dnes ale SDN není nic divného, naopak.

Musí se změnit myšlení využívání SaaS. Byli jsme v projektech, kde jsme byli stavění mezi klasické věci jako OpenShift nebo Tanzu. Je tam myšlení, že si sysadmin nainstaluje nějaký ten OpenShift a spravuje ho. My nedáváme přístup dovnitř. Je to appliance, ale je volaná jako SaaS. S tímto přístupem ještě někde narážíme. V Česku nevím o nikom, že by někdo nahradil tradiční firewally takovýmto řešením.

Všechny naše funkce jsou dostupné přes VoltConsole, což je SaaS rozhraní podobné AWS a spol. Dáváme nutné minimum k debugování a podobným operacím. I takový příkaz ping není třeba zadávat „dole“, ale lze ho udělat přes VoltConsole a ta funkci vzdáleně zavolá. Něco podobného nabízí Meraki Cloud. Kancelář, ve které sedíme, má internet poskytovaný přes gateway Volterry. Všechny naše kanceláře jsme připojili na naše řešení, ale ne na produkční, ale na stagingový.

Takže to pro firmy může být i taková jiná úroveň VPN?

Ano. My jsme si do každé kanceláře dali „krabičky“, máme routing, firewall a tak dále. Dá se tím řešit SD-WAN.

Oba startupy, které jsi dělal, se zabývaly relativně průkopnickými technologiemi. U TCP Cloudu to byl OpenStack a OpenContrail, u Volterry pak Kubernetes a další. OpenStack byl jednu dobu žhavé zboží, ale situace se dost uklidnila. V enterprise příliš nefrčí, protože je náročné ho držet pohromadě, našel si ale zákazníky mezi operátory. Myslíš, že to, co děláte teď, dosáhne na větší rozměry?

Amazon a Google se snaží udělat něco podobného, jako děláme my. Nemají ale naše zkušenosti. Volterra je postavená na tom, že jsme několik let dělali OpenStack a SDN kolem toho a viděli jsme tu bolest a utrpení kolem integrace něčeho takového do enterprise prostředí, kde má každý svého vypiplaného dodavatele a každá sekce si dělá to své. Každá instalace byla jedna z mnoha a bylo možné škálovat pouze skrze přidávání lidí. Pak se zjistilo, že implementace a provoz stojí tolik, že chybí přidaná hodnota.

Teď je rozdíl v tom, že neprodáváme technologii a čistý OpenStack nebo Kubernetes. Nechodíme nikam s tím, že prodáváme nejlepší distribuci Kubernetes. Prodáváme řešení na běh distribuovaných aplikací. Vše musí být jednoduché a zákazník nemusí mít tým deseti lidí. Všechny velké cloudy tudy budou muset jít. Když se podíváš na první verzi Azure Stacku (Azure Pack), měl hrozně složitou instalaci, vše se muselo komplikovaně nastavit a bylo třeba lidí, kteří „lezou dovnitř“. Microsoft změnil strategii a říká, že Stack umí nějakou sadu funkcí a že je to černá skříňka. A jde leda tak volat na podporu. Jdou podobnou cestou SaaS a tam vidím budoucnost. Na rozdíl od prodávání open source toolingu. Prodej věcí jako OpenStack nebo Kubernetes je v podstatě prodávání servisních služeb, škáluješ lidmi, není tam opakovatelnost a řešíš individuální problémy konkrétních lidí.

Tip do clanku - EBF_udrzitelnost

Kdo je vaší konkurencí?

Všechny veřejné cloudy mají nějakou variantu pro edge. Konkrétně v Česku by naší konkurencí mohl být VMware Tanzu, ten nám ale nemůže konkurovat v edge. Společnosti typu VMware mají různé části složené z různých komponent. Často někoho koupí, v tomto případě Haptio. A pak mají NSX. To jsou úplně jiné produkty, které musí někdo propojit. VMware se hodně specializuje na prodej Kubernetes. My ale prodáváme bezpečnou gatewayedge řešení a tak dále. V DDoS ochraně nám pak konkuruje Cloudflare.