ADMIN

2025

07

2025-06-29T12:00:00

Hybrid Cloud

SCHWERPUNKT

078

Loadbalancing

Multi-Cloud

Containerisierung

VMware Avi Loadbalancer in hybriden Clouds

Gemeinsam schultern

von Jörg Rösch

Veröffentlicht in Ausgabe 07/2025 - SCHWERPUNKT

VMware Avi Loadbalancer ist ein softwarebasiertes Werkzeug, das Skalierbarkeit und Flexibilität für Anwendungen in privaten, hybriden oder Multi-Cloud-Umgebungen bietet. Es ermöglicht das zentrale Verwalten und Automatisieren des Datenverkehrs mit intelligenten, anpassbaren Policies für hohe Verfügbarkeit und optimale Leistung. Durch die Integration mit vSphere Cloud Foundation und Kubernetes unterstützt es moderne Anwendungsarchitekturen und Microservices. Zudem unterstützen erweiterte Sicherheitsfunktionen wie SSL-Offloading oder Web Application Firewalling dabei, besagte Anwendungen sicher zu betreiben.

Avi Networks wurde 2012 gegründet und hatte von Anfang einen Fokus auf softwarebasierte Loadbalancing- und Application-Delivery-Werkzeuge speziell für Cloud- und Container-Umgebungen. Das Ziel war es, die traditionellen hardwarebasierten Loadbalancer durch flexible und skalierbare Software zu ersetzen, die sich einfach in moderne Anwendungen integrieren lässt. Im Jahr 2020 wurde Avi von VMware übernommen, um den funktional limitieren Loadbalancer im Software-defined-Networking von NSX zu ersetzen. Seit der VMware-Übernahme durch Broadcom ist Avi im Produktportfolio "Application Networking and Security" (ANS) angesiedelt.
Das Prinzip des Loadbalancing
Zum Einstieg rekapitulieren wir kurz die Funktionsweise eines Loadbalancers, um die Features von Avi besser einordnen zu können. Ein Loadbalancer nimmt eingehenden Datenverkehr an einer virtuellen IP-Adresse von Clients entgegen und verteilt diesen Verkehr auf einen Pool von zwei oder mehr physischen Servern. Dies erfolgt aus zwei Gründen: Erstens, um Resilienz zu gewährleisten, falls ein oder mehrere Server ausfallen – sei es aufgrund geplanter Wartungsarbeiten oder unerwarteter Störungen. Zweitens, um den Verkehr über die Leistungsgrenze eines einzelnen Servers hinaus skalierbar und performant zu gestalten.
Die Kommunikation erfolgt generell über Netzwerk-Adressübersetzung (NAT) am Lastenverteiler, wobei am häufigsten IP DNAT zum Einsatz kommt. Alternativ sind L2-MAC-Umschreibung oder seltener eine Kapselung wie etwa MAC-in-MAC oder GRE die Technik der Wahl. Des weiteren fungiert ein Loadbalancer als transparenter Reverse-Proxy, also als Vermittler zwischen Client und Server. Bei TCP-Verbindungen gibt es zwei unabhängige TCP-Flows, einen zwischen dem Client und dem Proxy (Loadbalancer) und einen zwischen Proxy und Server. Die client- und serverseitigen Flows sind unabhängig voneinander und können daher unterschiedliche MSS, TCP-Flags, Window Scaling, Algorithmen zur Überlastungskontrolle und so weiter aufweisen. Dies geschieht zum einen, weil sich so Verbindungen via HTTPS zum Loadbalancer verschlüsseln lassen, und zum anderen, weil sich die Performance durch Content-Caching und Komprimierung verbessert. Letzteres entlastet den physischen Server von der Verarbeitung des Datenverkehrpuffers.
Avi Networks wurde 2012 gegründet und hatte von Anfang einen Fokus auf softwarebasierte Loadbalancing- und Application-Delivery-Werkzeuge speziell für Cloud- und Container-Umgebungen. Das Ziel war es, die traditionellen hardwarebasierten Loadbalancer durch flexible und skalierbare Software zu ersetzen, die sich einfach in moderne Anwendungen integrieren lässt. Im Jahr 2020 wurde Avi von VMware übernommen, um den funktional limitieren Loadbalancer im Software-defined-Networking von NSX zu ersetzen. Seit der VMware-Übernahme durch Broadcom ist Avi im Produktportfolio "Application Networking and Security" (ANS) angesiedelt.
Das Prinzip des Loadbalancing
Zum Einstieg rekapitulieren wir kurz die Funktionsweise eines Loadbalancers, um die Features von Avi besser einordnen zu können. Ein Loadbalancer nimmt eingehenden Datenverkehr an einer virtuellen IP-Adresse von Clients entgegen und verteilt diesen Verkehr auf einen Pool von zwei oder mehr physischen Servern. Dies erfolgt aus zwei Gründen: Erstens, um Resilienz zu gewährleisten, falls ein oder mehrere Server ausfallen – sei es aufgrund geplanter Wartungsarbeiten oder unerwarteter Störungen. Zweitens, um den Verkehr über die Leistungsgrenze eines einzelnen Servers hinaus skalierbar und performant zu gestalten.
Die Kommunikation erfolgt generell über Netzwerk-Adressübersetzung (NAT) am Lastenverteiler, wobei am häufigsten IP DNAT zum Einsatz kommt. Alternativ sind L2-MAC-Umschreibung oder seltener eine Kapselung wie etwa MAC-in-MAC oder GRE die Technik der Wahl. Des weiteren fungiert ein Loadbalancer als transparenter Reverse-Proxy, also als Vermittler zwischen Client und Server. Bei TCP-Verbindungen gibt es zwei unabhängige TCP-Flows, einen zwischen dem Client und dem Proxy (Loadbalancer) und einen zwischen Proxy und Server. Die client- und serverseitigen Flows sind unabhängig voneinander und können daher unterschiedliche MSS, TCP-Flags, Window Scaling, Algorithmen zur Überlastungskontrolle und so weiter aufweisen. Dies geschieht zum einen, weil sich so Verbindungen via HTTPS zum Loadbalancer verschlüsseln lassen, und zum anderen, weil sich die Performance durch Content-Caching und Komprimierung verbessert. Letzteres entlastet den physischen Server von der Verarbeitung des Datenverkehrpuffers.
Vom Loadbalancer zum ADC
Avi bietet jedoch wesentlich mehr als nur Lastenausgleich, vielmehr handelt es sich um einen Application Delivery Controller (ADC). ADCs unterscheiden sich von üblichen Loadbalancern durch eine erweiterte Funktionalität und die enge Integration in die Anwendungsbereitstellung. Während ein Loadbalancer primär dazu dient, den eingehenden Verkehr auf mehrere Server zu verteilen, bieten ADCs zusätzliche Features wie Applikationsbeschleunigung, Proxy, SSL-Offloading, Verkehrs- und Protokollmanipulation, Firewall, Access Control, Web Application Firewalling, Anwender-Authentifizierung und -Autorisierung, DNS, IPAM und Global Server Loadbalancing (GSLB).
Mit all diesen Fähigkeiten gleicht ein Avi-ADC einem Schweizer Messer, das sehr viele Anwendungsfälle abdeckt. Einer davon ist die flexible Verkehrsweiterleitung auf Layer-4-Ebene, die den Traffic basierend auf Layer-3/Layer-4-Informationen wie IP-Adressen und Ports an unterschiedliche Ziele weiterleitet. Auf Layer-7 ermöglicht Avi das Routen von Anfragen basierend auf beispielsweise der URL, HTTP-Methode, HTTP-Header-Werten oder Cookie-Werten, um den Verkehr effizient zu steuern.
Ein weiteres wichtiges Einsatzgebiet ist die Modifikation des Payloads. Dies erlaubt, den Datenverkehr anzupassen, um unerwünschtes Anwendungs- oder Sicherheitsverhalten zu beheben oder Workarounds für bestehende Anwendungsprobleme zu implementieren. Darüber hinaus bietet Avi Sicherheitsfunktionen, die nicht nur auf eine Web Application Firewall (WAF) setzen, sondern auch andere Mechanismen integrieren, um Anwendungen auf mehreren Ebenen abzuschotten.
Avi ermöglicht zudem die Verkehrskontrolle auf Layer 7, mit der sich Anfragen zulassen, ablehnen oder in ihrer Durchsatzrate begrenzen lassen, um den Verkehr zu steuern und Missbrauch zu verhindern. Zur Optimierung der Anwendungsleistung trägt Avi bei, indem es Techniken wie Content-Caching, dynamische Kompression und SSL-Offloading nutzt, um die Effizienz und Geschwindigkeit von Anwendungen zu steigern. Weitere wichtige Funktionen umfassen die Anwendungsverfügbarkeit mit HA und Disaster Recovery zwischen verschiedenen Rechenzentren beziehungsweise Standorten. Dies soll eine schnelle Wiederherstellung nach Komplettausfällen ermöglichen.
Darüber hinaus zeichnet sich Avi durch seine Anwendungsanalysefunktion aus. Aufgrund seiner intelligenten Architektur im Anwendungsdatenverkehr kann Avi Tausende von Datenpunkten zu Anwendungsverhalten und -leistung sowie detaillierte Protokolle zu jeder einzelnen Transaktion erfassen. Die softwaredefinierte Architektur von Avi ermöglicht es, diese Daten kostengünstig über die verteilte Data Plane zu erfassen und zur Analyse an den Avi-Controller zu senden. Dort kann der IT-Verantwortliche dann eine umfassende Überwachung und Fehlerbehebung bei auftretenden Anwendungs- oder Netzwerkproblemen durchführen.
Letztendlich geht es darum, dass die Anwender zufrieden sind und ihre Applikationen zuverlässig erreichen, sprich sicher, mit hoher Verfügbarkeit und guter Performance. Unabhängig davon, ob sich die Anwendungen im eigenen Rechenzentrum, in der Public, Hybrid oder der Multi Cloud befinden. Des Weiteren sind fast alle Anwendungen heutzutage webbasiert. Dies erfordert ein intelligentes zentrales Management, speziell mit der höheren Komplexität von cloudnativen Anwendungen, die auf Kubernetes und Container-Technologien aufsetzen – hierfür ist ein Application Delivery Controller unumgänglich. Der springende Punkt bei Avi ist die Automatisierung mit schneller Bereitstellung von Anwendungen in Minuten, dem Überwachen von Umgebungen in Echtzeit, das schnelle Troubleshooting mit Analysefunktionen und die Skalierbarkeit.
In Sachen Automatisierung unterstützt Avi verschiedene Tools wie Ansible, Terraform, Python SDK und REST-APIs. Das Produkt ist im Prinzip ein "lebendes API- GUI" und erlaubt, über das Python SDK Framework von Avi individuelle Skripte und Automatisierungstools einfach zu erstellen.
Bild 1: Zentral in der Avi-Architektur ist der Controller, der die Umgebung verwaltet, während sich die Service Engines um die Daten kümmern.
Die Architektur von Avi
Avi integriert sich in verschiedene IT-Umgebungen wie VMware vCenter/vSphere ESXi, NSX Cloud, OpenStack, Amazon Web Services, Azure Cloud und Google Cloud. Dies ermöglicht das flexible Bereitstellen von Software in unterschiedlichen Umgebungen. Dabei spielen IPAM- und DNS-Services eine signifikante Rolle für die Automatisierung – unabhängig von der jeweiligen Cloud. Diese Dienste ermöglichen es, virtuelle Dienste automatisch mit IP-Adressen und DNS-Namen zu versorgen, ohne dass manuelle Eingriffe notwendig sind.
Es besteht die Option, IPAM-Werkzeuge wie zum Beispiel Infoblox, Azure, Google Cloud oder OpenStack zu integrieren. Eine weitere Möglichkeit besteht darin, IP-Adresspools in Avi zu definieren, um IP-Adressen für die Workloads zuzuweisen. Der DNS-Dienst von Avi ermöglicht die automatische Registrierung und Auflösung von DNS-Namen für bereitgestellte Services. In einer vCenter-Umgebung kann Avi entweder intern DNS-Namen verwalten oder mit externen DNS-Systemen wie Microsoft-DNS oder BIND kommunizieren. In Public-Cloud-Szenarien nutzt Avi Dienste wie Route 53 (AWS) oder Azure DNS, um DNS-Einträge automatisch zu erzeugen und zu pflegen.
Wie angesprochen basiert Avis Architektur auf einem Softwareansatz. Dies ermöglicht das Verwalten von Anwendungsdiensten in modernen Cloudumgebungen, sei es in einer Private Cloud, einer Public Cloud oder auf Bare-Metal-Servern. Die Architektur besteht aus zwei Hauptkomponenten: dem Avi-Controller als zentrale Management- und Control-Plane und den "Avi Service Engines" (SE) als Data-Plane. Der Avi-Controller ist für Konfiguration, Verwaltung und Überwachung der gesamten Umgebung verantwortlich. Die Plattform basiert auf einem API-First-Konfigurationsansatz und das GUI sowie die Befehlszeilenschnittstelle (CLI) sind lediglich Darstellungen der REST-API. Die täglichen operativen Administrationsaufgaben lassen sich mit entsprechenden Tools (VMware Aria Automation, Ansible, Terraform und so weiter) problemlos vollständig automatisieren.
Die Avi Service Engines sind die Data-Plane-Komponenten der Architektur. Sie führen die eigentliche Datenverkehrsverarbeitung durch und gewährleisten das Loadbalancing und die Optimierung der Anwendungen. Jede Service Engine arbeitet unabhängig, aber als Teil einer verteilten Fabric, die je nach Bedarf skaliert. Die SEs konfiguriert der IT-Verantwortliche nicht direkt, vielmehr übernimmt der Controller die zentrale Steuerung. Dieser weist den einzelnen SEs Aufgaben in der Datenebene zu – basierend auf der übergeordneten Konfiguration sowie den Anforderungen an Skalierbarkeit und Netzwerkkonnektivität.
IT-Verantwortliche können Service Engines bereitstellen ("No Orchestrator"-Modus) oder diese über einen "Cloud Connector" vollständig vom Controller verwalten lassen. Der Cloud Connector ist in eine zugrunde liegende IaaS-Plattform integrierbar und stellt SEs je nach Bedarf bereit oder entfernt sie wieder. Der Cloud Connector kümmert sich auch um umgebungsspezifische Netzwerkanforderungen wie die Einrichtung virtueller Netzwerkkarten, das Verwalten von IP-Adressen und die Konfiguration des Routings.
Zusammenspiel von Controller und Service Engines
Der Avi-Controller lässt sich in jeder Infrastruktur installieren, die einzige Voraussetzung ist eine Container-Runtime. Im eigenen Rechenzentrum spielen Admins den Avi-Controller generell als OVA-Datei in der vSphere-Umgebung auf. Eine Setup auf OpenStack/KVM als QCOW2-Datei beziehungsweise auf physischen Servern mit Docker ist ebenfalls möglich. In der Public Cloud (AWS, Azure oder Google) ist der Avi-Controller im jeweiligen Market Place verfügbar. Den Controller können Sie zu Testzwecken als einzelne Komponente installieren – produktiv sollten Sie ihn mit drei virtuellen Maschinen aufgrund von Ausfall- und Performancegründen betreiben.
Zur Administration ist ein GUI verfügbar, die Cluster-Konfiguration erfolgt jedoch im Hintergrund: Sind alle Controller aktiv, teilen sie sich den Workload. Die interne Kommunikation der Avi-Controller im Cluster ist standardmäßig verschlüsselt. Die drei virtuellen Maschinen im Avi-Cluster sollten Sie auf jeweils separater Hardware implementieren, sprich bei vSphere auf separaten ESXi-Hosts. Dabei sollten Sie mittels Anti-Affinity-Rule verhindern, dass mehr als ein Avi-Controller auf dem gleichen ESXi Host läuft.
Bei Ausfall eines einzelnen Controllers im Cluster gibt es keinerlei Einschränkungen, weder beim Datenverkehr der Service Engines noch beim Management der Controller. Fallen jedoch zwei aus, ist kein Quorum mehr erreichbar und der bestehende Controller muss manuell zum Leader ernannt werden. Auch wenn alle drei Controller ausfallen, hat dies keinen Einfluss auf die SEs, es sind jedoch keine Konfigurationsänderungen mehr möglich und die Service Engines laufen im sogenannten "Headless Mode". Das bedeutet, dass die SEs die Metriken und Logs im Buffer speichern bis der Avi-Controller-Cluster wieder verfügbar ist. Die Buffergröße ist abhängig von der konfigurierten Disk-Zuweisung der Komponenten.
Für die Service Engines stehen drei Verfügbarkeitsmodi zur Verfügung. Im Active/Stand-by-Modus wird ein virtueller Service nur von einer aktiven SE bedient, während eine zweite SE im Stand-by-Modus bereitsteht. Diese übernimmt automatisch, wenn die aktive SE ausfällt. Dieser Modus eignet sich für Szenarien mit höherer Verfügbarkeit, bei denen geringe Umschaltzeiten und klare Rollen gewünscht sind. Im Active/Active-Modus verteilen mehrere SEs gleichzeitig den eingehenden Traffic. Das erhöht die Leistung und Ausfallsicherheit, da sich beim Ausfall einer SE der Datenverkehr automatisch auf die verbleibenden SEs verteilt. Diese Betriebsart kommt häufig in produktiven Umgebungen mit hohem Traffic zum Tragen.
Die N+M-Konfiguration ist eine besonders flexible und effiziente Variante: Hier sind N aktive SEs im Einsatz, die den laufenden Datenverkehr verarbeiten, während M SEs als Reserve (Failover-Kapazität) zur Verfügung stehen. Fällt eine aktive SE aus, übernimmt eine der Reserve-SEs deren Aufgaben. Diese Architektur reduziert den Ressourcenbedarf gegenüber vollständigem 1:1-Failover (Active/Stand-by), da nicht für jede aktive SE eine dedizierte Stand-by-SE vorgehalten werden muss.
Analytische Funktionen
Avis analytische Fähigkeiten sind speziell im Troubleshooting bei Performanceproblemen sehr hilfreich. Die Plattform ermöglicht eine lückenlose Sichtbarkeit der gesamten Applikationslandschaft – vom Endnutzer über das Netzwerk bis hin zu den Backendservern. Mithilfe von Echtzeitmonitoring lassen sich wichtige Kennzahlen wie Latenzen, Durchsatz, Fehlerraten und der Verbindungsstatus kontinuierlich überwachen und bewerten.
Wie in Bild 2 zu sehen, greift ein Client mit der IP-Adresse "142.214.161.165" auf eine virtuelle IP-Adresse "10.6.248.131" via HTTPS (Port 443) zu. Während sich der Client irgendwo im Netzwerk befindet, ist die virtuelle IP-Adresse auf dem Loadbalancer konfiguriert. Avi führt standardmäßig SNAT (Source Network Address Translation) und DNAT (Destination Network Address Translation) durch. Dies können Sie jedoch mit Techniken wie zum Beispiel "Peristent IP" oder "X-Forwarded-For" modifizieren und somit die Quell- oder auch die Ziel-IP-Adresse beibehalten. Im Bild 2 erkennen Sie zudem, wie die Client-IP-Adresse auf die Avi-Loadbalancer IP-Adresse "100.65.10.110" gewandelt wird und letztendlich zum Server "100.65.10.4" via Port 80 gelangt, der ein Mitglied des Serverpools "avi-demo-pool" ist.
Bild 2: Avi zeigt eine Übersicht des Loadbalancing vom Client zum Server.
Darüber hinaus liefert Avi detaillierte Einblicke in das Verhalten der Nutzer und ihrer Endgeräte. Faktoren wie die Herkunft der User, verwendete Browser oder Gerätetypen werden übersichtlich dargestellt und helfen dabei, die Benutzererfahrung gezielt zu verbessern. In Bild 2 zum Beispiel USA als Herkunftsland, Betriebssystem macOS, Browser Chrome, SSL Version 1.2, Zertifikatstyp RSA und Verschlüsselungsalgorithmus AESGCM256. Der Loadbalancer stellt Informationen wie die Umsetzung der IP-Adressen, den Zeitpunkt des Zugriffs, welche Service Engine benutzt wird, Response-Länge und vieles mehr bereit. Des Weiteren liefert Avi Informationen über die Client Response Time (RT), Server RT, die Applications RT, die Datenübertragungs- und die Gesamtzeit dar. Die Suchfunktion ermöglicht es sehr schnell, die Ursache von Performanceproblemen rauszufinden. Dadurch können Sie Anwenderprobleme schnell eingrenzen.
Außerdem bewertet ein Health Score kontinuierlich den aktuellen Zustand der Anwendungen und der Infrastruktur, sodass IT-Teams frühzeitig von drohenden Engpässe oder Problemen erfahren. Weitere analytische Fähigkeiten umfassen intelligente, individuell anpassbare Alarme, die Administratoren proaktiv über relevante Ereignisse und Leistungsabweichungen informieren.
Kubernetes und Container
Wie bereits erwähnt, ist Avi konzeptioniert für eine flexible Integration mit Kubernetes, um moderne, containerisierte Anwendungen effizient bereitzustellen, zu skalieren und abzusichern. In einer Kubernetes-Umgebung fungiert Avi als Ingress-Controller. Avi integriert sich nahtlos mit Kubernetes über AKO (Avi Kubernetes Operator). Dieser Operator sorgt für die Kommunikation zwischen Kubernetes-Cluster und Avi-Controller. Sobald ein Ingress- oder Serviceobjekt im Cluster erstellt wird, erkennt AKO dieses Ereignis und legt automatisch den entsprechenden virtuellen Service (Virtual Service) in Avi an. Die Service Engines übernehmen dann die Zustellung des Datenverkehrs an die richtigen Pods – inklusive intelligenter Lastverteilung, Health Checks und optionaler SSL-Terminierung.
Ein großer Vorteil dieser Integration ist die Entkopplung von Data Plane und Control Plane: Die Loadbalancing-Logik bleibt zentral in Avi verwaltet, während sich die Anwendungen im Cluster dynamisch skalieren und aktualisieren lassen. Dies führt zu einer besseren Transparenz, Kontrolle und Sicherheit – besonders in produktiven Umgebungen mit hohem Verkehrsaufkommen.
Avi unterstützt außerdem mehrere Kubernetes-Cluster, was für Unternehmen mit Multi-Cluster- oder Multi-Mandanten-Architekturen besonders relevant ist. Der sogenannte AKMO (Avi Kubernetes Multi Cluster Operator) dient als übergeordnete Verwaltungsebene. AKMO automatisiert das Bereitstellen, Konfigurieren, Aktualisieren und Überwachen von AKO in unterschiedlichen Clustern. Unternehmen, die mehrere Kubernetes-Umgebungen betreiben – sei es in der Cloud, on-premises oder am Edge – profitieren von einer zentralen Steuerung, die Konsistenz, Effizienz und Sicherheit erhöht. AKMO sorgt dafür, dass alle AKO-Instanzen einheitlich konfiguriert sind. Er verwaltet Versionen abgestimmt und versorgt alle angebundenen Cluster mit den neuesten Richtlinien und Einstellungen.
Das "Avi Global Server Load Balancing" (GSLB) ist eine zentrale Funktion, mit der Admins Anwendungen standortübergreifend hochverfügbar bereitstellen. GSLB verteilt den eingehenden Datenverkehr intelligent auf mehrere Rechenzentren, Cloudregionen oder Kubernetes-Cluster, abhängig von Faktoren wie Verfügbarkeit, Latenz, Auslastung oder geografischer Nähe des Benutzers. Die Steuerung erfolgt auf DNS-Ebene: Wenn ein Benutzer eine Anwendung über einen DNS-Namen aufruft, entscheidet GSLB dynamisch, welcher Standort die Anfrage beantworten soll. Dabei werden regelmäßig Status- und Überwachungsinformationen aller angebundenen GSLB-Sites über die Avi-Controller ausgetauscht und synchronisiert. So ist es beim Ausfall oder einer Überlastung möglich, automatisch auf einen anderen Standort umzuleiten.
Sicherheit im Loadbalancer
Ein zentrales Sicherheitsmerkmal des Produkts ist die Web Application Firewall (WAF), die auf die Top-10-Bedrohungen der OWASP ausgelegt ist. Die WAF analysiert den eingehenden HTTP/S-Datenverkehr in Echtzeit und blockiert Angriffe wie SQL-Injection, Cross-Site Scripting (XSS) oder Command Injection. Die WAF lässt sich zentral über den Avi-Controller verwalten und kann sowohl im Erkennungs- als auch im Schutzmodus laufen. IT-Verantwortliche können dabei eigene Regeln definieren oder auf mitgelieferte, standardisierte Regelsets zurückgreifen.
Ein weiteres wichtiges Sicherheitsfeature ist die TLS-Termination mit Unterstützung für moderne Verschlüsselungsprotokolle wie TLS 1.3. Avi ermöglicht das zentrale Verwalten und automatische Erneuern von Zertifikaten, etwa durch Integration mit Diensten wie Let's Encrypt oder HashiCorp Vault. Darüber hinaus unterstützt Avi Funktionen wie Client-Zertifikatsprüfung (mTLS) für eine gegenseitige Authentifizierung zwischen Client und Server.
Im Bereich Application Access Control bietet Avi granulare Richtlinien zur Steuerung des Zugriffs auf bestimmte Anwendungen oder API-Endpunkte. Über sogenannte DataScripts lassen sich sogar benutzerdefinierte Sicherheitslogiken implementieren – etwa zur Durchsetzung bestimmter Header, Tokens oder Zugriffsmuster. Schließlich sind auch DDoS-Schutzmechanismen integriert: Avi erkennt verdächtige Muster wie ungewöhnlich hohe Anfragenraten oder Verbindungsversuche von bestimmten IP-Adressen und kann diese automatisch blockieren oder drosseln. Ergänzt wird dies durch detailliertes Monitoring und Security-Analytics, die in Echtzeit Einblick in Trafficströme, Anomalien und Bedrohungen geben – zentral sichtbar im Dashboard.
Fazit
Der VMware Avi Loadbalancer eignet sich insbesondere für Unternehmen, die auf Automatisierung und cloudnative Applikationen mit Kubernetes beziehungsweise Containern setzen. Das Produkt ersetzt traditionelle hardwarebasierte Loadbalancer durch flexible und skalierbare Software. So lässt sich ein Lastenausgleich deutlich einfacher in Software integrieren. Daneben helfen die analytischen Funktionen, die Benutzererfahrung genau zu messen und so letztendlich zu optimieren, wobei auch die Sicherheit in Form von WAF und Verschlüsselung stets Berücksichtigung findet.
(jp)