與運行業務的應用程序相關的安全漏洞或性能相關問題無疑會影響到企業收入。例如,酒店預訂系統中的問題將直接影響收入,而不是像Office 365這樣的文檔應用程序。
這是一個普遍的情況,雲計算部署將會由於網絡而遇到影響業務的性能問題。其目標是讓用戶在使用應用程序延遲很小。然而,從私有網絡到公共互聯網絡的網絡架構回傳流量。
企業將關鍵任務型應用程序遷移到雲平臺,需要重新考慮現有的雲互連情況。行業專家對雲計算互連的未來以及稱為互聯網設計的新興模式進行了闡述。
通常情況下,隨著市場的成熟,人們將目睹向互聯網絡設計的過渡,該設計始終位於由多混合雲架構驅動的傳統雲互連之上。
原始互連介紹
有多種傳統方式可以連接到雲平臺。每種方式在速度、雲生態系統、價格、安全性和性能方面都有其優缺點。
第一種也是最常見的連接方式是通過安全網絡,通過全球互聯網連接運行,例如IPsec隧道。
連接到雲平臺的第二種方式是通過雲計算互連。用戶獲得與雲互連的私有、直接、高速連接,例如Equinix Cloud Exchange,併購買以太網交叉連接到各種雲計算服務提供商(CSP)的雲平臺中。
第三種方式是使用直接廣域網(WAN)。用戶可以使用其現有的WAN MPLS/VPLS供應商,根據需要簡單地添加雲計算服務提供商(CSP)。
實際上,許多用戶將最終使用連接模型的組合。這完全取決於用戶所在的位置以及他們選擇的應用程序類型。例如,從大量不同來源提取數據的大數據應用程序將非常適合雲互連模型。
另一方面,與使用互聯網傳輸的遠程工作人員相比,如果用戶在辦公室,會選擇直接連接WAN。
複雜的架構
傳統的雲計算數據中心互連設計包含多餘負載。這導致IPsec隧道或以太網連接的點對點連接的複雜體系結構。
網格結構不能很好地擴展,並且通常是N的平方問題。每次添加數據中心時,都必須為每個其他數據/雲計算中心添加額外連接數的平方。
因此,使用某種類型的疊加來管理複雜性。這些疊加以IPsec隧道的形式出現,具有某種類型的分段開銷。大多數情況下,將使用虛擬可擴展LAN(VXLAN)。
該體系結構由許多單功能服務組成,如路由器、防火牆、負載平衡器、WAN優化器和IDS /IPS。單功能服務會導致設備無序擴張,從而增加了複雜性和成本。閒置的備份設備可能不僅會導致複雜的配置,還會產生額外的成本。
確保安全
確保安全帶來了一些挑戰。IPsec使用相同的加密密鑰加密隧道內的所有內容。換句話說,如果有不同安全級別的不同段,則每個邏輯段將共享相同的加密密鑰。
這是全有或全無的加密,因為用戶以相同的方式加密每個網段。由於路由和對等點網絡未經過身份驗證,因此可以在沒有事先驗證的情況下將連接添加到網絡。
因此,用戶需要添加防火牆。從本質上講,很多用戶正在醞釀沒有集成到路由和環境中的安全性。沒有遵循網絡安全規則,其中安全規則可以隨網絡動態變化。
沒有應用性能保證
現有模型不提供應用程序性能保證。路徑選擇是基於路由的底層,而不是基於性能的。IPsec隧道將用戶的數據從A點傳輸到B,即使從距離的角度來看,所選擇的路徑可能被大量使用。
此外,用戶還需要使用單獨的工具來衡量應用程序性能,例如NetFlow。
缺乏敏捷性
現有系統缺乏靈活性,包括所有點對點鏈路的定製配置。這種配置通常不是自動的。手動驅動的體系結構總是容易出錯的。
如果要使用專用鏈接(例如多協議標籤交換),則部署時間會很長,特別是如果要包含冗餘鏈接。請記住,其中大多數仍在命令行(CLI)上運行。
相關費用
顯然,涉及的成本相當高。如果用戶有一個多協議標籤交換(MPLS)鏈路,則必須使用另一個多協議標籤交換(MPLS)鏈路來實現冗餘。如果保留其默認值,則不能使用全球互聯網作為備份。請記住,私有鏈接的費用通常是全球互聯網鏈接的10倍。
為了縮小差距,企業仍在購買專門的硬件和軟件,或租用昂貴的設備。例如,用戶不是在敏捷的Amazon EC2軟件實例上運行路由。
網絡互聯設計
網絡互聯設計的目標是採用數據中心,無論是私有數據中心還是公共數據中心,並將其整合到一個邏輯數據中心。即使用戶擁有多個物理位置的設施,它們也可以從網絡角度看起來像一個邏輯數據中心。
網絡互聯的另一個關鍵方面是路由,這是計算完成的最後一步。之所以這樣重要的一個原因是,如果用戶有一個多雲策略,希望採用VMware解決方案並將其集成到AWS和Azure的雲平臺中。
簡單的架構
網絡互聯設計提供了一個簡單的架構,可以擴展到數千個站點。互聯網絡提供端到端的路由環境,而不是點對點的網絡。用於創建此邏輯網格的協議因供應商而異。
不同供應商有不同的目標。有些供應商更關注網絡互聯的零信任安全,而其他供應商則使用網絡互聯來解決與應用程序性能相關的問題。不支持會話的供應商需要使用覆蓋。
單棧安全性
在理想情況下,單個軟件堆棧可用於所有網絡功能。人們現在開始看到路由和安全性的融合。如今的網絡和安全團隊以及產品是不同的,人們希望將路由和安全性結合在一起。
一些SD-WAN供應商與安全供應商合作,以便路由和安全性能夠很好地協同工作。一個例子是使用網絡功能虛擬化(NFV)。
在這裡,採用軟件堆棧並在同一硬件實例上運行它們並將服務鏈接在一起。有些情況下,只是將所有內容都推送到雲端。所有安全性和自我修復都在雲平臺中運行,從而抽象出複雜性。無論哪種方法最適合用戶,未來的安全和聯網都會更加緊密。
支持太比特級網絡
如果用戶想在互聯網上使用太比特速度,可以購相應的設備進行擴展。網絡互聯架構為太比特級網絡提供高性能和支持。
IP地址獨立
對IP地址獨立性和重疊IP地址的支持至關重要。許多組織已經分配了不受限制地運營的團隊,從而產生了1000個AWS賬戶。最終,當用戶想要轉向共享服務,日誌記錄或基於身份的策略 (IAM)時,IP地址衝突的可能性很高。
這裡有兩個選擇:用戶可以讀取所有內容,也可以使用提取IP地址的供應商產品。抽象IP地址基於其他變量(如命名數據網絡)進行路由。
零信任安全
它還提供零信任安全性。零信任安全的基本定義是沒有事先認證和授權就沒有建立傳輸控制協議(TCP)或用戶數據報協議(UDP)。
自適應加密和會話身份驗證
自適應加密是在應用層加密,使用傳輸層安全性(TLS),可選擇在網絡級別重新加密。當然優點是雙重加密比單一加密更安全。如果某人在應用程序層有傳輸層安全性(TLS),他們仍然可以在傳輸層安全性(TLS)會話設置期間獲得有關TLS連接的一些元數據。
然而,在網絡層加密使用不同的密鑰,使用戶可以隱藏有關該TLS會話的元數據。但是,如果要在網絡層進行加密,則會實現網絡性能。要解決此問題,用戶可能需要額外的資源來促進加密。
1:1分割
互聯網設計提供1:1分割。這是應用程序或服務到另一個應用程序或服務的映射。確切地說,在虛擬服務器中,應用程序只能在此端口上與另一個端口的應用程序進行通信,而不是通用的服務器到服務器映射。
應用程序性能和服務保證
應用程序性能和服務保證確保應用程序正在高效運行。此外,它確保應用程序採用最佳路徑而不是最短路徑,這可能具有高利用率。
確定性路由
在通過安全堆棧時,必須採用確定性和動態路由,因為用戶不需要非對稱路由。
一些SD-WAN供應商通過發送ping,雙向轉發檢測(BFD)或通過其他一些專有的保持活動訪問鏈路測量來監控鏈路。邊界網關協議(BGP)路由控制路由,但它是靜態的,可以根據規則或跳變進行配置,但是,這些指標都不是基於鏈路的利用率。
如果在一段時間內丟棄了超過10%的數據包,用戶應該能夠將路由設置為更好的路徑。許多SD-WAN正在宣傳這一點,因為在過去設置思科智能WAN(IWAN)時,數據流的設置將使用相同的鏈路,直到該流程結束,無論抖動或數據包丟失如何。
大型會話的鏈接負載平衡
全球互聯網為大型會話提供鏈路負載平衡。比方說,用戶正在執行備份,可以平衡多個鏈接,而不是使用單個鏈接,這些鏈接可以同時使用給定的AWS或Azure實例,以便於進行大量文件傳輸。
從傳輸控制協議(TCP)的角度來看,它看起來仍然相同。TCP仍然按順序保留序列號,即使它們進入不同的路徑。這是因為負載平衡是在開放系統互連(OSI)模型的網絡層執行的。
維護會話狀態
在網絡中,會話將通過防火牆。發生拓撲更改導致返回路徑發生變化時會發生什麼?
非對稱路由將導致防火牆丟棄會話。因此,需要通過防火牆邊界和網絡拓撲更改來維護會話狀態。因此,如果某個鏈接表現不佳,則需要確保路線更改是雙向的,而不僅僅是單方。這使用戶可以正確進行故障轉移。在這種情況下,從TCP角度來看,用戶仍然在維護TCP狀態。
閱讀更多 企業網D1Net 的文章
