1. 程式人生 > >如何解決混合雲組網難題?

如何解決混合雲組網難題?

l2tp 界面 降低成本 基礎 配置指南 手動 成員 需求 靈活性

  • 混合雲組網的問題與挑戰
  • 企業用雲量持續增長。隨著時間的推移,逐漸形成了混合雲架構。混合雲架構如何解決通“網”需求?

    1.1 多雲網絡互通
    常見的組網方案有:用戶自建IPSec網關,使用加密隧道連接。但會帶來以下問題:

    1) 配置復雜,維護成本高
    例如,將阿裏雲北京的VPC資源接入AWS新加坡的VPC。通常我們使用×××軟件解決,但通過繁瑣的CLI在不同的雲服務商實施不同的部署工作流,會造成在基礎設施上花費太多的精力。

    2) 網絡結構臃腫,失去靈活性。
    業務需求是更快的發布應用程序。拼湊使用多種連接方式組網,會使網絡架構臃腫,增加復雜度。快,敏捷將是難以實現的。

    1.2 企業和雲網絡互通

    常見的組網方案有:雲專線。 但也會帶來以下問題:

    1) 受服務商約束,需要改動網絡。
    例如,將阿裏雲北京,騰訊雲深圳的VPC基礎設施接入到北京的數據中心。雲專線連接方式依賴服務商,需要在用戶側部署接入設備,花費幾天或幾周的時間改動網絡。由於涉及到專線服務商,運營商,雲服務商多方面配合,在資源協同,線路選擇方面通常會有限制。

    2) 高昂的組網成本,限制企業通網。
    雲專線每年支出在數十萬級。創業公司沒有大企業的資源優勢,較高的支出,顯然不符合需求。

    1.3 客戶端遠程接入

    常見的組網方案有:Open×××。 但也會帶來以下問題:

    1) 多用戶多VPC環境,繁瑣的證書管理。
    每個VPC中都部署Open×××服務器會導致繁瑣的證書管理。如果您有超過10個用戶和多個VPC,則客戶端證書管理和Open×××配置維護可能成為一項重大挑戰。

    2) 需要安裝客戶端。
    對於大多數技術人員,Open×××使用上沒有門檻,但接入系統有可能需要開放給非技術人員使用,例如,銷售使用IPSec訪問內網中的CRM。需要安裝客戶端的方案,加大了實施難度。

    1. 混合雲組網的實現思路

    如何能減少網絡改動,低成本快速組網,同時簡化IPSec隧道的創建,刪除和管理?我們探索出了一種自動化實現方案。

    技術分享圖片

    從圖中可以看出,我們參考了SDN軟件架構設計,將×××網關抽象出來邏輯分層,實現集中管理。

    2.1 組網自動化方案的組件

    1) IPSec容器
    運行在VPC或用戶側網絡的主機上;
    處理IPSec通道(IPSec加密)流量;
    通過WebSocket與控制器連接。

    2) 控制器

    通過Restful API完成指定隧道的創建,刪除,管理;
    通過雲服務商網絡API完成VPC的路由配置;
    通過Restful API與Web Client通信。

    3) Web Client
    隧道管理;
    用戶管理;
    數據可視化。
    各組件連接關系如下圖:

    技術分享圖片

    2.2 對等連接的過程及其實現
    1) 用戶在管理界面點擊需要互通的網絡,Web Client向控制器發送創建連接請求,控制器向指定IPSec容器下發IPSec配置,同時在VPC路由表添加到達對端網絡的路由條目。配置完成後拉起隧道,兩端網絡完成互通。

    技術分享圖片

    2) 如果遇到兩端網絡VPC CIDR沖突的情況,可以通過管理界面修改指定連接的CIDR,Web Client向控制器發送修改CIDR請求,控制器向IPSec容器下發新的IPSec配置,同時更新VPC路由條目。完成後重新拉起隧道。

    技術分享圖片

    3) 通過界面,可以集中管理所有IPSec容器以及隧道。如果網絡環境發生變化,例如雲服務器的公網IP變更,監控服務會通知容器自動更新IPSec配置,同時更新VPC路由條目,重新拉起隧道。

    技術分享圖片

    以上就是系統的工作原理。從中我們可以看出,系統已經很好地解決了傳統連接方式所遇到的問題:

    1) 控制器通過IPSec容器API接口完成IPSec連接配置,使用雲服務商網絡API接口完成VPC路由配置,從而實現了自動化。這種設計的優勢在於可以消除復雜度,不需要網絡工程師,任何人都可以運行。

    技術分享圖片

    2) 對於用戶側網絡和雲網絡互通需求,由運行在用戶側主機上的IPSec容器向運行在雲網絡的IPSec容器發起IPSec連接,這樣設計是為了避免對企業網絡進行改動,減少對硬件設備的依賴。由於不需要在企業用戶側開放端口,可以適應直接路由,NAT,Proxy等主流的互聯網接入方式。

    技術分享圖片

    3) 采用容器化的部署方式,將企業邊界軟化,不需要在用戶側網絡部署CPE設備,不需要配置公有雲邊界路由器。由於采用了集中管理,分布運行的設計,可以滿足隨處運行,可持續升級的需求。

    2.3 客戶端遠程接入的過程及實現

    1) 管理員可以手動添加用戶,也可以使用邀請註冊的方式導入用戶,將註冊地址,註冊碼分發給團隊成員。用戶登記郵箱,密碼,手機號,註冊碼完成賬號註冊。如果有LDAP環境,還可以使用系統的LDAP自動同步功能,對接LDAP服務器,周期性自動更新賬號信息。

    技術分享圖片

    2) 賬號生效後,用戶不需要安裝客戶端,直接使用macOS,Windows,iOS,Android,Linux原生IPSec客戶端即可接入。IPSec類型為使用預共享密鑰的L2TP/IPSec。

    技術分享圖片

    3) 如果用戶需要重置密碼,可前往自助IT服務頁面自行重置密碼,就像重設郵箱密碼一樣簡單。

    技術分享圖片

    以上就是客戶端接入的流程。從中我們可以看出,系統已經很好地解決了Open×××所遇到的問題:

    1) 使用預共享密鑰的接入方式。這樣設計是為了避免維護客戶端證書,同時還能直接使用操作系統原生IPSec客戶端,不需要用戶再額外安裝IPSec客戶端。好處是降低了使用門檻,降低了實施難度,使得適應更多的應用場景,適應更多用戶群。

    2) 提供多種用戶導入方式。這樣設計是為了兼容企業的IT環境。管理員可以手動添加用戶,或者使用邀請註冊的方式導入團隊成員。還可以通過系統的LDAP自動同步功能,自動更新賬號。

    3) 通過管理界面,可以集中管理所有IPSec容器以及用戶。為用戶提供密碼重置,接入配置指南等自助式IT服務界面。管理員無須介入,降低IT服務成本。

    1. 自動化組網的價值
      IPSec組網自動化方案解決了幾個問題:

    快速組網:使用IPSec 連接基礎設施,在多雲,企業與雲之間建立任意互聯。在幾分鐘內,將資源連接到任何位置。

    網絡改動少:適應原有網絡,無需部署硬件,不需要對原有網絡進行改動。

    使用簡單:消除復雜度,用全點擊式操作取代CLI手動配置,不需要網絡工程師,任何人都可以組網通網。

    實施簡單:使用操作系統原生客戶端即可接入,不需要管理證書。

    提高效率:集成雲服務商API實現組網自動化。讓用戶專註於核心業務,而不是基礎設施。

    降低成本:通過廉價的Internet獲得近似專線的特性,節省90%的通網支出。

    Accesshub為企業簡化混合雲組網,產品地址是 www.accesshub.cn。

    註冊即可使用。

    技術分享圖片

    如何解決混合雲組網難題?