雲端計算互連的未來
雲端計算互連的未來
企業將關鍵任務型應用程式遷移到雲平臺,需要重新考慮現有的雲互連情況。行業專家對雲端計算互連的未來以及稱為網際網路設計的新興模式進行了闡述。
與執行業務的應用程式相關的安全漏洞或效能相關問題無疑會影響到企業收入。例如,酒店預訂系統中的問題將直接影響收入,而不是像Office 365這樣的文件應用程式。
這是一個普遍的情況,雲端計算部署將會由於網路而遇到影響業務的效能問題。其目標是讓使用者在使用應用程式延遲很小。然而,從私有網路到公共網際網路絡的網路架構回傳流量。
企業將關鍵任務型應用程式遷移到雲平臺,需要重新考慮現有的雲互連情況。行業專家對雲端計算互連的未來以及稱為網際網路設計的新興模式進行了闡述。
通常情況下,隨著市場的成熟,人們將目睹向網際網路絡設計的過渡,該設計始終位於由多混合雲架構驅動的傳統雲互連之上。
原始互連介紹
有多種傳統方式可以連線到雲平臺。每種方式在速度、雲生態系統、價格、安全性和效能方面都有其優缺點。
第一種也是最常見的連線方式是通過安全網路,通過全球網際網路連線執行,例如IPsec隧道。
連線到雲平臺的第二種方式是通過雲端計算互連。使用者獲得與雲互連的私有、直接、高速連線,例如Equinix Cloud Exchange,併購買乙太網交叉連線到各種雲端計算服務提供商(CSP)的雲平臺中。
第三種方式是使用直接廣域網(WAN)。使用者可以使用其現有的WAN MPLS/VPLS供應商,根據需要簡單地新增雲端計算服務提供商(CSP)。
實際上,許多使用者將最終使用連線模型的組合。這完全取決於使用者所在的位置以及他們選擇的應用程式型別。例如,從大量不同來源提取資料的大資料應用程式將非常適合雲互連模型。
另一方面,與使用網際網路傳輸的遠端工作人員相比,如果使用者在辦公室,會選擇直接連線WAN。
複雜的架構
傳統的雲端計算資料中心互連設計包含多餘負載。這導致IPsec隧道或乙太網連線的點對點連線的複雜體系結構。
網格結構不能很好地擴充套件,並且通常是N的平方問題。每次新增資料中心時,都必須為每個其他資料/雲端計算中心新增額外連線數的平方。
因此,使用某種型別的疊加來管理複雜性。這些疊加以IPsec隧道的形式出現,具有某種型別的分段開銷。大多數情況下,將使用虛擬可擴充套件LAN(VXLAN)。
該體系結構由許多單功能服務組成,如路由器、防火牆、負載平衡器、WAN優化器和IDS /IPS。單功能服務會導致裝置無序擴張,從而增加了複雜性和成本。閒置的備份裝置可能不僅會導致複雜的配置,還會產生額外的成本。
確保安全
確保安全帶來了一些挑戰。IPsec使用相同的加密金鑰加密隧道內的所有內容。換句話說,如果有不同安全級別的不同段,則每個邏輯段將共享相同的加密金鑰。
這是全有或全無的加密,因為使用者以相同的方式加密每個網段。由於路由和對等點網路未經過身份驗證,因此可以在沒有事先驗證的情況下將連線新增到網路。
因此,使用者需要新增防火牆。從本質上講,很多使用者正在醞釀沒有整合到路由和環境中的安全性。沒有遵循網路安全規則,其中安全規則可以隨網路動態變化。
沒有應用效能保證
現有模型不提供應用程式效能保證。路徑選擇是基於路由的底層,而不是基於效能的。IPsec隧道將使用者的資料從A點傳輸到B,即使從距離的角度來看,所選擇的路徑可能被大量使用。
此外,使用者還需要使用單獨的工具來衡量應用程式效能,例如NetFlow。
缺乏敏捷性
現有系統缺乏靈活性,包括所有點對點鏈路的定製配置。這種配置通常不是自動的。手動驅動的體系結構總是容易出錯的。
如果要使用專用連結(例如多協議標籤交換),則部署時間會很長,特別是如果要包含冗餘連結。請記住,其中大多數仍在命令列(CLI)上執行。
相關費用
顯然,涉及的成本相當高。如果使用者有一個多協議標籤交換(MPLS)鏈路,則必須使用另一個多協議標籤交換(MPLS)鏈路來實現冗餘。如果保留其預設值,則不能使用全球網際網路作為備份。請記住,私有連結的費用通常是全球網際網路連結的10倍。
為了縮小差距,企業仍在購買專門的硬體和軟體,或租用昂貴的裝置。例如,使用者不是在敏捷的Amazon EC2軟體例項上執行路由。
網路互聯設計
網路互聯設計的目標是採用資料中心,無論是私有資料中心還是公共資料中心,並將其整合到一個邏輯資料中心。即使使用者擁有多個物理位置的設施,它們也可以從網路角度看起來像一個邏輯資料中心。
網路互聯的另一個關鍵方面是路由,這是計算完成的最後一步。之所以這樣重要的一個原因是,如果使用者有一個多雲策略,希望採用VMware解決方案並將其整合到AWS和Azure的雲平臺中。
簡單的架構
網路互聯設計提供了一個簡單的架構,可以擴充套件到數千個站點。網際網路絡提供端到端的路由環境,而不是點對點的網路。用於建立此邏輯網格的協議因供應商而異。
不同供應商有不同的目標。有些供應商更關注網路互聯的零信任安全,而其他供應商則使用網路互聯來解決與應用程式效能相關的問題。不支援會話的供應商需要使用覆蓋。
單棧安全性
在理想情況下,單個軟體堆疊可用於所有網路功能。人們現在開始看到路由和安全性的融合。如今的網路和安全團隊以及產品是不同的,人們希望將路由和安全性結合在一起。
一些SD-WAN供應商與安全供應商合作,以便路由和安全效能夠很好地協同工作。一個例子是使用網路功能虛擬化(NFV)。
在這裡,採用軟體堆疊並在同一硬體例項上執行它們並將服務連結在一起。有些情況下,只是將所有內容都推送到雲端。所有安全性和自我修復都在雲平臺中執行,從而抽象出複雜性。無論哪種方法最適合使用者,未來的安全和聯網都會更加緊密。
支援太位元級網路
如果使用者想在網際網路上使用太位元速度,可以購相應的裝置進行擴充套件。網路互聯架構為太位元級網路提供高效能和支援。
IP地址獨立
對IP地址獨立性和重疊IP地址的支援至關重要。許多組織已經分配了不受限制地運營的團隊,從而產生了1000個AWS賬戶。最終,當用戶想要轉向共享服務,日誌記錄或基於身份的策略 (IAM)時,IP地址衝突的可能性很高。
這裡有兩個選擇:使用者可以讀取所有內容,也可以使用提取IP地址的供應商產品。抽象IP地址基於其他變數(如命名資料網路)進行路由。
零信任安全
它還提供零信任安全性。零信任安全的基本定義是沒有事先認證和授權就沒有建立傳輸控制協議(TCP)或使用者資料報協議(UDP)。
自適應加密和會話身份驗證
自適應加密是在應用層加密,使用傳輸層安全性(TLS),可選擇在網路級別重新加密。當然優點是雙重加密比單一加密更安全。如果某人在應用程式層有傳輸層安全性(TLS),他們仍然可以在傳輸層安全性(TLS)會話設定期間獲得有關TLS連線的一些元資料。
然而,在網路層加密使用不同的金鑰,使使用者可以隱藏有關該TLS會話的元資料。但是,如果要在網路層進行加密,則會實現網路效能。要解決此問題,使用者可能需要額外的資源來促進加密。
1:1分割
網際網路設計提供1:1分割。這是應用程式或服務到另一個應用程式或服務的對映。確切地說,在虛擬伺服器中,應用程式只能在此埠上與另一個埠的應用程式進行通訊,而不是通用的伺服器到伺服器對映。
應用程式效能和服務保證
應用程式效能和服務保證確保應用程式正在高效執行。此外,它確保應用程式採用最佳路徑而不是最短路徑,這可能具有高利用率。
確定性路由
在通過安全堆疊時,必須採用確定性和動態路由,因為使用者不需要非對稱路由。
一些SD-WAN供應商通過傳送ping,雙向轉發檢測(BFD)或通過其他一些專有的保持活動訪問鏈路測量來監控鏈路。邊界閘道器協議(BGP)路由控制路由,但它是靜態的,可以根據規則或跳變進行配置,但是,這些指標都不是基於鏈路的利用率。
如果在一段時間內丟棄了超過10%的資料包,使用者應該能夠將路由設定為更好的路徑。許多SD-WAN正在宣傳這一點,因為在過去設定思科智慧WAN(IWAN)時,資料流的設定將使用相同的鏈路,直到該流程結束,無論抖動或資料包丟失如何。
大型會話的連結負載平衡
全球網際網路為大型會話提供鏈路負載平衡。比方說,使用者正在執行備份,可以平衡多個連結,而不是使用單個連結,這些連結可以同時使用給定的AWS或Azure例項,以便於進行大量檔案傳輸。
從傳輸控制協議(TCP)的角度來看,它看起來仍然相同。TCP仍然按順序保留序列號,即使它們進入不同的路徑。這是因為負載平衡是在開放系統互連(OSI)模型的網路層執行的。
維護會話狀態
在網路中,會話將通過防火牆。發生拓撲更改導致返回路徑發生變化時會發生什麼?
非對稱路由將導致防火牆丟棄會話。因此,需要通過防火牆邊界和網路拓撲更改來維護會話狀態。因此,如果某個連結表現不佳,則需要確保路線更改是雙向的,而不僅僅是單方。這使使用者可以正確進行故障轉移。在這種情況下,從TCP角度來看,使用者仍然在維護TCP狀態。