与运行业务的应用程序相关的安全漏洞或性能相关问题无疑会影响到企业收入。例如,酒店预订系统中的问题将直接影响收入,而不是像Office 365这样的文档应用程序。
这是一个普遍的情况,云计算部署将会由于网络而遇到影响业务的性能问题。其目标是让用户在使用应用程序延迟很小。然而,从私有网络到公共互联网络的网络架构回传流量。
企业将关键任务型应用程序迁移到云平台,需要重新考虑现有的云互连情况。行业专家对云计算互连的未来以及称为互联网设计的新兴模式进行了阐述。
通常情况下,随着市场的成熟,人们将目睹向互联网络设计的过渡,该设计始终位于由多混合云架构驱动的传统云互连之上。
原始互连介绍
有多种传统方式可以连接到云平台。每种方式在速度、云生态系统、价格、安全性和性能方面都有其优缺点。
第一种也是最常见的连接方式是通过安全网络,通过全球互联网连接运行,例如IPsec隧道。
连接到云平台的第二种方式是通过云计算互连。用户获得与云互连的私有、直接、高速连接,例如Equinix Cloud Exchange,并购买以太网交叉连接到各种云计算服务提供商(CSP)的云平台中。
第三种方式是使用直接广域网(WAN)。用户可以使用其现有的WAN MPLS/VPLS供应商,根据需要简单地添加云计算服务提供商(CSP)。实际上,许多用户将最终使用连接模型的组合。这完全取决于用户所在的位置以及他们选择的应用程序类型。例如,从大量不同来源提取数据的大数据应用程序将非常适合云互连模型。
另一方面,与使用互联网传输的远程工作人员相比,如果用户在办公室,会选择直接连接WAN。
复杂的架构
传统的云计算数据中心互连设计包含多余负载。这导致IPsec隧道或以太网连接的点对点连接的复杂体系结构。
网格结构不能很好地扩展,并且通常是N的平方问题。每次添加数据中心时,都必须为每个其他数据/云计算中心添加额外连接数的平方。
因此,使用某种类型的叠加来管理复杂性。这些叠加以IPsec隧道的形式出现,具有某种类型的分段开销。大多数情况下,将使用虚拟可扩展LAN(VXLAN)。
该体系结构由许多单功能服务组成,如路由器、防火墙、负载平衡器、WAN优化器和IDS/IPS。单功能服务会导致设备无序扩张,从而增加了复杂性和成本。闲置的备份设备可能不仅会导致复杂的配置,还会产生额外的成本。
确保安全
确保安全带来了一些挑战。IPsec使用相同的加密密钥加密隧道内的所有内容。换句话说,如果有不同安全级别的不同段,则每个逻辑段将共享相同的加密密钥。
这是全有或全无的加密,因为用户以相同的方式加密每个网段。由于路由和对等点网络未经过身份验证,因此可以在没有事先验证的情况下将连接添加到网络。
因此,用户需要添加防火墙。从本质上讲,很多用户正在酝酿没有集成到路由和环境中的安全性。没有遵循网络安全规则,其中安全规则可以随网络动态变化。
没有应用性能保证
现有模型不提供应用程序性能保证。路径选择是基于路由的底层,而不是基于性能的。IPsec隧道将用户的数据从A点传输到B,即使从距离的角度来看,所选择的路径可能被大量使用。
此外,用户还需要使用单独的工具来衡量应用程序性能,例如NetFlow。
缺乏敏捷性
现有系统缺乏灵活性,包括所有点对点链路的定制配置。这种配置通常不是自动的。手动驱动的体系结构总是容易出错的。
如果要使用专用链接(例如多协议标签交换),则部署时间会很长,特别是如果要包含冗余链接。请记住,其中大多数仍在命令行(CLI)上运行。
相关费用
显然,涉及的成本相当高。如果用户有一个多协议标签交换(MPLS)链路,则必须使用另一个多协议标签交换(MPLS)链路来实现冗余。如果保留其默认值,则不能使用全球互联网作为备份。请记住,私有链接的费用通常是全球互联网链接的10倍。
为了缩小差距,企业仍在购买专门的硬件和软件,或租用昂贵的设备。例如,用户不是在敏捷的Amazon EC2软件实例上运行路由。
网络互联设计
网络互联设计的目标是采用数据中心,无论是私有数据中心还是公共数据中心,并将其整合到一个逻辑数据中心。即使用户拥有多个物理位置的设施,它们也可以从网络角度看起来像一个逻辑数据中心。
网络互联的另一个关键方面是路由,这是计算完成的最后一步。之所以这样重要的一个原因是,如果用户有一个多云策略,希望采用VMware解决方案并将其集成到AWS和Azure的云平台中。
简单的架构
网络互联设计提供了一个简单的架构,可以扩展到数千个站点。互联网络提供端到端的路由环境,而不是点对点的网络。用于创建此逻辑网格的协议因供应商而异。
不同供应商有不同的目标。有些供应商更关注网络互联的零信任安全,而其他供应商则使用网络互联来解决与应用程序性能相关的问题。不支持会话的供应商需要使用覆盖。
单栈安全性
在理想情况下,单个软件堆栈可用于所有网络功能。人们现在开始看到路由和安全性的融合。如今的网络和安全团队以及产品是不同的,人们希望将路由和安全性结合在一起。
一些SD-WAN供应商与安全供应商合作,以便路由和安全性能够很好地协同工作。一个例子是使用网络功能虚拟化(NFV)。
在这里,采用软件堆栈并在同一硬件实例上运行它们并将服务链接在一起。有些情况下,只是将所有内容都推送到云端。所有安全性和自我修复都在云平台中运行,从而抽象出复杂性。无论哪种方法最适合用户,未来的安全和联网都会更加紧密。
支持太比特级网络
如果用户想在互联网上使用太比特速度,可以购相应的设备进行扩展。网络互联架构为太比特级网络提供高性能和支持。
IP地址独立
对IP地址独立性和重叠IP地址的支持至关重要。许多组织已经分配了不受限制地运营的团队,从而产生了1000个AWS账户。最终,当用户想要转向共享服务,日志记录或基于身份的策略(IAM)时,IP地址冲突的可能性很高。
这里有两个选择:用户可以读取所有内容,也可以使用提取IP地址的供应商产品。抽象IP地址基于其他变量(如命名数据网络)进行路由。
零信任安全
它还提供零信任安全性。零信任安全的基本定义是没有事先认证和授权就没有建立传输控制协议(TCP)或用户数据报协议(UDP)。
自适应加密和会话身份验证
自适应加密是在应用层加密,使用传输层安全性(TLS),可选择在网络级别重新加密。当然优点是双重加密比单一加密更安全。如果某人在应用程序层有传输层安全性(TLS),他们仍然可以在传输层安全性(TLS)会话设置期间获得有关TLS连接的一些元数据。
然而,在网络层加密使用不同的密钥,使用户可以隐藏有关该TLS会话的元数据。但是,如果要在网络层进行加密,则会实现网络性能。要解决此问题,用户可能需要额外的资源来促进加密。
1:1分割
互联网设计提供1:1分割。这是应用程序或服务到另一个应用程序或服务的映射。确切地说,在虚拟服务器中,应用程序只能在此端口上与另一个端口的应用程序进行通信,而不是通用的服务器到服务器映射。
应用程序性能和服务保证
应用程序性能和服务保证确保应用程序正在高效运行。此外,它确保应用程序采用最佳路径而不是最短路径,这可能具有高利用率。
确定性路由
在通过安全堆栈时,必须采用确定性和动态路由,因为用户不需要非对称路由。
一些SD-WAN供应商通过发送ping,双向转发检测(BFD)或通过其他一些专有的保持活动访问链路测量来监控链路。边界网关协议(BGP)路由控制路由,但它是静态的,可以根据规则或跳变进行配置,但是,这些指标都不是基于链路的利用率。
如果在一段时间内丢弃了超过10%的数据包,用户应该能够将路由设置为更好的路径。许多SD-WAN正在宣传这一点,因为在过去设置思科智能WAN(IWAN)时,数据流的设置将使用相同的链路,直到该流程结束,无论抖动或数据包丢失如何。
大型会话的链接负载平衡
全球互联网为大型会话提供链路负载平衡。比方说,用户正在执行备份,可以平衡多个链接,而不是使用单个链接,这些链接可以同时使用给定的AWS或Azure实例,以便于进行大量文件传输。
从传输控制协议(TCP)的角度来看,它看起来仍然相同。TCP仍然按顺序保留序列号,即使它们进入不同的路径。这是因为负载平衡是在开放系统互连(OSI)模型的网络层执行的。
维护会话状态
在网络中,会话将通过防火墙。发生拓扑更改导致返回路径发生变化时会发生什么?
非对称路由将导致防火墙丢弃会话。因此,需要通过防火墙边界和网络拓扑更改来维护会话状态。因此,如果某个链接表现不佳,则需要确保路线更改是双向的,而不仅仅是单方。这使用户可以正确进行故障转移。在这种情况下,从TCP角度来看,用户仍然在维护TCP状态。