練武者,“內煉一口氣,外練筋骨皮”,內外是相輔相成兼顧結合內勁的統一體。所謂內勁,是一種人的整體力,其中包括從地面反作用到發勁點的力。內勁的產生和運用是一個非常艱辛的過程,它需要在師父的口傳心授下進行長期的導引經絡、節節貫通、氣沉丹田等磨鍊。
當內勁在體內產生,使其在全身經絡中運行,衝破阻塞,打通經脈點,暢行無阻,便可謂大功告成。
網絡作為現代化雲數據中心的經脈,同樣聯動周邊的計算、存儲、備份,提供源源不斷的資源,可謂是業務生產力的引擎。但聯動中的一環出現問題時,就會導致整個經脈的阻塞,嚴重影響了企業的業務。如何疏通網絡的經脈?如何防患於未然?各位看官且往下看。
上雲,數據中心經脈受挑戰
近兩年,雲計算發展迅猛。企業通過自建的私有云,結合外部的公有云、政務雲,形成適合企業自身需求的混合雲。在混合云為企業業務帶來發展的同時,也給企業帶來一些困惑。
上雲給數據中心網絡帶來兩個直接挑戰:
- 主機虛擬化,有形變無形,如何界定保護?
- 傳統網絡,弊端盡顯,緩慢、困難、複雜……
主機虛擬化帶來挑戰
傳統數據中心網絡構架裡,每個租戶的服務器是看得見摸得著的。在雲環境下,業務租戶的服務器變為了一個個運行在硬件服務器上的虛擬機,
一個租戶的虛擬機、微服務,可能位於不同的硬件服務器上,這是形態的變化。從而引起租戶的邊界變化,從傳統物理邊界,變為動態、虛擬的邏輯的邊界。另外,因為一些歷史原因會出現軟硬件資源混合的情況。某些服務器不方便虛擬化,如歷史遺留的數據庫服務器,就需要和虛擬資源一起組成租戶的計算資產。
因此,傳統安全硬件要繼續發揮作用,首先就要能夠識別和保護虛擬的資產域,並且以動態的方式,切入到虛擬計算環境裡面去。
傳統網絡的弊端
數據中心的網絡設備眾多,部署週期較長。我們從部署網絡交換機到完成網絡測試,通常需要幾天甚至幾周,這還沒有算上設計規劃的時間。而且數據中心網絡架構複雜,維護工作量大,我們需要按設備逐一維護。雖然這些問題目前也有很多方案可以克服,但是對於虛擬化和雲計算的數據中心,以下三點是傳統網絡目前無法有效解決的。
新業務上線支持緩慢
虛擬化,甚至容器化之後,計算和存儲資源就緒非常迅速,但是傳統網絡完成網絡支持需要幾個小時甚至幾天的時間。這延遲了整個新業務上線的進度。
傳統網絡實現自動化非常困難
理論上我們可以通過網絡自動化來解決第一個問題。但是傳統網絡依賴腳本和API來實現自動化,這需要大量的定製開發。
虛擬化環境缺乏可視性,故障排除複雜
虛擬化、雲計算數據中心內,傳統網絡與虛擬的計算資源以及虛擬網絡之間缺乏關聯。無法簡單迅速的獲得基於虛機的全網路徑,一旦出現虛機的網絡故障,那麼需要排查虛擬網絡和物理網絡。
從進入網絡領域以來,戴爾易安信一直就是軟件定義網絡領域的倡導者和領先者,並落地了一系列軟件定義網絡的解決方案。
Dell EMC 開放網絡概覽
Dell EMC打通東西二脈
基於Dell EMC開放網絡架構BigSwitch Cloud Fabric是一種經過特別設計的網絡結構,支持物理及虛擬工作負載,允許自由選擇協調軟件,提供二層交換、三層路由以及4-7層服務插入與鏈合功能。 其體系架構採用Spine-Leaf拓撲結構。Spine相當於機箱式交換機或路由器的背板。而Leaf則相當於機箱式路由器以及所有聚合交換機和邊緣交換機中的線卡組合,每個物理Leaf交換機和Spine交換機相連接。BCF控制器的高可用性相當於核心路由器或機箱式交換機的管理卡,負責管理所有的BCF組件。除此之外,BCF控制器集群在標準服務器上運行,負責交換機的控制、管理和策略,面向企業級數據中心。
自動化管理
單一的圖形管理,提供基於概念驗證的模型,可視化的流量分析,通過可編程的API接口,可自動編排下發,執行策略,無需人工干預,對於傳統的網絡割接,網絡變更,可實現自動化安全的處理,大大提高了運維效率,降低因人為造成的配置錯誤。
超簡便的BCF解決方案
BCF+VMware NSX 緊密集成
VMware NSX雖然實現了數據中心大二層的網絡,但由於其技術不關心底層硬件平臺,在數據中心裡仍然有硬件設備需要變更維護,因此網絡管理員依然工作在松耦合的架構體系裡,需要關注兩套控制平面,易構的轉發平面,不同的網絡架構體系。同時還需要日常維護、排錯,通過採用BCF集成在NSX的方案,為其提供單一的管理平面,提高效率的同時,使網絡維護更加簡單。
BCF與VMware集成
數據中心容災
BCF控制器充當硬件的VTEP,實現數據中心之間以及私有云到公有云之間的應用雙活,還可提供傳輸路徑護航,實現跨站點的應用系統飄移和業務應用感知透明。
現代化數據中心繫統設計圖
Dell EMC BCF同時也支持替換OpenStack Neutron以及新的企業微服務K8S架構集成。通過BCF的集成插件,可統一管理物理網絡和虛擬網絡。業務網絡變更策略通過BCF定義,可自動下發到物理和虛擬網絡層進行自動化的配置部署,同時通過可視化的單一平臺界面,可精準定位檢測網絡故障問題並快速處理,讓用戶投入更多的精力在業務本身而不是底層的架構。
Dell EMC 打通南北二脈
Dell EMC基於南北的數據流量模型,分別提供Inline、Out of band兩種服務鏈整合,對於出口的數據流量進行帶外監測,對於入口方向的流量安全進行可視化的分析,通過打通物理網絡和虛擬網絡的邊界,採用業務應用的引流方式,基於不同的數據流進行靈活的調整。
Inline服務鏈整合
傳統的數據中心鏈路從外網的Untrusted區域到內網的Trusted區域,一般會經過防火牆、IPS、Web Proxy等設備,這些設備昂貴,配置複雜,而且設備串聯在一條數據鏈路上,單點故障就會造成整個數據鏈路中斷。
如果要向現有網絡中割接一臺網絡設備(防火牆、IPS或Web Proxy等),一般情況下,會花費幾個小時的時間。割接工作一般是在晚上或凌晨業務非繁忙時間,如果割接不成功,需要回退,準備下一次的割接。如果採用BMF動態服務鏈,那麼防火牆、IPS或Web Proxy等網絡設備是旁路部署在BMF控制器上,任何一臺網絡設備的故障不會造成數據鏈路的中斷。同時配置工作在BMF控制器上完成,不影響原有網絡設備和數據鏈路的正常工作,然後按計劃推送配置和網絡策略給這些網絡設備,整個割接工作只需要幾分鐘。
Inline服務鏈整合
在規劃和部署網絡設備時,我們常遇到從入口的防火牆,到IPS、Web Proxy等設備,需要採用同樣帶寬和類型的網絡端口,比如都是千兆或萬兆,才能互聯互通。如果採用BMF動態服務鏈,情況就不一樣了,這些網絡設備即使網絡端口帶寬和類型不一樣,也能通過在BMF控制器上面配置使設備間互聯互通。
不但如此,在防火牆、IPS和Web Proxy都是HA成對配置的情況下,BMF控制器能打通從Untrusted到Trusted區域,讓前端網絡設備到後端網絡設備建立起跨設備的Port Channel,這樣的好處是HA成對配置的防火牆、IPS和Web Proxy設備實現了鏈路的負載均衡,充分利用了鏈路帶寬,提升網絡質量的同時,節省了成本。
Out of band 服務鏈整合
集中對數據中心網絡整體的監控管理,引流大數據進行分析和研究。
戴爾易安信網絡Big Monitoring Fabric解決方案
這種方式的好處在於,通過池化安全能力,可以構建彈性、多樣化且開放的安全池,且該方案本身符合雲的特性。同時利用各種引流手段,能夠靈活的實現安全防護。
雲是利用資源的新的方式,安全本質並沒有發生變化。但是,安全發揮作用的方式,需要根據雲的變化而調整,才能繼續有效。
Dell EMC開放網絡全家福
客戶的選擇
某新型汽車行業用戶車聯網大數據服務平臺。
客戶選擇的理由
■ BCF 同時支持虛擬化和非虛擬化環境,成為數據中心網絡的統一標準。
■ 選用了軟硬解耦架構,和BCF與容器平臺的自動對接。
■ 客戶的研發團隊可以同時在VMWare和容器環境工作,逐步實現微服務架構。
■ 從網絡層面,認為BCF的零接觸,和自動集成大大降低了管理和運維的工作量。
閱讀更多 DT時代 的文章
