作者:黃兆基
思科架構(gòu)師 黃兆基
思享家
是一個介紹如何利用思科先進技術(shù)解決客戶難題的欄目。每期聚焦一個技術(shù)熱點或應(yīng)用場景,邀請資深思科技術(shù)專家深入淺出地介紹,為讀者提供實用性強的建議。
不論屬于哪個行業(yè),企業(yè)成功與否的關(guān)鍵,說到底還是客戶服務(wù)是否到位。在數(shù)字化轉(zhuǎn)型的大趨勢下,為客戶提供線上線下一體化的服務(wù)已經(jīng)成為行業(yè)共識。
但是物聯(lián)網(wǎng)、 5G 、多云環(huán)境和應(yīng)用微服務(wù)化這些層出不窮的新技術(shù)在帶來便利的同時,也增加了企業(yè) IT 系統(tǒng)的復(fù)雜度——網(wǎng)絡(luò)元素多樣化且環(huán)環(huán)相扣,一旦出現(xiàn)問題,比如本應(yīng)可以訪問的數(shù)據(jù)無法獲得,不應(yīng)該訪問的數(shù)據(jù)卻可以獲得,就會造成嚴(yán)重的安全隱患;又或是時延等性能問題,由于數(shù)據(jù)經(jīng)過的路徑復(fù)雜,排錯往往無從下手,問題遲遲得不到解決給客戶造成困擾甚至損失。
我們以一家本地大型機構(gòu)為例,看看思科基于意圖的網(wǎng)絡(luò)( Intent Based Networking, IBN )是如何幫助該機構(gòu)為未來數(shù)字化轉(zhuǎn)型作好準(zhǔn)備的。
通過與客戶的溝通,我們了解到,這家機構(gòu)希望為自己的客戶提供線上接入業(yè)務(wù)系統(tǒng)的功能,而且要大量接入物聯(lián)網(wǎng)設(shè)備,企業(yè)網(wǎng)絡(luò)因此要實現(xiàn)不同用戶、設(shè)備及新應(yīng)用微服務(wù)互訪的功能。機構(gòu)特別關(guān)注由于網(wǎng)絡(luò)復(fù)雜性可能帶來的安全、時延等隱患。
了解到客戶有這樣的擔(dān)心,于是我們向客戶推薦了思科基于意圖的網(wǎng)絡(luò)( Intent Based Networking, IBN )的理念,幫助客戶從開始設(shè)計整個基礎(chǔ)設(shè)施時就考慮到將來運營時可能產(chǎn)生問題之所在,引入易于排錯的功能特性,從而解決了客戶的擔(dān)憂。IBN 能令網(wǎng)絡(luò)部署緊密配合企業(yè)的業(yè)務(wù)目標(biāo)( business outcomes ),透過自動化( automation )快速部署、快速應(yīng)對市場動態(tài)。且其持續(xù)保障能力( assurance ),配合人工智能、實時運行數(shù)據(jù)收集和分析,能有助監(jiān)控和快速查找安全、時延等隱患,特別是在發(fā)生問題時易于排錯。
為了制定出最符合客戶業(yè)務(wù)需求的最理想且最可行的 IBN 部署策略,我們在前期跟客戶開展了一個具備一定規(guī)模的驗證項目( POV ),驗證一個全新基礎(chǔ)設(shè)施協(xié)助其數(shù)字化轉(zhuǎn)型的效果。重點之一是在網(wǎng)絡(luò)上能達到端到端的自動化部署( automated provisioning )、具備零信任( Zero Trust )的安全特性和持續(xù)的運營保障( ongoing assurance ),還有最后方案必須提供開放整合其他平臺的可能性。
先說說IBN要解決什么困難。從前在用戶與應(yīng)用服務(wù)之間的網(wǎng)絡(luò)是相對簡單的:用戶接入點和應(yīng)用服務(wù)所在地多是靜態(tài)。
但伴隨著 5G 、物聯(lián)網(wǎng)的到來,將會有大量智能設(shè)備需要接入網(wǎng)絡(luò);用戶接入網(wǎng)絡(luò)的方式也變得多樣化,不再是單純從園區(qū)網(wǎng)進來。
同時應(yīng)用服務(wù)也邁向動態(tài)、微型化及以及多云部署。
在超連結(jié)環(huán)境下,用戶端與后臺應(yīng)用之間往往跨過了無數(shù)區(qū)域:當(dāng)中有不同云平臺、 PAAS 或 SAAS 。
傳統(tǒng)分段式獨立網(wǎng)絡(luò)部署已經(jīng)無法跟上這樣的變化步伐,滿足安全地大量配置用戶和設(shè)備的復(fù)雜訪問需求。
思科 IBN 的基本原則利用了 Group Based Policy 的管理概念,把用戶、設(shè)備、物理機、虛機、容器微服務(wù)等需要網(wǎng)絡(luò)連接的個體按照它們訪問的需求,分配到不同的群組( Group ),群組之間的溝通權(quán)限以策略( Policy )執(zhí)行。群組內(nèi)的每個組員便自動受到所屬群組的溝通制約。舉個例子,不論用戶是通過互聯(lián)網(wǎng)、或是園區(qū)網(wǎng)進來,只要同屬一個用戶端群組,都可以按照群組的訪問權(quán)限去訪問特定的應(yīng)用群。這些策略是按照企業(yè)的業(yè)務(wù)目標(biāo)( business outcomes )所制定,運營時便可以得到保障( assurance ),排錯時因訪問路徑清晰且有據(jù)可查而變得容易。
思科在幾個不同的區(qū)域( Domain )內(nèi)以同一個IBN原則提供了解決方案;分別是園區(qū)網(wǎng)的 SD-Access 、廣域網(wǎng)的 SD-WAN 和數(shù)據(jù)中心網(wǎng)的 ACI 。
為何分成三個 Domain ?
以單一 Domain 不是更簡單嗎?
三個區(qū)域面對的要求是完全不同的。以單獨的控制器獨立管控本身的區(qū)域,照顧每個區(qū)域的特別需求。雖然獨立、但因為三個區(qū)域都是基于 IBN 的原則:每個區(qū)域都同時有群組( Group )和策略( Policy )的概念。這兩種元素成為區(qū)域之間互相證明對方訪問權(quán)限的共通語言,大大簡化了端到端橫跨多個域的部署。
以園區(qū)網(wǎng)為例,其主要職能是核實和讓用戶與智能設(shè)備接入有線或無線網(wǎng)絡(luò),且按照它們的權(quán)限控制在網(wǎng)絡(luò)上的訪問。數(shù)據(jù)中心網(wǎng)則是管理各種應(yīng)用負載的互訪,當(dāng)中又包括物理機、虛機、微服務(wù)、負載均衡等設(shè)備,而廣域網(wǎng)主要掌控訪問路徑、優(yōu)先次序等。
通過這次 POV ,我們?yōu)榭蛻趄炞C了 SD-Access ,透過 SD-WAN 與 ACI 進行策略交換,讓客戶體會到簡單而快速地部署跨區(qū)域端到端的訪問權(quán)限,比如當(dāng)用戶登入網(wǎng)絡(luò)后,按照他登入的 Profile ( 舉例如從辦公室內(nèi),家里或是從移動網(wǎng)絡(luò)進來 ),園區(qū)網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)透過自動互換策略,便可批準(zhǔn)他訪問到數(shù)據(jù)中心內(nèi)哪些應(yīng)用微服務(wù), 例如太敏感的資料只可以通過辦公室網(wǎng)絡(luò)登入才可以訪問得到等等。這個群組為基礎(chǔ)的權(quán)限管理概念同時包括人及各種網(wǎng)絡(luò)設(shè)備,客戶將來添加物聯(lián)網(wǎng)設(shè)備都可以透過設(shè)備本身的 Profile 進行分類部署。企業(yè)不用擔(dān)心因添加第三方物聯(lián)網(wǎng)設(shè)備而導(dǎo)致安全漏洞。且思科 IBN 的 SD-Access 可以將這個以 Profile 為訪問權(quán)限的控制同時應(yīng)用在有線和無線網(wǎng)路上,彈性更大。就像理學(xué)宗師朱熹的詩句“ 問渠哪得清如許,為有源頭活水來 ”描述的那樣, IBN 將客戶業(yè)務(wù)需求融入網(wǎng)絡(luò)設(shè)計之中,從源頭上保證了網(wǎng)絡(luò)的靈活性和易于排錯的特性。
IBN 雖好,但目前大多數(shù)客戶部署還是處于起步階段,能夠完全體驗到 IBN 優(yōu)勢的還屬鳳毛麟角,個中原因還是在于能否解決好以下幾個“ 問題 ”:
- 如何從現(xiàn)有的非 IBN 網(wǎng)絡(luò)遷移到 IBN 的環(huán)境?
- 企業(yè)是否已經(jīng)很了解目前網(wǎng)絡(luò)中訪問的關(guān)系,從而能制訂 IBN 內(nèi)所需要的 Policy 與 Group 分類?
- IBN 是部署的原則,運營( Day-2 )時還需要其他管理工具,不可以輕視。
作為 IBN 的先行者和倡導(dǎo)者,思科在這些環(huán)節(jié)還有很多“ 秘籍 ”,將來可以繼續(xù)與大家分享。