中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當前的位置是:  首頁 > 資訊 > 文章精選 >
 首頁 > 資訊 > 文章精選 >

VMware EASE:"輕松"實現(xiàn)應(yīng)用的跨云連接

--虛擬云網(wǎng)絡(luò)專輯

2021-12-02 14:31:42   作者:   來源:CTI論壇   評論:0  點擊:


  “EASE:安逸,容易,輕松,舒適,不拘束,自在”
  ——這是英漢詞典中對于“ease”的中文意譯。
  如今,VMware 賦予了“EASE”新的含義,那就是 Elastic Application, Secure Edge——“彈性應(yīng)用、安全邊緣”,這一面向多云場景下現(xiàn)代化應(yīng)用的體系架構(gòu)和解決方案。正如“ease”的英文原意那樣,VMware 將通過“EASE”輕松地提供現(xiàn)代化應(yīng)用的跨云連接和安全服務(wù)。
  企業(yè)應(yīng)用數(shù)字化轉(zhuǎn)型的挑戰(zhàn)
  企業(yè)應(yīng)用的數(shù)字化轉(zhuǎn)型正在同時經(jīng)歷三大挑戰(zhàn):應(yīng)用的容器化和微服務(wù)化改造;基礎(chǔ)設(shè)施轉(zhuǎn)型:私有云轉(zhuǎn)向公有云和多云;遠程工作和 BYOD。
  為迎接每一項挑戰(zhàn),都需要對應(yīng)用和基礎(chǔ)架構(gòu)進行一些改進、甚至重構(gòu)。那么,當同時面臨三項挑戰(zhàn)時,要考慮的就是:微服務(wù)架構(gòu)的“服務(wù)單元”能否跨云、甚至跨多個私有云和公有云?微服務(wù)的“服務(wù)單元”是否一定基于容器?如何使遠程客戶最便捷安全地訪問跨云構(gòu)建的新型應(yīng)用?
  如果這些挑戰(zhàn)碰撞出來的需求可以實現(xiàn),將進一步消除應(yīng)用現(xiàn)代化改造過程中的種種束縛,幫助企業(yè)客戶更快、更經(jīng)濟地實現(xiàn)他們各種應(yīng)用的數(shù)字化和云化轉(zhuǎn)型,促進企業(yè)業(yè)務(wù)適應(yīng)不斷變化的全球形勢,并獲得增長。
  圖 1 微服務(wù)的多云化和安全訪問
  由于企業(yè)正在改變他們的單體應(yīng)用程序架構(gòu),越來越傾向于支持跨多云環(huán)境的高度分布式微服務(wù)、利用容器、K8s 和無服務(wù)器功能。這意味著越來越多的服務(wù)和組件需要被連接,甚至將不同云上的服務(wù)作為“服務(wù)單元”,以“微服務(wù)”的思路組合成全新的應(yīng)用。用戶從不同位置訪問企業(yè)自行構(gòu)建的應(yīng)用,或者訪問公有云上的 SaaS 服務(wù)時,應(yīng)在一致的安全策略下進行。
  依據(jù)市場的云報告《Flexera 2021 State of the Cloud Report》調(diào)查顯示:82% 的企業(yè)用戶正在使用/建設(shè)混合云,而 92% 的企業(yè)有多云計劃。現(xiàn)代化應(yīng)用越來越多地使用云原生技術(shù)來構(gòu)建,以進行敏捷開發(fā)。應(yīng)用多云化具有很大潛力,也面臨著很多困難和限制。
  §  多云互聯(lián)的困境
  眾多的公有云是彼此孤立的,沒有通用的網(wǎng)絡(luò)標準,提供的網(wǎng)絡(luò)和安全功能不同,配置和消費模型也不同。如果我們能夠超越孤島并提供跨云的無縫、安全連接并規(guī)范云消費模型時,那么企業(yè)應(yīng)用架構(gòu)師就可以選擇最符合應(yīng)用需求的云,并且將組成應(yīng)用的各個“服務(wù)單元”分布在多云中。在每個公有云中,企業(yè)擁有一部分資源以及服務(wù),用于構(gòu)建某個服務(wù)單元。此時,企業(yè)在這個云上就創(chuàng)建了一個類似于“虛擬專用云 VPC”的應(yīng)用空間。
  不僅在“云 VPC”內(nèi)部需要 L2-L3 網(wǎng)絡(luò)連接、負載平衡、安全和管理功能,在“云 VPC”的邊緣也需要具有緊密集成的連接性、安全性、負載平衡和可觀察性(圖 2)。但如果要將不同私有云、公有云上的來自不同供應(yīng)商的網(wǎng)絡(luò)、安全和負載平衡產(chǎn)品拼接在一起,是非常具有挑戰(zhàn)性的工作,如果再要求由單一控制中心進行統(tǒng)一管理,這就大大增加了復(fù)雜性。
  圖 2 “云VPC”的安全連接
  §  安全攻擊的位置和數(shù)量驟增
  基于微服務(wù)架構(gòu)開發(fā)的新型應(yīng)用要求數(shù)量更多的內(nèi)、外部連接,安全威脅攻擊面的數(shù)量將隨著這些基于多云的異構(gòu)應(yīng)用的使用而上升。安全威脅和攻擊態(tài)勢每天都變得越來越復(fù)雜,因此對內(nèi)置安全性的要求已成為網(wǎng)絡(luò)的首要任務(wù)。在每個“云 VPC”上需要提供完整的安全性,將攻擊面限制在“云 VPC”邊界內(nèi)。“完整的安全性”已經(jīng)發(fā)展為“零信任”安全目標和方法論,以此為指導(dǎo)的安全設(shè)計應(yīng)該通過控制平面分發(fā)到多云基礎(chǔ)設(shè)施中的任何地方,以提供更有效的應(yīng)用安全保障。
  §  “遠程工作”、“在家工作”成為新常態(tài)
  越來越多的員工現(xiàn)在在傳統(tǒng)的辦公室安全邊界之外工作:越來越多的用戶正在使用越來越多的設(shè)備,并將它們連接到比以往更多的未知和個人網(wǎng)絡(luò)基礎(chǔ)設(shè)施中。因此,越來越多的遠程工作使移動設(shè)備與敏感的企業(yè)資源接觸。由于用戶希望在任何地方工作,并且應(yīng)用正在跨多個云進行部署,遠程用戶流量的增長要求網(wǎng)絡(luò)安全、高吞吐量和低延遲。SASE——安全接入服務(wù)邊緣——是滿足用戶接入應(yīng)用需求的方式。
  VMware EASE——彈性應(yīng)用、安全邊緣
  VMware EASE 將應(yīng)用的連接性、安全性、彈性和安全性作為核心,以服務(wù)于應(yīng)用層為目標。VMware 的現(xiàn)代化應(yīng)用架構(gòu)和解決方案(圖 3)可以為用戶提供:
  • Antrea(社區(qū)版或企業(yè)版):用于云原生應(yīng)用環(huán)境的容器連接和安全
  • Tanzu ServiceMesh:提供應(yīng)用級端到端連接和安全性,提供 API 安全擴展
  • 高級負載均衡(NSX-ALB):用于 K8S 應(yīng)用的 L4-L7 服務(wù)和安全,Web 應(yīng)用程序防火墻和內(nèi)置的應(yīng)用分析
  • 全局命名空間(GNS):用于跨云的虛擬應(yīng)用連接
  • NSX Cloud:用于云內(nèi)和云間的虛擬化安全連接
  • 全面的 SASE 方案:用于客戶與云之間的連接和安全
  
  圖 3 從“云內(nèi)”到“云間”的應(yīng)用連接和安全
  VMware EASE 是如何“輕松”化解日益復(fù)雜的跨云應(yīng)用連接和安全帶來的挑戰(zhàn)呢?它與其他解決方案之間的差異體現(xiàn)在哪里?我們從多云互聯(lián)、應(yīng)用安全和遠程訪問優(yōu)化三個方面進行介紹。
  §  應(yīng)用的跨云彈性連接
  通過對 EASE 的剖析可以了解,VMware 以“應(yīng)用”為中心設(shè)計了多云連接方案體系。同樣為“多云”環(huán)境提供連接服務(wù)的,是已有數(shù)年歷史的“DCI”、“InterCloud”等概念方案——它們服務(wù)于網(wǎng)絡(luò)層,重心在于“DC”或“Cloud”。從這個區(qū)別不難理解,EASE 的網(wǎng)絡(luò)服務(wù)(如防火墻和負載平衡)具備“盡可能靠近應(yīng)用工作負載運行、遷就應(yīng)用部署”的方式和特點。
  為了讓現(xiàn)代應(yīng)用通過安全、彈性的網(wǎng)絡(luò)進行大規(guī)模連接,所有功能都應(yīng)該是分布式并且集中管理的。圖 4 展示了 VMware EASE 在多云環(huán)境中“集中管理、分布式服務(wù)”的體系架構(gòu)。“云應(yīng)用控制平面”中,不僅有 NSX 管理中心,而且還可以集成分布式計算、分布式存儲的控制平面,集成各種云管軟件、平臺和應(yīng)用自動化系統(tǒng)。這個架構(gòu)和理念開放而靈活,不局限于 VMware 的產(chǎn)品。
  然而,VMware 是唯一具備云應(yīng)用全棧產(chǎn)品的方案提供者。VMware 擁有非常廣泛的跨云服務(wù)組合,包括網(wǎng)絡(luò)和安全。NSX 事實上已經(jīng)與所有最主要的私有云和公有云基礎(chǔ)架構(gòu)兼容,并可以提供面向企業(yè)用戶的 NSX Cloud 服務(wù)。作為 EASE 中最重要的組件,NSX 是分布式防火墻、分布式 IDS/IPS、分布式負載均衡和分布式分析的領(lǐng)導(dǎo)者,NSX 系列將這些關(guān)鍵構(gòu)建塊無縫協(xié)同工作,以提供彈性、可擴展、高度可用且易于使用的基礎(chǔ)架構(gòu)。而且不需要為 NSX 定制設(shè)備(硬件),可以使用既有的通用服務(wù)器來運行所有這些服務(wù)。這首先將帶來巨大的資本支出節(jié)。浑S后,架構(gòu)師和運維團隊將意識到,這種“分布式”方式顛覆了傳統(tǒng)網(wǎng)絡(luò)拓撲的設(shè)計原則,優(yōu)化了流量,并降低了部署復(fù)雜性:不再需要設(shè)計多 VLAN 之間的復(fù)雜的交換體系、不再需要設(shè)計“精巧而繁復(fù)”的策略路由,分布式的 NSX 轉(zhuǎn)發(fā)機制可以規(guī)避傳統(tǒng)網(wǎng)絡(luò)中很多令人頭疼的“陷阱”。
  
  圖 4 集中式控制、分布式連接的云應(yīng)用互連
  這個集中的“應(yīng)用控制平面”并非,也不可能,由某個公有云主導(dǎo)建設(shè)且提供給最終用戶。要實現(xiàn)圖 1 所示的各個服務(wù)單元之間按需跨云連接,應(yīng)用所有者應(yīng)當自己主導(dǎo)這個控制平面,按需選用不同云上的資源和服務(wù),在不同的云上選擇建設(shè)最合適的微服務(wù)單元,利用 NSX 的多云兼容性和連通性特點,來自定義應(yīng)用在多云上的擴展和延伸范圍。
  在圖 4 所示的架構(gòu)中,跨云應(yīng)用控制平面有“控制中心”,而數(shù)據(jù)平面則沒有“流量中心”。通常在這種多方互聯(lián)的需求下會采用中心輻射(Hub-Spoke)的設(shè)計或拓撲模型。這種傳統(tǒng)設(shè)置存在的明顯缺點是:如果流量從一個云傳輸?shù)搅硪粋云,則必須穿越中心 Hub 位置,這將使中心位置成為阻塞點。在公有云都彼此孤立的體系架構(gòu)下,這個中心 Hub 不得不由企業(yè)用戶自建,難度和資金壓力非常大;當業(yè)務(wù)增長需要擴大規(guī)模時,將導(dǎo)致更加高昂的投資,用更大規(guī)模、更大的設(shè)備來增加互通容量。
  隨著 VMware NSX 和 SD-WAN 提供的技術(shù)方案的實現(xiàn),將網(wǎng)絡(luò)和安全服務(wù)引向邊緣,我們實現(xiàn)了從中心輻射拓撲到網(wǎng)狀拓撲的演進。流量現(xiàn)在可以直接在任意兩個云之間實現(xiàn)“一跳可達”,因為不再需要經(jīng)由某個 Hub 中心位置了;這樣擴展問題就解決了,而且故障影響域也縮小了。
  我們將這種基于 EASE 的云應(yīng)用互聯(lián)(圖 4)與 ServiceMesh 的服務(wù)單元互聯(lián)(圖 5)進行類比,不難發(fā)現(xiàn):EASE 代理了企業(yè)客戶在各個“云 VPC”之間的連接,就如同 Sidecar Proxy 在 ServiceMesh 架構(gòu)內(nèi)發(fā)揮的作用,基于 EASE 的云間應(yīng)用互連,就像是 ServiceMesh 在多云尺度上的放大。這個類比可以幫助我們更好地理解 EASE 的“無中心、分布式”流量模式和它的必要性。EASE 比 Kubernetes 世界里的 Sidecar Proxy 更加靈活。因為被 EASE 連接的服務(wù),不限于是單個 Kubernetes 集群中以容器方式構(gòu)建的單元,也可以是不同位置上私有云中基于裸金服務(wù)器的服務(wù)、基于虛擬機的服務(wù)、公有云上的云原生應(yīng)用或 SaaS 服務(wù)……
  
  圖 5 基于 Sidecar 的服務(wù)互聯(lián)參考模型
  §  應(yīng)用的“安全邊緣”和可視化
  通過 EASE 的設(shè)計指導(dǎo)思想,“云 VPC”連接拓撲將被優(yōu)化,減少了連接安全保障所面臨的困難,這是對“泛安全焦慮癥”的最合適的治療方式。連接必然具有開放性,這是連接的活力所在;開放則必然引入受攻擊的可能性;為了“安全”而選擇“封閉”就是因噎廢食。新冠疫情期間,我國采取的“動態(tài)清零”策略和針對檢驗檢疫而增強的邊境口岸管理方法,就是在保持開放性的同時與病毒保持相對隔絕的生動案例。
  在云應(yīng)用場景中,對多種多樣云連接的方式和拓撲進行歸納、整理、簡化,有助于我們厘清多云環(huán)境下的安全態(tài)勢和需求,有助于我們制定更加針對性的安全措施。
  EASE 簡化架構(gòu)下的云連接安全性可以歸納為三種場景:
  • a) 在 “云 VPC” 內(nèi)部,制定并實現(xiàn)流量的東-西向安全策略
  • b) 在“云 VPC”  的邊緣進行連接的安全加固,如防火墻、入侵檢測和防御、IDS/IPS 和 Web 應(yīng)用程序防火墻
  • c) 對一個“云 VPC”到另一個“云 VPC”的流量進行加密
  EASE 對“云 VPC”的邊界進行了重新定義,這個邊界不是在數(shù)據(jù)中心/云的物理邊緣,而是遵循應(yīng)用分散部署的特點而定義的“虛擬邊緣”。
  以往,由于缺乏對安全策略的一致性和落地貫徹進行集中管理,經(jīng)常采用的應(yīng)對措施是建設(shè)諸如“安全服務(wù)區(qū)”或“流量清理區(qū)”這樣的設(shè)施,只有在這里,才能最大程度發(fā)揮傳統(tǒng)安全設(shè)備的功能,這也就是數(shù)據(jù)中心/云的物理安全邊界。
  隨著應(yīng)用微服務(wù)化和敏捷開發(fā)運維流程的引入,固定的物理安全邊界無法跟隨應(yīng)用的位置的變化,反而制約了應(yīng)用的生長和彈性擴展——狠抓安全,就把應(yīng)用“管死了”;發(fā)展敏捷應(yīng)用,就會發(fā)現(xiàn)物理安全邊界上“千瘡百孔”,被動封堵無濟于事。
  EASE 面向應(yīng)用,通過 NSX 的分布式安全功能,將“物理安全區(qū)”的功能分散到各個應(yīng)用集群中,形成對應(yīng)用的貼身安全服務(wù)。這樣,“應(yīng)用安全邊緣”就簡化了,面向應(yīng)用的安全邏輯應(yīng)當、也必須基于應(yīng)用特征和標記,而不是基于 IP 地址或 VLAN 編號。企業(yè)用戶也就可以在自身應(yīng)用的邊緣自行劃定安全邊界并執(zhí)行自定義的安全策略,無需依賴公有云或電信運營商的“安全服務(wù)中心”。
  NSX 方案家族提供了 L2-L7 完善的安全功能(圖 6),適用于私有云、公有云環(huán)境中以裸金服務(wù)器、虛擬機、容器形態(tài)承載的應(yīng)用,可以覆蓋以上三個方面的策略需求,實現(xiàn)多云、一致的安全。
  
  圖 6 NSX應(yīng)用交付安全堆棧
  應(yīng)用互聯(lián)時,我們不僅要在基礎(chǔ)設(shè)施級別進行監(jiān)控,還要在應(yīng)用級別進行監(jiān)控,需要了解多云環(huán)境的實際狀況,這也是云安全不可或缺的一部分。對應(yīng)用的健康,不僅限于從流量的角度,也要從客戶體驗的角度、從端到端遲的角度、從敏捷應(yīng)用反應(yīng)的角度。應(yīng)用跨云連接時,不同云提供了不同的可見性工具,這些工具無法實現(xiàn)跨云可見性,這種割裂會增加安全團隊的盲點。EASE 中集成了適應(yīng)多環(huán)境的可觀察性工具(圖 7),正是跨云連接安全所需的特性。有了這種權(quán)威的基于場景的威脅情報,安全團隊將減少盲點,并能夠調(diào)整安全控制和策略以更快地解決安全事件。
  
  圖 7 跨云可視化是實現(xiàn)應(yīng)用安全的必選項
  §  用戶對云應(yīng)用的安全訪問
  用戶在使用基于 EASE 構(gòu)建的跨云應(yīng)用時,涉及用戶與應(yīng)用之間的連接和安全,就必須提到 SASE,即“安全訪問服務(wù)邊緣”(圖 8)。
  SASE 更多地以用戶為中心。SASE 的誕生和普及源于這樣一個事實:即用戶真的越來越需要在任何地方進行云應(yīng)用的訪問,可能在家里,可能在車里,可能來自公司辦公室。某種意義上來說,SASE 可以看作 SDWAN 的升級和擴展,能夠優(yōu)化從網(wǎng)絡(luò)邊緣到云上的應(yīng)用、或回傳到企業(yè)數(shù)據(jù)中心的網(wǎng)絡(luò)傳輸,同時提供滿足“零信任”要求的最小特權(quán)訪問。SASE 圍繞著用戶和用戶正在使用的設(shè)備,收窄并控制對于應(yīng)用的訪問權(quán)限。SASE 中也包含防火墻功能,比傳統(tǒng)防火墻更加靈活和主動,能夠圍繞應(yīng)用、用戶、分支站點以及“在家辦公”的環(huán)境創(chuàng)建安全邊界。
  因此,通過這種方式,以用戶為中心的 SASE 和以應(yīng)用程序為中心的 EASE 可以共同提供更大的、更適合現(xiàn)代應(yīng)用程序的應(yīng)用程序,并且人們實際上不受其分支環(huán)境的束縛,能夠?qū)嶋H從任何地方工作。
 
  圖 8 從 SASE 到 EASE
  結(jié)語
  以上,我們描述并討論了應(yīng)用的多云轉(zhuǎn)型過程中許多亟需解決的云連接挑戰(zhàn),以及基于“彈性應(yīng)用、安全邊緣”思想的 VMware EASE 解決方案架構(gòu)。
  在過去的十年中,VMware 一直致力于開發(fā)并提供多云網(wǎng)絡(luò)服務(wù)的軟件,以 NSX 為核心創(chuàng)建了一個非常全面的平臺。NSX 在私有云、VMware 云以及 AWS、Azure 和 Google 云中都有成千上萬的客戶。大多數(shù)“財富 100 強”客戶都使用 NSX 進行了大規(guī)模的云建設(shè),這些部署案例中,NSX 運行了企業(yè)網(wǎng)絡(luò)所需的完整功能集。開發(fā)人員可以使用基于意圖的策略輕松實現(xiàn) NSX 自動化,也就是實現(xiàn)了連接和安全的自動化。我們堅信,憑借軟件定義的領(lǐng)先地位、持續(xù)的投入和創(chuàng)新,NSX 可以成為您首選的多云現(xiàn)代網(wǎng)絡(luò)平臺,EASE 可以成為令人興奮的多云之旅中值得信賴的跨云應(yīng)用連接方案。
  免責聲明
  1. 本文稿可能包含當前正在開發(fā)的產(chǎn)品特性或功能。
  2. 本新技術(shù)概要介紹并不表示 VMware 承諾在任何正式推出的產(chǎn)品中提供這些功能特性。
  3. 產(chǎn)品的功能特性可能會有變更,因此不得在任何類型的合同、采購訂單或銷售協(xié)議中予以規(guī)定。
  4. 技術(shù)可行性和市場需求都可能影響最終提供的產(chǎn)品功能特性。
  5. 在本文中討論或展示的任何新特性/功能/技術(shù)的定價與包裝都尚未確定。
  來源VMware中國公眾微信號
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

相關(guān)熱詞搜索: VMware

上一篇:客戶體驗中同理心的魔力:超越個人互動

下一篇:最后一頁

專題

CTI論壇會員企業(yè)