以下為現場速記。
Juniper Networks(瞻博網絡)華南區技術總監 石釗
石釗:首先,感謝大家多年來對Juniper的支持,我是Juniper華南區的技術總監石釗,我在Juniper工作的時間有16年,在IT網絡領域工作了有20多年。
我今天的介紹分幾個部分,第一是公司的介紹,因為大家可能對Juniper瞻博網絡并不熟悉。第二是行業技術的變革,第三是網絡發展的趨勢和Juniper 的一些探索,最后是總結。
公司介紹,其實我們公司產品線是分三條產品線,路由、交換和安全。由于我是從安全方面進入這個公司的,在路由器領域Juniper從1996年就開始做,而且一開始是做最高端的路由器,在運營商骨干里面的路由器,因為Juniper的設計理念往往是一開始做就做最復雜、最核心的設備。第三,Juniper是在做交換機,研發的時間到現在有10年時間,這是我們最后的一條產品線。整個公司都是圍繞著云的戰略做的,我們有四個戰略,包括企業、運營商、5G、IOT等,我們都是圍繞著云做未來戰略的發展的。
我們的客戶群分布在各行各業,當然運營商肯定是一個比較大的行業。第二是OTT行業,國外的像昨天介紹的亞馬遜、谷歌、Facebook、蘋果都是我們的客戶,國內的百度、騰訊、阿里都是我們非常重要的客戶。制造業也有很多重要的客戶,我不一一列舉。
Juniper的一個特點,是專注于創新,這個圖里面每一條都是Juniper對網絡行業的創新,我們是最早做成網絡設備,做成路由控制、轉發、分離的網絡設備,以前大家都說路由器都是x86架構的,但是Juniper是最早在路由器上實現芯片轉發的。現在大家都說芯片很重要,Juniper一開始做路由器為什么能夠在運營商的骨干里面得到使用,就是因為我們有自己的路由器芯片,就是我們自己研發的芯片。在網絡領域很重要的一點就是要互聯互通,大家要有開放性,大家的協議要有一個標準,這樣才能夠互聯互通。也就是說,我們中國的運營商和國外的運營商,現在中國的企業要出海,你要到國外開辦分公司也要互聯互通,大家要遵循一個標準。以前很多標準是網絡廠家定義的,Juniper是一個很重要的標準提出者。現在網絡標準逐漸地有很多用戶也參與進來,好比說我們的CIO也在這個網絡、這個行業里面,因為他們是用戶,也有自己的聲音,所以他們也在提出他們的標準。Juniper一向是特別希望做成一個非常標準協議的公司,因為我們跟別的廠家不同,別的廠家可能是想用更多的私有協議綁住用戶,但是我們是開放的協議,這也是我們的一個特點。
這是數據中心的四象限圖,左邊是咨詢公司Gartner提出的,Juniper處在四象限右上角的領導者地位。因為我們做數據中心交換機的時間其實也就是10年而已。右邊這個圖是FORRESTER WAVE,現在都說做軟件定義的網絡,它底層是有硬件的,這個時候我們Juniper公司也是處在這個圖右上角領導者的上限。所以在數據中心領域,Juniper也在逐漸的發力。
第二個,我們想跟大家分享一下應用驅動的網絡變革。從這個圖可以看到這十幾年來我們的應用和網絡的關系,最早看到的移動性沒有現在這么多,現在大家更多的上網是用手機和筆記本電腦,手機上的APP逐漸的越來越多。我前段時間也參加這個會議,聽到一些銀行的CIO提到,他們銀行可能有100多個APP給用戶的手機使用,為什么有這么多APP?他希望用戶對這個企業有更多的粘性,每天跑一下這個APP,看一下你的APP的情況,盡量多的讓企業和用戶發生聯系。因為現在互聯網的發展,很多人說我都不去銀行了,那你不去銀行,你跟銀行的交互就是通過APP。銀行說無論是幾個APP,越多越好,只要讓用戶和銀行發生虛擬的連接,這是最好的。
網絡也應這些變化發生了很多的變化,可以看到網絡設備以前有很多狀態和服務,尤其是網絡里面存在很多防火墻、負載均衡等等設備,現在網絡設備的狀態和服務逐漸是在減少的過程。在功能上面也是越來越簡單,以前網絡協議有很多種,現在大家慢慢的把這些協議整合了,協議的數量就越來越少。主要的協議以前會有IGP、BGP,這是一些網絡的協議,數量非常多,現在協議的數量逐漸減少了,逐漸整合到BGP等幾個少數的協議上面來,網絡協議的結構越來越簡單。
因為現在制造工藝發生了質的變化,所以現在的速率會非常大,以前是萬兆的服務器,今年我們看到了很多企業部署了25G接入的服務器,它的骨干到了100G。我們今年很多交換機會出400G的接口,所以整個的吞吐能力會非常大。同時單設備的容量的趨勢不是越走越大的,這個是什么意思呢?以前我們像一個設備越做越大、越做越復雜,現在網絡規劃架構上的調整是單個設備不是讓它越做越大,而是越做越小,這個設備靠橫向擴展,把設備的吞吐能力提高起來,單個設備不會占用那么多CPU和內存。因為單設備的容量和狀態都減少了,所以我們整個網絡里面的每個設備是變小了,但是設備的數量增加了。我們的自動化一定要提上日程,以前人手管理一臺非常大的網絡設備,現在不能靠人手管理幾十臺、幾百臺小設備,必須要自動化運維非常多的小設備。最后我們的網絡設備會逐漸開放很多API接口,同時也會有虛擬化的,用戶可以自定義一些應用跑到我們的網絡設備上面去。這是我們看到的網絡和應用交互的影響。
現在有一個熱門的話題是“云”,其實我們看到傳統上有數據中心,現在大家提到私有云,其實私有云是數據中心的一個升級版,因為傳統數據中心的結構不是彈性擴展的網絡架構,所以數據中心變成私有云才是彈性擴展的架構。有了私有云,但是我們還有公有云,前兩年大家提到混合云,就是一個企業里面既要有私有云、又要有公有云。但是公有云有一個問題,每個云和云之間是完全不同的,沒有一個統一的標準。也就是說,企業里面都說一定要上云,但是大家想到沒有,上云是不是一個單行道,你上了云以后,從一個云遷移到另一個云怎么做?
像我們看到國外幾個云之間的競爭,往往是我提供一個API,讓你從AWS云自動的遷移到谷歌云里面,但是谷歌不會說我給你提供一個API或者是提供一些套件,讓你把谷歌云里面的東西遷移到別的云,永遠不會,廠商給你提供的是一個單行道的工具。現在大家提到了“多云”的概念,多云是什么呢?一個企業至少要有幾個私有云,同時公有云要用兩家以上不同的,這樣才不會被某一個公有云綁定。而且現在的公有云還有一個問題,它的服務質量定義上并沒有太多的保證。所以我們看到一些大中型的企業的說法是,一個企業的IT實力是真正體現在他的私有云做得好不好,這是企業的實力。
數據中心怎么向私有云的架構遷移,傳統是自建數據中心,沒有任何的公有云。現在我們要走多云的架構,這個時候是多種公有云和私有云的結合,就是傳統數據中心的升級版。原來的數據中心是分區的,每一個區前面放兩臺防火墻做網絡的邊界,搭一些交換機,里面是服務器。我在部署服務器的時候,可能第一步就要想我把這個服務器放到哪個區里面,這是分區的概念,物理上就分好了。現在的做法是在云計算環境下整體資源的池化,我們把自己數據中心的資源池化,同時把公有云和私有云整體打通,把他的資源統一做一個資源池。原來的數據中心是一個二層環路架構,很多時候會有廣播或者環路,大家知道一旦發生環路網絡基本上就不能運行了。比如說我在醫院里面為什么掛號掛不了,為什么網絡呼叫中心也不行呢?很多時候是傳統二層架構環路的問題導致的,它的廣播域比較大。現在基本上在云計算的環境里面,私有云的搭建更多的是用三層IP矩陣架構,因為它避免了二層環路。
原來的數據中心吞吐不夠怎么做,我可能是把一個設備2U、3U變成十幾U或者占幾個機架,單一設備越長越大,以更換的方式。但是長得再大單一設備都是有極限的,它會受到限制,現在擴展的方式是靠Scale-out的方式擴展,就是小盒子的方式。同時是由人工管理變成自動化管理。原來接入網的邊界都在交換機上,我們的安全策略也要靠近終端在邊界上,所以我們的安全策略是在架頂交換機的接口上面,但是現在是在服務器上面。我們有虛擬的路由器,網絡的邊界就到服務器里面去了,因為服務器里面本身也有一個虛擬的網絡設備。如果網絡設備到了服務器里面,網絡安全策略的邊界也會放到服務器的虛擬網絡設備里面去。
第三個,介紹一下怎么做多云環境下的遷移。我們剛才提到架構上的改變其實是最重要的,所以第一點就是選私有云的架構。而Junipe看到的架構是IP矩陣的架構,無論是對于很大的數據中心或者很小的數據中心,這個架構都是適合的。包括現在國內的幾家云計算供應商,包括騰訊、阿里或者國外的亞馬遜等等,他們全部都是矩陣的架構。當然國內的一些企業、我們的一些客戶現在也逐漸的把他的數據中心變成這樣的一個IP矩陣的架構,他就不靠這個生成樹了,里面是負載均衡,全部是可用的狀態。
這里是物理上的IP矩陣架構,但是如果我要做網絡的隔離,因為我原來是有多個安全區的,我把多個安全區的架構映射到IP矩陣架構的時候,這個時候就要引入一個疊加網絡的概念。也就是說,我原來的每一個安全區可以當作疊加網絡里面的一個租戶,所以說疊加網絡是可以做到更好的用戶隔離和不同應用的隔離,而這種隔離是靠路由進行隔離的,和其他廠家提到的靠防火墻、靠ACL是不同的。這種實施方式里面有兩種,一種是控制器方式、一種是無控制器方式,也就是說部署了可以和原來的方式比較接近,也可以和未來基于控制器的方式和方向演進。
最后這個是多云,就是把私有云和公有云多個網絡打通,然后實施統一的安全策略,把它當作一個資源池來處理。這里面提到有Juniper的Contrail控制器,我前面提到Juniper是非常講究開放標準的公司,這個Contrail其實Juniper是有一個開源版本的,很多企業選擇控制器的時候是選擇Juniper的Contrail,我們有一個開源版本。Juniper也提供對用戶的支持,這個時候就是商業版,其實核心功能是基本一樣的。控制器這一塊是有一個控制器,右邊這個AppFormisx是數據收集和監控分析的軟件套件,通過這個軟件套件實現對網絡狀態遙測的可視化,利用一些機器學習能力對網絡的調度做出相應的自動化反應。
這是私有云的擴展,剛才我提到小規模和大規模都可以用這個架構。我們可以看到這個小小的規模里面是有6臺交換機的,它可以做成基于IP cross的架構。這個是大規模的,上面這一層是骨干節點可以橫向擴展,下面的也可以橫向擴展。在這里可以有很多臺骨干,有很多臺葉子節點,如果你想提高葉子節點到骨干的帶寬,你就把上面這層設備進行增加。如果你覺得這個擴展方式還不夠,你還可以進一步的再搭一層網絡,整個這里面可以看到它的擴展性是非常靈活的,無論是小規模、還是大規模都可以適應,而且可以做到不同的收斂比,每一跳上去的帶寬到底是1:1的收斂還是1比幾的收斂。
我們通過這個架構實現了類似于主機虛擬化的功能,我們把整個網絡看作一臺物理的服務器。我們跟主機的虛擬化很相似,有一臺物理的服務器我們可以虛擬成很多臺虛擬機,我們的物理網絡也可以把它虛擬成為很多個邏輯上的疊加網絡。這個邏輯上的疊加網絡,網絡和網絡之間是路由做隔離,同時可以加入任何的安全策略、訪問控制列表等等,實現高可靠和高安全性。這些細節我就跳過去了,其實講的是我們可以兼容你的傳統環境,也可以兼容你的新的環境,都是可以兼容的。
整個架構里面是有控制器、有網絡設備、還有云的出口,我們把它叫云網關,私有云里面有自己的私有云的云網關,公有云里面也可以虛擬化出來一個設備做它的云網關。通過這個云網關把你的私有云和公有云網絡打通,而且中間的連接全部都是加密的。因為大家擔心云架構的安全性,這里面的密鑰都是你自己控制的,所以它的安全性非常好。而且它的安全策略全部都是到邊界的,物理網絡的邊界在交換機的物理接口上,云計算的公有云環境下是在主機里面的網絡設備里面,這個安全性也是比較好的。
這里可以看到,目前來說我們已經跟亞馬遜的AWS、谷歌云等幾個公有云打通了,現在我們還和國內的阿里云進行研發,針對他做將來跟阿里云多云的打通。云里面的訪問也是加密的,云和云之間的訪問也可以是加密的。所以我們整個的方案里面可以看到,我們提供了SMOC,安全、可視、自動編排、高可靠的連接性,這個連接性和別的廠家不一樣,我們通過路由的打通做隔離,這個是多一層的安全性,其他廠家可能是靠ACL,ACL、微策略我們也是有的。可視性方面我們也是做得相對好一些,我們可以把整個流量在設備示圖上看到。中間這個是流量示圖。
最后提一下我們的幾種場景:
第一種場景是沒有虛擬化的,是裸金屬服務器生命周期管理。也就是說,你的服務器放到網絡里面去之后,你可以自動獲取IP地址,然后推策略,可以把你的軟件版本自動更新。如果你希望把服務器下線的時候,我們可以自動的點擊圖形界面幾下,這個服務器就會自動的跳到一個下線的狀態里面去,這個時候服務器對你的網絡就沒有任何影響了。同時可以在交換機實施訪問列表,實時的查看狀態。
第二是Openstack云合作場景,我們的Contrail是做網絡處理服務器。
第三是我們也跟別的廠家像VMWARE SDDC場景,我們也可以實現安全性。我們的設備通過了他的認證。
第四是我們和超融合廠家NUTANIX也進行了合作,我們可以把網絡構建出來,同時把安全策略自動下發。
第五是我們和容器環境可以實現網絡連接和安全策略。
第六是OPENSHIFT合作場景,我們也是紅帽子的合作伙伴,我們有很多API的接口互通。我們可以和多種云、多種負載,在多個部署環境下都可以得到統一的實現,
最后總結一下,Juniper是一個專注于做網絡的廠家,我們的產品全部都是網絡的產品,我們橫跨了網絡里面的路由、交換、安全三條重要網絡產品線,同時我們對于云計算的多云場景具有豐富的實施和部署經驗。同時我們的Contrail套件是開源的,可以幫助企業更好的上云,實現多云環境下的資源池的控制和部署。謝謝大家!
京公網安備 11010502049343號