作者:黃兆基
思科架構師 黃兆基
思享家
是一個介紹如何利用思科先進技術解決客戶難題的欄目。每期聚焦一個技術熱點或應用場景,邀請資深思科技術專家深入淺出地介紹,為讀者提供實用性強的建議。
不論屬于哪個行業,企業成功與否的關鍵,說到底還是客戶服務是否到位。在數字化轉型的大趨勢下,為客戶提供線上線下一體化的服務已經成為行業共識。
但是物聯網、 5G 、多云環境和應用微服務化這些層出不窮的新技術在帶來便利的同時,也增加了企業 IT 系統的復雜度——網絡元素多樣化且環環相扣,一旦出現問題,比如本應可以訪問的數據無法獲得,不應該訪問的數據卻可以獲得,就會造成嚴重的安全隱患;又或是時延等性能問題,由于數據經過的路徑復雜,排錯往往無從下手,問題遲遲得不到解決給客戶造成困擾甚至損失。
我們以一家本地大型機構為例,看看思科基于意圖的網絡( Intent Based Networking, IBN )是如何幫助該機構為未來數字化轉型作好準備的。
通過與客戶的溝通,我們了解到,這家機構希望為自己的客戶提供線上接入業務系統的功能,而且要大量接入物聯網設備,企業網絡因此要實現不同用戶、設備及新應用微服務互訪的功能。機構特別關注由于網絡復雜性可能帶來的安全、時延等隱患。
了解到客戶有這樣的擔心,于是我們向客戶推薦了思科基于意圖的網絡( Intent Based Networking, IBN )的理念,幫助客戶從開始設計整個基礎設施時就考慮到將來運營時可能產生問題之所在,引入易于排錯的功能特性,從而解決了客戶的擔憂。IBN 能令網絡部署緊密配合企業的業務目標( business outcomes ),透過自動化( automation )快速部署、快速應對市場動態。且其持續保障能力( assurance ),配合人工智能、實時運行數據收集和分析,能有助監控和快速查找安全、時延等隱患,特別是在發生問題時易于排錯。
為了制定出最符合客戶業務需求的最理想且最可行的 IBN 部署策略,我們在前期跟客戶開展了一個具備一定規模的驗證項目( POV ),驗證一個全新基礎設施協助其數字化轉型的效果。重點之一是在網絡上能達到端到端的自動化部署( automated provisioning )、具備零信任( Zero Trust )的安全特性和持續的運營保障( ongoing assurance ),還有最后方案必須提供開放整合其他平臺的可能性。
先說說IBN要解決什么困難。從前在用戶與應用服務之間的網絡是相對簡單的:用戶接入點和應用服務所在地多是靜態。
但伴隨著 5G 、物聯網的到來,將會有大量智能設備需要接入網絡;用戶接入網絡的方式也變得多樣化,不再是單純從園區網進來。
同時應用服務也邁向動態、微型化及以及多云部署。
在超連結環境下,用戶端與后臺應用之間往往跨過了無數區域:當中有不同云平臺、 PAAS 或 SAAS。
傳統分段式獨立網絡部署已經無法跟上這樣的變化步伐,滿足安全地大量配置用戶和設備的復雜訪問需求。
思科 IBN 的基本原則利用了 Group Based Policy 的管理概念,把用戶、設備、物理機、虛機、容器微服務等需要網絡連接的個體按照它們訪問的需求,分配到不同的群組( Group ),群組之間的溝通權限以策略( Policy )執行。群組內的每個組員便自動受到所屬群組的溝通制約。舉個例子,不論用戶是通過互聯網、或是園區網進來,只要同屬一個用戶端群組,都可以按照群組的訪問權限去訪問特定的應用群。這些策略是按照企業的業務目標( business outcomes )所制定,運營時便可以得到保障( assurance ),排錯時因訪問路徑清晰且有據可查而變得容易。
思科在幾個不同的區域( Domain )內以同一個IBN原則提供了解決方案;分別是園區網的 SD-Access 、廣域網的 SD-WAN 和數據中心網的 ACI 。
Q:
為何分成三個 Domain ?
以單一 Domain 不是更簡單嗎?
A:
三個區域面對的要求是完全不同的。以單獨的控制器獨立管控本身的區域,照顧每個區域的特別需求。雖然獨立、但因為三個區域都是基于 IBN 的原則:每個區域都同時有群組( Group )和策略( Policy )的概念。這兩種元素成為區域之間互相證明對方訪問權限的共通語言,大大簡化了端到端橫跨多個域的部署。
以園區網為例,其主要職能是核實和讓用戶與智能設備接入有線或無線網絡,且按照它們的權限控制在網絡上的訪問。數據中心網則是管理各種應用負載的互訪,當中又包括物理機、虛機、微服務、負載均衡等設備,而廣域網主要掌控訪問路徑、優先次序等。
通過這次 POV ,我們為客戶驗證了 SD-Access ,透過 SD-WAN 與 ACI 進行策略交換,讓客戶體會到簡單而快速地部署跨區域端到端的訪問權限,比如當用戶登入網絡后,按照他登入的 Profile ( 舉例如從辦公室內,家里或是從移動網絡進來 ),園區網絡與數據中心網透過自動互換策略,便可批準他訪問到數據中心內哪些應用微服務, 例如太敏感的資料只可以通過辦公室網絡登入才可以訪問得到等等。這個群組為基礎的權限管理概念同時包括人及各種網絡設備,客戶將來添加物聯網設備都可以透過設備本身的 Profile 進行分類部署。企業不用擔心因添加第三方物聯網設備而導致安全漏洞。且思科 IBN 的 SD-Access 可以將這個以 Profile 為訪問權限的控制同時應用在有線和無線網路上,彈性更大。就像理學宗師朱熹的詩句“ 問渠哪得清如許,為有源頭活水來 ”描述的那樣, IBN 將客戶業務需求融入網絡設計之中,從源頭上保證了網絡的靈活性和易于排錯的特性。
IBN 雖好,但目前大多數客戶部署還是處于起步階段,能夠完全體驗到 IBN 優勢的還屬鳳毛麟角,個中原因還是在于能否解決好以下幾個“ 問題 ”:
1. 如何從現有的非 IBN 網絡遷移到 IBN 的環境?
2. 企業是否已經很了解目前網絡中訪問的關系,從而能制訂 IBN 內所需要的 Policy 與 Group 分類?
3. IBN 是部署的原則,運營( Day-2 )時還需要其他管理工具,不可以輕視。
作為 IBN 的先行者和倡導者,思科在這些環節還有很多“ 秘籍 ”,將來可以繼續與大家分享。
京公網安備 11010502049343號