摘要：行業(yè)專家對云計(jì)算互連的未來以及稱為互聯(lián)網(wǎng)設(shè)計(jì)的新興模式進(jìn)行了闡述。用戶獲得與云互連的私有直接高速連接，例如，并購買以太網(wǎng)交叉連接到各種云計(jì)算服務(wù)提供商的云平臺(tái)中。每次添加數(shù)據(jù)中心時(shí)，都必須為每個(gè)其他數(shù)據(jù)云計(jì)算中心添加額外連接數(shù)的平方。

與運(yùn)行業(yè)務(wù)的應(yīng)用程序相關(guān)的安全漏洞或性能相關(guān)問題無疑會(huì)影響到企業(yè)收入。例如，酒店預(yù)訂系統(tǒng)中的問題將直接影響收入，而不是像Office 365這樣的文檔應(yīng)用程序。

這是一個(gè)普遍的情況，云計(jì)算部署將會(huì)由于網(wǎng)絡(luò)而遇到影響業(yè)務(wù)的性能問題。其目標(biāo)是讓用戶在使用應(yīng)用程序延遲很小。然而，從私有網(wǎng)絡(luò)到公共互聯(lián)網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)回傳流量。

企業(yè)將關(guān)鍵任務(wù)型應(yīng)用程序遷移到云平臺(tái)，需要重新考慮現(xiàn)有的云互連情況。行業(yè)專家對云計(jì)算互連的未來以及稱為互聯(lián)網(wǎng)設(shè)計(jì)的新興模式進(jìn)行了闡述。

通常情況下，隨著市場的成熟，人們將目睹向互聯(lián)網(wǎng)絡(luò)設(shè)計(jì)的過渡，該設(shè)計(jì)始終位于由多混合云架構(gòu)驅(qū)動(dòng)的傳統(tǒng)云互連之上。

原始互連介紹

有多種傳統(tǒng)方式可以連接到云平臺(tái)。每種方式在速度、云生態(tài)系統(tǒng)、價(jià)格、安全性和性能方面都有其優(yōu)缺點(diǎn)。

第一種也是最常見的連接方式是通過安全網(wǎng)絡(luò)，通過全球互聯(lián)網(wǎng)連接運(yùn)行，例如IPsec隧道。

連接到云平臺(tái)的第二種方式是通過云計(jì)算互連。用戶獲得與云互連的私有、直接、高速連接，例如Equinix Cloud Exchange，并購買以太網(wǎng)交叉連接到各種云計(jì)算服務(wù)提供商（CSP）的云平臺(tái)中。

第三種方式是使用直接廣域網(wǎng)（WAN）。用戶可以使用其現(xiàn)有的WAN MPLS／VPLS供應(yīng)商，根據(jù)需要簡單地添加云計(jì)算服務(wù)提供商（CSP）。

實(shí)際上，許多用戶將最終使用連接模型的組合。這完全取決于用戶所在的位置以及他們選擇的應(yīng)用程序類型。例如，從大量不同來源提取數(shù)據(jù)的大數(shù)據(jù)應(yīng)用程序?qū)⒎浅＿m合云互連模型。

另一方面，與使用互聯(lián)網(wǎng)傳輸?shù)倪h(yuǎn)程工作人員相比，如果用戶在辦公室，會(huì)選擇直接連接WAN。

復(fù)雜的架構(gòu)

傳統(tǒng)的云計(jì)算數(shù)據(jù)中心互連設(shè)計(jì)包含多余負(fù)載。這導(dǎo)致IPsec隧道或以太網(wǎng)連接的點(diǎn)對點(diǎn)連接的復(fù)雜體系結(jié)構(gòu)。

網(wǎng)格結(jié)構(gòu)不能很好地?cái)U(kuò)展，并且通常是N的平方問題。每次添加數(shù)據(jù)中心時(shí)，都必須為每個(gè)其他數(shù)據(jù)／云計(jì)算中心添加額外連接數(shù)的平方。

因此，使用某種類型的疊加來管理復(fù)雜性。這些疊加以IPsec隧道的形式出現(xiàn)，具有某種類型的分段開銷。大多數(shù)情況下，將使用虛擬可擴(kuò)展LAN（VXLAN）。

該體系結(jié)構(gòu)由許多單功能服務(wù)組成，如路由器、防火墻、負(fù)載平衡器、WAN優(yōu)化器和IDS ／IPS。單功能服務(wù)會(huì)導(dǎo)致設(shè)備無序擴(kuò)張，從而增加了復(fù)雜性和成本。閑置的備份設(shè)備可能不僅會(huì)導(dǎo)致復(fù)雜的配置，還會(huì)產(chǎn)生額外的成本。

確保安全

確保安全帶來了一些挑戰(zhàn)。IPsec使用相同的加密密鑰加密隧道內(nèi)的所有內(nèi)容。換句話說，如果有不同安全級別的不同段，則每個(gè)邏輯段將共享相同的加密密鑰。

這是全有或全無的加密，因?yàn)橛脩粢韵嗤姆绞郊用苊總€(gè)網(wǎng)段。由于路由和對等點(diǎn)網(wǎng)絡(luò)未經(jīng)過身份驗(yàn)證，因此可以在沒有事先驗(yàn)證的情況下將連接添加到網(wǎng)絡(luò)。

因此，用戶需要添加防火墻。從本質(zhì)上講，很多用戶正在醞釀沒有集成到路由和環(huán)境中的安全性。沒有遵循網(wǎng)絡(luò)安全規(guī)則，其中安全規(guī)則可以隨網(wǎng)絡(luò)動(dòng)態(tài)變化。

沒有應(yīng)用性能保證

現(xiàn)有模型不提供應(yīng)用程序性能保證。路徑選擇是基于路由的底層，而不是基于性能的。IPsec隧道將用戶的數(shù)據(jù)從A點(diǎn)傳輸?shù)紹，即使從距離的角度來看，所選擇的路徑可能被大量使用。

此外，用戶還需要使用多帶帶的工具來衡量應(yīng)用程序性能，例如NetFlow。

缺乏敏捷性

現(xiàn)有系統(tǒng)缺乏靈活性，包括所有點(diǎn)對點(diǎn)鏈路的定制配置。這種配置通常不是自動(dòng)的。手動(dòng)驅(qū)動(dòng)的體系結(jié)構(gòu)總是容易出錯(cuò)的。

如果要使用專用鏈接（例如多協(xié)議標(biāo)簽交換），則部署時(shí)間會(huì)很長，特別是如果要包含冗余鏈接。請記住，其中大多數(shù)仍在命令行（CLI）上運(yùn)行。

相關(guān)費(fèi)用

顯然，涉及的成本相當(dāng)高。如果用戶有一個(gè)多協(xié)議標(biāo)簽交換（MPLS）鏈路，則必須使用另一個(gè)多協(xié)議標(biāo)簽交換（MPLS）鏈路來實(shí)現(xiàn)冗余。如果保留其默認(rèn)值，則不能使用全球互聯(lián)網(wǎng)作為備份。請記住，私有鏈接的費(fèi)用通常是全球互聯(lián)網(wǎng)鏈接的10倍。

為了縮小差距，企業(yè)仍在購買專門的硬件和軟件，或租用昂貴的設(shè)備。例如，用戶不是在敏捷的Amazon EC2軟件實(shí)例上運(yùn)行路由。

網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)

網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)的目標(biāo)是采用數(shù)據(jù)中心，無論是私有數(shù)據(jù)中心還是公共數(shù)據(jù)中心，并將其整合到一個(gè)邏輯數(shù)據(jù)中心。即使用戶擁有多個(gè)物理位置的設(shè)施，它們也可以從網(wǎng)絡(luò)角度看起來像一個(gè)邏輯數(shù)據(jù)中心。

網(wǎng)絡(luò)互聯(lián)的另一個(gè)關(guān)鍵方面是路由，這是計(jì)算完成的最后一步。之所以這樣重要的一個(gè)原因是，如果用戶有一個(gè)多云策略，希望采用VMware解決方案并將其集成到AWS和Azure的云平臺(tái)中。

簡單的架構(gòu)

網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)提供了一個(gè)簡單的架構(gòu)，可以擴(kuò)展到數(shù)千個(gè)站點(diǎn)。互聯(lián)網(wǎng)絡(luò)提供端到端的路由環(huán)境，而不是點(diǎn)對點(diǎn)的網(wǎng)絡(luò)。用于創(chuàng)建此邏輯網(wǎng)格的協(xié)議因供應(yīng)商而異。

不同供應(yīng)商有不同的目標(biāo)。有些供應(yīng)商更關(guān)注網(wǎng)絡(luò)互聯(lián)的零信任安全，而其他供應(yīng)商則使用網(wǎng)絡(luò)互聯(lián)來解決與應(yīng)用程序性能相關(guān)的問題。不支持會(huì)話的供應(yīng)商需要使用覆蓋。

單棧安全性

在理想情況下，單個(gè)軟件堆棧可用于所有網(wǎng)絡(luò)功能。人們現(xiàn)在開始看到路由和安全性的融合。如今的網(wǎng)絡(luò)和安全團(tuán)隊(duì)以及產(chǎn)品是不同的，人們希望將路由和安全性結(jié)合在一起。

一些SD－WAN供應(yīng)商與安全供應(yīng)商合作，以便路由和安全性能夠很好地協(xié)同工作。一個(gè)例子是使用網(wǎng)絡(luò)功能虛擬化（NFV）。

在這里，采用軟件堆棧并在同一硬件實(shí)例上運(yùn)行它們并將服務(wù)鏈接在一起。有些情況下，只是將所有內(nèi)容都推送到云端。所有安全性和自我修復(fù)都在云平臺(tái)中運(yùn)行，從而抽象出復(fù)雜性。無論哪種方法最適合用戶，未來的安全和聯(lián)網(wǎng)都會(huì)更加緊密。

支持太比特級網(wǎng)絡(luò)

如果用戶想在互聯(lián)網(wǎng)上使用太比特速度，可以購相應(yīng)的設(shè)備進(jìn)行擴(kuò)展。網(wǎng)絡(luò)互聯(lián)架構(gòu)為太比特級網(wǎng)絡(luò)提供高性能和支持。

IP地址獨(dú)立

對IP地址獨(dú)立性和重疊IP地址的支持至關(guān)重要。許多組織已經(jīng)分配了不受限制地運(yùn)營的團(tuán)隊(duì)，從而產(chǎn)生了1000個(gè)AWS賬戶。最終，當(dāng)用戶想要轉(zhuǎn)向共享服務(wù)，日志記錄或基于身份的策略 （IAM）時(shí)，IP地址沖突的可能性很高。

這里有兩個(gè)選擇：用戶可以讀取所有內(nèi)容，也可以使用提取IP地址的供應(yīng)商產(chǎn)品。抽象IP地址基于其他變量（如命名數(shù)據(jù)網(wǎng)絡(luò)）進(jìn)行路由。

零信任安全

它還提供零信任安全性。零信任安全的基本定義是沒有事先認(rèn)證和授權(quán)就沒有建立傳輸控制協(xié)議（TCP）或用戶數(shù)據(jù)報(bào)協(xié)議（UDP）。

自適應(yīng)加密和會(huì)話身份驗(yàn)證

自適應(yīng)加密是在應(yīng)用層加密，使用傳輸層安全性（TLS），可選擇在網(wǎng)絡(luò)級別重新加密。當(dāng)然優(yōu)點(diǎn)是雙重加密比單一加密更安全。如果某人在應(yīng)用程序?qū)佑袀鬏攲影踩裕═LS），他們?nèi)匀豢梢栽趥鬏攲影踩裕═LS）會(huì)話設(shè)置期間獲得有關(guān)TLS連接的一些元數(shù)據(jù)。

然而，在網(wǎng)絡(luò)層加密使用不同的密鑰，使用戶可以隱藏有關(guān)該TLS會(huì)話的元數(shù)據(jù)。但是，如果要在網(wǎng)絡(luò)層進(jìn)行加密，則會(huì)實(shí)現(xiàn)網(wǎng)絡(luò)性能。要解決此問題，用戶可能需要額外的資源來促進(jìn)加密。

1：1分割

互聯(lián)網(wǎng)設(shè)計(jì)提供1：1分割。這是應(yīng)用程序或服務(wù)到另一個(gè)應(yīng)用程序或服務(wù)的映射。確切地說，在虛擬服務(wù)器中，應(yīng)用程序只能在此端口上與另一個(gè)端口的應(yīng)用程序進(jìn)行通信，而不是通用的服務(wù)器到服務(wù)器映射。

應(yīng)用程序性能和服務(wù)保證

應(yīng)用程序性能和服務(wù)保證確保應(yīng)用程序正在高效運(yùn)行。此外，它確保應(yīng)用程序采用最佳路徑而不是最短路徑，這可能具有高利用率。

確定性路由

在通過安全堆棧時(shí)，必須采用確定性和動(dòng)態(tài)路由，因?yàn)橛脩舨恍枰菍ΨQ路由。

一些SD－WAN供應(yīng)商通過發(fā)送ping，雙向轉(zhuǎn)發(fā)檢測（BFD）或通過其他一些專有的保持活動(dòng)訪問鏈路測量來監(jiān)控鏈路。邊界網(wǎng)關(guān)協(xié)議（BGP）路由控制路由，但它是靜態(tài)的，可以根據(jù)規(guī)則或跳變進(jìn)行配置，但是，這些指標(biāo)都不是基于鏈路的利用率。

如果在一段時(shí)間內(nèi)丟棄了超過10％的數(shù)據(jù)包，用戶應(yīng)該能夠?qū)⒙酚稍O(shè)置為更好的路徑。許多SD－WAN正在宣傳這一點(diǎn)，因?yàn)樵谶^去設(shè)置思科智能WAN（IWAN）時(shí)，數(shù)據(jù)流的設(shè)置將使用相同的鏈路，直到該流程結(jié)束，無論抖動(dòng)或數(shù)據(jù)包丟失如何。

大型會(huì)話的鏈接負(fù)載平衡

全球互聯(lián)網(wǎng)為大型會(huì)話提供鏈路負(fù)載平衡。比方說，用戶正在執(zhí)行備份，可以平衡多個(gè)鏈接，而不是使用單個(gè)鏈接，這些鏈接可以同時(shí)使用給定的AWS或Azure實(shí)例，以便于進(jìn)行大量文件傳輸。

從傳輸控制協(xié)議（TCP）的角度來看，它看起來仍然相同。TCP仍然按順序保留序列號，即使它們進(jìn)入不同的路徑。這是因?yàn)樨?fù)載平衡是在開放系統(tǒng)互連（OSI）模型的網(wǎng)絡(luò)層執(zhí)行的。

維護(hù)會(huì)話狀態(tài)

在網(wǎng)絡(luò)中，會(huì)話將通過防火墻。發(fā)生拓?fù)涓膶?dǎo)致返回路徑發(fā)生變化時(shí)會(huì)發(fā)生什么？

非對稱路由將導(dǎo)致防火墻丟棄會(huì)話。因此，需要通過防火墻邊界和網(wǎng)絡(luò)拓?fù)涓膩砭S護(hù)會(huì)話狀態(tài)。因此，如果某個(gè)鏈接表現(xiàn)不佳，則需要確保路線更改是雙向的，而不僅僅是單方。這使用戶可以正確進(jìn)行故障轉(zhuǎn)移。在這種情況下，從TCP角度來看，用戶仍然在維護(hù)TCP狀態(tài)。