將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2019/4/11

依據應用程式建構微切分 輔助監控同時確保安全性

控管工具掌握異質架構 降低IT維運門檻

洪羿漣
以超融合基礎架構(HCI)技術起家的Nutanix,跟隨著企業IT變革的腳步,如今核心(Core)解決方案也進展到應用程式自動化、軟體定義網路環境的微切分(Micro-segmentation),核心的設計理念即是把複雜的IT架構予以簡化,讓IT管理者透過精簡的操作步驟即可完成配置,降低學習曲線才得以因應日新月異的技術發展。


Nutanix台灣區資深技術經理鄭建華指出,資料中心的核心網路演進到軟體定義,核心價值主要在於安全性與自動化能力。其實SDN終極目標是實現網路自動化,資安只是過程中必須經歷的發展。自從Hypervisor技術的應用模式開始獲得企業認同,用以縮短建置應用伺服器所需耗費的時間,資料中心演進的腳步持續不斷地向前,如今已進展到Kubernetes調度容器環境,較虛擬化的方式更進一步達到加速效益,才讓軟體定義基礎架構得以發揮。

整合網通領域技術自動執行虛實配置

實際上,既有市場上提出軟體定義資料中心的供應商,仍舊過於偏重硬體思維。鄭建華觀察,如今所談的軟體定義,理應是根據應用層來決定網路的配置,問題是Hypervisor技術至今最大的問題,仍在於網路必須先行設定開通,之後啟用虛擬主機才可上線運行。軟體定義資料中心發展的角度則是顛倒過往思維,由上層應用服務發起,網路層須自動配合相關建置。

新興的網路公司,早就投入發展網路自動化。當然既有的網通領域大廠Cisco、Juniper等,也都是SDN領域中著重於研發控制層的技術供應商,發展重點在於接收到來自應用系統指令時,隨即觸發自動化配置網路,毋須人力介入即可完成。「前述的能力跟交換器業者有絕對的關係,因為交換器本身必須具有足夠彈性,提供相對應的API介面,或者是主控台來配置才可自動執行。」

畢竟Nutanix並非網通領域的供應商,因此可基於中立的角色協同國際大廠發展整合技術,當Nutanix平台上建立虛擬主機時,實體網路設備接收到指令隨即觸發自動化配置。當然,網路設備供應商本身亦有發展軟體定義網路技術,運用Openflow等標準協議建立自動化配置與調整設定,但是終究網路環境之上還是得介接虛擬化平台或容器環境,Nutanix即有提供虛擬機交換器,用以接取虛擬主機,並實作微分段技術,同時讓外部實體交換器合作廠商整合控管虛擬交換器,來執行自動化配置,兩者相互搭配彼此介接運行。

繪製抽象化關聯圖提升可視化能力

▲ Nutanix台灣區資深技術經理鄭建華指出,藉由微切分技術建立的東西向防火牆機制,以簡單的操作步驟即可制定可套用到上百個虛擬主機的控管政策,建立一致性原則,如此的應用情境,亦可省去入侵防護系統的建置。
Nutanix超融合基礎架構環境中的AHV平台可提供vSwitch讓各個虛擬主機接取連線,但卻可能遭遇傳統網路環境過於複雜的障礙。前述說明的自動化能力,可藉由Prism主控台啟用一台虛擬主機並指定VLAN編號,建置完成後會主動通知實體網路供應商的控制器,自動依據VLAN編號執行配置設定。一旦虛擬主機發生搬遷、卸載等異動狀況,亦可相互配合自動調整設定,不再需要如同過去得仰仗IT人員介入手動變更。

「我認為SDN的精神,在於實現網路的自動化與確保安全性,也是企業迫切需求的機制。」鄭建華強調。舉例而言,虛擬主機經由接取實體交換器連接埠存取特定資源時,控管政策限定僅開放Port 201來執行,其他活動則予以禁止,以免被惡意程式利用來感染入侵。日後該虛擬主機遷移到其他實體伺服器架構時,既有的控管政策亦可自動在另一台實體交換器上被啟用,不僅解決虛擬主機遷移後網路連接的問題,同時具有原生配置的控管政策保護。

至於公有雲、多雲應用環境,多數是採用容器環境運行微服務,彼此之間透過API介接組成單一應用,較以往三層式架構更加抽象且複雜,藉由應用拓樸圖清楚描繪出串接邏輯才可清楚掌握,進而建立保護措施。對此,Nutanix以SaaS方式提供的Xi Epoch,可探索建置在實體、虛擬,抑或是公有雲平台之上的應用程式,並且自動描繪出拓樸圖,針對特定時間點,監看應用系統與網路傳輸流量的變化,可協助開發團隊有效率地檢查程式碼執行效能,進行問題排除,尤其是正在轉型到微服務架構的應用系統,藉此才可擁有可視化能力。

工具簡化架構輔助實作縮短IT學習曲線

用以輔助維運的控管工具,若提供的資訊相當豐富,但是卻無法幫助DevOps團隊洞察應用狀態,反而會造成困擾。 鄭建華指出,因此Xi Epoch持續地依據客戶的回饋快速進行調整,再加上本身為SaaS的提供模式,藉此縮短方案平台新功能推出的週期。

基本程式開發能力已是IT維運人員必須具備的技能,相對的,開發者與資料庫管理者也必須懂得基礎架構的相關知識,或許毋須深入到實作安裝建置,至少得掌握運作邏輯,不再是以往各自為政的分工模式,甚至須由現階段的協同工作,進展到合併成為新的DevOps團隊。

「只是就現階段的狀況來看,IT人員普遍欠缺新技能,主因在於學習門檻高、改版速度過快,以及應用場景尚未普及,因此仍舊停留在評估與觀望階段。多年前SDN剛出現時,也是類似狀況。事實上,經過多年發展,IT人員進步的幅度並不多,企業乾脆成立新部門,也就是DevOps團隊,發展創新事業,藉此激勵既有IT人員投入學習。」鄭建華說。

Xi Epoch最終的目的在於運用自動化工具,不僅監控AHV虛擬環境,同時也包含Nutanix預計於2019年下半年將發布的PaaS方案Karbon,所建構的Docker容器與Kubernetes叢集環境,只要單一App皆可同時掌握。針對問題發生的當下必須執行阻斷連線、直接隔離等回應,則是交由具備標準的微切分技術的Flow實作,架構在AHV虛擬平台之上,透過軟體方式定義網路環境。

Flow機制在Prism平台中化身為Security Policy功能項目。Flow可說是未來IT與應用系統勢必會採用的建置方式,藉此來防範惡意攻擊威脅入侵,之所以設計為虛擬平台的功能項目之一,目的在於簡化複雜度。畢竟現階段市場上的SDN架構都過於複雜,必須予以簡化才有利於市場推廣。

此外,當IT人員面對網路資安問題,常見採用端點安全防護等方案,問題在於虛擬主機數量多達成千上萬時,大量部署、日後維運勢必會成為瓶頸。透過SDN方式,依據應用服務的角色配置控管措施,例如網頁服務全數套用相同政策保護,僅允許外部IP位址透過Port 80/443存取,其他全數阻擋,藉此降低遭滲透的風險。

這篇文章讓你覺得滿意不滿意
送出
相關文章
恩智浦攜手 FatPipe Networks 合作提供 SD-WAN 解決方案
實現網路轉型軟體定義 架構無需打掉重練
貫穿多雲應用 SDN登主流
IT架構與時俱進 助力推展數位化應用
增添容器化防火牆 跟進現代應用演進
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章