看重企業IT正朝向多雲應用邁進,Juniper Networks設計以Contrail Enterprise Multicloud(以下簡稱Contrail)解決方案,讓私有雲與公有雲平台上的應用環境,得以透過單一平台進行控管。IT管理者毋須學習各家雲端服務供應商所提供的操作介面,基於Contrail控制器即可建立一致性安全措施,即使虛擬主機搬遷到不同雲端平台同樣可套用。
「擁抱開放的定位,可說是Juniper相較市場上其他廠商的最大差異。」Juniper Networks台灣區技術總監游源濱指出,即是希望基於開放陣營技術發展一個成熟的軟體定義網路方案,以提供穩定且立即可用的商業版。
實體、虛擬、多雲應用建構整合運行
企業在內部建立Contrail控制器之後,搭配在公有雲上訂閱vSRX次世代防火牆服務,即可派送管理政策,以建立連接通道、防火牆規則;同時亦可串接實體與虛擬伺服器,方式是由Contrail控制器派送路由表到Hypervisor層的vRouter,建立接取路徑,同時因vRouter本身已整合防火牆技術,也可藉此配置控管政策。
至於實體伺服器的串接方式則是透過QFS系列交換器建立VXLAN通道接取虛擬環境,由Contrail控制器派送指令給QFS交換器來啟用。游源濱表示,未來Contrail控制器還會進一步提供雲端服務,讓IT規模不大的中小企業也可藉此採用軟體定義應用環境。
現階段的雲端化趨勢,其實是OTT業者引領的轉變,也就是Google、Facebook等業者帶起的風潮。多數企業皆思考仿效成功模式,問題是Google內部研發團隊多達幾百人,採用許多開放陣營的技術,甚至自行定義應用標準,比如說Kubernetes、自主研發SDN控制技術,多數企業難望項背。因此企業決意發展SDN之前必須先釐清此觀念,切勿抱持錯誤的期望。
既然如此,資料中心轉型的驅動力又從何而來?其實最根本因素還是現代的市場變化快速,多數企業莫不寄望借助新興資訊科技以鞏固競爭力,即便無法成為市場上的第一名,至少得加緊跟進才不致於被淘汰,因此推出新服務的速度勢必得提升。
縮短新服務上市時程,成為因應外在競爭的關鍵。近來台灣各個產業探討的數位轉型,亦可說是IT架構的轉型,欲達到打破既有工作流程、加速新商品推出的目標,網路與應用服務必須緊密結合實施自動化機制才可實現。
網路層逐步演進到SDN與NFV
資料中心轉型為雲端化,SDN只是其中一項環節。原本開放網路基金會(ONF)制定的SDN框架,並未提及虛擬化,而是在歐洲電信標準協會(ETSI)制定的網路功能虛擬化(NFV)框架範疇。
「必須先釐清的是,SDN與NFV兩者確實會交互利用,整合運行可發揮功效,實際上卻是兩種技術領域。」游源濱強調。前者是網路架構的演化,藉此可動態地在Overlay環境中串接應用服務;後者則是實體設備架構的演化,意思是把實體網路設備上的功能予以虛擬化,例如路由器、防火牆等功能,轉換為虛擬化元件,架構在Hypervisor之上執行,打破實體設備限制,讓網路架構的功能性得以彈性地部署配置在任意位置,此後亦可動態地調整。
由於NFV框架相當大,Juniper主要是著重於網路環境的虛擬化,底層的實體設備只要是x86系統皆可運行,在OpenStack環境中可搭配Contrail vRouter,上層則有網路元件管理系統(EMS),以及Contrail Service Orchestration協同作業平台整合運行。
此時會遭遇的問題是,網路一旦虛擬化後,隨即失去可視化能力,即便可從伺服器接取交換器的連接埠監看流量狀態,卻無法精準地釐清虛擬主機存取行為。相關技術供應商嘗試解決問題的方法是在虛擬主機彼此之間建立通道,也就是VXLAN封裝協議,建構在既有Layer 3的IP網路架構之上,業界稱之為Overlay架構,讓底層與應用服務徹底脫勾,彼此之間相依性愈小,應用層才得以擁有更高的自由度。
防火牆容器化補足安全性機制
從實際市場調查數據來看多雲應用,游源濱引述Juniper與PWC合作進行的市調報告指出,針對全球二百多家科技公司的高階主管進行訪談,幾乎所有受訪者皆指出,未來一到三年有部分內部的工作負載會遷移到公有雲平台,其中有73%受訪者已經制定多雲應用發展策略,至於遷移到公有雲最關注的重點,則是安全性與自動化執行的Orchestration(指揮協調)能力。這份調查報告正可回應Juniper三年前就已積極投入雲端應用相關發展的策略。
其實多數高階主管面對企業IT趨勢邁向軟體定義或是多雲應用,往往不知從何著手,游源濱建議,不用急著一步到位,軟體定義網路並非廠商提供完整的解決方案即可達成,必須思考的是如何基於既有建置環境逐階段執行。首先是讓資料中心實體架構轉變成Cloud Ready,至少須具備Orchestration整合控管底層的實體與虛擬平台,以便藉此建立可視化,掌握應用服務連接性、正確的對應Overlay與Underlay接取關係,進而發展自動化措施與確保安全性。
「針對Underlay與Overlay的整合,Hypervisor技術供應商會建議予以虛擬化後,控管Layer 3以上的環境即可。我們的做法是,上層與底層都管,甚至是非Juniper提供的設備也行。底層的Underlay可透過Ansible Playbook建立自動化組態配置;上層vRouter建立的VXLAN通道,是由Contrail控管。如此才可在問題發生時,透過清楚的對應表查看實體與虛擬環境接取的路徑,提升問題排除的效率。」游源濱說。
前述Orchestration實作運行後,有助於提升可視化能力。可透過Contrail平台上提供圖形化方式,檢視虛擬主機之間的流量,甚至是網路層與實體層的對應關係,皆可清楚地呈現。至於安全性方面,在虛擬主機之間,透過vRouter,抑或是升級版的Contrail Security,提供微分割(Micro-segmentation),定義虛擬主機存取行為,重要的是,在Contrail Command單一平台上,透過圖形化介面完成操作。若企業欲建立防毒、URL過濾、入侵防護偵測等機制,除了可遞送到外部實體資安設備來執行,亦可在虛擬環境中啟用vSRX來協助,讓微分割的流量導向vSRX偵測。甚至針對容器環境,Juniper也已推出Docker容器化版本cSRX,在IT業界目前還相當罕見,讓導入建置Kubernetes實作容器部署與維運的企業,亦可整合cSRX來建立保護措施。