Magic Cloud Networking可有效簡化安全、連接以及公共云管理

來源：Cloudflare

作者：Cloudflare

時間：2024-08-31

今天，我們將著重向大家介紹Magic Cloud Networking。在Cloudflare通過今年收購Nefeli Networks所獲得的創(chuàng)新技術加成下，這些可視化和自動化云網(wǎng)絡的全新功能將讓我們的客戶能夠安全、便捷和無縫地連接到公共云環(huán)境。

公共云可為企業(yè)提供可擴展、按需啟用的IT基礎設施，而無需承擔運營自有數(shù)據(jù)中心的開銷和費用。云網(wǎng)絡是上云應用程序的基礎，但在沒有自動化軟件的情況下難以管理，尤其是跨多個云賬戶大規(guī)模運營的情況。Magic Cloud Networking使用熟悉的概念提供單一界面，控制和統(tǒng)一多個云提供商的本地網(wǎng)絡功能，以創(chuàng)建可靠、經(jīng)濟高效和安全的云網(wǎng)絡。

Nefeli的多云網(wǎng)絡方法解決了在公共云內部和跨公共云構建和運營端到端網(wǎng)絡的問題，使企業(yè)能夠安全地利用跨越任何內部和外部資源組合的應用程序。加入Nefeli的技術將使我們的客戶比以往任何時候都更容易連接和保護他們的用戶、專用網(wǎng)絡和應用程序。

云網(wǎng)絡為何困難？

與傳統(tǒng)的本地數(shù)據(jù)中心網(wǎng)絡相比，云網(wǎng)絡承諾簡單易用：

-由于物理層和以太網(wǎng)層并不是云提供商所披露網(wǎng)絡服務的一部分，因此用戶無需考慮物理網(wǎng)絡的大部分復雜性。

-更少控制平面協(xié)議；相反，云提供商提供簡化的軟件定義網(wǎng)絡（SDN），可通過API進行完全編程。

-從零容量到超大容量，均即時按需可用，僅按照使用量計費。

然而，以上承諾尚未完全實現(xiàn)。我們的客戶描述了云網(wǎng)絡存在困難的幾個原因：

-端到端可見性欠佳：云網(wǎng)絡可見性工具難以使用，甚至在單一云提供商內部也存在孤島，阻礙了端到端的監(jiān)控和故障排除。

-更快的步伐：傳統(tǒng)的IT管理方法與云的“按需即時部署”承諾相沖突。熟悉的ClickOps和CLI驅動的流程必須被自動化所取代以滿足業(yè)務需求。

-技術不同：本地環(huán)境中的現(xiàn)有網(wǎng)絡架構不能無縫過渡到公共云。缺失的以太網(wǎng)層和高級控制平面協(xié)議在許多網(wǎng)絡設計中至關重要。

-新的成本模式：公共云采用動態(tài)的“即用即付”、基于使用量的成本模式，不兼容圍繞固定成本電路和5年折舊構建的既有方法。網(wǎng)絡解決方案的架構設計通常會受到資金限制，因此在云中采用不同的架構方法是合理之舉。

-新的安全風險：使用真正的Zero Trust和最小權限保護公共云需要成熟的運營流程和自動化，還需要熟悉云特定策略和IAM控制。

-多供應商：企業(yè)網(wǎng)絡通常使用單一供應商采購，以促進互操作性、運營效率以及有針對性的招聘和培訓。如果運營的網(wǎng)絡超出了單個云，擴展到其他云或本地環(huán)境，則屬于多供應商方案。

Nefeli考慮了所有這些問題以及不同客戶角度之間的矛盾，從而確定了解決問題的方向。

列車、飛機和自動化

考慮一下列車系統(tǒng)。為了有效運行，它有三個關鍵層面：

-軌道和列車

-電子信號

-一家管理系統(tǒng)和售票的公司。

一個擁有良好軌道、列車和信號的列車系統(tǒng)，仍可能因為其代理跟不上乘客的需求而無法充分發(fā)揮潛力。結果是乘客無法計劃行程或購買車票。

通過簡化時刻表、簡化定價、為代理提供更好的訂票系統(tǒng)以及安裝自動售票機，列車公司消除了流程中的瓶頸?，F(xiàn)在，由軌道、列車和信號燈組成的同一基礎設施運行快速、可靠，可以充分發(fā)揮其潛力。

解決正確的問題

在網(wǎng)絡中，有類似的三個層面，稱為網(wǎng)絡平面：

-數(shù)據(jù)平面：將數(shù)據(jù)（以數(shù)據(jù)包的形式）從源傳輸?shù)侥康牡氐木W(wǎng)絡路徑。

-控制平面：決定數(shù)據(jù)包在數(shù)據(jù)平面如何傳輸?shù)膮f(xié)議和邏輯。

-管理平面：數(shù)據(jù)平面和控制平面的配置和監(jiān)控界面。

在公共云網(wǎng)絡中，這些層映射到

-云數(shù)據(jù)平面：底層電纜和設備作為虛擬私有云（VPC）或虛擬網(wǎng)絡（VNet）服務的形式暴露給用戶，其中包括子網(wǎng)、路由表、安全組/ACL以及負載平衡器和VPN網(wǎng)關等附加服務。

-云控制平面：云控制平面不采用分布式協(xié)議，而是一種軟件定義網(wǎng)絡（SDN），例如用來編程靜態(tài)路由表。（其中有限地使用傳統(tǒng)控制平面協(xié)議，例如與外部網(wǎng)絡連接的BGP和與虛擬機連接的ARP）。

-云管理平面：帶有用戶界面和API的管理界面，允許管理員全面配置數(shù)據(jù)和控制平面。它還提供各種監(jiān)控和日志記錄功能，這些功能可被啟用并與第三方系統(tǒng)集成。

就像我們上述所列舉的列車示例一樣，我們的客戶在使用云網(wǎng)絡時遇到的大多數(shù)問題都出現(xiàn)在第三層：管理平面。

Nefeli簡化、統(tǒng)一和自動化云網(wǎng)絡管理和運營。

避免成本和復雜性

解決云網(wǎng)絡管理問題的一種常見方法是引入虛擬網(wǎng)絡功能（VNF），進行數(shù)據(jù)包轉發(fā)的虛擬機（VM），以代替原生數(shù)據(jù)平面組件。一些VNF是從傳統(tǒng)網(wǎng)絡供應商的硬件設備移植而來的路由器、防火墻或負載平衡器，而另一些VNF是基于軟件的代理，通?；贜GINX或Envoy等開源項目構建。由于VNF模仿物理設備，IT團隊可以繼續(xù)使用熟悉的管理工具，但VNF也有缺點：

-虛擬機沒有定制的網(wǎng)絡芯片，因此只能依靠原始計算能力。虛擬機的大小是根據(jù)預計的峰值負載確定的，然后通常會全天候運行。這樣一來，無論實際使用率如何，計算成本都會很高。

-高可用性（HA）依賴于脆弱、昂貴和復雜的網(wǎng)絡配置。

-服務插入——將VNF置入數(shù)據(jù)包流的配置——通常會強制數(shù)據(jù)包路徑，產(chǎn)生額外的帶寬費用。

-VNF的許可方式通常類似于本地同類產(chǎn)品，價格昂貴。

-VNF鎖定了企業(yè)，并可能使其無法受益于云原生數(shù)據(jù)平面產(chǎn)品的改進。

由于這些原因，企業(yè)正在放棄基于VNF的解決方案，越來越多地尋求依靠云服務提供商的原生網(wǎng)絡功能。內置的公共云網(wǎng)絡具有彈性、高性能、穩(wěn)健性，并按使用量計價，還集成了高可用性選項，并由云提供商的服務水平協(xié)議提供支持。

在我們的列車示例中，軌道和列車都很好。同樣，云網(wǎng)絡數(shù)據(jù)平面的能力也很強。改變數(shù)據(jù)平面來解決管理平面問題是錯誤的方法。要使其在大規(guī)模上有效，企業(yè)需要一種能與云服務提供商的原生網(wǎng)絡功能協(xié)同工作的解決方案。

Nefeli利用原生云數(shù)據(jù)平面組件，而不是第三方VNF。

隆重推介Magic Cloud Networking

Nefeli團隊已加入Cloudflare，將云網(wǎng)絡管理功能與Cloudflare One集成。這項功能被稱為Magic Cloud Networking。借助這項功能，企業(yè)可以使用Cloudflare儀表盤和API來管理他們的公共云網(wǎng)絡，并與Cloudflare One連接。

端到端

正如列車服務商僅專注于在自己的網(wǎng)絡內完成列車運行一樣，云服務供應商在單一云賬戶內提供網(wǎng)絡連接和工具。許多大型企業(yè)在多個云提供商處擁有數(shù)百個云賬戶。在端到端網(wǎng)絡中，這就形成了互不相連的網(wǎng)絡孤島，導致運行效率低下和風險。

想象一下，您要組織一次橫跨歐洲的火車旅行，而沒有一家列車公司同時服務您的出發(fā)地和目的地。您知道它們都提供相同的基本服務：列車上的座位。然而，您的旅行很難安排，因為它涉及到由不同公司運營的多趟列車，這些公司都有自己的時間表和票價，而且都使用不同的語言！

Magic Cloud Networking就像一個在線旅行社，可以匯總多種交通選擇、預訂多張車票、方便預訂后的更改，然后提供旅行狀態(tài)更新。

通過Cloudflare儀表板，您可以發(fā)現(xiàn)跨賬戶和云提供商的所有網(wǎng)絡資源，并在單個界面中直觀地顯示端到端網(wǎng)絡。一旦Magic Cloud Networking發(fā)現(xiàn)您的網(wǎng)絡，您就可以通過一個完全自動化的簡單工作流程建立一個可擴展的網(wǎng)絡。

資源清單在單個響應式用戶界面中顯示所有配置

安心掌控每個云的復雜性

公共云用于交付應用程序和服務。每個云提供商都提供可組合的模塊化構件（資源）堆棧，從計費賬戶開始，然后添加安全控制。對于基于服務器的應用程序來說，下一個基礎層是VPC網(wǎng)絡。其他資源建立在VPC網(wǎng)絡基礎之上，直到您擁有了托管企業(yè)應用程序和數(shù)據(jù)的計算、存儲和網(wǎng)絡基礎架構。即使是相對簡單的架構，也可能由數(shù)百個資源組成。

可問題在于，這些資源所揭示的抽象概念不同于用于在本地構建服務的構件，不同云提供商的抽象概念也不盡相同，而且它們形成了錯綜復雜的依賴關系，其中包含有關如何更改配置的復雜規(guī)則（不同資源類型和云提供商的規(guī)則也不盡相同）。例如，我創(chuàng)建了100個虛擬機，并將它們連接到一個IP網(wǎng)絡。虛擬機使用網(wǎng)絡時，我能否更改IP網(wǎng)絡？答案是：視情況而定。

Magic Cloud Networking可以為您處理這些差異和復雜性。它可配置VPN網(wǎng)關、路由和安全組等原生云組件，將您的云VPC網(wǎng)絡安全地連接到Cloudflare One，而無需學習每個云創(chuàng)建VPN連接和集線器的復雜指令。

持續(xù)、協(xié)調的自動化

再以我們的列車系統(tǒng)為例，如果鐵路維修人員在軌道上發(fā)現(xiàn)危險故障怎么辦？他們手動將信號燈設置為紅燈，以防止來往列車使用故障路段。那么，如果調度室在更改信號時間表時，不幸巧合地遠程設置了信號，從而取消了維護人員采取的安全措施，那又該怎么辦呢？現(xiàn)在出現(xiàn)了一個無人知曉的問題，其根本原因在于多個部門可以通過不同的接口改變信號，而無需進行協(xié)調。

云網(wǎng)絡中也存在同樣的問題：不同的團隊使用不同的自動化和配置界面對一系列角色進行了配置更改，包括計費、支持、安全、網(wǎng)絡、防火墻、數(shù)據(jù)庫和應用程序開發(fā)等。

一旦您的網(wǎng)絡部署完畢，Magic Cloud Networking就會監(jiān)控其配置和運行狀況，讓您確信昨天部署的安全性和連接性今天依然有效。它會跟蹤所負責的云資源，如果這些資源被帶外更改，它會自動回滾變化，同時允許您使用其他自動化工具管理其他資源，例如存儲桶和應用程序服務器。此外，當您更改網(wǎng)絡時，Cloudflare會負責路由管理，在Cloudflare和所有連接的云提供商網(wǎng)絡中注入和撤回全球路由。

Magic Cloud Networking可通過API進行完全編程，并可集成到現(xiàn)有的自動化工具鏈中。

當云網(wǎng)絡基礎設施偏離意圖時，界面會發(fā)出警告