Magic Cloud Networking可有效簡化安全、連接以及公共云管理

來源：Cloudflare

作者：Cloudflare

時間：2024-08-31

今天，我們將著重向大家介紹Magic Cloud Networking。在Cloudflare通過今年收購Nefeli Networks所獲得的創(chuàng)新技術加成下，這些可視化和自動化云網絡的全新功能將讓我們的客戶能夠安全、便捷和無縫地連接到公共云環(huán)境。

公共云可為企業(yè)提供可擴展、按需啟用的IT基礎設施，而無需承擔運營自有數據中心的開銷和費用。云網絡是上云應用程序的基礎，但在沒有自動化軟件的情況下難以管理，尤其是跨多個云賬戶大規(guī)模運營的情況。Magic Cloud Networking使用熟悉的概念提供單一界面，控制和統(tǒng)一多個云提供商的本地網絡功能，以創(chuàng)建可靠、經濟高效和安全的云網絡。

Nefeli的多云網絡方法解決了在公共云內部和跨公共云構建和運營端到端網絡的問題，使企業(yè)能夠安全地利用跨越任何內部和外部資源組合的應用程序。加入Nefeli的技術將使我們的客戶比以往任何時候都更容易連接和保護他們的用戶、專用網絡和應用程序。

云網絡為何困難？

與傳統(tǒng)的本地數據中心網絡相比，云網絡承諾簡單易用：

-由于物理層和以太網層并不是云提供商所披露網絡服務的一部分，因此用戶無需考慮物理網絡的大部分復雜性。

-更少控制平面協(xié)議；相反，云提供商提供簡化的軟件定義網絡（SDN），可通過API進行完全編程。

-從零容量到超大容量，均即時按需可用，僅按照使用量計費。

然而，以上承諾尚未完全實現。我們的客戶描述了云網絡存在困難的幾個原因：

-端到端可見性欠佳：云網絡可見性工具難以使用，甚至在單一云提供商內部也存在孤島，阻礙了端到端的監(jiān)控和故障排除。

-更快的步伐：傳統(tǒng)的IT管理方法與云的“按需即時部署”承諾相沖突。熟悉的ClickOps和CLI驅動的流程必須被自動化所取代以滿足業(yè)務需求。

-技術不同：本地環(huán)境中的現有網絡架構不能無縫過渡到公共云。缺失的以太網層和高級控制平面協(xié)議在許多網絡設計中至關重要。

-新的成本模式：公共云采用動態(tài)的“即用即付”、基于使用量的成本模式，不兼容圍繞固定成本電路和5年折舊構建的既有方法。網絡解決方案的架構設計通常會受到資金限制，因此在云中采用不同的架構方法是合理之舉。

-新的安全風險：使用真正的Zero Trust和最小權限保護公共云需要成熟的運營流程和自動化，還需要熟悉云特定策略和IAM控制。

-多供應商：企業(yè)網絡通常使用單一供應商采購，以促進互操作性、運營效率以及有針對性的招聘和培訓。如果運營的網絡超出了單個云，擴展到其他云或本地環(huán)境，則屬于多供應商方案。

Nefeli考慮了所有這些問題以及不同客戶角度之間的矛盾，從而確定了解決問題的方向。

列車、飛機和自動化

考慮一下列車系統(tǒng)。為了有效運行，它有三個關鍵層面：

-軌道和列車

-電子信號

-一家管理系統(tǒng)和售票的公司。

一個擁有良好軌道、列車和信號的列車系統(tǒng)，仍可能因為其代理跟不上乘客的需求而無法充分發(fā)揮潛力。結果是乘客無法計劃行程或購買車票。

通過簡化時刻表、簡化定價、為代理提供更好的訂票系統(tǒng)以及安裝自動售票機，列車公司消除了流程中的瓶頸?，F在，由軌道、列車和信號燈組成的同一基礎設施運行快速、可靠，可以充分發(fā)揮其潛力。

解決正確的問題

在網絡中，有類似的三個層面，稱為網絡平面：

-數據平面：將數據（以數據包的形式）從源傳輸到目的地的網絡路徑。

-控制平面：決定數據包在數據平面如何傳輸的協(xié)議和邏輯。

-管理平面：數據平面和控制平面的配置和監(jiān)控界面。

在公共云網絡中，這些層映射到

-云數據平面：底層電纜和設備作為虛擬私有云（VPC）或虛擬網絡（VNet）服務的形式暴露給用戶，其中包括子網、路由表、安全組/ACL以及負載平衡器和VPN網關等附加服務。

-云控制平面：云控制平面不采用分布式協(xié)議，而是一種軟件定義網絡（SDN），例如用來編程靜態(tài)路由表。（其中有限地使用傳統(tǒng)控制平面協(xié)議，例如與外部網絡連接的BGP和與虛擬機連接的ARP）。

-云管理平面：帶有用戶界面和API的管理界面，允許管理員全面配置數據和控制平面。它還提供各種監(jiān)控和日志記錄功能，這些功能可被啟用并與第三方系統(tǒng)集成。

就像我們上述所列舉的列車示例一樣，我們的客戶在使用云網絡時遇到的大多數問題都出現在第三層：管理平面。

Nefeli簡化、統(tǒng)一和自動化云網絡管理和運營。

避免成本和復雜性

解決云網絡管理問題的一種常見方法是引入虛擬網絡功能（VNF），進行數據包轉發(fā)的虛擬機（VM），以代替原生數據平面組件。一些VNF是從傳統(tǒng)網絡供應商的硬件設備移植而來的路由器、防火墻或負載平衡器，而另一些VNF是基于軟件的代理，通常基于NGINX或Envoy等開源項目構建。由于VNF模仿物理設備，IT團隊可以繼續(xù)使用熟悉的管理工具，但VNF也有缺點：

-虛擬機沒有定制的網絡芯片，因此只能依靠原始計算能力。虛擬機的大小是根據預計的峰值負載確定的，然后通常會全天候運行。這樣一來，無論實際使用率如何，計算成本都會很高。

-高可用性（HA）依賴于脆弱、昂貴和復雜的網絡配置。

-服務插入——將VNF置入數據包流的配置——通常會強制數據包路徑，產生額外的帶寬費用。

-VNF的許可方式通常類似于本地同類產品，價格昂貴。

-VNF鎖定了企業(yè)，并可能使其無法受益于云原生數據平面產品的改進。

由于這些原因，企業(yè)正在放棄基于VNF的解決方案，越來越多地尋求依靠云服務提供商的原生網絡功能。內置的公共云網絡具有彈性、高性能、穩(wěn)健性，并按使用量計價，還集成了高可用性選項，并由云提供商的服務水平協(xié)議提供支持。

在我們的列車示例中，軌道和列車都很好。同樣，云網絡數據平面的能力也很強。改變數據平面來解決管理平面問題是錯誤的方法。要使其在大規(guī)模上有效，企業(yè)需要一種能與云服務提供商的原生網絡功能協(xié)同工作的解決方案。

Nefeli利用原生云數據平面組件，而不是第三方VNF。

隆重推介Magic Cloud Networking

Nefeli團隊已加入Cloudflare，將云網絡管理功能與Cloudflare One集成。這項功能被稱為Magic Cloud Networking。借助這項功能，企業(yè)可以使用Cloudflare儀表盤和API來管理他們的公共云網絡，并與Cloudflare One連接。

端到端

正如列車服務商僅專注于在自己的網絡內完成列車運行一樣，云服務供應商在單一云賬戶內提供網絡連接和工具。許多大型企業(yè)在多個云提供商處擁有數百個云賬戶。在端到端網絡中，這就形成了互不相連的網絡孤島，導致運行效率低下和風險。

想象一下，您要組織一次橫跨歐洲的火車旅行，而沒有一家列車公司同時服務您的出發(fā)地和目的地。您知道它們都提供相同的基本服務：列車上的座位。然而，您的旅行很難安排，因為它涉及到由不同公司運營的多趟列車，這些公司都有自己的時間表和票價，而且都使用不同的語言！

Magic Cloud Networking就像一個在線旅行社，可以匯總多種交通選擇、預訂多張車票、方便預訂后的更改，然后提供旅行狀態(tài)更新。

通過Cloudflare儀表板，您可以發(fā)現跨賬戶和云提供商的所有網絡資源，并在單個界面中直觀地顯示端到端網絡。一旦Magic Cloud Networking發(fā)現您的網絡，您就可以通過一個完全自動化的簡單工作流程建立一個可擴展的網絡。

資源清單在單個響應式用戶界面中顯示所有配置

安心掌控每個云的復雜性

公共云用于交付應用程序和服務。每個云提供商都提供可組合的模塊化構件（資源）堆棧，從計費賬戶開始，然后添加安全控制。對于基于服務器的應用程序來說，下一個基礎層是VPC網絡。其他資源建立在VPC網絡基礎之上，直到您擁有了托管企業(yè)應用程序和數據的計算、存儲和網絡基礎架構。即使是相對簡單的架構，也可能由數百個資源組成。

可問題在于，這些資源所揭示的抽象概念不同于用于在本地構建服務的構件，不同云提供商的抽象概念也不盡相同，而且它們形成了錯綜復雜的依賴關系，其中包含有關如何更改配置的復雜規(guī)則（不同資源類型和云提供商的規(guī)則也不盡相同）。例如，我創(chuàng)建了100個虛擬機，并將它們連接到一個IP網絡。虛擬機使用網絡時，我能否更改IP網絡？答案是：視情況而定。

Magic Cloud Networking可以為您處理這些差異和復雜性。它可配置VPN網關、路由和安全組等原生云組件，將您的云VPC網絡安全地連接到Cloudflare One，而無需學習每個云創(chuàng)建VPN連接和集線器的復雜指令。

持續(xù)、協(xié)調的自動化

再以我們的列車系統(tǒng)為例，如果鐵路維修人員在軌道上發(fā)現危險故障怎么辦？他們手動將信號燈設置為紅燈，以防止來往列車使用故障路段。那么，如果調度室在更改信號時間表時，不幸巧合地遠程設置了信號，從而取消了維護人員采取的安全措施，那又該怎么辦呢？現在出現了一個無人知曉的問題，其根本原因在于多個部門可以通過不同的接口改變信號，而無需進行協(xié)調。

云網絡中也存在同樣的問題：不同的團隊使用不同的自動化和配置界面對一系列角色進行了配置更改，包括計費、支持、安全、網絡、防火墻、數據庫和應用程序開發(fā)等。

一旦您的網絡部署完畢，Magic Cloud Networking就會監(jiān)控其配置和運行狀況，讓您確信昨天部署的安全性和連接性今天依然有效。它會跟蹤所負責的云資源，如果這些資源被帶外更改，它會自動回滾變化，同時允許您使用其他自動化工具管理其他資源，例如存儲桶和應用程序服務器。此外，當您更改網絡時，Cloudflare會負責路由管理，在Cloudflare和所有連接的云提供商網絡中注入和撤回全球路由。

Magic Cloud Networking可通過API進行完全編程，并可集成到現有的自動化工具鏈中。

當云網絡基礎設施偏離意圖時，界面會發(fā)出警告