网络基础设施面临的挑战

迁移到云的注意事项

云迁移极少能一步到位。能够采用单一云提供商的组织数量有限，更多的组织发现自己拥有公共云、私有云和本地基础设施的某种组合。

维持异构基础设施有多种充分的理由。对于支持这种基础设施的网络功能而言，情况则有所不同：

• 安全，例如防火墙、DDoS 缓解和用户访问管理
• 性能和可靠性，例如负载平衡、流量加速和广域网优化

有点矛盾的是，保护和加速复杂云环境的混合方法实际上会产生性能问题、安全漏洞和支持挑战。为了避免这些问题，IT 和安全团队必须设法让这些网络功能尽可能无缝地协同工作。

安全和性能基础设施——模型和常见挑战

保护和加速混合云和多云基础架构通常需要以下一项或多项：

• 本地硬件设备
• 在云端交付的多点解决方案

不幸的是，这两种方法都带来了相当大的挑战。

本地硬件设备的挑战

众所周知，数据中心硬件的拥有成本高昂且耗时。它还常常面临容量限制。例如，根据 Cloudflare 的一项研究，2020 年第二季度所有 L3/4 DDoS 攻击中，有 76% 每秒传送多达 100 万个数据包 （pps）。通常，1 Gbps 以太网接口的传输速率介乎 8 万到 150 万 pps。

假设该接口还传输合法流量，而且大多数组织的接口速率都小于 1 Gbps，您可以看到，即使这些数据包速率较“小”的 DDoS 攻击也可以轻松地弄垮互联网资产。另一种选择是为最坏的情况保持足够的容量，但这是一个昂贵的提议。

硬件也会造成安全漏洞。补丁和更新就是一个例子。补丁依赖于手动实施，并且可能由于后勤延迟或忘记而无法及时安装。而一旦补丁发布，相应的漏洞就会成为机会主义攻击者的高调攻击目标。

更重要的是，以混合云方式部署时，网络硬件设备会产生安全漏洞。在第三方云提供商中安装自己的硬件显然是不可能的。这意味着基础设施的不同部分以不同的方式受到保护，从而使安全和 IT 团队对传入攻击和合法流量的可见性和控制力度降低。

某些云解决方案的挑战

云服务的总拥有成本低于硬件，但如果部署不正确，它们会降低应用程序和网络的性能。例如，其中许多依赖于数量有限的专门数据中心——例如用于缓解 DDoS 的清理中心。如果您或您的最终用户不在这些数据中心之一附近，即使最终目的地就在附近，您的流量也必须经过长距离才能到达。

这种回程过程会明显增加延迟。组织对不同网络功能使用不同提供商时，问题会更为严重。如果流量必须在提供商之间跳跃，延迟可能达到数百毫秒。

为不同的功能使用不同的提供商也会带来支持方面的挑战。当出现问题时，很难判断哪个提供商是造成拥塞或中断的原因。此外，管理所有这些提供商所需的时间（以及成本）仍然很高。

组织如何应对这些挑战？

分布式云网络弥补安全漏洞并减少延迟

前面提到的用于保护和加速云基础设施的策略有几个弱点：

• 性能问题：硬件容量有限，而基于云的服务可能会导致延迟——尤其是当流量通过多个云网络以运行多个服务时。
• 不一致的控制和监控：为不同的网络功能使用不同服务使得难以应用一致的规则和监控全球流量。
• 支持：使用不同服务很难诊断问题所在。

所有这些问题的解决方案是集成和全球覆盖——使这些网络功能在全球范围内尽可能无缝地协同工作。

在实践中，这通常意味着使用分布式云网络。分布式云网络是具有以下特性的网络：

• 分布于全球的多个入网点。这意味着最终用户始终靠近网络，从而消除了流量往返于远程清洗中心、VPN 服务器或其他服务所带来的延迟。
• 在每个入网点执行多种安全和性能服务的能力。这意味着可以在单个数据中心内清理、路由和加速流量，而不必为每个功能从一个位置跳到另一个位置——这种做法也会产生冗余。如果一个数据中心负载过重或出现其他故障，其他数据中心可以立即接管过来。
• 能够适应云和本地基础架构。通过这一能力以及前述能力，IT 和安全团队设施从单一位置统一的控制并监控全球流量。

分布式云网络通常依赖任播（Anycast） ，这是一种网络寻址和路由方法，其中传入的请求可路由到各种不同的位置，即“节点”。任播允许此类网络将传入流量路由到最近且能有效处理请求的网络——这是减少最终用户延迟的关键组成部分。

通过这样的互连、智能路由和冗余，不一致的控制、延迟和支持挑战等问题就不太可能阻碍云迁移了。

Cloudflare 的分布式云网络 在 100 + 个国家/地区的 250 个城市拥有数据中心，每个数据中心都能够执行防火墙规则、缓解 DDoS 攻击、流量负载平衡和缓存内容以快速交付给最终用户，以及其他能力。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。