網路基礎結構的挑戰
向雲端遷移的注意事項
向雲端遷移極少能夠一步到位。能夠採用單一雲端提供者的組織數量有限,更多組織發現自己擁有公共雲端、私有雲端和內部部署基礎結構的某種組合。
維持異構基礎結構有多種充分的理由。對於支援這種基礎結構的網路功能而言,情況則有所不同:
安全,例如防火牆、DDoS 緩解和使用者存取管理
效能與可靠性,例如負載平衡、流量加速和 WAN 最佳化
有些矛盾的是,保護和加速複雜雲端環境的混合方法實際上會造成效能問題、安全漏洞和支援挑戰。為了避免這些問題,IT 和安全團隊必須設法讓這些網路功能盡可能順利地協同工作。
安全和效能基礎結構 — 模型和常見挑戰
保護和加速混合雲端和多雲端基礎結構通常需要以下一項或多項:
內部部署硬體設備
在雲端提供的多點解決方案
遺憾的是,這兩種方法都帶來相當大的挑戰。
內部部署硬體設備的挑戰
眾所周知,資料中心硬體的擁有成本比較高昂,而且頗爲耗時。這還經常面臨容量限制。例如,根據一份 Cloudflare 報告,2021 年第四季所有第 3/4 層 DDoS 攻擊中有 98% 每秒傳送多達 100 萬個封包 (pps)。通常,1 Gbps 乙太網路介面可以傳送 8 萬到 150 萬 pps 不等。
假設這個介面還要服務合法的流量,即使這些封包速率「較小」的 DDoS 攻擊也能輕鬆摧毀網際網路設備。另一種選擇是為最壞的情況保持足夠的容量,但這是一個昂貴的提議。
硬體也會造成安全漏洞。修補程式和更新就是一個例子。修補程式依賴於手動實施,並且可能由於後勤延誤或忘記而無法及時安裝。而一旦修補程式發佈,相應漏洞就會成為機會主義攻擊者揚名立萬的目標。
更重要的是,以混合雲端方式部署時,網路硬體設備會產生安全性漏洞。在第三方雲端提供者處安裝自有硬體顯然是天方夜譚。這就表示,基礎結構的不同部份要以不同的方式進行保護,這使得安全與 IT 團隊對傳入攻擊和合法流量的可見性和控制力度降低。
某些雲端解決方案的挑戰
雲端服務的總體持有成本低於硬體,但若部署不當,這會削弱應用程式和網路的效能。例如,其中許多依賴於數量有限的專用資料中心,例如用於緩解 DDoS 的清理中心。如果您或終端使用者不在這些資料中心之一的附近,即使最終目的地就在旁邊,您的流量也必須傳輸很長一段距離才能到達。
這種回程過程會明顯增加延遲。組織對不同網路功能使用不同提供者時,問題會更為嚴重,流量也必須經過許多個網路躍點才能到達目的地。
對不同的功能使用不同的提供者也會帶來支援方面的挑戰。當出現問題時,很難判斷哪個提供者是造成壅塞或中斷的起因。此外,管理所有這些提供者需要的時間依然很長 (並且成本也很高昂)。
組織應當如何應對這些挑戰?
分散式雲端網路彌補安全性漏洞並減少延遲
前面提到的用於保護和加速雲端基礎結構的策略有幾個弱點:
效能問題:硬體容量有限,而雲端服務可能會導致延遲,特別是當流量經過多個雲端網路以運作多項服務時。
控制和監控不一致:對不同的網路功能使用不同服務,套用一致的規則和監控全球流量會變得困難。
支援:使用不同的服務很難診斷問題的根源。
要解決所有這些問題,需要進行整合並實現全球覆蓋,讓這些網路功能在全球範圍內盡可能順利地協同工作。
在實踐中,這通常表示使用分散式雲端網路。分散式雲端網路具有以下特性:
有分散於全球的許多服務提供點。這表示終端使用者始終靠近網路,消除了流量往返於遠端清理中心、VPN 伺服器或其他服務所帶來的延遲。
能夠在每個服務提供點執行多種安全與效能服務。這表示可以在單個資料中心內清理、路由和加速流量,而不必為每個功能從一個位置跳到另一個位置,那樣做也會產生冗餘。如果一個資料中心負載過重或出現其他故障,其他資料中心可以立即接管過來。
能夠適應雲端和內部部署基礎結構。具備這一能力以及前述能力後,IT 和安全團隊就能設定一致的控制,並從一個地方監視全域流量。
分散式雲端網路通常依賴於 Anycast (任一傳播),這是一種網路定址和路由方法,其中傳入的請求可路由到各種不同的位置,即「節點」。Anycast 允許此類網路將傳入流量路由到最近且能有效處理請求的網路,這是減少終端使用者延遲的關鍵組成元素。
透過這樣的互連、智慧路由和冗餘,不一致控制、延遲和支援挑戰等問題就不太可能阻礙雲端遷移了。
Cloudflare 的分散式雲端網路在 125 個國家/地區的超過 330 座城市設有資料中心,每個資料中心都能執行防火牆規則、緩解 DDoS 攻擊、平衡流量負載,並且快取內容以快速傳遞給終端使用者,此外還具備諸多其他能力。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
異構基礎結構的優缺點
在雲端提供內部部署硬體和多點解決方案的挑戰
分散式雲端網路如何消除這些挑戰