有三种类型的应用程序;管理业务的应用程序,应用程序的业务和其他应用程序。
安全漏洞或业务运行的应用程序的性能相关问题无疑会影响收入。例如,一个问题在一个酒店预订系统将直接影响收入,而不是在Office 365停机。
一般假设云部署会遭受business-impacting由于网络性能问题。目标是让应用程序在25 ms(单向)用户使用它们。然而,太多的网络架构回程交通导线从一个私人公共互联网络。
的思想转变关键任务应用程序云计算需要重新考虑现有的云互联。这说服我跳上调用苏乐Slaymaker让他重视意见云互联的未来和新兴模型称为网络互连设计。
通常情况下,随着市场的成熟,我们将见证过渡到传统云的网络互连设计,骑上互联由multi-hybrid云架构。
引入原始的互联
有很多传统的方式连接到云。每个方法都有其优点和缺点在速度方面,云生态系统,价格、安全性和性能。
第一个也是最常见的方法是通过一个安全的网络连接,运行在一个网络连接,例如IPsec隧道。
第二种方式连接到云是通过云互连。企业获得一个私人的、直接的、高速连接到云互连,如Equinix的云交换和购买以太网交叉连接各种云服务提供商(csp)。
第三种方法是用直接广域网(WAN)。企业可以利用其现有的广域网MPLS / vpl供应商只需添加csp。
在现实中,许多企业会坐在中间和最终使用连接的组合模型。这完全取决于用户所在地,和应用程序的类型选择。例如,大数据应用程序中,将数据从许多不同的来源将是一个理想的适合云互连模型。
另一方面,如果用户在办公室,人会选择直接广域网远程员工相比,互联网传输使用。
一个复杂的架构
传统的云数据中心互联设计包括超重的行李。雷竞技电脑网站这个结果在一个复杂的体系结构的点对点连接IPsec隧道或以太网连接。
网格体系结构不很好,规模通常表面平方增长的问题。每次添加一个数据中心,你必须添加额外的连接雷竞技电脑网站数的平方其他数据/云计算中心。
因此,一些类型的覆盖是用于管理的复杂性。这些覆盖形式的IPsec隧道分割的某种类型的开销。大多数时候,虚拟扩展局域网(VXLAN)将被使用。
体系结构包括许多单一功能的服务,如路由器、防火墙、负载平衡器、广域网优化器,和IDS / IPS。单一功能服务创建appliance-sprawl,这增加了复杂性和成本。闲置备份设备可能不仅导致复杂的配置,而且在额外的成本。
附加的安全
有一些附加的安全带来的挑战。IPsec隧道内加密所有相同的加密密钥。坦率地说,如果你有段不同安全级别的不同,这些逻辑段将共享相同的加密密钥。
这是一个全有或全无加密你每段以同样的方式加密。自从路线和同龄人不验证,因此,连接可以被添加到网状网络未经身份验证。
因此,您需要添加防火墙。从本质上讲,我们是锚杆支护安全没有集成到路由和您的环境。没有“follow-the-network安全规则”,与网络动态安全规则可能会改变。
没有应用程序的性能保证
现有的模型没有提供应用程序的性能保证。路径选择是基于路由衬底这不是绩效。IPsec隧道将带你从A点到B即使选择路径可能大量利用或更长时间从距离的角度比路由通过一个更好的选择。
除此之外,您还需要有单独的NetFlow等工具测量应用程序的性能。
缺乏灵活性
现有系统缺乏灵活性,由定制配置的点对点的链接;一个配置,通常不是自动的。手动驱动架构总是容易出错。
如果你要使用私有链接,例如,多协议标签交换(MPLS),会有长时间部署,特别是如果你想包括冗余链接。记住,大多数仍在命令行操作(CLI)。
相关的费用
显然,成本非常高。如果你有一个MPLS链接,你将不得不使用冗余的另一个MPLS链接。如果任其违约,你可以,例如,使用互联网作为备份。记住,私人链接通常成本10倍互联网链接。
来填补这一缺口,但仍然是买专门的硬件和软件。规定,你必须购买或租昂贵的设备。例如,你不是路由软件敏捷Amazon EC2实例上运行。
网络互连设计
一个网络互连设计的目标是将数据中心,无论这是私人或公共并使它成为一个逻辑数据中心。雷竞技电脑网站即使你有很多物理位置,他们的行为看起来像一个逻辑数据中心从网络的角度来看。雷竞技电脑网站
网络互连的另一个关键方面是路由,一直到最后的计算。这是很重要的一个原因是如果你有一个多重云战略您想要一个VMware解决方案和集成到AWS和Azure。
简单的架构
网络互连设计提供了一个简单的架构,可以扩展到成千上万的网站。互联网提供了一个端到端路由环境中,而不是点对点。用于创建这个逻辑网的协议不同,这取决于供应商。
不同的供应商有不同的目标。有些人更关注Zero-Trust安全对于网络互连,而另一些则使用网络互连解决应用程序性能相关的问题。供应商不session-aware将需要使用一个覆盖。
单独的堆栈安全
理想情况下,单一的软件堆栈可以用于所有的网络功能。我们现在开始看到的收敛和混合路由和安全。今天的网络和安全团队的产品是不同的。今天,我们正处于一个我们想要路由和安全组合在一起。
一些SD-WAN供应商与安全厂商合作,路由和安全发挥的很好。一个例子是使用网络功能虚拟化(NFV)。
我们正在软件栈,在相同的硬件上运行实例和服务链接在一起。当别人有实例操作的薄边,只是一切都推到云。云安全与自愈操作,从而抽象的复杂性。哪个方法是最好的,未来的安全和网络会越来越接近。
具有网络支持t比特信息能力
具有速度在互联网上,如果你想t比特信息能力买一盒,尺度垂直或水平的盒子数量和规模。网络互连体系结构提供了高性能的具有网络和支持t比特信息能力。
独立的IP地址
支持独立IP地址和重叠IPs是至关重要的。许多组织已经分配的团队操作没有限制,导致1000年的AWS帐户。最终,有高潜力的IP冲突当组织想要搬到共享服务、日志或我。
在这里你有两个选择;你可以开始着手解决这个问题一切与供应商产品或抽象的IP地址。抽象的IP地址执行路由基于等变量命名数据网络。
Zero-trust安全
它还提供了Zero-Trust安全。Zero-Trust安全的基本定义是没有传输控制协议(TCP)和用户数据报协议(UDP)设置未经身份验证和授权。
自适应每个会话加密和身份验证
在应用程序层自适应加密加密,使用传输层安全(TLS),对在网络层的选项。好吧,这都有自己的优点和缺点。
双重加密的优点是比单一的安全加密。如果有人TLS在应用程序层,他们仍然可以得到一些元数据对于TLS连接在TLS会话设置。
然而,加密在网络层使用不同的密钥,使您能够隐藏关于TLS会话的元数据。然而,如果你是在网络层加密,你要网络性能。为了解决这一问题,你可能需要额外的资源来促进加密。
1:1分割
网络互连设计提供1:1的分割。这是一个应用程序或服务的映射到另一个应用程序或服务。准确地说,在一个虚拟服务器你说这个应用程序只能在该端口上沟通这个应用程序在这个端口与服务器到服务器的映射。
应用程序的性能和服务保证
应用程序的性能和服务保证确定应用程序执行效率。此外,它确保了应用程序正在最好的而不是最短路径,这可能高利用率或堵塞。
确定性路由
确定性和动态路由是必要时通过安全堆栈你不想要非对称路由。
有些SD-WAN供应商监控链接发送ping,双向转发检测(BFD)或其他专有维生访问链接测量。边界网关协议(东方)路由控制路由但它是静态的。它可以配置基于规则或跳,然而,这些指标是基于链接的利用率。
如果超过10%的包掉在一段时间内,您应该能够将路线设置为一个更好的路径。很多SD-WANs吹嘘这个是因为在过去当你设置一个思科智能WAN(伊万),流的设置将使用相同的链接,直到流结束,无论抖动或包丢失。
链路负载均衡对于大型会议
网络互连为大型会议提供了链路负载均衡。比方说,你是执行备份。而不是使用一个链接,你可以平衡跨多个链接到亚马逊或使用Azure实例同时促进大型文件传输。
从TCP的角度来看,它仍然看起来一样。TCP仍保持订单的序列号,尽管他们在不同的路径。这是因为负载平衡执行网络层的开放系统互连(OSI)模型。
保持会话状态
在一个网络,会话将会通过防火墙。当发生拓扑变化导致改变返回路径的?
非对称路由防火墙会导致会话。因此,我们需要保持会话状态穿过边界防火墙和网络拓扑结构的变化。那里,如果你的一个链接是表现不佳,您将需要确保路线的变化在两个方向上,而不仅仅是一个方向。这使您正确故障转移。在这种情况下,从TCP的角度来看,你还是保持TCP状态。