- 混合雲組網的問題與挑戰
企業用雲量持續增長。隨着時間的推移,逐漸形成了混合雲架構。混合雲架構如何解決通“網”需求?
1.1 多雲網絡互通
常見的組網方案有:用戶自建IPSec網關,使用加密隧道連接。但會帶來以下問題:
1) 配置複雜,維護成本高
例如,將阿里雲北京的VPC資源接入AWS新加坡的VPC。通常我們使用×××軟件解決,但通過繁瑣的CLI在不同的雲服務商實施不同的部署工作流,會造成在基礎設施上花費太多的精力。
2) 網絡結構臃腫,失去靈活性。
業務需求是更快的發佈應用程序。拼湊使用多種連接方式組網,會使網絡架構臃腫,增加複雜度。快,敏捷將是難以實現的。
1.2 企業和雲網絡互通
常見的組網方案有:雲專線。 但也會帶來以下問題:
1) 受服務商約束,需要改動網絡。
例如,將阿里雲北京,騰訊雲深圳的VPC基礎設施接入到北京的數據中心。雲專線連接方式依賴服務商,需要在用戶側部署接入設備,花費幾天或幾周的時間改動網絡。由於涉及到專線服務商,運營商,雲服務商多方面配合,在資源協同,線路選擇方面通常會有限制。
2) 高昂的組網成本,限制企業通網。
雲專線每年支出在數十萬級。創業公司沒有大企業的資源優勢,較高的支出,顯然不符合需求。
1.3 客戶端遠程接入
常見的組網方案有:Open×××。 但也會帶來以下問題:
1) 多用戶多VPC環境,繁瑣的證書管理。
每個VPC中都部署Open×××服務器會導致繁瑣的證書管理。如果您有超過10個用戶和多個VPC,則客戶端證書管理和Open×××配置維護可能成爲一項重大挑戰。
2) 需要安裝客戶端。
對於大多數技術人員,Open×××使用上沒有門檻,但接入系統有可能需要開放給非技術人員使用,例如,銷售使用IPSec訪問內網中的CRM。需要安裝客戶端的方案,加大了實施難度。
- 混合雲組網的實現思路
如何能減少網絡改動,低成本快速組網,同時簡化IPSec隧道的創建,刪除和管理?我們探索出了一種自動化實現方案。
從圖中可以看出,我們參考了SDN軟件架構設計,將×××網關抽象出來邏輯分層,實現集中管理。
2.1 組網自動化方案的組件
1) IPSec容器
運行在VPC或用戶側網絡的主機上;
處理IPSec通道(IPSec加密)流量;
通過WebSocket與控制器連接。
2) 控制器
通過Restful API完成指定隧道的創建,刪除,管理;
通過雲服務商網絡API完成VPC的路由配置;
通過Restful API與Web Client通信。
3) Web Client
隧道管理;
用戶管理;
數據可視化。
各組件連接關係如下圖:
2.2 對等連接的過程及其實現
1) 用戶在管理界面點擊需要互通的網絡,Web Client向控制器發送創建連接請求,控制器向指定IPSec容器下發IPSec配置,同時在VPC路由表添加到達對端網絡的路由條目。配置完成後拉起隧道,兩端網絡完成互通。
2) 如果遇到兩端網絡VPC CIDR衝突的情況,可以通過管理界面修改指定連接的CIDR,Web Client向控制器發送修改CIDR請求,控制器向IPSec容器下發新的IPSec配置,同時更新VPC路由條目。完成後重新拉起隧道。
3) 通過界面,可以集中管理所有IPSec容器以及隧道。如果網絡環境發生變化,例如雲服務器的公網IP變更,監控服務會通知容器自動更新IPSec配置,同時更新VPC路由條目,重新拉起隧道。
以上就是系統的工作原理。從中我們可以看出,系統已經很好地解決了傳統連接方式所遇到的問題:
1) 控制器通過IPSec容器API接口完成IPSec連接配置,使用雲服務商網絡API接口完成VPC路由配置,從而實現了自動化。這種設計的優勢在於可以消除複雜度,不需要網絡工程師,任何人都可以運行。
2) 對於用戶側網絡和雲網絡互通需求,由運行在用戶側主機上的IPSec容器向運行在雲網絡的IPSec容器發起IPSec連接,這樣設計是爲了避免對企業網絡進行改動,減少對硬件設備的依賴。由於不需要在企業用戶側開放端口,可以適應直接路由,NAT,Proxy等主流的互聯網接入方式。
3) 採用容器化的部署方式,將企業邊界軟化,不需要在用戶側網絡部署CPE設備,不需要配置公有云邊界路由器。由於採用了集中管理,分佈運行的設計,可以滿足隨處運行,可持續升級的需求。
2.3 客戶端遠程接入的過程及實現
1) 管理員可以手動添加用戶,也可以使用邀請註冊的方式導入用戶,將註冊地址,註冊碼分發給團隊成員。用戶登記郵箱,密碼,手機號,註冊碼完成賬號註冊。如果有LDAP環境,還可以使用系統的LDAP自動同步功能,對接LDAP服務器,週期性自動更新賬號信息。
2) 賬號生效後,用戶不需要安裝客戶端,直接使用macOS,Windows,iOS,Android,Linux原生IPSec客戶端即可接入。IPSec類型爲使用預共享密鑰的L2TP/IPSec。
3) 如果用戶需要重置密碼,可前往自助IT服務頁面自行重置密碼,就像重設郵箱密碼一樣簡單。
以上就是客戶端接入的流程。從中我們可以看出,系統已經很好地解決了Open×××所遇到的問題:
1) 使用預共享密鑰的接入方式。這樣設計是爲了避免維護客戶端證書,同時還能直接使用操作系統原生IPSec客戶端,不需要用戶再額外安裝IPSec客戶端。好處是降低了使用門檻,降低了實施難度,使得適應更多的應用場景,適應更多用戶羣。
2) 提供多種用戶導入方式。這樣設計是爲了兼容企業的IT環境。管理員可以手動添加用戶,或者使用邀請註冊的方式導入團隊成員。還可以通過系統的LDAP自動同步功能,自動更新賬號。
3) 通過管理界面,可以集中管理所有IPSec容器以及用戶。爲用戶提供密碼重置,接入配置指南等自助式IT服務界面。管理員無須介入,降低IT服務成本。
- 自動化組網的價值
IPSec組網自動化方案解決了幾個問題:
快速組網:使用IPSec 連接基礎設施,在多雲,企業與雲之間建立任意互聯。在幾分鐘內,將資源連接到任何位置。
網絡改動少:適應原有網絡,無需部署硬件,不需要對原有網絡進行改動。
使用簡單:消除複雜度,用全點擊式操作取代CLI手動配置,不需要網絡工程師,任何人都可以組網通網。
實施簡單:使用操作系統原生客戶端即可接入,不需要管理證書。
提高效率:集成雲服務商API實現組網自動化。讓用戶專注於核心業務,而不是基礎設施。
降低成本:通過廉價的Internet獲得近似專線的特性,節省90%的通網支出。
Accesshub爲企業簡化混合雲組網,產品地址是 www.accesshub.cn。
註冊即可使用。
