用户怎样才能通过网络自动化来实现降低成本,延长正常运行时间,以及简化数据中心运营呢?
随着新冠疫情导致全球经济陷入衰退,迫使员工转而采用远程办公,许多企业不得不提前对数字转型(DX)投资展开早期压力测试。
测试的结果喜忧参半。忧的是,Zoom Bombs(Zoom炸弹)已经成为了一个严重的问题,喜的是,大多数IT公司都已经意识到,为数量激增的远程办公人员提供支持是一项挑战,不过他们已经对此有所准备,各种应对方式的主要区别是规模,而不是种类。(编者注:Zoom为一款在疫情期间走红的视频会议软件,“Zoom炸弹”则是一种专门针对Zoom的黑客行为。)
许多企业在过去几年中,都在DX计划上投入了大量资金,这其中既有银行业和保险业,又有零售业。市场研究机构Ovum Research指出,在金融领域,银行方面在2018年仅在前台数字银行计划上就花费了近100亿美元。
据市场研究机构IDC发布的《全球半年数字化转型支出指南》显示,到2023年,全球范围内涉及DX的技术与服务的支出预计将达到2.3万亿美元(主要用于在业务实践、产品和组织架构当中实现数字转型)。DX支出预计在2019年至2023年将保持稳定增长,5年复合年增长率将达到17.1%。
只要带宽需求激增,就会导致新的瓶颈。如今要求保持社交距离和强制居家令导致带宽需求成倍增加。为此,运行在传统基础架构上的网络不得不努力满足激增的带宽需求。
过时的网络基础设施和路由系统是制约带宽密集型应用程序的一个瓶颈。尽管这是一个主要的瓶颈,但是却常常被忽视。许多网络基础设施目前仍然采用手动的方式进行维护和管理。通过专线等方式扩容非常耗时,花费的时间不是按小时或按天计算,而是按周,甚至是按月计算。
DX也在不断发展以适应云计算。IDC数据中心网络研究副总裁Brad Casemore说:“我们已经从单纯的以云为目标,将云作为存储数据的地方,发展为将云作为一种理念。IT领导者如今已将云计算视为一种运营模型和一套原则。”
尽管这种运营模型和计算原理在不断地普及,但是实际情况与最终目标之间仍然存在差距。在过渡时期,出现了许多将不同的私有云和公有云融合在一起的混合架构。虽然这些混合模型可以胜任工作,能够保护之前的投资,但是同时也增加了复杂性。
在受到严格监管的行业中,从维护、控制和合规的角度出发,这些大型的以多云服务为中心的基础设施已经变得过于臃肿,无法使用老工具和手动方式进行管理、保护和治理。
IBM SaltStack通过自动化解决了规模过大的问题
网络工程主管Brian Armstrong是在2017年就职IBM Cloud的,当时网络团队已经建立了一个具有68000台交换机和路由器的超大规模网络。
Armstrong说:“我们的工程师非常优秀,并且擅长脚本编写,他们需要解决的最后一件事就是手动配置设备。”使用传统工具和方法手动管理和维护这样庞大的网络将需要大量人手,尤其是IBM Cloud还在不断地扩展网络的规模。
使用脚本在DevOps中很常见,但是这种方法只在具有一致性的计算平台和操作系统的环境中奏效。对于NetOps团队而言,情况就变得截然不同了,尤其是那些在超大规模环境中工作的团队。因为这些环境会随着时间不断变化,其突出特点是用户之前对老旧设备曾经投入了大量资金。
Armstrong说:“如果我们想在整个网络上更新固件,那么我们面临的问题是没有一个统一的方式。因此,我将首个自动化目标设定的非常简单,即我们需要有效地组织起来。”
IBM Cloud数据中心的一大特点是设备是来自不同供应商,并且这些设备可以以不同的模式运行在不同的操作系统上。在大型异构网络中,即使编写快捷方式也是一件非常耗费人力的事情。此外,一堆的临时脚本会使用户在安全性、风险管理和治理方面出现问题。
IBM Cloud无法证明更换设备的合理性,同时他们也不希望出现供应商锁定。IBM Cloud的网络团队迅速意识到,要想跟上需求,打破异构硬件基础设施的唯一方法是将网络硬件与控制平面彻底脱钩。
为此,IBM Cloud决定在现有物理基础设施之上建立一个软件定义(SDN)网络层。创建SDN层可使他们能够集中管理和以编程方式配置所有的物理基础设施。理想情况下,SDN层可实现对所有异构基础设施设备便捷的系统性审核和更新。这意味着只针对某个供应商的SDN解决方案已经淘汰出局。
经过深入研究,IBM Cloud的网络团队选择了初创公司SaltStack的基础设施自动化平台。IBM将SaltStack用作统一的命令和控制层,为整个IBM Cloud网络提供全面的审计、远程执行、自动化、补丁、安全检测和修复。
借助SaltStack,IBM Cloud将更新所有老旧数据中心和近70000台网络设备的时间从几个月成功地缩短到几周。这其中还包括了测试配置更改、更新固件和启用新功能。据IBM Cloud估计,这一举措成功地为网络团队节省了40000多小时的劳动时间,同时消除了由于维护而导致的客户宕机问题。
除了持续推进通过SaltStack集中管理和维护网络设备,IBM Cloud还开始使用SaltStack软件套件中的部分组件来管理虚拟环境,实现合规性自动化和简化安全运营。
DDoS攻击迫使罗德岛州的学校和非营利组织实现应对行动的自动化
对于资源紧缺的组织机构而言,安全性是推动自动化的一个关键因素,因为这些组织机构难以跟上威胁的发展。现在许多攻击者都在使用自动化工具来绕开传统的防御措施,因此如果用户想要通过手动方式处理网络安全问题,那无异于是拿着大刀长矛对阵自动步枪。
OSHEAN为罗德岛的公共机构提供互联网连接。OSHEAN由160名成员组成,成员包括大学、K-12学校、图书馆、医院、政府机构和一些非营利性组织。由于针对OSHEAN成员的分布式拒绝服务(DDoS)攻击大幅激增,为此OSHEAN开始研究安全自动化。
OSHEAN的现状是独立处理每种DDoS攻击。当发现恶意流量时(通常情况是某个受到攻击的成员会向服务台报告自己受到了攻击),OSHEAN的技术团队会手动抵御恶意流量。这往往会导致受攻击计算机在被攻击期间出现中宕机。
OSHEAN的总裁兼首席执行官David Marble认为,随着OSHEAN的成员规模和入站攻击数量持续增长,手动方法已经无法再满足需求了。Marble和他的团队对一系列可能的解决方案进行了研究后淘汰了部分解决方案,因为这些被淘汰的解决方案都是基于设备或基于开放标准的托管服务。原因在于设备需要先期的资本支出以及持续的维护成本,而具有专利的托管服务功能不多,这会妨碍Kentik开发服务链和实现一些功能的自动化。
在研究了各种选项之后,Marble和他的团队最终选择了Kentik的网络性能监视与诊断平台,以帮助保护成员免受DDoS攻击。
通过安装在网络内部的探测器,Kentik可持续监视数百万个独立的IP地址,识别并关注当前流量最高的接收端IP。Kentik会自动为其流量模式设定基线,并评估其流量是否异常。
由于Kentik是基于开放的API,因此OSHEAN可将检测分析功能与缓解补救措施分离。此外,OSHEAN还可将Kentik平台与Akamai Prolexic集成在一起,自动将受攻击的站点进行隔离和清理。
在不到一年的时间里,OSHEAN就凭借Kentik自动击退了300多次针对其成员的大规模DDoS攻击。
另外一个额外的好处是,除了帮助OSHEAN自动缓解DDoS攻击,这些分析功能还可以帮助OSHEAN提高应用程序交付和性能。Marble说:“我们用于抗御DDoS的分析功能也可用于分析应用程序的流量。如果我们的一个成员遇到了应用程序问题,我们可以自动跟踪该流量以查明问题的根源。”
自动化为基于应用程序的网络铺平了道路
随着软件定义网络(SDN)服务开始不断取代传统的以硬件为中心的基础设施,用户也获得了在基本的网络功能的顶层进行优化的机会。例如,随着SD-WAN服务不再局限于基本的分支机构连接性,转而将目标升级为云连接性,应用程序感知服务逐步成为了关键功能。
通过软件定义的基础设施,用户可以实现基于应用程序的QoS(即优先处理视频流量),针对某个应用程序的路由(如将google应用程序流量直接发送到Google服务器),甚至是节约成本(仅通过低价连接发送电子邮件)。
IDC的Casemore指出:“分布式云正在推动自动化。用户不能在不同的云端上使用不同的规则。随着企业和服务提供商致力于围绕网络、安全性,尤其是围绕分布在不同云端的工作负载制定统一的策略,网络专业人员不需要再过分关注以前的数据孤岛,转而需要将更多的精力放在如何围绕应用程序工作流实现自动化上。”
目前混合云环境在大力推进自动化,但是许多新兴技术也努力在将传统基础设施发挥到极限。尽管物联网、流媒体和M2M通信都强调传统架构,但是合规性和5G这两个新兴的问题可能会带来更为棘手的麻烦。