超融合正凭借弹性精简的特性,成为各行业客户基础架构云化转型的重要技术路线。根据 Gartner 2021 年 1 月版 “Solution Criteria for Hyperconverged Infrastructure Software” 报告中对超融合最新的定义,超融合(HCI)提供了软件定义的全栈基础设施——计算、存储、网络和管理,是一种可以支持混合云、自动化、边缘、DevOps 及更多场景的技术。可以看出,超融合架构正在覆盖更全面的场景,功能要求也从最初核心的存储、虚拟化演进到网络功能的支持。
这背后的核心驱动力,部分来自于近年来应用的飞速发展,包括:应用的更新迭代频率不断提高,以跟随甚至引领市场和客户的需求变化;应用的部署规模和部署位置也要适应市场需要而灵活调整。在这个过程中,应用的开发、集成、交付和运维领域发生的许多变化:
- 从“瀑布式开发”转向“敏捷开发”。
- 应用架构从“单体式”,向基于虚拟机和容器的“微服务”架构演进。
- 应用的开发与交付整合为 CI/CD(持续集成/持续交付)自动化流水线模式。
- DevSecOps 方法体系整合了开发、安全和运维技术手段,贯穿应用的完整生命周期。
本文将介绍超融合架构下网络与安全面临的挑战,如何通过在超融合中整合网络与安全组件来应对该挑战,以及网络与安全组件应该具备的核心特性。
现代应用的网络与安全挑战
传统数据中心的网络连接和网络功能,在超融合架构中发生了分化:物理网络仍然面向物理对象(服务器、网关……),不再与应用层紧耦合,仅仅提供高速、可靠的“管道化”连接;虚拟网络归属于超融合基础设施的范畴,面向的是承载新型应用的虚拟机或容器,它们的网络属性与所承载的应用之间紧密关联。虚拟化网络层所需要处理的虚拟机和容器之间的相互关系复杂度,与虚拟机/容器数量的增长呈指数关系(图 1)。
图 1:虚拟化加剧网络连接和安全策略复杂度
在现代应用的 DevSecOps 流程中,应用程序对接网络时需要涉及非常多的细节,比如:如何连接应用?如何为应用分配适当的资源?如何监控应用对资源的使用情况?如何跨多个云提供应用的副本和备份?如何跨多个云提供应用的负载均衡?如何判断是否存在安全漏洞......等等。以上所有细节,管理员无力通过人工方式逐一关注并调整。需要基于统一的基础设施管理技术和自动化的方法,完成面向应用的网络和安全的管理。
实际上,为完成一个自动化 CI/CD 流水线,网络连接和安全功能需要对接的目标对象种类远远多于计算和存储。想象一下,DevSecOps 的实施者需要同时设计对接路由器、交换机、防火墙、DNS、DHCP、防病毒、负载均衡等等专用设施的不同接口;而且,还可能需要在不同位置、不同云上调用不同的 API 接口和参数。这个流水线的复杂性和脆弱性显然不具备投入生产使用的条件。因此,在未经过整合的基础设施上,即便采用了一些自动化管理工具,应用的敏捷程度也会由于底层设备的种类繁多而受到限制,其中任何一个环节出现升级、变更、故障都会导致流水线中断甚至应用下线(图 2 左)。
图 2:基础设施对应用自动化流程的影响
基于超融合的虚拟化网络和安全应运而生
超融合模式下,面向虚拟机和容器的安全功能可以整合在计算和存储节点上,结构更加精简。超融合管理中心既承担计算虚拟化的管理任务,也内置了存储虚拟化技术,同时是虚拟化网络的控制中心。超融合通过虚拟化管理中心上集成的北向 API 为应用层提供内生的安全功能接口,减少对物理安全设备的编排和调用,促进了现代化应用流程的自动化(图 2 右)。
例如,在 SmartX 超融合基础设施产品组合的 SMTX OS 超融合软件中,就集成了网络与安全组件,为不同应用提供虚拟网络连接安全功能(图 3)。
图 3:基于超融合统一管理的网络虚拟化
超融合的计算和存储基础设施层,实现了与底层硬件的解耦。基于通用 x86 商用成品(COTS)服务器的超融合技术,其成熟度已经可以满足大规模生产应用对计算和存储资源池的要求,减少了重复和过度的硬件资源开支;并通过集中管理机制减少了运维复杂度,达到了同时节省 CAPEX 和 OPEX 的效果。
超融合中的虚拟网络和安全功能,具备以下技术特点:
1、不依赖任何特定的硬件网络设备
超融合基础设施在物理形态方面可以极大简化,设备种类、型号、规格大大减少:计算型服务器、存储型硬盘柜,或网关、防火墙、负载均衡,都可以基于通用架构的服务器实现。最简模型下,只需要具备一定性能和容量的标准 x86 服务器,以及满足高带宽、低延迟要求的 10G-100G 以太网交换机这两种设备即可。如前所述,面向物理硬件的网络连接,与应用之间将是松耦合关系,应用的网络属性和功能已经被抽象到虚拟化网络层,不再通过特定的硬件网络设备实现了。
2、分布式的网络功能实现
面向业务和应用的网络连接属性,如地址分配和安全策略,与虚拟应用是紧耦合关系。虚拟机的网络属性和安全服务在虚拟化中心 Hypervisor 上进行统一管理。“虚拟化的网络连接”必然要有相应的“虚拟化安全策略”,来明确哪些连接是被允许的,哪些连接应当被禁止。传统网络架构中常常由防火墙这样的专用设备承担连接的安全功能,导致网络结构僵化、缺乏面向敏捷应用的容量和弹性,限制了应用以虚拟化、容器化方式进行快速迭代和扩展。因此,以抽象形态分布在虚拟化集群内所有节点上的网络功能,将更加贴近虚拟化的应用,简化的虚拟网络拓扑可以更好地适应东-西向流量管理和“零信任”安全的要求。
3、支持应用扩展所需的弹性和快速自愈的韧性
应用的数字化转型,必须考虑容纳突发的使用量以及故障场景下的快速恢复。从物理网络抽象出来的网络带宽和链路资源池,可以被虚拟化应用灵活地调用,不需要对物理网络设备端口或线路进行调整,即可完成快速部署、变更和故障切换。
4、能够连接位于不同位置、不同云上的应用
应用层与特定物理设备解耦之后,同一个应用,可能被分布在不同物理位置、甚至不同的云上。虚拟化网络应在这些位置上保持同样的逻辑拓扑和功能,应用的安全策略因此可以跟随虚机、容器的位置进行移动,应用实现了“位置无关”的无缝连接和平滑迁移。
5、通过 API 实现自动化配置和管理
持续部署/持续交付(CI/CD)流水线和 DevSecOps 工作模式中,普遍采用基于 API 的集中配置,辅之以实时/准实时的系统日志和指标监控,完成对基础资源(包括计算、存储和网络)的闭环自动化管理。这是以虚拟网络连接与物理网络设备解耦为前提的:毕竟任何 API 和自动化流程都不能“秒级”完成物理网络设备的添加和物理线路的更改。
总结
快速变化的应用形态和数量,必然伴随着更复杂的互联互通需求和潜在的安全风险。因此,现代化应用体系中的网络和安全实现方式,也必然要跟上越来越快的用户应用数字化转型速度。整合了网络与安全组件的超融合架构,将加速企业的数字化应用体系实现持续开发、持续运维、持续安全的目标,从质量、可靠性和敏捷性方面,将企业 IT 架构提升至新高度。
作为专业的企业云基础设施产品与方案提供商,SmartX 基于业内领先的超融合、分布式存储、云原生存储等核心产品,帮助客户构建适合企业并能真正支撑各类企业应用的云化基础设施。其中,为应对云原生时代的虚拟化和容器化应用的网络管理和安全挑战,超融合软件 SMTX OS 新增网络与安全组件,为用户打造“零信任”的新型 IT 基础架构,加速企业云化转型,促进业务的数字化转型。