基于“意圖”的網(wǎng)絡(luò)系統(tǒng)
“自動駕駛網(wǎng)絡(luò)”是一個形象的比喻���,意即未來的網(wǎng)絡(luò)會更加自動化,一些最基本的網(wǎng)絡(luò)配置����、功能實現(xiàn)、安全保障完全可以由網(wǎng)絡(luò)系統(tǒng)自己實現(xiàn)�����、自主管理。網(wǎng)絡(luò)管理員從每天疲于奔命的故障排查中解放出來�����,將更多精力放在網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃上�。仔細想一想,這真是一個美好的愿景�����,關(guān)鍵是如何才能實現(xiàn)呢���?IBNS(Intent-Based Networking System���,基于意圖的網(wǎng)絡(luò)系統(tǒng))順勢而生。
Gartner大約從2016年開始關(guān)注IBNS�,《Innovation Insight: Intent-Based Networking Systems, Gartner, Feb 7, 2017》定義,IBNS必須具備以下四種能力:轉(zhuǎn)譯和驗證���,自動部署�����,網(wǎng)絡(luò)狀態(tài)的察覺��,精確診斷以及動態(tài)的優(yōu)化和補救����。
IBNS提供了一種搭建和運維網(wǎng)絡(luò)的新方法,提升了網(wǎng)絡(luò)的可用性和敏捷性�。系統(tǒng)可以在現(xiàn)有的網(wǎng)絡(luò)設(shè)施進行適合的網(wǎng)絡(luò)變更,并且是由系統(tǒng)自動完成的�。IBNS還提供了對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的生命周期管理,包含設(shè)計���、安裝���、運營和精確診斷。
“IBN與SDN不是一回事���。SDN關(guān)注的是網(wǎng)絡(luò)本身�,也就是‘路’�����,而IBN是實現(xiàn)交通控制的紅綠燈(系統(tǒng))����。”亓亞烜解釋說��,“SDN的廣泛應(yīng)用為IBN提供了基礎(chǔ)條件��。由于SDN的出現(xiàn)�,網(wǎng)絡(luò)的控制變得開放可編程,但是網(wǎng)絡(luò)變得更加復(fù)雜了����,使得網(wǎng)絡(luò)管理變的非常困難。而IBN的出現(xiàn)��,讓SDN網(wǎng)絡(luò)的配置����、管理和運維變得更加簡捷、方便����。在實現(xiàn)SDN之后,IBN是必然選擇���?���!?/p>
IBN的概念是2016年出現(xiàn)的。云杉網(wǎng)絡(luò)從一開始就在關(guān)注�,而且提出了一個更直接的說法——網(wǎng)絡(luò)監(jiān)控一體化。時至今日��,SDN已經(jīng)是數(shù)據(jù)中心網(wǎng)絡(luò)的一種新常態(tài)��。SDN是從技術(shù)的角度出發(fā)��,而IBN是從用戶業(yè)務(wù)的角度出發(fā)�����,解決具體的應(yīng)用問題����,包括網(wǎng)絡(luò)管理、業(yè)務(wù)連續(xù)性�、安全性等。Gartner的數(shù)據(jù)顯示�,采用IBN后,用戶業(yè)務(wù)部署的速度可以提高10倍���,業(yè)務(wù)中斷減少50%�����。
“IBN的出現(xiàn)對網(wǎng)絡(luò)工程師的影響最大��,這不僅僅是技術(shù)層面的問題���,而是人的觀念要徹底改變?���!必羴啛@在演講中說,“如果有一天���,我們不用自己開車��,去哪都有人接送����,這是一種什么感覺�����?IBN帶來的改變��,網(wǎng)絡(luò)工程師要慢慢適應(yīng)?���!?/p>
用戶自發(fā)的需求
以前,我們看到的更多情況是����,技術(shù)的發(fā)展驅(qū)動應(yīng)用的變革,而IBN卻打破常規(guī)���,先有了客戶自發(fā)的需求�����,才促進了IBN的產(chǎn)生和發(fā)展����。
因為云計算�、SDN等的普及,企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)的規(guī)模越來越大���、越來越復(fù)雜��,繼續(xù)沿用人工管理的方式��,既不經(jīng)濟也是人力所難以勝任的�。”網(wǎng)絡(luò)未來發(fā)展的趨勢一定是實現(xiàn)自動化管理��。亓亞烜介紹說��,“國內(nèi)的一些證券公司�、互聯(lián)網(wǎng)公司甚至大型物流公司都提出了幾乎相同的需求:降低網(wǎng)絡(luò)管理的復(fù)雜性和成本���,更有效地保證業(yè)務(wù)的連續(xù)性和安全性��?!?/p>
以前�����,網(wǎng)絡(luò)管理都由企業(yè)的網(wǎng)絡(luò)部門一力承擔�����,而現(xiàn)在要想實現(xiàn)網(wǎng)絡(luò)的”多快好省“���,僅靠人工是遠遠不夠的��。比如一家大型的物流企業(yè)����,可能有數(shù)百個業(yè)務(wù)同時并發(fā),要對其進行實時的狀態(tài)管理����,必須依靠網(wǎng)絡(luò)的自動化。再比如��,現(xiàn)在很多互聯(lián)網(wǎng)企業(yè)都提供公有云服務(wù)���,但是經(jīng)常會有一些用戶因為很基礎(chǔ)的網(wǎng)絡(luò)配置或功能問題來尋求幫助���,而云服務(wù)商通常沒有這么多的人力來應(yīng)對這些問題,怎么辦�����?唯一途徑就是讓網(wǎng)絡(luò)具備自動化解決這些問題的能力�。這才是IBN興起的根本原因。
云杉網(wǎng)絡(luò)提供基于IBN的服務(wù)也有一段時間了���,現(xiàn)有的客戶主要來自金融�����、運營商等行業(yè)��,其中很多用戶是主動來咨詢未來網(wǎng)絡(luò)如何規(guī)劃�。“2011年�,SDN剛開始部署時,我們主要還是向國外廠商學習?�,F(xiàn)在進入IBN時代���,中國用戶成了應(yīng)用的先鋒,其需求之迫切更強于國外����。”亓亞烜表示�,“對IBN提出需求的更多是傳統(tǒng)企業(yè),而不是像BAT這樣的互聯(lián)網(wǎng)企業(yè)��。國外的市場分析機構(gòu)顯然也注意到了這些不同尋常的變化�����。”
IBN當前主要的應(yīng)用環(huán)境包括數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)����、WAN等。美國高速公路安全委員會將自動駕駛分成5個級別�����,Level 0代表沒有自動駕駛功能��,而Level 4表示完全自動駕駛�。在亓亞烜博士看來,目前自動駕駛網(wǎng)絡(luò)的水平相當于汽車具有增強駕駛功能���,差不多是Level 3����。
從網(wǎng)絡(luò)安全發(fā)端
Juniper推出了軟件定義安全網(wǎng)絡(luò)(SDSN)��。云杉網(wǎng)絡(luò)也是從網(wǎng)絡(luò)安全的角度切入IBN的�����。“我們主要解決的是安全策略管理和分析方面的問題,云杉網(wǎng)絡(luò)只用了半年時間就推出了安全白名單功能��?!必羴啛@介紹說。
云杉網(wǎng)絡(luò)安全白名單的研發(fā)源自客戶的實際需求��。某客戶的生產(chǎn)環(huán)境為自研OpenStack云平臺���,其安全部門提出了構(gòu)建能夠?qū)崿F(xiàn)安全監(jiān)控的云的訴求��。針對云上的業(yè)務(wù)流量�����,南北向的安全由傳統(tǒng)的防火墻負擔,而東西向的安全暫時沒有解決方案��,所以希望云杉網(wǎng)絡(luò)能夠基于白名單方案實現(xiàn)對內(nèi)網(wǎng)流量的控制�����。
客戶業(yè)務(wù)部門負責定義合法的VM池��、IP地址�、協(xié)議端口等資源組�����,安全部門根據(jù)業(yè)務(wù)部門的意見定義該資源組的流量����,并由此形成可編輯的策略��,保障業(yè)務(wù)的安全性和網(wǎng)絡(luò)的可控性�����。
安全白名單具體功能實現(xiàn)如下:假設(shè)某金融機構(gòu)有一個手機銀行業(yè)務(wù)�,其業(yè)務(wù)流是用戶在手機APP的操作回傳到數(shù)據(jù)中心之后,先經(jīng)過服務(wù)端校驗和處理���,然后再回寫到數(shù)據(jù)庫�,之后數(shù)據(jù)庫將變更結(jié)果反饋出去�����,直至用戶手機APP�。為了安全起見,該金融機構(gòu)的安全人員只允許手機APP的服務(wù)端(某些固定的IP或其他自定義的資源)訪問特定數(shù)據(jù)庫(的指定端口)���,其他任何資源不允許訪問�。這個規(guī)則是橫亙在被保護的資源和外部訪問之間的安全門,稱之為白名單系統(tǒng)���,就像一些公司的門禁卡��,只有本公司員工能開門�,對不符合該白名單的訪問系統(tǒng)除了進行阻斷�,還要進行報警、記錄日志等相關(guān)操作�。
毫無疑問,IBN當然會用到機器學習��、數(shù)據(jù)分析以及人工智能�,數(shù)據(jù)的采集和分析是核心,而為了實現(xiàn)對網(wǎng)絡(luò)的實時監(jiān)控���,數(shù)據(jù)分析的性能和效率要進一步提升�。
早在2012年��,也就是云杉網(wǎng)絡(luò)創(chuàng)立的第二年��,云杉網(wǎng)絡(luò)便推出了國內(nèi)首個網(wǎng)絡(luò)虛擬化平臺����。經(jīng)過多年打磨,產(chǎn)品已演進到DeepFlow? v5.2�,它幫助用戶打造了基于x86和開放網(wǎng)絡(luò)架構(gòu)下的網(wǎng)絡(luò)虛擬化、網(wǎng)絡(luò)監(jiān)控分析及網(wǎng)絡(luò)安全服務(wù)平臺���。不同于面向網(wǎng)絡(luò)設(shè)備的傳統(tǒng)網(wǎng)管系統(tǒng)��,DeepFlow?可以幫助客戶在虛擬化的網(wǎng)絡(luò)環(huán)境中保證業(yè)務(wù)的連續(xù)性和安全性����。安全白名單其實就是DeepFlow?的一個新增功能����。亓亞烜表示“未來,我們將更快地進行產(chǎn)品迭代�,進一步豐富產(chǎn)品功能,比如目前只能管理VM�����,未來還要統(tǒng)一管理物理機�����、容器集群以及公有云等?�!?/p>
現(xiàn)在���,我們對人工智能有了越來越清晰的認知�,它不是取代人�,而是輔助人提高工作的效率。IBN的出現(xiàn)����,也是借助人工智能、數(shù)據(jù)分析�,讓網(wǎng)絡(luò)完成以前只能由人完成的事情。IBN會帶來一場革命嗎���?與其說革命��,不如說它是網(wǎng)絡(luò)自然演進的結(jié)果����。
