订阅以接收新文章的通知:

Magic Cloud Networking 可简化安全、连接以及公共云管理

2024-03-06

7 分钟阅读时间
这篇博文也有 EnglishFrançaisDeutsch日本語한국어Español繁體中文版本。

今天,我们隆重推出 Magic Cloud Networking。在  Cloudflare 通过最近收购 Nefeli Networks 所获得的创新技术加成下,这些可视化和自动化云网络的全新功能将让我们的客户能够安全、便捷和无缝地连接到公共云环境。

Magic Cloud Networking simplifies security, connectivity, and management of public clouds

公共云可为企业提供可扩展、按需启用的 IT 基础设施,而无需承担运营自有数据中心的开销和费用。 云网络是上云应用程序的基础,但在没有自动化软件的情况下难以管理,尤其是跨多个云账户大规模运营的情况。 Magic 云网络使用熟悉的概念提供单一界面,控制和统一多个云提供商的本地网络功能,以创建可靠、经济高效和安全的云网络。

Nefeli 的多云网络方法解决了在公共云内部和跨公共云构建和运营端到端网络的问题,使企业能够安全地利用跨越任何内部和外部资源组合的应用程序。 加入 Nefeli 的技术将使我们的客户比以往任何时候都更容易连接和保护他们的用户、专用网络和应用程序。

云网络为何困难?

与传统的本地数据中心网络相比,云网络承诺简单易用:

  • 由于物理层和以太网层并不是云提供商所暴露网络服务的一部分,因此用户无需考虑物理网络的大部分复杂性。

  • 更少控制平面协议;相反,云提供商提供简化的软件定义网络 (SDN),可通过 API 进行完全编程。

  • 从零容量到超大容量,均即时按需可用,仅按照使用量计费。

然而,以上承诺尚未完全实现。 我们的客户描述了云网络存在困难的几个原因:

  • 端到端可见性欠佳:云网络可见性工具难以使用,甚至在单一云提供商内部也存在孤岛,阻碍了端到端的监控和故障排除。

  • 更快的步伐:传统的 IT 管理方法与云的承诺相冲突:按需即时部署。熟悉的 ClickOps 和 CLI 驱动的流程必须被自动化所取代以满足业务需求。

  • 技术不同:本地环境中的现有网络架构不能无缝过渡到公共云。缺失的以太网层和高级控制平面协议在许多网络设计中至关重要。

  • 新的成本模式:公共云采用动态的“即用即付”、基于使用量的成本模式,不兼容围绕固定成本电路和 5 年折旧构建的既有方法。网络解决方案的架构设计通常会受到资金限制,因此在云中采用不同的架构方法是合理之举。

  • 新的安全风险:使用真正的 Zero Trust 和最小权限保护公共云需要成熟的运营流程和自动化,还需要熟悉云特定策略和 IAM 控制。

  • 多供应商: 企业网络通常使用单一供应商采购,以促进互操作性、运营效率以及有针对性的招聘和培训。如果运营的网络超出了单个云,扩展到其他云或本地环境,则属于多供应商方案。

Nefeli 考虑了所有这些问题以及不同客户角度之间的矛盾,从而确定了解决问题的方向。

列车、飞机和自动化

考虑一下列车系统。 为了有效运行,它有三个关键层面:

  • 轨道和列车

  • 电子信号

  • 一家管理系统和售票的公司。

一个拥有良好轨道、列车和信号的列车系统,仍可能因为其代理跟不上乘客的需求而无法充分发挥潜力。 结果是乘客无法计划行程或购买机票。

通过简化时刻表、简化定价、为代理提供更好的订票系统以及安装自动售票机,列车公司消除了流程中的瓶颈。 现在,由轨道、列车和信号灯组成的同一基础设施运行快速、可靠,可以充分发挥其潜力。

解决正确的问题

在网络中,有类似的三个层面,称为网络平面

  • 数据平面: 将数据(以数据包的形式)从源传输到目的地的网络路径。

  • 控制平面: 决定数据包在数据平面如何传输的协议和逻辑。

  • 管理平面: 数据平面和控制平面的配置和监控界面。

在公共云网络中,这些层映射到

  • **云数据平面:**底层电缆和设备作为虚拟私有云 (VPC) 或虚拟网络 (VNet) 服务的形式暴露给用户,其中包括子网、路由表、安全组/ACL 以及负载平衡器和 VPN 网关等附加服务。

  • 云控制平面: 云控制平面不采用分布式协议,而是一种软件定义网络 (SDN) ,例如用来编程静态路由表。(其中有限地使用传统控制平面协议,例如如与外部网络连接的 BGP 和与虚拟机连接的 ARP)。

  • 云管理平面: 带有用户界面和 API 的管理界面,允许管理员全面配置数据和控制平面。它还提供各种监控和日志记录功能,这些功能可被启用并与第三方系统集成。

就像我们的列车例子一样,我们的客户在使用云网络时遇到的大多数问题都出现在第三层:管理平面。

Nefeli 简化、统一和自动化云网络管理和运营。

避免成本和复杂性

解决云网络管理问题的一种常见方法是引入虚拟网络功能(VNF),进行数据包转发的虚拟机 (VM),以代替原生数据平面组件。一些 VNF 是从传统网络供应商的硬件设备移植而来的路由器、防火墙或负载平衡器,而另一些 VNF 是基于软件的代理,通常基于 NGINX 或 Envoy 等开源项目构建。由于 VNF 模仿物理设备,IT 团队可以继续使用熟悉的管理工具,但 VNF 也有缺点:

  • 虚拟机没有定制的网络芯片,因此只能依靠原始计算能力。 虚拟机的大小是根据预计的峰值负载确定的,然后通常会全天候运行。 这样一来,无论实际使用率如何,计算成本都会很高。

  • 高可用性(HA)依赖于脆弱、昂贵和复杂的网络配置。

  • 服务插入——将 VNF 置入数据包流的配置——通常会强制数据包路径,产生额外的带宽费用。

  • VNF 的许可方式通常类似于本地同类产品,价格昂贵。

  • VNF 锁定了企业,并可能使其无法受益于云原生数据平面产品的改进。

由于这些原因,企业正在放弃基于 VNF 的解决方案,越来越多地寻求依靠云服务提供商的原生网络功能。 内置的公共云网络具有弹性、高性能、稳健性,并按使用量计价,还集成了高可用性选项,并由云提供商的服务水平协议提供支持。

在我们的列车例子中,轨道和列车都很好。 同样,云网络数据平面的能力也很强。 改变数据平面来解决管理平面问题是错误的方法。 要使其在大规模上有效,企业需要一种能与云服务提供商的原生网络功能协同工作的解决方案。

Nefeli 利用原生云数据平面组件,而不是第三方 VNF。

隆重推出 Magic Cloud Networking

Nefeli 团队已加入 Cloudflare,将云网络管理功能与 Cloudflare One 集成。 这项功能被称为 Magic Cloud Networking。借助这项功能,企业可以使用 Cloudflare 仪表盘和 API 来管理他们的公共云网络,并与 Cloudflare One 连接。

端到端

正如列车服务商仅专注于在自己的网络内完成列车运行一样,云服务供应商在单一云账户内提供网络连接和工具。 许多大型企业在多个云提供商处拥有数百个云账户。 在端到端网络中,这就形成了互不相连的网络孤岛,导致运行效率低下和风险。

想象一下,您要组织一次横跨欧洲的火车旅行,而没有一家列车公司同时服务您的出发地和目的地。 您知道它们都提供相同的基本服务:列车上的座位。 然而,您的旅行很难安排,因为它涉及到由不同公司运营的多趟列车,这些公司都有自己的时间表和票价,而且都使用不同的语言!

Magic Cloud Networking 就像一个在线旅行社,可以汇总多种交通选择、预订多张车票、方便预订后的更改,然后提供旅行状态更新。

通过 Cloudflare 仪表板,您可以发现跨账户和云提供商的所有网络资源,并在单个界面中直观地显示端到端网络。 一旦 Magic Cloud Networking 发现您的网络,您就可以通过一个完全自动化的简单工作流程建立一个可扩展的网络。

资源清单在单个响应式用户界面中显示所有配置

控制每个云的复杂性

公共云用于交付应用程序和服务。 每个云提供商都提供可组合的模块化构件(资源)堆栈,从计费账户开始,然后添加安全控制。 对于基于服务器的应用程序来说,下一个基础层是 VPC 网络。 其他资源建立在 VPC 网络基础之上,直到您拥有了托管企业应用程序和数据的计算、存储和网络基础架构。 即使是相对简单的架构,也可能由数百个资源组成。

问题在于,这些资源所揭示的抽象概念不同于用于在本地构建服务的构件,不同云提供商的抽象概念也相同,而且它们形成了错综复杂的依赖关系,其中包含有关如何更改配置的复杂规则(不同资源类型和云提供商的规则也不尽相同)。 例如,我创建了 100 个虚拟机,并将它们连接到一个 IP 网络。 虚拟机使用网络时,我能否更改 IP 网络? 答案是:视情况而定。

Magic Cloud Networking 为您处理这些差异和复杂性。 它可配置 VPN 网关、路由和安全组等原生云组件,将您的云 VPC 网络安全地连接到 Cloudflare One,而无需学习每个云创建 VPN 连接和集线器的复杂指令。

持续、协调的自动化

再以我们的列车系统为例,如果铁路维修人员在轨道上发现危险故障怎么办? 他们手动将信号灯设置为红灯,以防止来往列车使用故障路段。 那么,如果调度室在更改信号时间表时,不幸巧合地远程设置了信号,从而取消了维护人员采取的安全措施,那又该怎么办呢? 现在出现了一个无人知晓的问题,其根本原因在于多个部门可以通过不同的接口改变信号,而无需进行协调。

云网络中也存在同样的问题:不同的团队使用不同的自动化和配置界面对一系列角色进行了配置更改,包括计费、支持、安全、网络、防火墙、数据库和应用程序开发等。

一旦您的网络部署完毕,Magic Cloud Networking 就会监控其配置和运行状况,让您确信昨天部署的安全性和连接性今天依然有效。 它会跟踪所负责的云资源,如果这些资源被带外更改,它会自动回滚变化,同时允许您使用其他自动化工具管理其他资源,例如存储桶和应用程序服务器。此外,当您更改网络时,Cloudflare 会负责路由管理,在 Cloudflare 和所有连接的云提供商网络中注入和撤回全球路由。

Magic Cloud Networking 可通过 API 进行完全编程,并可集成到现有的自动化工具链中。

当云网络基础设施偏离意图时,界面会发出警告

准备好开始征服云网络了吗?

今天我们隆重推出 Magic Cloud Networking,这是实现全球连通云承诺的又一关键步骤。 这标志着我们在使客户能够将 Cloudflare 与其公共云无缝集成方面迈出了第一步,从而实现安全连接,保持安全连接,并在使用过程中获得灵活性和成本节约。

欢迎提前体验:要了解更多信息并报名,请点击这里

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Security WeekNetworkAWSEC2Google CloudMicrosoft AzureSASECloudflare OneMulti-CloudZero Trust产品新闻Magic WANConnectivity CloudAcquisitions

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...