网站上云(10万变1万)

行到水穷处,坐看云起时。可以说,没有云,就没有众多互联网企业的萌芽,也没有蓬勃发展的在线业务,更不会有当今高速变迁的互联网时代。另一方面,行业客户业务上云已经不是趋势,而是个不可逆的事实。即便最传统的那些客户,也难以对业务云化带来的种种便利视而不见,前赴后继地开启了云时代的征程。当然,随之而来的,少不了来自传统的挑战。上云苦带宽久已一旦业务云化,与云的交互流量就成了企业总部/分支办公网出口中最重要的流量。某知名时尚类内容社区办公网单日流量流向统计这部分流量如果出现异常,业务可用性就成了问题。而决定业务可用性的关键因素,除了链路品质,还有带宽。必须承认,在政府主管部门的不断督导下,运营商这些年的提速降费工作卓有成效,惠及海量企业。但对于业务上云的那些企业来说,关键问题却迟迟没被解决。早在20年前的ADSL时代,因为技术限制,运营商的低端企业接入产品有了上下行带宽不对称的特点。彼时互联网应用对上行带宽的要求普遍也不高,故而在很长一段时间内,企业客户和运营商都不认为有什么不妥。直到风起云涌,需求突变。不管是原本放在企业内网的业务上了云,还是直接用上SaaS,对上行带宽的要求都出现井喷。此时此刻,低端企业接入产品上下行带宽不对称的特点,突然就成了主要矛盾。且不谈什么高端大气上档次的业务,就说身边愈发常见的一个基础云化应用吧。格物资讯在上半年对国内主流共享办公的日常调研中发现,入驻企业对云打印的投诉呈明显上升趋势,在IT类服务中仅次于WiFi,排名第二。花钱上了云打印却带来更多投诉,这是共享办公业者始料未及的。究其原因,很大一部分是因为共享办公普遍使用了低端企业接入产品,有限的上行带宽让云打印流程变得漫长,降低了用户体验。那么问题来了,企业为什么不升级带宽呢?因为没钱。就以北京为例。虽然北京电信和北京联通的低端企业级接入产品资费下调了很多,使用的传输技术也早已更新换代,却基本保持了上下行带宽不对称的特点;对称且没有任何并发限制的接入产品则被定位在中高端,100M带宽的年费普遍起步就在10万以上。对很多业务上云的企业来说,继续用不对称接入满足不了业务云化的要求,用对称接入又满足不了公司预算的要求,真是两难!内容型运营商的逆袭所幸,移动、鹏博士等新兴内容型运营商洞悉了互联网的核心正在从管道转向内容的趋势,开拓出一条和传统资源型运营商截然不同的建设/运营模式,也给业务上云的企业带来了好消息:廉价对称接入产品,来了!廉价到什么程度呢?北京移动和北京鹏博士最便宜的100M对称企业接入产品,年费也就是北京电信和北京联通相同规格产品的几分之一吧。更令业务上云的企业心动的是,相比几年前千军万马一块抢三方出口的紧张局面,如今的移动和鹏博士与主流公有云的国内节点基本都做了对等互联,带宽也有了足够的冗余。这样做的好处显而易见,就算移动和鹏博士在访问国外网站等少数场景还无法与电信、联通媲美,上云的双向大流量却妥妥能跑出一条直线,在降低双方成本的同时有效提升了体验。一个简单的测试就能证明。我们在北京移动和北京鹏博士的接入环境下,针对部署在主流公有云上的业务做了路由跟踪,可以得到全部直通的结果。除图中三朵云外,到金山云、UCloud等亦有相同结论除图中三朵云外,到金山云、UCloud等亦有相同结论当然,直连只是基础,并不代表品质。如果链路质量飘忽不定,那再便宜也不能拿来做业务承载。事实上,很多企业IT管理者对电信、联通外的运营商都保持怀疑,因为它们在过去确实没有很好的品质口碑,这一点都能理解。有鉴于此,我们在北京鹏博士接入环境下,对阿里云、腾讯云和华为云上的业务做了10秒间隔的7×24不间断监测。作为对比,这里也放上北京联通和北京电信的测试数据。三条链路的探针其实是跑在同一个宿主下配置完全一致的虚拟机,测试时间段与所有测试参数也均保持一致。结果一目了然,三个运营商的访问品质处于同一水平线。如果把截图中的运营商信息打上马赛克,谁又能看出哪个是联通、哪个是电信、哪个是鹏博士?感谢具有创新动力的内容型运营商,它们为互联网时代的企业提供了一条业务上云的康庄大道。上云及格线:持久可用的好体验合适的通路找到了,一切就都结束了么?如果只从技术角度考虑,业务上云的企业只要加装移动或鹏博士这种内容型运营商的对称接入产品,再于网关做个策略路由,就能解决“上云专线”的有无问题。但如果从交付乃至业务的可用性角度考虑,上述思路可以继承,简单粗暴的做法就必须抛弃了。想做到贴近真正上云专线般持久良好的业务体验,还有一些细节工作必须做到位,否则面前就不是康庄大道,而是一连串的坑。如何长期保证“上云专线”的业务品质?1.更细粒度的选路机制既然走得是业务流量,链路品质就需要时时得到保证,而不是说接口UP或特定IP地址能PING通就OK。丢包、延迟、抖动出现异常也有可能也会影响到业务体验,需要及时介入调整。遗憾的是,大部分网关和安全设备的链路检测机制只是简单的接口UP/DOWN或PING特定地址,缺乏对细微变化的感知能力。2.隧道状态与策略路由联动对于多数业务上云的企业来说,VPN是必不可少的安全防护手段。那么当选路策略发生变化时,隧道状态也需要及时更新,才能保证业务可用性。用过大量设备后,我们只能说,可以在同一台设备的不同接入线路上分别建立隧道到同一个对端、还能在问题出现时快速触发隧道和路由倒换的设备并不多。3.及时有效的地址库更新这个场景所谓的策略路由,不过是基于目的IP的路由,所以地址库的准确性很大程度上决定了业务的可用性。而不管哪个层面的云服务,IP信息都是总在不断变化的。不要指望服务商能把每次变化都及时主动告知,这注定是个要亲力亲为的苦力活。如果设备上的IP库没有及时更新,则可能会导致流量牵引不全/错误,进而影响到业务。这些经常被忽视的细节,可以看做实验环境(或理论环境)和真实环境的区别,也正是传统数通产品和SD-WAN交付边界的区别。SD-WAN不是革命,它只是将合适的数通技术/产品/资源整合后,提供出来的对结果负责的服务。而服务是什么?服务就是除了结果(品质)外,一切都不重要。这一点,越来越多的客户开始用支票投票了。SD-WAN在市场上能够越来越火,正是拜业务云化给管道带来的品质要求所赐。所以在云的时代,运营商也好,设备商也好,集成商也好,都要经历产品服务化的变革。若不能落地到具体的业务场景并为其保驾护航,就注定会被时代淘汰。Fortinet解决之道:从填坑到极致Fortinet的SD-WAN解决方案,恰好可以有效解决业务上云过程中的细节挑战,打造一条有良好可用性保障的高速上云通道。这一切只需一台运行新版本固件的FortiGate。如企业已经部署,那成本为0。上一篇中重点提到的拨测机制,就是应对链路品质细微变化的利器。相对于PING,HTTP协议级拨测增加了对Web业务的感知度,再加上可灵活配置的状态检测规则,让线路切换条件得以尽量贴近于业务的实际体验。如果企业上云用到了VPN也无妨,FortiGate的VPN本身用量就很大,坑都被先贤们填完了,在功能和兼容性方面没什么可怀疑的。也正是因为用得多,和主流IaaS的vrouter对接也不用担心,我们的经验是基本可以保证多线路上的隧道在主备模式下正常工作。记得几年前青云在国内IaaS界首家推出VPC架构时,我们就在3W咖啡用FortiGate一次对接vrouter成功,实现了本地和云上多个VLAN打通。看到一些运营业务迁移上云正常工作,就像窥见了未来。但在企业业务普遍上云的今天,对业务体验和可用性的担忧显然比新鲜感多得多。Fortinet SD-WAN解决方案的应对之策,是将拨测机制应用于VPN隧道。这是个将实用主义发挥到极致的做法——反正对于绝大多数企业客户来说,都是没有能力去改变调整Underlay的运行状态的。既然做不到完美,那不花钱的、简单的、七八十分效果的,就是最好的。如果对云上业务可用性有更极端的要求,就在IaaS上部署VM版本的FortiGate吧。我们水平有限,是用过才知道世界上还有隧道双活下链路断了业务不断这回事的。如果说前面那些功能其它设备也很快都会提供(这是必然的),那接下来这个东西,也许能让Fortinet在市场上保持较长时间的领先优势。Fortinet显然很清楚网络测绘数据对SD-WAN的重要性,内置了海量不同维度的数据,并定期提供更新。针对业务上云这个场景,“Internet服务数据库”中收集了几乎全球所有知名云服务的IP信息,免去了客户自行维护IP库的烦恼,同时尽可能地保障了上云体验。如果缺少SD-WAN的使用经验和运维经验,可能很难理解这个库的价值。在我们这些和企业流量调度打了五年以上交道的人看来,这个库至少能减少企业上云场景八成以上的运维成本。我们甚至相信,Gartner、NSS Labs能给Fortinet SD-WAN方案那么高的评价,很大程度上是因为这个不停快速迭代的数据库。不知道这个库的更新频率,反正挺勤的;也不知道维护这个库要投入多少人力物力,只能说有钱任性吧。在这个数据库的加持下,随便你想配到哪个云的加速通道,都不过是点几下鼠标的事。然后踏踏实实享用就好了,不管IaaS什么时候发生了什么变化,配合都不再是企业IT运维的工作职责,出篓子也不再是企业IT运维的锅。如果只想加速特定流量也没问题,告诉设备什么人的什么应用什么时候可以通行就是了。来,我们给研发兄弟们配一个到3A+Google云的备份专线吧。正好最近有些朋友问为什么说安全厂商能在SD-WAN市场占据有利位置,其实很简单,安全设备的基础功能和安全厂商的传统积累在SD-WAN时代被又一次激活了,近水楼台先得月。不过使用一段时间后,我们感觉“Internet服务数据库”仍然有继续扩充的必要,尤其是在本土数据方面。Fortinet告诉我们已在着手推动更多本土业务入库,但这显然需要时间。有较多业务上国内云的客户,建议现阶段通过加载第三方测绘数据的方式解决。借助上面这些手段,FortiGate就可以交付一条低成本、大带宽、可持续保证业务品质的“上云专线”了。平心而论,这个方案的绝对指标肯定无法和高质高价的物理上云专线相提并论,却能给海量存在需求却没有足够付费能力的夹心层客户提供一个简单有效的选择。岂能尽如人意,但求无愧我心,这就是Fortinet SD-WAN解决方案的最大价值。话说上一篇内容发出后,我们收到不少质疑,其中最多的就是“没有POP点算什么SD-WAN”。借此机会也想强调一下,资源也好,产品或技术方案也罢,都只是SD-WAN大框架中的一分子。真要落地成具体方案给客户解决问题的时候,必然会根据具体情况演绎得千姿百态。大音希声,大象无形。SD-WAN从来就不是个标品,它只是对结果负责的服务。过分强调资源或技术或其它什么,都是在错误的道路上越走越远。做为业务上云的企业,不要纠结这些乱七八糟的东西。歪诗一首供参考:通路千万条,合适第一条。好风凭借力,送你上青云!

本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://kuaisubeian.cc/46994.html

kuaisubeian