基于“意圖”的網(wǎng)絡(luò)系統(tǒng)
“自動(dòng)駕駛網(wǎng)絡(luò)”是一個(gè)形象的比喻,意即未來(lái)的網(wǎng)絡(luò)會(huì)更加自動(dòng)化��,一些最基本的網(wǎng)絡(luò)配置�、功能實(shí)現(xiàn)、安全保障完全可以由網(wǎng)絡(luò)系統(tǒng)自己實(shí)現(xiàn)��、自主管理�。網(wǎng)絡(luò)管理員從每天疲于奔命的故障排查中解放出來(lái),將更多精力放在網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃上��。仔細(xì)想一想�����,這真是一個(gè)美好的愿景,關(guān)鍵是如何才能實(shí)現(xiàn)呢����?IBNS(Intent-Based Networking System,基于意圖的網(wǎng)絡(luò)系統(tǒng))順勢(shì)而生���。
Gartner大約從2016年開(kāi)始關(guān)注IBNS�����,《Innovation Insight: Intent-Based Networking Systems, Gartner, Feb 7, 2017》定義���,IBNS必須具備以下四種能力:轉(zhuǎn)譯和驗(yàn)證,自動(dòng)部署��,網(wǎng)絡(luò)狀態(tài)的察覺(jué)�,精確診斷以及動(dòng)態(tài)的優(yōu)化和補(bǔ)救。
IBNS提供了一種搭建和運(yùn)維網(wǎng)絡(luò)的新方法�����,提升了網(wǎng)絡(luò)的可用性和敏捷性��。系統(tǒng)可以在現(xiàn)有的網(wǎng)絡(luò)設(shè)施進(jìn)行適合的網(wǎng)絡(luò)變更����,并且是由系統(tǒng)自動(dòng)完成的��。IBNS還提供了對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的生命周期管理��,包含設(shè)計(jì)、安裝��、運(yùn)營(yíng)和精確診斷�����。
“IBN與SDN不是一回事���。SDN關(guān)注的是網(wǎng)絡(luò)本身���,也就是‘路’,而IBN是實(shí)現(xiàn)交通控制的紅綠燈(系統(tǒng))����。”亓亞烜解釋說(shuō)�����,“SDN的廣泛應(yīng)用為IBN提供了基礎(chǔ)條件。由于SDN的出現(xiàn)����,網(wǎng)絡(luò)的控制變得開(kāi)放可編程,但是網(wǎng)絡(luò)變得更加復(fù)雜了���,使得網(wǎng)絡(luò)管理變的非常困難��。而IBN的出現(xiàn)��,讓SDN網(wǎng)絡(luò)的配置�����、管理和運(yùn)維變得更加簡(jiǎn)捷��、方便���。在實(shí)現(xiàn)SDN之后,IBN是必然選擇�。”
IBN的概念是2016年出現(xiàn)的���。云杉網(wǎng)絡(luò)從一開(kāi)始就在關(guān)注���,而且提出了一個(gè)更直接的說(shuō)法——網(wǎng)絡(luò)監(jiān)控一體化�����。時(shí)至今日���,SDN已經(jīng)是數(shù)據(jù)中心網(wǎng)絡(luò)的一種新常態(tài)。SDN是從技術(shù)的角度出發(fā)����,而IBN是從用戶(hù)業(yè)務(wù)的角度出發(fā)�,解決具體的應(yīng)用問(wèn)題,包括網(wǎng)絡(luò)管理��、業(yè)務(wù)連續(xù)性���、安全性等�����。Gartner的數(shù)據(jù)顯示��,采用IBN后����,用戶(hù)業(yè)務(wù)部署的速度可以提高10倍,業(yè)務(wù)中斷減少50%�����。
“IBN的出現(xiàn)對(duì)網(wǎng)絡(luò)工程師的影響最大�����,這不僅僅是技術(shù)層面的問(wèn)題�,而是人的觀(guān)念要徹底改變?���!必羴啛@在演講中說(shuō),“如果有一天���,我們不用自己開(kāi)車(chē)��,去哪都有人接送�,這是一種什么感覺(jué)���?IBN帶來(lái)的改變���,網(wǎng)絡(luò)工程師要慢慢適應(yīng)���。”
用戶(hù)自發(fā)的需求
以前���,我們看到的更多情況是��,技術(shù)的發(fā)展驅(qū)動(dòng)應(yīng)用的變革����,而IBN卻打破常規(guī)��,先有了客戶(hù)自發(fā)的需求��,才促進(jìn)了IBN的產(chǎn)生和發(fā)展�����。
因?yàn)樵朴?jì)算�、SDN等的普及����,企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)的規(guī)模越來(lái)越大��、越來(lái)越復(fù)雜��,繼續(xù)沿用人工管理的方式����,既不經(jīng)濟(jì)也是人力所難以勝任的�?���!本W(wǎng)絡(luò)未來(lái)發(fā)展的趨勢(shì)一定是實(shí)現(xiàn)自動(dòng)化管理。亓亞烜介紹說(shuō)���,“國(guó)內(nèi)的一些證券公司、互聯(lián)網(wǎng)公司甚至大型物流公司都提出了幾乎相同的需求:降低網(wǎng)絡(luò)管理的復(fù)雜性和成本����,更有效地保證業(yè)務(wù)的連續(xù)性和安全性�����?���!?/p>
以前���,網(wǎng)絡(luò)管理都由企業(yè)的網(wǎng)絡(luò)部門(mén)一力承擔(dān)�����,而現(xiàn)在要想實(shí)現(xiàn)網(wǎng)絡(luò)的”多快好省“,僅靠人工是遠(yuǎn)遠(yuǎn)不夠的�����。比如一家大型的物流企業(yè)����,可能有數(shù)百個(gè)業(yè)務(wù)同時(shí)并發(fā)��,要對(duì)其進(jìn)行實(shí)時(shí)的狀態(tài)管理�,必須依靠網(wǎng)絡(luò)的自動(dòng)化�。再比如,現(xiàn)在很多互聯(lián)網(wǎng)企業(yè)都提供公有云服務(wù)����,但是經(jīng)常會(huì)有一些用戶(hù)因?yàn)楹芑A(chǔ)的網(wǎng)絡(luò)配置或功能問(wèn)題來(lái)尋求幫助,而云服務(wù)商通常沒(méi)有這么多的人力來(lái)應(yīng)對(duì)這些問(wèn)題��,怎么辦�?唯一途徑就是讓網(wǎng)絡(luò)具備自動(dòng)化解決這些問(wèn)題的能力��。這才是IBN興起的根本原因�����。
云杉網(wǎng)絡(luò)提供基于IBN的服務(wù)也有一段時(shí)間了,現(xiàn)有的客戶(hù)主要來(lái)自金融�����、運(yùn)營(yíng)商等行業(yè),其中很多用戶(hù)是主動(dòng)來(lái)咨詢(xún)未來(lái)網(wǎng)絡(luò)如何規(guī)劃?���!?011年,SDN剛開(kāi)始部署時(shí)���,我們主要還是向國(guó)外廠(chǎng)商學(xué)習(xí)?����,F(xiàn)在進(jìn)入IBN時(shí)代,中國(guó)用戶(hù)成了應(yīng)用的先鋒��,其需求之迫切更強(qiáng)于國(guó)外����?���!必羴啛@表示�����,“對(duì)IBN提出需求的更多是傳統(tǒng)企業(yè),而不是像BAT這樣的互聯(lián)網(wǎng)企業(yè)�。國(guó)外的市場(chǎng)分析機(jī)構(gòu)顯然也注意到了這些不同尋常的變化?���!?/p>
IBN當(dāng)前主要的應(yīng)用環(huán)境包括數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)、WAN等�。美國(guó)高速公路安全委員會(huì)將自動(dòng)駕駛分成5個(gè)級(jí)別,Level 0代表沒(méi)有自動(dòng)駕駛功能�,而Level 4表示完全自動(dòng)駕駛。在亓亞烜博士看來(lái)��,目前自動(dòng)駕駛網(wǎng)絡(luò)的水平相當(dāng)于汽車(chē)具有增強(qiáng)駕駛功能��,差不多是Level 3�����。
從網(wǎng)絡(luò)安全發(fā)端
Juniper推出了軟件定義安全網(wǎng)絡(luò)(SDSN)�����。云杉網(wǎng)絡(luò)也是從網(wǎng)絡(luò)安全的角度切入IBN的��。“我們主要解決的是安全策略管理和分析方面的問(wèn)題,云杉網(wǎng)絡(luò)只用了半年時(shí)間就推出了安全白名單功能����。”亓亞烜介紹說(shuō)����。
云杉網(wǎng)絡(luò)安全白名單的研發(fā)源自客戶(hù)的實(shí)際需求��。某客戶(hù)的生產(chǎn)環(huán)境為自研OpenStack云平臺(tái)�����,其安全部門(mén)提出了構(gòu)建能夠?qū)崿F(xiàn)安全監(jiān)控的云的訴求。針對(duì)云上的業(yè)務(wù)流量�����,南北向的安全由傳統(tǒng)的防火墻負(fù)擔(dān),而東西向的安全暫時(shí)沒(méi)有解決方案���,所以希望云杉網(wǎng)絡(luò)能夠基于白名單方案實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)流量的控制��。
客戶(hù)業(yè)務(wù)部門(mén)負(fù)責(zé)定義合法的VM池�����、IP地址�����、協(xié)議端口等資源組����,安全部門(mén)根據(jù)業(yè)務(wù)部門(mén)的意見(jiàn)定義該資源組的流量����,并由此形成可編輯的策略����,保障業(yè)務(wù)的安全性和網(wǎng)絡(luò)的可控性�����。
安全白名單具體功能實(shí)現(xiàn)如下:假設(shè)某金融機(jī)構(gòu)有一個(gè)手機(jī)銀行業(yè)務(wù)���,其業(yè)務(wù)流是用戶(hù)在手機(jī)APP的操作回傳到數(shù)據(jù)中心之后,先經(jīng)過(guò)服務(wù)端校驗(yàn)和處理���,然后再回寫(xiě)到數(shù)據(jù)庫(kù)���,之后數(shù)據(jù)庫(kù)將變更結(jié)果反饋出去,直至用戶(hù)手機(jī)APP��。為了安全起見(jiàn)�,該金融機(jī)構(gòu)的安全人員只允許手機(jī)APP的服務(wù)端(某些固定的IP或其他自定義的資源)訪(fǎng)問(wèn)特定數(shù)據(jù)庫(kù)(的指定端口)�,其他任何資源不允許訪(fǎng)問(wèn)。這個(gè)規(guī)則是橫亙?cè)诒槐Wo(hù)的資源和外部訪(fǎng)問(wèn)之間的安全門(mén)�����,稱(chēng)之為白名單系統(tǒng)�����,就像一些公司的門(mén)禁卡���,只有本公司員工能開(kāi)門(mén),對(duì)不符合該白名單的訪(fǎng)問(wèn)系統(tǒng)除了進(jìn)行阻斷�����,還要進(jìn)行報(bào)警���、記錄日志等相關(guān)操作�。
毫無(wú)疑問(wèn),IBN當(dāng)然會(huì)用到機(jī)器學(xué)習(xí)�����、數(shù)據(jù)分析以及人工智能����,數(shù)據(jù)的采集和分析是核心,而為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控��,數(shù)據(jù)分析的性能和效率要進(jìn)一步提升�����。
早在2012年���,也就是云杉網(wǎng)絡(luò)創(chuàng)立的第二年�,云杉網(wǎng)絡(luò)便推出了國(guó)內(nèi)首個(gè)網(wǎng)絡(luò)虛擬化平臺(tái)�。經(jīng)過(guò)多年打磨�,產(chǎn)品已演進(jìn)到DeepFlow? v5.2���,它幫助用戶(hù)打造了基于x86和開(kāi)放網(wǎng)絡(luò)架構(gòu)下的網(wǎng)絡(luò)虛擬化�����、網(wǎng)絡(luò)監(jiān)控分析及網(wǎng)絡(luò)安全服務(wù)平臺(tái)�����。不同于面向網(wǎng)絡(luò)設(shè)備的傳統(tǒng)網(wǎng)管系統(tǒng)����,DeepFlow?可以幫助客戶(hù)在虛擬化的網(wǎng)絡(luò)環(huán)境中保證業(yè)務(wù)的連續(xù)性和安全性。安全白名單其實(shí)就是DeepFlow?的一個(gè)新增功能����。亓亞烜表示“未來(lái),我們將更快地進(jìn)行產(chǎn)品迭代�,進(jìn)一步豐富產(chǎn)品功能��,比如目前只能管理VM,未來(lái)還要統(tǒng)一管理物理機(jī)�����、容器集群以及公有云等�。”
現(xiàn)在,我們對(duì)人工智能有了越來(lái)越清晰的認(rèn)知���,它不是取代人����,而是輔助人提高工作的效率�����。IBN的出現(xiàn)�,也是借助人工智能、數(shù)據(jù)分析�,讓網(wǎng)絡(luò)完成以前只能由人完成的事情����。IBN會(huì)帶來(lái)一場(chǎng)革命嗎?與其說(shuō)革命���,不如說(shuō)它是網(wǎng)絡(luò)自然演進(jìn)的結(jié)果�。
