網路自動化能帶來許多好處,包括節省成本、大幅提升系統運行時間、打造更有效率的資料中心營運流程等等,本文將帶您一探究竟。
文/Jeff Vance 譯/曾祥信
新冠病毒導致全球經濟衰退、勞動人口必須遠端工作,也迫使眾多企業不得不加快數位轉型的腳步,提前展開早期的壓力測試。
這項危機考驗的結果可說是憂喜參半,壞消息是如今「Zoom轟炸」 (Zoom Bombs) 成為重大威脅;而好消息是,大部份IT組織發現他們其實已有所準備。因應遠端工作者激增的狀況,這對IT而言並非新的挑戰,而是「規模」的問題。
畢竟過去幾年,從銀行、保險到零售業等各種市場領域的企業,都在數位轉型專案投下重本。以金融業為例,Ovum Research 研究機構分析就指出,2018年內,全球前一千家銀行光是花在前端辦公室(front office)數位銀行(digital banking)專案的支出就將近100億美金。
根據 IDC《全球半年度數位轉型支出指南》報告的預測,2023年全世界企業在數位轉型上的花費將達到2.3兆美金,這包括數位轉型所需的各種科技與服務。報告預測數位轉型支出在2019年到2023年之間將穩定成長,五年內的複合年均成長率為17.1%。
即使如此,每當網路頻寬需求出現爆炸性成長時,勢必會對IT建設造成新的瓶頸;就像現在,社交距離和在家工作的規定使得頻寬需求呈現指數成長,架構在老舊基礎設施上的網路,幾乎難以承載突如其來的頻寬需求。
[加入”CIO Taiwan“官方LINE,獲取精華見解,與全球CIO同步。]
造成網路瓶頸,卻經常為人忽略的一大主因,是老舊網路基礎設施與路由系統。太多網路基礎設施仍然透過手動方式進行管理與維護工作,在這類基礎建設上擴增頻寬,尤其是私有線路,往往不是幾小時或幾天就能搞定,而是需要數週甚至好幾個月的時間。
數位轉型的演進,同時也改變企業對雲端的觀點,IDC資料中心網路的研究副總裁 Brad Casemore 表示:「以往我們將雲端視為資料的目的地──用來儲存資訊的地方;現在雲端比較像是一個概念,IT領導人將雲端運算視為一種運算模型及一套原則。」
雖然雲端運算模型及其運算原則已蔚為流行,現實狀況與終極目標之間依然存在一段差距。此外,企業在轉變期間必須使用混合式架構以連接各種私有雲與公用雲,這些混合模型確實有效,也能保護舊有的投資,但它們同時也讓系統架構變得更加複雜。
無論從維護、控制以及法規的觀點來看,這些以服務為導向的大型多重雲端基礎建設已經成長為龐然大物,難以用舊有工具和手動方式進行管理與安全維護工作。
IBM透過SaltStack對付超大規模網路難題
Brian Armstrong 是IBM網路工程部門最高主管,他在2017年加入IBM時,公司的網路團隊已建造出超大規模等級網路(hyperscale-sized network),由68,000台交換器及路由器所構成。
Armstrong說道:「我們的工程師技術高超且擅長編寫 script (腳本程式),他們最不願意做的事就是手動設定裝置組態。」此外,使用傳統工具和方法手動管理與維護這種規模的網路,要耗費的人力比起一般網路還要多出許多,特別是 IBM Cloud 的規模仍在持續擴展。
用script程式管理網路是「DevOps」團隊常見的作法,但這種方法只有在運算平台及作業系統皆一致的環境下,才能因應規模成長,「NetOps」團隊面臨的是截然不同的狀況,尤其是隨著時間不斷演進的超大規模環境。
Armstrong表示:「舉例來說,當我們要對網路設備進行韌體更新時,我們沒有一套統一的做法,所以我們的自動化目標很簡單:我們必須設法讓事情井然有序。」
IBM Cloud 資料中心擁有不同廠商提供的各種裝置、各種型號,且搭配各種作業系統,在如此大型異質網路環境下,即使是編寫script捷徑也得耗費極大量人力。而且仰賴大量特殊的script程式來維護系統,也會造成安全、風險管理及法規等問題。
儘管如此,IBM Cloud 團隊尚未找到正當理由汰換既有設備,而且他們也不想被特定的廠商綁住。IBM Cloud 網路團隊很快地意識到,要能因應日益增加的需求並有效管理其異質硬體基礎建設的唯一之道,是將網路硬體與控制中控台的關聯徹底切開。
IBM Cloud 決定在既有的實體基礎建設上,建造一層軟體定義網路(SDN),這層軟體定義網路讓他們可以集中管理實體基礎建設,而且可透過程式自動設定裝置組態。理想上,軟體定義網路層同時也能讓他們輕易且系統化地檢查並更新異質的硬體設備,這意謂著,他們再也不需要特定廠商提供的軟體定義網路解決方案。
經過徹底研究之後,IBM Cloud 網路團隊決定採用新創公司SaltStack開發的基礎架構自動化平台,IBM以SaltStack系統作為統一的指令與控制介面,它能為整個 IBM Cloud 網路提供全面檢查、遠端程式執行、自動化、更新程式、安全偵測與安全防護等功能。
有了SaltStack,IBM Cloud 團隊得以將所有資料中心與近七萬台網路設備的更新時間,由數個月縮短至數週,此過程包括測試所有組態變更、更新韌體與加入新的功能。IBM Cloud 估計,SaltStack讓他們的網路團隊省下至少四萬個小時人力,並避免在維護期間造成任何客戶的系統停擺。
IBM Cloud 持續透過SaltStack集中式管理與維護其網路設備,同時也用SaltStack軟體套件中的其他功能來管理虛擬環境、自動化法規管理工作,並打造更有效率的SecOps流程。
DDoS迫使羅德島州的學校及非營利組織採取行動 部署Kentik自動安全防護機制
資源短缺的組織很難隨時維持足夠防護能力,以抵禦最新的安全威脅,對這種組織而言,安全防護成為他們追求自動化的主要動機之一,畢竟現在許多攻擊者已開始使用自動化工具來突破傳統的防護網,若以手動方式對抗網路攻擊,無異是以卵擊石。
非營利組織海洋州高等教育經濟發展與行政網路(OSHEAN)為羅德島州的公立組織提供網際網路連線,OSHEAN共有160個會員組織,包括大學、中小學、幼稚園、圖書館、醫院、政府機構及其他非營利組織。近來,鎖定其會員組織的分散式阻斷攻擊(DDoS)威脅陡然激增,迫使OSHEAN開始研究安全自動化議題。
OSHEAN以往的作法是,個別對付每一次的分散式阻斷攻擊,當他們發現惡意網路流量時(通常是因為某個會員組織緊急撥打服務專線),OSHEAN的技術團隊會手動將惡意流量導向到「黑洞」,因此,在阻斷攻擊期間,受害會員組織無法正常使用網路。
OSHEAN總裁兼執行長 David Marble 體認到,隨著OSHEAN會員數量和網路攻擊數量皆與日俱增,手動防護措施無法因應規模成長,Marble及其團隊開始研究各種可能的解決方案,他們剔除某些不適合的選項,例如需要特定設備的方案,或者並非使用開放標準的管理服務。特定設備方案需要事先投入大量資本支出以及後續的維護成本,至於非開放標準的管理服務,則缺少他們需要的功能,也讓Kentik公司難以開發服務鏈與其他自動化功能。
在研究許多可能的選項之後,Marble與其團隊決定使用Kentik公司的網路效能監控與分析平台,協助他們保護會員組織免於分散式阻斷攻擊威脅。
Kentik系統透過網路探針(probe),持續監控數以百萬計的IP位址,它能找出並密切觀察接收流量最多的IP位址,同時,Kentik系統也會根據網路流量模式計算出流量基準線,以此基準,自動偵測異常的流量。
Kentik使用開放標準的應用程式介面(API),因此OSHEAN得以將整套防護佈署劃分為兩個部份,一個是異常流量的偵測及分析,另一個是攻擊發生時的緩解與修護措施。OSHEAN整合Kentik平台與 Akamai Prolexic 流量清洗,如此一來,當分散式阻斷攻擊發生時,系統會自動隔離被攻擊的網站並清洗其流量。
在不到一年內,Kentik平台幫助OSHEAN自動地抵擋三百多次大型的分散式阻斷攻擊,這些攻擊鎖定目標皆是OSHEAN會員組織。
OSHEAN甚至因此獲得額外優勢:協助他們自動對抗分散式阻斷攻擊的分析技術,如今也被用來改善組織應用軟體的服務品質與效能表現。Marble說道:「我們在分散式阻斷攻擊防護機制中用的分析技術,對於分析應用軟體的流量極有助益。當我們的會員組織遇到應用軟體上的問題,我們可以自動追蹤該軟體流量,找出問題源頭。」
自動化為未來網路鋪路─以應用軟體為主的網路
隨著軟體定義網路(SDN)逐漸取代傳統以硬體為主的網路基礎設施,在基本網路功能架構上實施最佳化的機會也與日俱增,例如,軟體定義廣域網路(SD-WAN)服務乃是由基本的分支機構連線能力演進而成,可提供雲端連線能力,讓應用軟體服務成為關鍵功能。
在軟體定義的基礎設施下,應用軟體的服務品質最佳化(也就是優先傳送影音流量)、應用軟體的特定路由(將Google應用程式的流量直接傳送到Google伺服器)以及節省成本的措施(例如透過較便宜的連線傳送電子郵件)全部都有可能實現。
IDC的Casemore表示:「分散式雲端平台迫使企業尋求自動化方案,你總不能在不同雲端平台上使用不同的規則。隨著企業與網路服務供應商致力發展一致的網路策略、安全防護以及分佈在不同雲端平台的運算工作,網路專家不用太操心舊有系統,而是必須更加關切如何將應用軟體的工作流程自動化。」
如今,除了混合式雲端環境驅策企業發展網路自動化,還有許多新興科技也驅使傳統的網路基礎設施超越其極限,物聯網(IoT)、串流媒體與機器對機器(M2M)等技術的溝通方式皆對傳統架構帶來挑戰,此外,即將由地平線升起的另外兩個議題甚至可能帶來更大的問題:法規限制與5G。