如今，VMware 賦予了“EASE”新的含義，那就是 Elastic Application, Secure Edge——“彈性應(yīng)用、安全邊緣”，這一面向多云場景下現(xiàn)代化應(yīng)用的體系架構(gòu)和解決方案。正如“ease”的英文原意那樣，VMware 將通過“EASE”輕松地提供現(xiàn)代化應(yīng)用的跨云連接和安全服務(wù)。

　　企業(yè)應(yīng)用的數(shù)字化轉(zhuǎn)型正在同時經(jīng)歷三大挑戰(zhàn)：應(yīng)用的容器化和微服務(wù)化改造；基礎(chǔ)設(shè)施轉(zhuǎn)型：私有云轉(zhuǎn)向公有云和多云；遠程工作和 BYOD。

　　為迎接每一項挑戰(zhàn)，都需要對應(yīng)用和基礎(chǔ)架構(gòu)進行一些改進、甚至重構(gòu)。那么，當同時面臨三項挑戰(zhàn)時，要考慮的就是：微服務(wù)架構(gòu)的“服務(wù)單元”能否跨云、甚至跨多個私有云和公有云？微服務(wù)的“服務(wù)單元”是否一定基于容器？如何使遠程客戶最便捷安全地訪問跨云構(gòu)建的新型應(yīng)用？

　　如果這些挑戰(zhàn)碰撞出來的需求可以實現(xiàn)，將進一步消除應(yīng)用現(xiàn)代化改造過程中的種種束縛，幫助企業(yè)客戶更快、更經(jīng)濟地實現(xiàn)他們各種應(yīng)用的數(shù)字化和云化轉(zhuǎn)型，促進企業(yè)業(yè)務(wù)適應(yīng)不斷變化的全球形勢，并獲得增長。

　　圖 1 微服務(wù)的多云化和安全訪問

　　由于企業(yè)正在改變他們的單體應(yīng)用程序架構(gòu)，越來越傾向于支持跨多云環(huán)境的高度分布式微服務(wù)、利用容器、K8s 和無服務(wù)器功能。這意味著越來越多的服務(wù)和組件需要被連接，甚至將不同云上的服務(wù)作為“服務(wù)單元”，以“微服務(wù)”的思路組合成全新的應(yīng)用。用戶從不同位置訪問企業(yè)自行構(gòu)建的應(yīng)用，或者訪問公有云上的 SaaS 服務(wù)時，應(yīng)在一致的安全策略下進行。

　　依據(jù)市場的云報告《Flexera 2021 State of the Cloud Report》調(diào)查顯示：82% 的企業(yè)用戶正在使用/建設(shè)混合云，而 92% 的企業(yè)有多云計劃。現(xiàn)代化應(yīng)用越來越多地使用云原生技術(shù)來構(gòu)建，以進行敏捷開發(fā)。應(yīng)用多云化具有很大潛力，也面臨著很多困難和限制。

　　眾多的公有云是彼此孤立的，沒有通用的網(wǎng)絡(luò)標準，提供的網(wǎng)絡(luò)和安全功能不同，配置和消費模型也不同。如果我們能夠超越孤島并提供跨云的無縫、安全連接并規(guī)范云消費模型時，那么企業(yè)應(yīng)用架構(gòu)師就可以選擇最符合應(yīng)用需求的云，并且將組成應(yīng)用的各個“服務(wù)單元”分布在多云中。在每個公有云中，企業(yè)擁有一部分資源以及服務(wù)，用于構(gòu)建某個服務(wù)單元。此時，企業(yè)在這個云上就創(chuàng)建了一個類似于“虛擬專用云 VPC”的應(yīng)用空間。

　　不僅在“云 VPC”內(nèi)部需要 L2-L3 網(wǎng)絡(luò)連接、負載平衡、安全和管理功能，在“云 VPC”的邊緣也需要具有緊密集成的連接性、安全性、負載平衡和可觀察性（圖 2）。但如果要將不同私有云、公有云上的來自不同供應(yīng)商的網(wǎng)絡(luò)、安全和負載平衡產(chǎn)品拼接在一起，是非常具有挑戰(zhàn)性的工作，如果再要求由單一控制中心進行統(tǒng)一管理，這就大大增加了復(fù)雜性。

　　圖 2 “云VPC”的安全連接

　　基于微服務(wù)架構(gòu)開發(fā)的新型應(yīng)用要求數(shù)量更多的內(nèi)、外部連接，安全威脅攻擊面的數(shù)量將隨著這些基于多云的異構(gòu)應(yīng)用的使用而上升。安全威脅和攻擊態(tài)勢每天都變得越來越復(fù)雜，因此對內(nèi)置安全性的要求已成為網(wǎng)絡(luò)的首要任務(wù)。在每個“云 VPC”上需要提供完整的安全性，將攻擊面限制在“云 VPC”邊界內(nèi)。“完整的安全性”已經(jīng)發(fā)展為“零信任”安全目標和方法論，以此為指導(dǎo)的安全設(shè)計應(yīng)該通過控制平面分發(fā)到多云基礎(chǔ)設(shè)施中的任何地方，以提供更有效的應(yīng)用安全保障。

　　越來越多的員工現(xiàn)在在傳統(tǒng)的辦公室安全邊界之外工作：越來越多的用戶正在使用越來越多的設(shè)備，并將它們連接到比以往更多的未知和個人網(wǎng)絡(luò)基礎(chǔ)設(shè)施中。因此，越來越多的遠程工作使移動設(shè)備與敏感的企業(yè)資源接觸。由于用戶希望在任何地方工作，并且應(yīng)用正在跨多個云進行部署，遠程用戶流量的增長要求網(wǎng)絡(luò)安全、高吞吐量和低延遲。SASE——安全接入服務(wù)邊緣——是滿足用戶接入應(yīng)用需求的方式。

　　VMware EASE 將應(yīng)用的連接性、安全性、彈性和安全性作為核心，以服務(wù)于應(yīng)用層為目標。VMware 的現(xiàn)代化應(yīng)用架構(gòu)和解決方案（圖 3）可以為用戶提供：

　　

　　圖 3 從“云內(nèi)”到“云間”的應(yīng)用連接和安全

　　VMware EASE 是如何“輕松”化解日益復(fù)雜的跨云應(yīng)用連接和安全帶來的挑戰(zhàn)呢？它與其他解決方案之間的差異體現(xiàn)在哪里？我們從多云互聯(lián)、應(yīng)用安全和遠程訪問優(yōu)化三個方面進行介紹。

　　通過對 EASE 的剖析可以了解，VMware 以“應(yīng)用”為中心設(shè)計了多云連接方案體系。同樣為“多云”環(huán)境提供連接服務(wù)的，是已有數(shù)年歷史的“DCI”、“InterCloud”等概念方案——它們服務(wù)于網(wǎng)絡(luò)層，重心在于“DC”或“Cloud”。從這個區(qū)別不難理解，EASE 的網(wǎng)絡(luò)服務(wù)（如防火墻和負載平衡）具備“盡可能靠近應(yīng)用工作負載運行、遷就應(yīng)用部署”的方式和特點。

　　為了讓現(xiàn)代應(yīng)用通過安全、彈性的網(wǎng)絡(luò)進行大規(guī)模連接，所有功能都應(yīng)該是分布式并且集中管理的。圖 4 展示了 VMware EASE 在多云環(huán)境中“集中管理、分布式服務(wù)”的體系架構(gòu)。“云應(yīng)用控制平面”中，不僅有 NSX 管理中心，而且還可以集成分布式計算、分布式存儲的控制平面，集成各種云管軟件、平臺和應(yīng)用自動化系統(tǒng)。這個架構(gòu)和理念開放而靈活，不局限于 VMware 的產(chǎn)品。

　　然而，VMware 是唯一具備云應(yīng)用全棧產(chǎn)品的方案提供者。VMware 擁有非常廣泛的跨云服務(wù)組合，包括網(wǎng)絡(luò)和安全。NSX 事實上已經(jīng)與所有最主要的私有云和公有云基礎(chǔ)架構(gòu)兼容，并可以提供面向企業(yè)用戶的 NSX Cloud 服務(wù)。作為 EASE 中最重要的組件，NSX 是分布式防火墻、分布式 IDS/IPS、分布式負載均衡和分布式分析的領(lǐng)導(dǎo)者，NSX 系列將這些關(guān)鍵構(gòu)建塊無縫協(xié)同工作，以提供彈性、可擴展、高度可用且易于使用的基礎(chǔ)架構(gòu)。而且不需要為 NSX 定制設(shè)備（硬件），可以使用既有的通用服務(wù)器來運行所有這些服務(wù)。這首先將帶來巨大的資本支出節(jié)�。浑S后，架構(gòu)師和運維團隊將意識到，這種“分布式”方式顛覆了傳統(tǒng)網(wǎng)絡(luò)拓撲的設(shè)計原則，優(yōu)化了流量，并降低了部署復(fù)雜性：不再需要設(shè)計多 VLAN 之間的復(fù)雜的交換體系、不再需要設(shè)計“精巧而繁復(fù)”的策略路由，分布式的 NSX 轉(zhuǎn)發(fā)機制可以規(guī)避傳統(tǒng)網(wǎng)絡(luò)中很多令人頭疼的“陷阱”。

　　

　　圖 4 集中式控制、分布式連接的云應(yīng)用互連

　　這個集中的“應(yīng)用控制平面”并非，也不可能，由某個公有云主導(dǎo)建設(shè)且提供給最終用戶。要實現(xiàn)圖 1 所示的各個服務(wù)單元之間按需跨云連接，應(yīng)用所有者應(yīng)當自己主導(dǎo)這個控制平面，按需選用不同云上的資源和服務(wù)，在不同的云上選擇建設(shè)最合適的微服務(wù)單元，利用 NSX 的多云兼容性和連通性特點，來自定義應(yīng)用在多云上的擴展和延伸范圍。

　　在圖 4 所示的架構(gòu)中，跨云應(yīng)用控制平面有“控制中心”，而數(shù)據(jù)平面則沒有“流量中心”。通常在這種多方互聯(lián)的需求下會采用中心輻射（Hub-Spoke）的設(shè)計或拓撲模型。這種傳統(tǒng)設(shè)置存在的明顯缺點是：如果流量從一個云傳輸?shù)搅硪粋�云，則必須穿越中心 Hub 位置，這將使中心位置成為阻塞點。在公有云都彼此孤立的體系架構(gòu)下，這個中心 Hub 不得不由企業(yè)用戶自建，難度和資金壓力非常大；當業(yè)務(wù)增長需要擴大規(guī)模時，將導(dǎo)致更加高昂的投資，用更大規(guī)模、更大的設(shè)備來增加互通容量。

　　隨著 VMware NSX 和 SD-WAN 提供的技術(shù)方案的實現(xiàn)，將網(wǎng)絡(luò)和安全服務(wù)引向邊緣，我們實現(xiàn)了從中心輻射拓撲到網(wǎng)狀拓撲的演進。流量現(xiàn)在可以直接在任意兩個云之間實現(xiàn)“一跳可達”，因為不再需要經(jīng)由某個 Hub 中心位置了；這樣擴展問題就解決了，而且故障影響域也縮小了。

　　我們將這種基于 EASE 的云應(yīng)用互聯(lián)（圖 4）與 ServiceMesh 的服務(wù)單元互聯(lián)（圖 5）進行類比，不難發(fā)現(xiàn)：EASE 代理了企業(yè)客戶在各個“云 VPC”之間的連接，就如同 Sidecar Proxy 在 ServiceMesh 架構(gòu)內(nèi)發(fā)揮的作用，基于 EASE 的云間應(yīng)用互連，就像是 ServiceMesh 在多云尺度上的放大。這個類比可以幫助我們更好地理解 EASE 的“無中心、分布式”流量模式和它的必要性。EASE 比 Kubernetes 世界里的 Sidecar Proxy 更加靈活。因為被 EASE 連接的服務(wù)，不限于是單個 Kubernetes 集群中以容器方式構(gòu)建的單元，也可以是不同位置上私有云中基于裸金服務(wù)器的服務(wù)、基于虛擬機的服務(wù)、公有云上的云原生應(yīng)用或 SaaS 服務(wù)……

　　

　　圖 5 基于 Sidecar 的服務(wù)互聯(lián)參考模型

　　通過 EASE 的設(shè)計指導(dǎo)思想，“云 VPC”連接拓撲將被優(yōu)化，減少了連接安全保障所面臨的困難，這是對“泛安全焦慮癥”的最合適的治療方式。連接必然具有開放性，這是連接的活力所在；開放則必然引入受攻擊的可能性；為了“安全”而選擇“封閉”就是因噎廢食。新冠疫情期間，我國采取的“動態(tài)清零”策略和針對檢驗檢疫而增強的邊境口岸管理方法，就是在保持開放性的同時與病毒保持相對隔絕的生動案例。

　　在云應(yīng)用場景中，對多種多樣云連接的方式和拓撲進行歸納、整理、簡化，有助于我們厘清多云環(huán)境下的安全態(tài)勢和需求，有助于我們制定更加針對性的安全措施。

　　EASE 對“云 VPC”的邊界進行了重新定義，這個邊界不是在數(shù)據(jù)中心/云的物理邊緣，而是遵循應(yīng)用分散部署的特點而定義的“虛擬邊緣”。

　　以往，由于缺乏對安全策略的一致性和落地貫徹進行集中管理，經(jīng)常采用的應(yīng)對措施是建設(shè)諸如“安全服務(wù)區(qū)”或“流量清理區(qū)”這樣的設(shè)施，只有在這里，才能最大程度發(fā)揮傳統(tǒng)安全設(shè)備的功能，這也就是數(shù)據(jù)中心/云的物理安全邊界。

　　隨著應(yīng)用微服務(wù)化和敏捷開發(fā)運維流程的引入，固定的物理安全邊界無法跟隨應(yīng)用的位置的變化，反而制約了應(yīng)用的生長和彈性擴展——狠抓安全，就把應(yīng)用“管死了”；發(fā)展敏捷應(yīng)用，就會發(fā)現(xiàn)物理安全邊界上“千瘡百孔”，被動封堵無濟于事。

　　EASE 面向應(yīng)用，通過 NSX 的分布式安全功能，將“物理安全區(qū)”的功能分散到各個應(yīng)用集群中，形成對應(yīng)用的貼身安全服務(wù)。這樣，“應(yīng)用安全邊緣”就簡化了，面向應(yīng)用的安全邏輯應(yīng)當、也必須基于應(yīng)用特征和標記，而不是基于 IP 地址或 VLAN 編號。企業(yè)用戶也就可以在自身應(yīng)用的邊緣自行劃定安全邊界并執(zhí)行自定義的安全策略，無需依賴公有云或電信運營商的“安全服務(wù)中心”。

　　NSX 方案家族提供了 L2-L7 完善的安全功能（圖 6），適用于私有云、公有云環(huán)境中以裸金服務(wù)器、虛擬機、容器形態(tài)承載的應(yīng)用，可以覆蓋以上三個方面的策略需求，實現(xiàn)多云、一致的安全。

　　

　　圖 6 NSX應(yīng)用交付安全堆棧

　　應(yīng)用互聯(lián)時，我們不僅要在基礎(chǔ)設(shè)施級別進行監(jiān)控，還要在應(yīng)用級別進行監(jiān)控，需要了解多云環(huán)境的實際狀況，這也是云安全不可或缺的一部分。對應(yīng)用的健康，不僅限于從流量的角度，也要從客戶體驗的角度、從端到端遲的角度、從敏捷應(yīng)用反應(yīng)的角度。應(yīng)用跨云連接時，不同云提供了不同的可見性工具，這些工具無法實現(xiàn)跨云可見性，這種割裂會增加安全團隊的盲點。EASE 中集成了適應(yīng)多環(huán)境的可觀察性工具（圖 7），正是跨云連接安全所需的特性。有了這種權(quán)威的基于場景的威脅情報，安全團隊將減少盲點，并能夠調(diào)整安全控制和策略以更快地解決安全事件。

　　

　　圖 7 跨云可視化是實現(xiàn)應(yīng)用安全的必選項

　　用戶在使用基于 EASE 構(gòu)建的跨云應(yīng)用時，涉及用戶與應(yīng)用之間的連接和安全，就必須提到 SASE，即“安全訪問服務(wù)邊緣”（圖 8）。

　　SASE 更多地以用戶為中心。SASE 的誕生和普及源于這樣一個事實：即用戶真的越來越需要在任何地方進行云應(yīng)用的訪問，可能在家里，可能在車里，可能來自公司辦公室。某種意義上來說，SASE 可以看作 SDWAN 的升級和擴展，能夠優(yōu)化從網(wǎng)絡(luò)邊緣到云上的應(yīng)用、或回傳到企業(yè)數(shù)據(jù)中心的網(wǎng)絡(luò)傳輸，同時提供滿足“零信任”要求的最小特權(quán)訪問。SASE 圍繞著用戶和用戶正在使用的設(shè)備，收窄并控制對于應(yīng)用的訪問權(quán)限。SASE 中也包含防火墻功能，比傳統(tǒng)防火墻更加靈活和主動，能夠圍繞應(yīng)用、用戶、分支站點以及“在家辦公”的環(huán)境創(chuàng)建安全邊界。

　　因此，通過這種方式，以用戶為中心的 SASE 和以應(yīng)用程序為中心的 EASE 可以共同提供更大的、更適合現(xiàn)代應(yīng)用程序的應(yīng)用程序，并且人們實際上不受其分支環(huán)境的束縛，能夠?qū)嶋H從任何地方工作。

　

　　圖 8 從 SASE 到 EASE

　　以上，我們描述并討論了應(yīng)用的多云轉(zhuǎn)型過程中許多亟需解決的云連接挑戰(zhàn)，以及基于“彈性應(yīng)用、安全邊緣”思想的 VMware EASE 解決方案架構(gòu)。

　　在過去的十年中，VMware 一直致力于開發(fā)并提供多云網(wǎng)絡(luò)服務(wù)的軟件，以 NSX 為核心創(chuàng)建了一個非常全面的平臺。NSX 在私有云、VMware 云以及 AWS、Azure 和 Google 云中都有成千上萬的客戶。大多數(shù)“財富 100 強”客戶都使用 NSX 進行了大規(guī)模的云建設(shè)，這些部署案例中，NSX 運行了企業(yè)網(wǎng)絡(luò)所需的完整功能集。開發(fā)人員可以使用基于意圖的策略輕松實現(xiàn) NSX 自動化，也就是實現(xiàn)了連接和安全的自動化。我們堅信，憑借軟件定義的領(lǐng)先地位、持續(xù)的投入和創(chuàng)新，NSX 可以成為您首選的多云現(xiàn)代網(wǎng)絡(luò)平臺，EASE 可以成為令人興奮的多云之旅中值得信賴的跨云應(yīng)用連接方案。

　　免責聲明