如今，VMware 賦予了“EASE”新的含義，那就是 Elastic Application, Secure Edge——“彈性應用、安全邊緣”，這一面向多云場(chǎng)景下現代化應用的體系架構和解決方案。正如“ease”的英文原意那樣，VMware 將通過(guò)“EASE”輕松地提供現代化應用的跨云連接和安全服務(wù)。

　　企業(yè)應用的數字化轉型正在同時(shí)經(jīng)歷三大挑戰：應用的容器化和微服務(wù)化改造；基礎設施轉型：私有云轉向公有云和多云；遠程工作和 BYOD。

　　為迎接每一項挑戰，都需要對應用和基礎架構進(jìn)行一些改進(jìn)、甚至重構。那么，當同時(shí)面臨三項挑戰時(shí)，要考慮的就是：微服務(wù)架構的“服務(wù)單元”能否跨云、甚至跨多個(gè)私有云和公有云？微服務(wù)的“服務(wù)單元”是否一定基于容器？如何使遠程客戶(hù)最便捷安全地訪(fǎng)問(wèn)跨云構建的新型應用？

　　如果這些挑戰碰撞出來(lái)的需求可以實(shí)現，將進(jìn)一步消除應用現代化改造過(guò)程中的種種束縛，幫助企業(yè)客戶(hù)更快、更經(jīng)濟地實(shí)現他們各種應用的數字化和云化轉型，促進(jìn)企業(yè)業(yè)務(wù)適應不斷變化的全球形勢，并獲得增長(cháng)。

　　圖 1 微服務(wù)的多云化和安全訪(fǎng)問(wèn)

　　由于企業(yè)正在改變他們的單體應用程序架構，越來(lái)越傾向于支持跨多云環(huán)境的高度分布式微服務(wù)、利用容器、K8s 和無(wú)服務(wù)器功能。這意味著(zhù)越來(lái)越多的服務(wù)和組件需要被連接，甚至將不同云上的服務(wù)作為“服務(wù)單元”，以“微服務(wù)”的思路組合成全新的應用。用戶(hù)從不同位置訪(fǎng)問(wèn)企業(yè)自行構建的應用，或者訪(fǎng)問(wèn)公有云上的 SaaS 服務(wù)時(shí)，應在一致的安全策略下進(jìn)行。

　　依據市場(chǎng)的云報告《Flexera 2021 State of the Cloud Report》調查顯示：82% 的企業(yè)用戶(hù)正在使用/建設混合云，而 92% 的企業(yè)有多云計劃。現代化應用越來(lái)越多地使用云原生技術(shù)來(lái)構建，以進(jìn)行敏捷開(kāi)發(fā)。應用多云化具有很大潛力，也面臨著(zhù)很多困難和限制。

　　眾多的公有云是彼此孤立的，沒(méi)有通用的網(wǎng)絡(luò )標準，提供的網(wǎng)絡(luò )和安全功能不同，配置和消費模型也不同。如果我們能夠超越孤島并提供跨云的無(wú)縫、安全連接并規范云消費模型時(shí)，那么企業(yè)應用架構師就可以選擇最符合應用需求的云，并且將組成應用的各個(gè)“服務(wù)單元”分布在多云中。在每個(gè)公有云中，企業(yè)擁有一部分資源以及服務(wù)，用于構建某個(gè)服務(wù)單元。此時(shí)，企業(yè)在這個(gè)云上就創(chuàng )建了一個(gè)類(lèi)似于“虛擬專(zhuān)用云 VPC”的應用空間。

　　不僅在“云 VPC”內部需要 L2-L3 網(wǎng)絡(luò )連接、負載平衡、安全和管理功能，在“云 VPC”的邊緣也需要具有緊密集成的連接性、安全性、負載平衡和可觀(guān)察性（圖 2）。但如果要將不同私有云、公有云上的來(lái)自不同供應商的網(wǎng)絡(luò )、安全和負載平衡產(chǎn)品拼接在一起，是非常具有挑戰性的工作，如果再要求由單一控制中心進(jìn)行統一管理，這就大大增加了復雜性。

　　圖 2 “云VPC”的安全連接

　　基于微服務(wù)架構開(kāi)發(fā)的新型應用要求數量更多的內、外部連接，安全威脅攻擊面的數量將隨著(zhù)這些基于多云的異構應用的使用而上升。安全威脅和攻擊態(tài)勢每天都變得越來(lái)越復雜，因此對內置安全性的要求已成為網(wǎng)絡(luò )的首要任務(wù)。在每個(gè)“云 VPC”上需要提供完整的安全性，將攻擊面限制在“云 VPC”邊界內。“完整的安全性”已經(jīng)發(fā)展為“零信任”安全目標和方法論，以此為指導的安全設計應該通過(guò)控制平面分發(fā)到多云基礎設施中的任何地方，以提供更有效的應用安全保障。

　　越來(lái)越多的員工現在在傳統的辦公室安全邊界之外工作：越來(lái)越多的用戶(hù)正在使用越來(lái)越多的設備，并將它們連接到比以往更多的未知和個(gè)人網(wǎng)絡(luò )基礎設施中。因此，越來(lái)越多的遠程工作使移動(dòng)設備與敏感的企業(yè)資源接觸。由于用戶(hù)希望在任何地方工作，并且應用正在跨多個(gè)云進(jìn)行部署，遠程用戶(hù)流量的增長(cháng)要求網(wǎng)絡(luò )安全、高吞吐量和低延遲。SASE——安全接入服務(wù)邊緣——是滿(mǎn)足用戶(hù)接入應用需求的方式。

　　VMware EASE 將應用的連接性、安全性、彈性和安全性作為核心，以服務(wù)于應用層為目標。VMware 的現代化應用架構和解決方案（圖 3）可以為用戶(hù)提供：

　　

　　圖 3 從“云內”到“云間”的應用連接和安全

　　VMware EASE 是如何“輕松”化解日益復雜的跨云應用連接和安全帶來(lái)的挑戰呢？它與其他解決方案之間的差異體現在哪里？我們從多云互聯(lián)、應用安全和遠程訪(fǎng)問(wèn)優(yōu)化三個(gè)方面進(jìn)行介紹。

　　通過(guò)對 EASE 的剖析可以了解，VMware 以“應用”為中心設計了多云連接方案體系。同樣為“多云”環(huán)境提供連接服務(wù)的，是已有數年歷史的“DCI”、“InterCloud”等概念方案——它們服務(wù)于網(wǎng)絡(luò )層，重心在于“DC”或“Cloud”。從這個(gè)區別不難理解，EASE 的網(wǎng)絡(luò )服務(wù)（如防火墻和負載平衡）具備“盡可能靠近應用工作負載運行、遷就應用部署”的方式和特點(diǎn)。

　　為了讓現代應用通過(guò)安全、彈性的網(wǎng)絡(luò )進(jìn)行大規模連接，所有功能都應該是分布式并且集中管理的。圖 4 展示了 VMware EASE 在多云環(huán)境中“集中管理、分布式服務(wù)”的體系架構。“云應用控制平面”中，不僅有 NSX 管理中心，而且還可以集成分布式計算、分布式存儲的控制平面，集成各種云管軟件、平臺和應用自動(dòng)化系統。這個(gè)架構和理念開(kāi)放而靈活，不局限于 VMware 的產(chǎn)品。

　　然而，VMware 是唯一具備云應用全棧產(chǎn)品的方案提供者。VMware 擁有非常廣泛的跨云服務(wù)組合，包括網(wǎng)絡(luò )和安全。NSX 事實(shí)上已經(jīng)與所有最主要的私有云和公有云基礎架構兼容，并可以提供面向企業(yè)用戶(hù)的 NSX Cloud 服務(wù)。作為 EASE 中最重要的組件，NSX 是分布式防火墻、分布式 IDS/IPS、分布式負載均衡和分布式分析的領(lǐng)導者，NSX 系列將這些關(guān)鍵構建塊無(wú)縫協(xié)同工作，以提供彈性、可擴展、高度可用且易于使用的基礎架構。而且不需要為 NSX 定制設備（硬件），可以使用既有的通用服務(wù)器來(lái)運行所有這些服務(wù)。這首先將帶來(lái)巨大的資本支出節省；隨后，架構師和運維團隊將意識到，這種“分布式”方式顛覆了傳統網(wǎng)絡(luò )拓撲的設計原則，優(yōu)化了流量，并降低了部署復雜性：不再需要設計多 VLAN 之間的復雜的交換體系、不再需要設計“精巧而繁復”的策略路由，分布式的 NSX 轉發(fā)機制可以規避傳統網(wǎng)絡(luò )中很多令人頭疼的“陷阱”。

　　

　　圖 4 集中式控制、分布式連接的云應用互連

　　這個(gè)集中的“應用控制平面”并非，也不可能，由某個(gè)公有云主導建設且提供給最終用戶(hù)。要實(shí)現圖 1 所示的各個(gè)服務(wù)單元之間按需跨云連接，應用所有者應當自己主導這個(gè)控制平面，按需選用不同云上的資源和服務(wù)，在不同的云上選擇建設最合適的微服務(wù)單元，利用 NSX 的多云兼容性和連通性特點(diǎn)，來(lái)自定義應用在多云上的擴展和延伸范圍。

　　在圖 4 所示的架構中，跨云應用控制平面有“控制中心”，而數據平面則沒(méi)有“流量中心”。通常在這種多方互聯(lián)的需求下會(huì )采用中心輻射（Hub-Spoke）的設計或拓撲模型。這種傳統設置存在的明顯缺點(diǎn)是：如果流量從一個(gè)云傳輸到另一個(gè)云，則必須穿越中心 Hub 位置，這將使中心位置成為阻塞點(diǎn)。在公有云都彼此孤立的體系架構下，這個(gè)中心 Hub 不得不由企業(yè)用戶(hù)自建，難度和資金壓力非常大；當業(yè)務(wù)增長(cháng)需要擴大規模時(shí)，將導致更加高昂的投資，用更大規模、更大的設備來(lái)增加互通容量。

　　隨著(zhù) VMware NSX 和 SD-WAN 提供的技術(shù)方案的實(shí)現，將網(wǎng)絡(luò )和安全服務(wù)引向邊緣，我們實(shí)現了從中心輻射拓撲到網(wǎng)狀拓撲的演進(jìn)。流量現在可以直接在任意兩個(gè)云之間實(shí)現“一跳可達”，因為不再需要經(jīng)由某個(gè) Hub 中心位置了；這樣擴展問(wèn)題就解決了，而且故障影響域也縮小了。

　　我們將這種基于 EASE 的云應用互聯(lián)（圖 4）與 ServiceMesh 的服務(wù)單元互聯(lián)（圖 5）進(jìn)行類(lèi)比，不難發(fā)現：EASE 代理了企業(yè)客戶(hù)在各個(gè)“云 VPC”之間的連接，就如同 Sidecar Proxy 在 ServiceMesh 架構內發(fā)揮的作用，基于 EASE 的云間應用互連，就像是 ServiceMesh 在多云尺度上的放大。這個(gè)類(lèi)比可以幫助我們更好地理解 EASE 的“無(wú)中心、分布式”流量模式和它的必要性。EASE 比 Kubernetes 世界里的 Sidecar Proxy 更加靈活。因為被 EASE 連接的服務(wù)，不限于是單個(gè) Kubernetes 集群中以容器方式構建的單元，也可以是不同位置上私有云中基于裸金服務(wù)器的服務(wù)、基于虛擬機的服務(wù)、公有云上的云原生應用或 SaaS 服務(wù)……

　　

　　圖 5 基于 Sidecar 的服務(wù)互聯(lián)參考模型

　　通過(guò) EASE 的設計指導思想，“云 VPC”連接拓撲將被優(yōu)化，減少了連接安全保障所面臨的困難，這是對“泛安全焦慮癥”的最合適的治療方式。連接必然具有開(kāi)放性，這是連接的活力所在；開(kāi)放則必然引入受攻擊的可能性；為了“安全”而選擇“封閉”就是因噎廢食。新冠疫情期間，我國采取的“動(dòng)態(tài)清零”策略和針對檢驗檢疫而增強的邊境口岸管理方法，就是在保持開(kāi)放性的同時(shí)與病毒保持相對隔絕的生動(dòng)案例。

　　在云應用場(chǎng)景中，對多種多樣云連接的方式和拓撲進(jìn)行歸納、整理、簡(jiǎn)化，有助于我們厘清多云環(huán)境下的安全態(tài)勢和需求，有助于我們制定更加針對性的安全措施。

　　EASE 對“云 VPC”的邊界進(jìn)行了重新定義，這個(gè)邊界不是在數據中心/云的物理邊緣，而是遵循應用分散部署的特點(diǎn)而定義的“虛擬邊緣”。

　　以往，由于缺乏對安全策略的一致性和落地貫徹進(jìn)行集中管理，經(jīng)常采用的應對措施是建設諸如“安全服務(wù)區”或“流量清理區”這樣的設施，只有在這里，才能最大程度發(fā)揮傳統安全設備的功能，這也就是數據中心/云的物理安全邊界。

　　隨著(zhù)應用微服務(wù)化和敏捷開(kāi)發(fā)運維流程的引入，固定的物理安全邊界無(wú)法跟隨應用的位置的變化，反而制約了應用的生長(cháng)和彈性擴展——狠抓安全，就把應用“管死了”；發(fā)展敏捷應用，就會(huì )發(fā)現物理安全邊界上“千瘡百孔”，被動(dòng)封堵無(wú)濟于事。

　　EASE 面向應用，通過(guò) NSX 的分布式安全功能，將“物理安全區”的功能分散到各個(gè)應用集群中，形成對應用的貼身安全服務(wù)。這樣，“應用安全邊緣”就簡(jiǎn)化了，面向應用的安全邏輯應當、也必須基于應用特征和標記，而不是基于 IP 地址或 VLAN 編號。企業(yè)用戶(hù)也就可以在自身應用的邊緣自行劃定安全邊界并執行自定義的安全策略，無(wú)需依賴(lài)公有云或電信運營(yíng)商的“安全服務(wù)中心”。

　　NSX 方案家族提供了 L2-L7 完善的安全功能（圖 6），適用于私有云、公有云環(huán)境中以裸金服務(wù)器、虛擬機、容器形態(tài)承載的應用，可以覆蓋以上三個(gè)方面的策略需求，實(shí)現多云、一致的安全。

　　

　　圖 6 NSX應用交付安全堆棧

　　應用互聯(lián)時(shí)，我們不僅要在基礎設施級別進(jìn)行監控，還要在應用級別進(jìn)行監控，需要了解多云環(huán)境的實(shí)際狀況，這也是云安全不可或缺的一部分。對應用的健康，不僅限于從流量的角度，也要從客戶(hù)體驗的角度、從端到端遲的角度、從敏捷應用反應的角度。應用跨云連接時(shí)，不同云提供了不同的可見(jiàn)性工具，這些工具無(wú)法實(shí)現跨云可見(jiàn)性，這種割裂會(huì )增加安全團隊的盲點(diǎn)。EASE 中集成了適應多環(huán)境的可觀(guān)察性工具（圖 7），正是跨云連接安全所需的特性。有了這種權威的基于場(chǎng)景的威脅情報，安全團隊將減少盲點(diǎn)，并能夠調整安全控制和策略以更快地解決安全事件。

　　

　　圖 7 跨云可視化是實(shí)現應用安全的必選項

　　用戶(hù)在使用基于 EASE 構建的跨云應用時(shí)，涉及用戶(hù)與應用之間的連接和安全，就必須提到 SASE，即“安全訪(fǎng)問(wèn)服務(wù)邊緣”（圖 8）。

　　SASE 更多地以用戶(hù)為中心。SASE 的誕生和普及源于這樣一個(gè)事實(shí)：即用戶(hù)真的越來(lái)越需要在任何地方進(jìn)行云應用的訪(fǎng)問(wèn)，可能在家里，可能在車(chē)里，可能來(lái)自公司辦公室。某種意義上來(lái)說(shuō)，SASE 可以看作 SDWAN 的升級和擴展，能夠優(yōu)化從網(wǎng)絡(luò )邊緣到云上的應用、或回傳到企業(yè)數據中心的網(wǎng)絡(luò )傳輸，同時(shí)提供滿(mǎn)足“零信任”要求的最小特權訪(fǎng)問(wèn)。SASE 圍繞著(zhù)用戶(hù)和用戶(hù)正在使用的設備，收窄并控制對于應用的訪(fǎng)問(wèn)權限。SASE 中也包含防火墻功能，比傳統防火墻更加靈活和主動(dòng)，能夠圍繞應用、用戶(hù)、分支站點(diǎn)以及“在家辦公”的環(huán)境創(chuàng )建安全邊界。

　　因此，通過(guò)這種方式，以用戶(hù)為中心的 SASE 和以應用程序為中心的 EASE 可以共同提供更大的、更適合現代應用程序的應用程序，并且人們實(shí)際上不受其分支環(huán)境的束縛，能夠實(shí)際從任何地方工作。

　

　　圖 8 從 SASE 到 EASE

　　以上，我們描述并討論了應用的多云轉型過(guò)程中許多亟需解決的云連接挑戰，以及基于“彈性應用、安全邊緣”思想的 VMware EASE 解決方案架構。

　　在過(guò)去的十年中，VMware 一直致力于開(kāi)發(fā)并提供多云網(wǎng)絡(luò )服務(wù)的軟件，以 NSX 為核心創(chuàng )建了一個(gè)非常全面的平臺。NSX 在私有云、VMware 云以及 AWS、Azure 和 Google 云中都有成千上萬(wàn)的客戶(hù)。大多數“財富 100 強”客戶(hù)都使用 NSX 進(jìn)行了大規模的云建設，這些部署案例中，NSX 運行了企業(yè)網(wǎng)絡(luò )所需的完整功能集。開(kāi)發(fā)人員可以使用基于意圖的策略輕松實(shí)現 NSX 自動(dòng)化，也就是實(shí)現了連接和安全的自動(dòng)化。我們堅信，憑借軟件定義的領(lǐng)先地位、持續的投入和創(chuàng )新，NSX 可以成為您首選的多云現代網(wǎng)絡(luò )平臺，EASE 可以成為令人興奮的多云之旅中值得信賴(lài)的跨云應用連接方案。

　　免責聲明