从商业角度来看...
在过去的一年半里,我们一直与几家全球主要银行合作,测试和评估我们的解决方案。
说实话,这些银行与我们联系是因为他们开始意识到创建边缘战略的必要性,并开始考虑以私人方式使用多个云(流行词 - “多云”)。
区分多云和多个云之间非常重要。 许多公司都是通过采用 Office 365、Salesforce 或 Workday 等软件即服务 (SaaS) 产品开始其云计算之旅的。 如果这次尝试成功,这些公司将寻求通过转向更复杂的应用来进一步利用云计算的优势。
对于其他人来说,迁移到云端是一种直接迁移的实践。 应用托管在 AWS、Azure 或 GCP 中,而不是在私有数据中心内。 当公司探索各种云的操作细节时,他们可能会选择一种或另一种云用于特定的应用,这通常是由于经济或性能要求。
然而,多云的前景并不是简单地将 IT 环境分割成包含有界域的基础设施和操作的特定云碎片。 多云是关于将分布式资源(无论它们是位于私有云还是公共云)作为单一、有凝聚力的基础设施进行管理。
多云环境的最终目标实际上是没有环境——换句话说,基础设施应该是不可见的,因此位置并不重要。
开始……
这是我们与大型银行合作的起点——采用 SaaS。
更具体地说,采用 Office 365(现称为 Microsoft 365)作为 SaaS(但实际上可以是任何其他 SaaS)。
采用 Office 365 作为 SaaS 会带来一些额外的复杂性,因为 Office 作为应用套件,已由内部 IT 团队使用和管理多年......因此,更改流程比采用全新的流程要复杂一些。
这也确实是这些大银行给我们提出的任务。 让我用简单的语言来描述这个任务——“我们希望将我们的用户连接到 Office 365,让他们享受到与他们现在相同的用户体验质量,但同时还能享受 Office 365 平台的额外优势,主要体现在协作方面。”
好的,我们知道一些事情:
- Office 365(与大多数 SaaS 平台一样)可通过互联网访问
- 互联网不提供优质服务
- 一个。 第一个问题——我们如何保证用户体验的质量?
- 通过互联网访问 SaaS 平台可能会违反 CORP 安全要求(在大型银行等受到严格监管的环境中)
- 通过代理访问互联网……通过 TCP 代理
- b. 第二个问题——那么语音和视频又如何呢?
好的,在进一步了解上述项目的细节之前,我们首先要问一个问题——“实际上,是什么推动了从 Office 本地部署转变为 Office 365 的 SaaS 产品?”——这个问题也可以表述为“实际上,是什么推动了采用 SaaS 产品的转变”。
业务驱动因素
嗯,这个问题的答案取决于业务驱动力。 第一个业务驱动因素是运营驱动因素,与以下事实有关:维护本地 Microsoft Office应用需要大量的基础设施和复杂的 IT 组织结构来支持这些应用,包括但不限于大量团队/专业人员,这会带来巨大的运营负担。
第二个业务驱动因素是如何在不损害安全的情况下实现更好的协作。
全球银行在数据中心、园区、分支机构和人员方面都有着广泛的分布。 他们需要联系每个人。 因此,劳动力分布广泛会使协作任务变得复杂,因此必须采用能够增强协作的工具。 但是,虽然使用私有主干网在公司网络内部进行协作可以被认为是安全的,但通过互联网与在家办公并在任何地方联网的人们进行协作却面临着挑战。
那么,当您拥有大量分散的员工时,如何在不损害安全性的情况下实现协作? 这就是私有主干网发挥作用的地方——通过私有主干网传输流量不仅被认为是安全的(如上所述),而且还允许通过流量工程来实现用户体验的质量。 猜猜看——银行确实已经有了自己的私人主干网。 那么,如何将他们的主干网直接连接到 SaaS 提供商,以确保流量保持端到端的私密性?
这个问题有两个答案:
- 就 Office 365 而言,Azure 平台允许大型企业拥有到其云的私有、专用和高速链接,称为 ExpressRoute 电路。 因此,微软现在可以通过允许企业员工和 VDI 系统通过此专用私有 ExpressRoute 电路访问 Office 365 来解决常见的延迟和性能挑战。
- 第二种选择是使用已经通过他们自己的私有主干网(例如 Volterra)通过专用链接连接到这些 SaaS 和云提供商的服务提供商。(是的,在这个选项中您不需要自己的私有主干网)。
让我们更深入地探讨一下第一个解决方案:
银行需要一组服务才能通过私有电路连接并发送员工流量到 Office 365,以及在银行建立新电路(某种程度上是新的 DMZ,因此 DMZ 中现有的服务需要存在)时强制性提供的服务。 所需的最少服务包括:
- 防火墙/路由器——因为需要通过此电路路由到公共端点(是的,它们仍然是公共的),将它们注入公司网络,并通过实施防火墙策略和 NAT 来保护所有这些。
- 代理- 因为需要遵守 CORP 政策,例如进行租户限制(仅允许通过此新路径访问公司帐户并拒绝访问私人帐户)
- 负载均衡器——因为需要在所有服务之间分配流量,以实现分布式处理和高可用性。
下图说明了这一点:
因此,虽然业务驱动因素之一是减少基础设施和运营负担,但仍然需要大量服务和基础设施来维持此选项。
这种方法还面临一些挑战,涉及:
- 将公共 IP 地址空间注入企业网络
- 管理用户现在访问服务的不同路径(专线和互联网)
- 维护所需的服务/设备(如上所述)
进入沃尔泰拉
Volterra VoltMeshTM 服务可以部署为企业的 SaaS 管理私有访问解决方案,其中包括带有可编程代理的应用路由器和负载均衡器。 该解决方案可以简化 ExpressRoute 的实施,并克服因内部网络架构变化而产生的安全障碍。 Volterra 解决方案使企业能够为员工提供 ExpressRoute 到 Office 365 和相关应用服务的优势,同时优雅地消除了部署和/或管理复杂网络基础设施和安全策略的需要。
从高层次来看,企业将在企业的一个或多个位置部署 VoltMesh,并与 Microsoft 提供 Office 365 路由/服务的 Azure ExpressRoute 路由器对等连接。 VoltMesh 通过此路由器自动发现 Office 365 端点,允许企业通过分布式方式实施所需的基础设施组件(防火墙、路由器、代理、负载均衡)来访问 Office 365 服务,从而消除潜在的延迟(流量仅到达一个设备)、风险(消除路由复杂性),并确保最佳的用户体验。
下图说明了这一点:
主要比较点一览:
以下是一个解决方案与另一个解决方案的快速概览(并排比较):
运营概况
现在我们已经介绍了这些解决方案的技术细节和它们的优势,我们应该关注本文开头提到的业务驱动因素,看看它们之间的运营影响如何。
从我们之前所讨论的内容来看,我们应该关注一些操作项目。 这些操作项是:
- 增加连接到 Office 365 的基础设施的容量——在这种情况下,我们必须比较,一方面我们在 3 个不同的层和 3 个不同的设备(防火墙、代理和负载均衡器)添加容量,而另一方面——Volterra——我们只需要添加一个会自动集群的盒子。
以下是此次比较的概述:
- 更改配置– Office 365 经常更改或添加端点。 为了保持正常功能,这些端点需要在 3 个设备中进行更新和允许。 使用 Volterra,由于可以自动发现端点,因此此过程是自动的,如下所示:
以下是此次比较的概述:
- 升级——无论是软件、操作系统还是固件升级——这些盒子都需要升级。 Volterra 的升级是通过一系列站点/设备来完成的。 单击一次,滚动过程就开始了。
以下是此次比较的概述:
- 故障排除——这可能是更频繁发生的任务——用户确实会抱怨——并且对于每个投诉,在进行任何其他故障排除之前,基础设施常常被归咎于此。 对跨多个设备的基础设施进行故障排除(通常由不同的团队管理)是一个漫长的过程,而且很难关联。 VoltMesh 提供所有部署服务之间的自动关联,并且所有团队(NetOps、SecOps、DevOps 和开发人员)具有相同的视图,并可以在提供的可观察性仪表板中获取已关联的所有信息。
以下是此次比较的概述:
年度概览
那么这一切意味着什么?从年底的运营细目来看又意味着什么?
在这个练习中,我们必须做出一些假设,以便我们能够得到年底的总数。 我们做出的假设如下:
- 增加产能——我们假设每年需要增加一次产能
- 配置变化——我们假设每个月都会有一次配置变化。 这与微软关于其端点寻址和命名更改/添加频率的说法一致
- 升级——我们假设每年进行 6 次升级
- 故障排除——我们假设每周需要排除两种情况的故障。 这可能是一个乐观的假设,但我们不想让计算负担过重。
因此,基于上述假设,我们得出了以下年度运营费用概览:
结论
是的,这是一个巨大的差异,Volterra 及其基于 SaaS 的平台正是为解决高昂的运营成本和时间资源问题而创建的。 很长一段时间以来,基础设施一直在扩张,随着业务的增长而呈指数级增长,导致劳动力数量也在增长并产生新的需求。
团队之间的协作变得越来越重要,不仅要避免每个团队都做自己的“事情”,还要避免冲突,确保每个团队的“事情”都符合业务战略和最终目标,并且不会破坏任何其他“事情”(来自其他团队)。
在 Volterra,我们设计了一套全面的解决方案,通过单一基于 SaaS 的服务 VoltMesh 连接和保护现代应用程序。 我们认为它解决了应用程序到应用程序和用户到应用程序网络和安全的大部分新要求。 Volterra 的构建考虑到了所有团队(NetOps、SecOps、DevOps 和开发人员)的协作,确保服务的所有配置、策略和部署都可以供所有其他团队使用或观察。
Volterra 目前提供 VoltMesh 的免费增值服务(包括其独特的全球分布式负载均衡器/入口-出口网关 + 防火墙 + 代理 + 路由器 + API 网关 + API 自动发现和控制)——欢迎您今天亲自尝试。