5G 成功部署始于云原生基础设施
5G 正在改变服务运营商的数字化形势,为其带来新的用例和收入机会。能够成功过渡到 5G 的服务运营商可以从新的企业应用、工业自动化、物联网 (IoT) 以及游戏和 AR/VR 等消费服务中受益匪浅。这些新的用例可以通过建立在云原生服务化架构 (SBA) 上的全新 5G 独立 (SA) 核心来实现。为了充分利用这些新机会,服务运营商势必要定义和部署从核心到远端边缘的一致化云原生基础设施,以支持 5G Core、vRAN 和 N6-LAN 网络功能 (NF),以及企业和消费者应用和服务。云原生基础设施会为服务运营商成功使用 5G 奠定基础。
由于基础设施是 5G 部署的关键构件,可以决定服务运营商是否具备全面实现 5G 新案例的能力,因此定义、管理和控制 5G 云原生基础设施对服务运营商而言成为必行之事。事实上,重视对于基础设施的投资已经屡见不鲜。一些知名企业,如 Google、AWS、Azure,甚至是 Apple,无一例外均在基础设施方面投入了大量资金,期望可以建设一个可靠且安全提供创收服务和客户应用的基础设施。
凭借可为如今现代 Web 应用提供支持的技术,5G 基础设施可以在云原生、容器化的架构上进行构建,为服务运营商在运营方面赋予崭新的自动化、灵活性和适应性。Kubernetes 已经成为容器管理和编排的行业标准,几乎所有服务运营商都将其用于云原生基础设施。然而,服务提供商网络对进入 Kubernetes 集群和在 Kubernetes 集群内的数据流却有着不同以往的独特要求。Kubernetes 并不具备满足这些需求的原生能力。在下面的章节中,我们将研究为支持关键的 vRAN、5G Core NF 以及企业和消费者应用,云原生基础设施必须满足的独特要求,接着,我们会探讨 F5 会如何满足这些要求。
服务运营商若想提供可靠、安全和可扩展的服务,势必要考虑三类主要要求:
- 控制性:服务运营商必须能够对服务运营商网络特有的多种流量类型应用策略控制,而具备应用智能流量管理能力将使服务提供商能够支持如网络切片等新服务,支持从 4G 到 5G 协议的过渡,并为 5G 所带来的新用例提供所需基础。
- 安全性:为了使客户信任度和留存率维持在一定的高水准,在网络的多个点和多个层应用安全控制必不可少。
- 可见性:对进入基础设施和在基础设施内的流量实现可见性将提高操作效率,提升故障排除成效,并使收入控制更加灵活。
首先,我们将研究 Kubernetes 集群的入口/出口网络需求和解决方案,也就是所谓的“南北流量”。标准的Kubernetes网络足以在以HTTP / HTTPS为Kubernetes集群内部和内部的主要通信协议的云环境中运行的大多数Web应用。由于需要支持一系列协议,Kubernetes 网络面临着服务运营商环境提所带来的独特挑战。5G 过渡并不能一蹴而就;大多数服务运营商需要同时运行 4G 和 5G,而实现这一点则需要借力一种迁移解决方案。例如,随着 5G SA 核心的推出,许多服务运营商将利用其已有的 4G 计费和收费系统来加速 5G 交付,使他们能够更快地获得 5G 投资回报。这意味着服务运营商的 Kubernetes 集群必须可以同时支持 4G 和 5G 协议。为了增强现有 Kubernetes 的功能,用于入口/出口控制的服务代理成为必需。
图 1:F5® BIG-IP® 的 Kubernetes 的 Service Proxy,更易于支持多个协议。
通过为 Kubernetes 提供增强的网络服务,提供入口/出口控制的服务代理将能够满足服务运营商网络的严格要求。
- 支持多个协议,包括 4G 和 5G 信令
- 路由
- 负载均衡
在 Kubernetes 集群的入口点,服务运营商还必须保护集群免受攻击,并保证每个用户的可见性。第一道防线是在进入集群时应用一组可靠的安全服务。在入口处应用 DDoS 防护、防火墙和 WAF 等安全服务可以防止恶意流量进入集群,影响 5G Core 网络功能和客户应用。除了入口安全,服务运营商还需要对每个用户流量实现可见性。这些宝贵数据有助于排除网络问题,也可用于确保收入。为了确保可以追踪事件以达到合规性和计费目的,服务运营商在保障收入方面投入不菲。这些数据可以在 Kubernetes 集群的入口点进行收集,再与动态容器集的报告进行比较。
图 2:通过追踪入口处的数据,服务代理可以帮助提高安全性和可见性。
总的来说,提供入口/入口控制、安全性和可见性的服务代理可以为 Kubernetes 带来所需的关键功能,满足 5G 云原生基础设施的需求。
既然我们已经解决了向基于Kubernetes的云原生基础设施的南北流量的需求,现在我们可以检查集群中流量的需求和挑战。与入口和出口一样,集群内运行的服务之间的东西向通信必须满足更高的可观测性和安全性标准,以便与云原生 5G 基础设施兼容。服务运营商必须能够应用安全策略来控制集群内服务之间的通信。5G Core 的分解对集群内的可观测性提出了更高的要求,要支持服务运营商评估其服务运行状况是否安全,并在服务产生风险时确定问题的根本原因。服务运营商还必须确保其基础设施有能力满足政府的要求,如合法拦截。这些要求对 Kubernetes 网络和控制带来了诸多挑战,而应对这些挑战的一种方法是实施可增加以下功能的服务网格(如 Istio):
- 可靠性:重试、超时、缓解级联故障
- 可观测性和调试:监控、追踪、度量
- 安全性:authN/authZ、管理机密、确保加密
- 流量管理:服务发现、自定义路由、金丝雀部署
图3:F5® Aspen Mesh™ 可以改善 Kubernetes 集群内东西通信的可见性和安全性。
F5 是应用、网络和安全服务领域的领导者,可以针对 5G Core和云原生 5G 基础设施提供一系列解决方案。F5 主要有两款产品,可以解决服务运营商在构建云原生基础设施以支持 vRAN、5G Core 和企业应用的网络和安全要求时面临的挑战。
- Kubernetes F5 BIG-IP Service Proxy (BIG-IP SPK)
- Carrier-Grade Aspen Mesh
作为业界独一无二的产品,BIG-IP SPK 可以提供具有多协议信令支持和安全性的入口/入口控制,专门为服务提供商在其足迹上部署云原生基础设施而设计。BIG-IP SPK 还符合针对配置和协调的 Kubernetes 设计模式。此解决方案有可能让业界领先的网络和安全功能应用于基于 Kubernetes 的基础设施。1
入口/出口控制
- L4 负载均衡:TCP、UDP 及 SCTP
- L7 负载均衡:Diameter、SIP、HTTP/2
- GTPcV2 负载均衡
- 路由
- 速率限制
安全性
- 信令防火墙、DDoS、WAF
- 加密/解密
- 拓扑隐藏
可视性
- 收入保证
- 统计和分析
此外,BIG-IP SPK 还可以利用 Intel SmartNIC 的增强功能,实现更强的性能和可扩展性。
图 4:Kubernetes BIG-IP Service Proxy 可以与 SmartNIC 集成,让性能更上一层楼。
Carrier-Grade Aspen Mesh 是针对服务提供商云原生基础设施而构建的服务网格产品。Aspen Mesh 服务网格建立在开源的 Istio 基础上,增加了对服务运营商网络至关重要的功能。
- 若可以在各个 5G Core Kubernetes 集群内对流量实现绝佳的可见性,则可以保证收入,使服务运营商能够利用现有的计费系统实现 5G 货币化。
- 以最稳健的 mTLS 技术为基础,并可以与运营商级、3GPP 兼容证书发布机构相连,采用这种一致性方法加密和验证多运营商和多站点网络功能间的所有流量,增强安全性。
- 流量控制和策略管理,使服务提供商能有效实现路由服务通信,并对服务网格和网络流量配置和执行业务和合规策略。
Aspen Mesh 还提供数据包捕获功能,而标准的 Kubernetes 无法实现这一点。数据包捕获有利于解决集群内 CNF 之间的通信问题,并为服务运营商提供必要的基础设施,以符合合法拦截等政府要求。
BIG-IP SPK 和 Carrier-Grade Aspen Mesh 可协力解决在 5G 云原生基础设施中使用 Kubernetes 面临的挑战。BIG-IP SPK 能满足对多协议信令支持、安全性和 Kubernetes 集群内流量可见性的需求,而 Carrier-Grade Aspen Mesh 则可解决 CNF 之间的通信问题。两者都是部署 5G 云原生基础设施的关键功能。下表描述了使用 BIG-IP SPK 和 Aspen Mesh 的 5G 技术设施。
图 5:云原生网络架构
Connect with F5
