5G 成功始于云原生基础设施
5G 正在改变服务提供商的数字格局,带来新的用例和收入机会。 能够成功过渡到 5G 的服务提供商可以从新的企业应用、工业自动化、物联网以及游戏和 AR/VR 等消费者服务中受益。 这些新用例由基于云原生服务架构 (SBA) 构建的新型 5G 独立 (SA) 核心支持。 为了充分利用这些新机遇,服务提供商必须定义和部署从核心到边缘的一致的云原生基础设施,以支持 5G 核心、vRAN 和 N6-LAN 网络功能 (NF),以及企业和消费者应用和服务。 云原生基础设施为服务提供商的 5G 成功奠定了基础。
由于基础设施是 5G 部署的关键组成部分,决定了服务提供商全面实现新 5G 用例的能力,因此服务提供商必须定义、管理和控制自己的 5G 云原生基础设施。 事实上,重点投资基础设施已有大量的先例。 我们可以看到超大规模企业谷歌、AWS、Azure 甚至苹果;所有这些公司都投入巨资构建能够可靠、安全地提供创收服务和客户应用的基础设施。
5G 基础设施利用当今现代 Web应用所支持的技术,建立在云原生、容器化架构之上,为服务提供商带来了全新水平的运营自动化、灵活性和适应性。 Kubernetes 已经成为容器管理和编排的行业标准,几乎所有服务提供商都将其用于其云原生基础设施。 然而,服务提供商网络对 Kubernetes 集群内部的数据流提出了新的独特要求。 Kubernetes 本身并不具备满足这些需求的能力。 在以下章节中,我们将研究云原生基础设施为支持关键 vRAN、5G 核心 NF 以及企业和消费者应用必须满足的独特要求,然后讨论 F5 如何满足这些要求。
为了让服务提供商提供可靠、安全且可扩展的服务,他们必须考虑三种主要类型的需求:
- 控制: 服务提供商必须能够对服务提供商网络独有的多种流量类型应用策略控制。 能够应用智能流量管理将允许服务提供商支持网络切片等新服务,支持从 4G 到 5G 协议的过渡,并为新的 5G 用例提供所需的基础。
- 安全: 为了保持高水平的客户信任和保留率,必须在网络的多个点和多个层上应用安全控制。
- 可见性: 了解基础设施内和进入基础设施的流量将提高运营效率,提高故障排除的效率,并使收入控制更加灵活。
首先,我们将研究 Kubernetes 集群的入口/出口网络的要求和解决方案(也称为“南北流量”)。 标准 Kubernetes 网络足以满足在云环境中运行的大多数 Web应用的需求,其中 HTTP/HTTPS 是 Kubernetes 集群内部的主要通信协议。 由于需要支持一系列协议,服务提供商环境对 Kubernetes 网络提出了独特的挑战。 转向 5G 并不是一次硬切换;大多数服务提供商需要同时运行 4G 和 5G,他们需要一个能够帮助他们做到这一点的迁移解决方案。 例如,随着5G SA核心的推出,许多服务提供商将利用其现有的4G计费和收费系统来加快5G的交付,从而让他们更快地获得5G投资的回报。 这意味着他们的 Kubernetes 集群必须同时支持 4G 和 5G 协议。 需要一个用于入口/出口控制的服务代理来增强现有的 Kubernetes 功能。
图 1: 适用于 Kubernetes 的 F5® BIG-IP® 服务代理可以更轻松地支持多种协议。
提供入口/出口控制的服务代理将能够通过为 Kubernetes 提供增强的网络服务来满足服务提供商网络的严格要求:
- 支持多种协议,包括 4G 和 5G 信令
- 路由
- 负载均衡
在 Kubernetes 集群的入口点,服务提供商还必须保护集群免受攻击并提供每个订阅者的可见性。 在进入集群的点应用一组强大的安全服务是第一道防线。 可以在入口处应用 DDoS 保护、防火墙和 WAF 等安全服务,以防止恶意流量进入集群并影响 5G核心网络功能和客户应用。 除了入口安全之外,服务提供商还需要了解每个用户的流量。 这些宝贵的数据有助于解决网络问题,也可以用于保证收入。 服务提供商在收入保障方面投入了大量的资金,以确保能够跟踪事件以满足合规和计费目的。 这些数据可以在 Kubernetes 集群的入口点收集,然后与动态容器集的报告进行比较。
图 2: 服务代理可以通过跟踪入口处的数据来帮助提高安全性和可见性。
总之,提供入口/出口控制、安全性和可见性的服务代理提供了 Kubernetes 满足 5G 云原生基础设施需求所需的关键功能。
现在我们已经解决了基于 Kubernetes 的云原生基础设施对南北流量的要求,我们可以研究集群内流量的要求和挑战。 与入口和出口一样,集群内运行的服务之间的东西向通信必须满足更高的可观察性和安全性标准,才能与云原生 5G 基础设施兼容。 服务提供商必须能够应用控制集群内服务之间通信的安全策略。 5G核心的分解产生了对更多集群内可观察性的需求,允许服务提供商评估其服务的健康状况,并在服务不健康时找出故障的根本原因。 服务提供商还必须确保其基础设施有能力满足政府的要求,例如合法拦截。 这些要求对 Kubernetes 网络和控制提出了挑战。 解决这些挑战的一种方法是实现服务网格(例如 Istio),它增加了以下功能:
- 可靠性:重试、超时、缓解级联故障
- 可观察性和调试:监控、跟踪、指标
- 安全性:authN/authZ、管理机密、确保加密
- 流量管理:服务发现、自定义路由、金丝雀部署
图 3: F5® Aspen Mesh™ 提高了 Kubernetes 集群内东西向通信的可见性和安全性。
F5 是应用、网络和安全服务的领导者,为 5G 核心和云原生 5G 基础设施提供一系列解决方案。 F5 提供两种主要产品来应对服务提供商在构建云原生基础设施以支持 vRAN、5G Core 和企业应用的网络和安全要求时面临的挑战。
- 适用于 Kubernetes 的 F5 BIG-IP 服务代理 (BIG-IP SPK)
- 运营商级 Aspen 网格
BIG-IP SPK 在业界独树一帜,提供入口/出口控制,具有多协议信令支持和安全性,专为在其覆盖范围内部署云原生基础设施的服务提供商而设计。 BIG-IP SPK 还符合 Kubernetes 的配置和编排设计模式。 该解决方案可以将行业领先的网络和安全功能应用于基于 Kubernetes 的基础设施。1
进出控制
- L4 负载平衡: TCP、UDP 和 SCTP
- L7 负载平衡: 直径、SIP、HTTP/2
- GTPcV2 负载平衡
- 路由
- 速率限制
安全
- 信令防火墙、DDoS、WAF
- 加密/解密
- 拓扑隐藏
能见度
- 收入保障
- 统计与分析
此外,BIG-IP SPK 可以利用英特尔 SmartNIC 的增强功能来提高性能和可扩展性。
图4: Kubernetes 的 BIG-IP 服务代理可以与 SmartNIC 集成以增强性能。
运营商级 Aspen Mesh 是专为服务提供商云原生基础设施构建的服务网格。 Aspen Mesh 服务网格建立在开源 Istio 上,并添加了对服务提供商网络至关重要的功能。
- 每个 5G 核心 Kubernetes 集群内无与伦比的流量可见性,可以保证收入并允许服务提供商使用现有的计费系统将 5G 货币化。
- 更强的安全性,采用一致的方法加密和验证多供应商和多站点网络功能之间的所有流量,基于最强大的 mTLS 技术构建,并与运营商级、3GPP 兼容的证书颁发机构绑定。
- 流量控制和策略管理使服务提供商能够有效地路由服务通信,并为服务网格和网络流量配置和执行业务和合规策略。
Aspen Mesh 还提供数据包捕获功能,而标准 Kubernetes 并不提供该功能。 数据包捕获有助于解决集群内 CNF 之间的通信问题,并为服务提供商提供遵守合法拦截等政府要求所需的基础设施。
BIG-IP SPK 和运营商级 Aspen Mesh 协同工作,解决在 5G 云原生基础设施中使用 Kubernetes 的挑战。 BIG-IP SPK 满足了对多协议信令支持、安全性以及 Kubernetes 集群流量可见性的需求,而运营商级 Aspen Mesh 则解决了 CNF 之间的通信问题,这两项功能对于 5G 云原生基础设施的部署都至关重要。 下图描绘了利用 BIG-IP SPK 和 Aspen Mesh 的 5G 基础设施。
图5: 云原生网络架构
