如今，VMware 賦予了“EASE”新的含義，那就是 Elastic Application, Secure Edge——“彈性應用、安全邊緣”，這一面向多云場景下現(xiàn)代化應用的體系架構(gòu)和解決方案。正如“ease”的英文原意那樣，VMware 將通過“EASE”輕松地提供現(xiàn)代化應用的跨云連接和安全服務。

　　企業(yè)應用的數(shù)字化轉(zhuǎn)型正在同時經(jīng)歷三大挑戰(zhàn)：應用的容器化和微服務化改造；基礎設施轉(zhuǎn)型：私有云轉(zhuǎn)向公有云和多云；遠程工作和 BYOD。

　　為迎接每一項挑戰(zhàn)，都需要對應用和基礎架構(gòu)進行一些改進、甚至重構(gòu)。那么，當同時面臨三項挑戰(zhàn)時，要考慮的就是：微服務架構(gòu)的“服務單元”能否跨云、甚至跨多個私有云和公有云？微服務的“服務單元”是否一定基于容器？如何使遠程客戶最便捷安全地訪問跨云構(gòu)建的新型應用？

　　如果這些挑戰(zhàn)碰撞出來的需求可以實現(xiàn)，將進一步消除應用現(xiàn)代化改造過程中的種種束縛，幫助企業(yè)客戶更快、更經(jīng)濟地實現(xiàn)他們各種應用的數(shù)字化和云化轉(zhuǎn)型，促進企業(yè)業(yè)務適應不斷變化的全球形勢，并獲得增長。

　　圖 1 微服務的多云化和安全訪問

　　由于企業(yè)正在改變他們的單體應用程序架構(gòu)，越來越傾向于支持跨多云環(huán)境的高度分布式微服務、利用容器、K8s 和無服務器功能。這意味著越來越多的服務和組件需要被連接，甚至將不同云上的服務作為“服務單元”，以“微服務”的思路組合成全新的應用。用戶從不同位置訪問企業(yè)自行構(gòu)建的應用，或者訪問公有云上的 SaaS 服務時，應在一致的安全策略下進行。

　　依據(jù)市場的云報告《Flexera 2021 State of the Cloud Report》調(diào)查顯示：82% 的企業(yè)用戶正在使用/建設混合云，而 92% 的企業(yè)有多云計劃�，F(xiàn)代化應用越來越多地使用云原生技術來構(gòu)建，以進行敏捷開發(fā)。應用多云化具有很大潛力，也面臨著很多困難和限制。

　　眾多的公有云是彼此孤立的，沒有通用的網(wǎng)絡標準，提供的網(wǎng)絡和安全功能不同，配置和消費模型也不同。如果我們能夠超越孤島并提供跨云的無縫、安全連接并規(guī)范云消費模型時，那么企業(yè)應用架構(gòu)師就可以選擇最符合應用需求的云，并且將組成應用的各個“服務單元”分布在多云中。在每個公有云中，企業(yè)擁有一部分資源以及服務，用于構(gòu)建某個服務單元。此時，企業(yè)在這個云上就創(chuàng)建了一個類似于“虛擬專用云 VPC”的應用空間。

　　不僅在“云 VPC”內(nèi)部需要 L2-L3 網(wǎng)絡連接、負載平衡、安全和管理功能，在“云 VPC”的邊緣也需要具有緊密集成的連接性、安全性、負載平衡和可觀察性（圖 2）。但如果要將不同私有云、公有云上的來自不同供應商的網(wǎng)絡、安全和負載平衡產(chǎn)品拼接在一起，是非常具有挑戰(zhàn)性的工作，如果再要求由單一控制中心進行統(tǒng)一管理，這就大大增加了復雜性。

　　圖 2 “云VPC”的安全連接

　　基于微服務架構(gòu)開發(fā)的新型應用要求數(shù)量更多的內(nèi)、外部連接，安全威脅攻擊面的數(shù)量將隨著這些基于多云的異構(gòu)應用的使用而上升。安全威脅和攻擊態(tài)勢每天都變得越來越復雜，因此對內(nèi)置安全性的要求已成為網(wǎng)絡的首要任務。在每個“云 VPC”上需要提供完整的安全性，將攻擊面限制在“云 VPC”邊界內(nèi)。“完整的安全性”已經(jīng)發(fā)展為“零信任”安全目標和方法論，以此為指導的安全設計應該通過控制平面分發(fā)到多云基礎設施中的任何地方，以提供更有效的應用安全保障。

　　越來越多的員工現(xiàn)在在傳統(tǒng)的辦公室安全邊界之外工作：越來越多的用戶正在使用越來越多的設備，并將它們連接到比以往更多的未知和個人網(wǎng)絡基礎設施中。因此，越來越多的遠程工作使移動設備與敏感的企業(yè)資源接觸。由于用戶希望在任何地方工作，并且應用正在跨多個云進行部署，遠程用戶流量的增長要求網(wǎng)絡安全、高吞吐量和低延遲。SASE——安全接入服務邊緣——是滿足用戶接入應用需求的方式。

　　VMware EASE 將應用的連接性、安全性、彈性和安全性作為核心，以服務于應用層為目標。VMware 的現(xiàn)代化應用架構(gòu)和解決方案（圖 3）可以為用戶提供：

　　

　　圖 3 從“云內(nèi)”到“云間”的應用連接和安全

　　VMware EASE 是如何“輕松”化解日益復雜的跨云應用連接和安全帶來的挑戰(zhàn)呢？它與其他解決方案之間的差異體現(xiàn)在哪里？我們從多云互聯(lián)、應用安全和遠程訪問優(yōu)化三個方面進行介紹。

　　通過對 EASE 的剖析可以了解，VMware 以“應用”為中心設計了多云連接方案體系。同樣為“多云”環(huán)境提供連接服務的，是已有數(shù)年歷史的“DCI”、“InterCloud”等概念方案——它們服務于網(wǎng)絡層，重心在于“DC”或“Cloud”。從這個區(qū)別不難理解，EASE 的網(wǎng)絡服務（如防火墻和負載平衡）具備“盡可能靠近應用工作負載運行、遷就應用部署”的方式和特點。

　　為了讓現(xiàn)代應用通過安全、彈性的網(wǎng)絡進行大規(guī)模連接，所有功能都應該是分布式并且集中管理的。圖 4 展示了 VMware EASE 在多云環(huán)境中“集中管理、分布式服務”的體系架構(gòu)。“云應用控制平面”中，不僅有 NSX 管理中心，而且還可以集成分布式計算、分布式存儲的控制平面，集成各種云管軟件、平臺和應用自動化系統(tǒng)。這個架構(gòu)和理念開放而靈活，不局限于 VMware 的產(chǎn)品。

　　然而，VMware 是唯一具備云應用全棧產(chǎn)品的方案提供者。VMware 擁有非常廣泛的跨云服務組合，包括網(wǎng)絡和安全。NSX 事實上已經(jīng)與所有最主要的私有云和公有云基礎架構(gòu)兼容，并可以提供面向企業(yè)用戶的 NSX Cloud 服務。作為 EASE 中最重要的組件，NSX 是分布式防火墻、分布式 IDS/IPS、分布式負載均衡和分布式分析的領導者，NSX 系列將這些關鍵構(gòu)建塊無縫協(xié)同工作，以提供彈性、可擴展、高度可用且易于使用的基礎架構(gòu)。而且不需要為 NSX 定制設備（硬件），可以使用既有的通用服務器來運行所有這些服務。這首先將帶來巨大的資本支出節(jié)��；隨后，架構(gòu)師和運維團隊將意識到，這種“分布式”方式顛覆了傳統(tǒng)網(wǎng)絡拓撲的設計原則，優(yōu)化了流量，并降低了部署復雜性：不再需要設計多 VLAN 之間的復雜的交換體系、不再需要設計“精巧而繁復”的策略路由，分布式的 NSX 轉(zhuǎn)發(fā)機制可以規(guī)避傳統(tǒng)網(wǎng)絡中很多令人頭疼的“陷阱”。

　　

　　圖 4 集中式控制、分布式連接的云應用互連

　　這個集中的“應用控制平面”并非，也不可能，由某個公有云主導建設且提供給最終用戶。要實現(xiàn)圖 1 所示的各個服務單元之間按需跨云連接，應用所有者應當自己主導這個控制平面，按需選用不同云上的資源和服務，在不同的云上選擇建設最合適的微服務單元，利用 NSX 的多云兼容性和連通性特點，來自定義應用在多云上的擴展和延伸范圍。

　　在圖 4 所示的架構(gòu)中，跨云應用控制平面有“控制中心”，而數(shù)據(jù)平面則沒有“流量中心”。通常在這種多方互聯(lián)的需求下會采用中心輻射（Hub-Spoke）的設計或拓撲模型。這種傳統(tǒng)設置存在的明顯缺點是：如果流量從一個云傳輸?shù)搅硪粋�云，則必須穿越中心 Hub 位置，這將使中心位置成為阻塞點。在公有云都彼此孤立的體系架構(gòu)下，這個中心 Hub 不得不由企業(yè)用戶自建，難度和資金壓力非常大；當業(yè)務增長需要擴大規(guī)模時，將導致更加高昂的投資，用更大規(guī)模、更大的設備來增加互通容量。

　　隨著 VMware NSX 和 SD-WAN 提供的技術方案的實現(xiàn)，將網(wǎng)絡和安全服務引向邊緣，我們實現(xiàn)了從中心輻射拓撲到網(wǎng)狀拓撲的演進。流量現(xiàn)在可以直接在任意兩個云之間實現(xiàn)“一跳可達”，因為不再需要經(jīng)由某個 Hub 中心位置了；這樣擴展問題就解決了，而且故障影響域也縮小了。

　　我們將這種基于 EASE 的云應用互聯(lián)（圖 4）與 ServiceMesh 的服務單元互聯(lián)（圖 5）進行類比，不難發(fā)現(xiàn)：EASE 代理了企業(yè)客戶在各個“云 VPC”之間的連接，就如同 Sidecar Proxy 在 ServiceMesh 架構(gòu)內(nèi)發(fā)揮的作用，基于 EASE 的云間應用互連，就像是 ServiceMesh 在多云尺度上的放大。這個類比可以幫助我們更好地理解 EASE 的“無中心、分布式”流量模式和它的必要性。EASE 比 Kubernetes 世界里的 Sidecar Proxy 更加靈活。因為被 EASE 連接的服務，不限于是單個 Kubernetes 集群中以容器方式構(gòu)建的單元，也可以是不同位置上私有云中基于裸金服務器的服務、基于虛擬機的服務、公有云上的云原生應用或 SaaS 服務……

　　

　　圖 5 基于 Sidecar 的服務互聯(lián)參考模型

　　通過 EASE 的設計指導思想，“云 VPC”連接拓撲將被優(yōu)化，減少了連接安全保障所面臨的困難，這是對“泛安全焦慮癥”的最合適的治療方式。連接必然具有開放性，這是連接的活力所在；開放則必然引入受攻擊的可能性；為了“安全”而選擇“封閉”就是因噎廢食。新冠疫情期間，我國采取的“動態(tài)清零”策略和針對檢驗檢疫而增強的邊境口岸管理方法，就是在保持開放性的同時與病毒保持相對隔絕的生動案例。

　　在云應用場景中，對多種多樣云連接的方式和拓撲進行歸納、整理、簡化，有助于我們厘清多云環(huán)境下的安全態(tài)勢和需求，有助于我們制定更加針對性的安全措施。

　　EASE 對“云 VPC”的邊界進行了重新定義，這個邊界不是在數(shù)據(jù)中心/云的物理邊緣，而是遵循應用分散部署的特點而定義的“虛擬邊緣”。

　　以往，由于缺乏對安全策略的一致性和落地貫徹進行集中管理，經(jīng)常采用的應對措施是建設諸如“安全服務區(qū)”或“流量清理區(qū)”這樣的設施，只有在這里，才能最大程度發(fā)揮傳統(tǒng)安全設備的功能，這也就是數(shù)據(jù)中心/云的物理安全邊界。

　　隨著應用微服務化和敏捷開發(fā)運維流程的引入，固定的物理安全邊界無法跟隨應用的位置的變化，反而制約了應用的生長和彈性擴展——狠抓安全，就把應用“管死了”；發(fā)展敏捷應用，就會發(fā)現(xiàn)物理安全邊界上“千瘡百孔”，被動封堵無濟于事。

　　EASE 面向應用，通過 NSX 的分布式安全功能，將“物理安全區(qū)”的功能分散到各個應用集群中，形成對應用的貼身安全服務。這樣，“應用安全邊緣”就簡化了，面向應用的安全邏輯應當、也必須基于應用特征和標記，而不是基于 IP 地址或 VLAN 編號。企業(yè)用戶也就可以在自身應用的邊緣自行劃定安全邊界并執(zhí)行自定義的安全策略，無需依賴公有云或電信運營商的“安全服務中心”。

　　NSX 方案家族提供了 L2-L7 完善的安全功能（圖 6），適用于私有云、公有云環(huán)境中以裸金服務器、虛擬機、容器形態(tài)承載的應用，可以覆蓋以上三個方面的策略需求，實現(xiàn)多云、一致的安全。

　　

　　圖 6 NSX應用交付安全堆棧

　　應用互聯(lián)時，我們不僅要在基礎設施級別進行監(jiān)控，還要在應用級別進行監(jiān)控，需要了解多云環(huán)境的實際狀況，這也是云安全不可或缺的一部分。對應用的健康，不僅限于從流量的角度，也要從客戶體驗的角度、從端到端遲的角度、從敏捷應用反應的角度。應用跨云連接時，不同云提供了不同的可見性工具，這些工具無法實現(xiàn)跨云可見性，這種割裂會增加安全團隊的盲點。EASE 中集成了適應多環(huán)境的可觀察性工具（圖 7），正是跨云連接安全所需的特性。有了這種權(quán)威的基于場景的威脅情報，安全團隊將減少盲點，并能夠調(diào)整安全控制和策略以更快地解決安全事件。

　　

　　圖 7 跨云可視化是實現(xiàn)應用安全的必選項

　　用戶在使用基于 EASE 構(gòu)建的跨云應用時，涉及用戶與應用之間的連接和安全，就必須提到 SASE，即“安全訪問服務邊緣”（圖 8）。

　　SASE 更多地以用戶為中心。SASE 的誕生和普及源于這樣一個事實：即用戶真的越來越需要在任何地方進行云應用的訪問，可能在家里，可能在車里，可能來自公司辦公室。某種意義上來說，SASE 可以看作 SDWAN 的升級和擴展，能夠優(yōu)化從網(wǎng)絡邊緣到云上的應用、或回傳到企業(yè)數(shù)據(jù)中心的網(wǎng)絡傳輸，同時提供滿足“零信任”要求的最小特權(quán)訪問。SASE 圍繞著用戶和用戶正在使用的設備，收窄并控制對于應用的訪問權(quán)限。SASE 中也包含防火墻功能，比傳統(tǒng)防火墻更加靈活和主動，能夠圍繞應用、用戶、分支站點以及“在家辦公”的環(huán)境創(chuàng)建安全邊界。

　　因此，通過這種方式，以用戶為中心的 SASE 和以應用程序為中心的 EASE 可以共同提供更大的、更適合現(xiàn)代應用程序的應用程序，并且人們實際上不受其分支環(huán)境的束縛，能夠?qū)嶋H從任何地方工作。

　

　　圖 8 從 SASE 到 EASE

　　以上，我們描述并討論了應用的多云轉(zhuǎn)型過程中許多亟需解決的云連接挑戰(zhàn)，以及基于“彈性應用、安全邊緣”思想的 VMware EASE 解決方案架構(gòu)。

　　在過去的十年中，VMware 一直致力于開發(fā)并提供多云網(wǎng)絡服務的軟件，以 NSX 為核心創(chuàng)建了一個非常全面的平臺。NSX 在私有云、VMware 云以及 AWS、Azure 和 Google 云中都有成千上萬的客戶。大多數(shù)“財富 100 強”客戶都使用 NSX 進行了大規(guī)模的云建設，這些部署案例中，NSX 運行了企業(yè)網(wǎng)絡所需的完整功能集。開發(fā)人員可以使用基于意圖的策略輕松實現(xiàn) NSX 自動化，也就是實現(xiàn)了連接和安全的自動化。我們堅信，憑借軟件定義的領先地位、持續(xù)的投入和創(chuàng)新，NSX 可以成為您首選的多云現(xiàn)代網(wǎng)絡平臺，EASE 可以成為令人興奮的多云之旅中值得信賴的跨云應用連接方案。

　　免責聲明