如何解決混合云組網(wǎng)難題?

1. 混合云組網(wǎng)的問題與挑戰(zhàn)

企業(yè)用云量持續(xù)增長。隨著時(shí)間的推移，逐漸形成了混合云架構(gòu)?；旌显萍軜?gòu)如何解決通“網(wǎng)”需求？

1.1 多云網(wǎng)絡(luò)互通
常見的組網(wǎng)方案有：用戶自建IPSec網(wǎng)關(guān)，使用加密隧道連接。但會(huì)帶來以下問題：

1) 配置復(fù)雜，維護(hù)成本高
例如，將阿里云北京的VPC資源接入AWS新加坡的VPC。通常我們使用×××軟件解決，但通過繁瑣的CLI在不同的云服務(wù)商實(shí)施不同的部署工作流，會(huì)造成在基礎(chǔ)設(shè)施上花費(fèi)太多的精力。

2) 網(wǎng)絡(luò)結(jié)構(gòu)臃腫，失去靈活性。
業(yè)務(wù)需求是更快的發(fā)布應(yīng)用程序。拼湊使用多種連接方式組網(wǎng)，會(huì)使網(wǎng)絡(luò)架構(gòu)臃腫，增加復(fù)雜度?？?，敏捷將是難以實(shí)現(xiàn)的。

1.2 企業(yè)和云網(wǎng)絡(luò)互通

常見的組網(wǎng)方案有：云專線。 但也會(huì)帶來以下問題：

1) 受服務(wù)商約束，需要改動(dòng)網(wǎng)絡(luò)。
例如，將阿里云北京，騰訊云深圳的VPC基礎(chǔ)設(shè)施接入到北京的數(shù)據(jù)中心。云專線連接方式依賴服務(wù)商，需要在用戶側(cè)部署接入設(shè)備，花費(fèi)幾天或幾周的時(shí)間改動(dòng)網(wǎng)絡(luò)。由于涉及到專線服務(wù)商，運(yùn)營商，云服務(wù)商多方面配合，在資源協(xié)同，線路選擇方面通常會(huì)有限制。

2) 高昂的組網(wǎng)成本，限制企業(yè)通網(wǎng)。
云專線每年支出在數(shù)十萬級。創(chuàng)業(yè)公司沒有大企業(yè)的資源優(yōu)勢，較高的支出，顯然不符合需求。

1.3 客戶端遠(yuǎn)程接入

常見的組網(wǎng)方案有：Open×××。 但也會(huì)帶來以下問題：

1) 多用戶多VPC環(huán)境，繁瑣的證書管理。
每個(gè)VPC中都部署Open×××服務(wù)器會(huì)導(dǎo)致繁瑣的證書管理。如果您有超過10個(gè)用戶和多個(gè)VPC，則客戶端證書管理和Open×××配置維護(hù)可能成為一項(xiàng)重大挑戰(zhàn)。

2) 需要安裝客戶端。
對于大多數(shù)技術(shù)人員，Open×××使用上沒有門檻，但接入系統(tǒng)有可能需要開放給非技術(shù)人員使用，例如，銷售使用IPSec訪問內(nèi)網(wǎng)中的CRM。需要安裝客戶端的方案，加大了實(shí)施難度。

2. 混合云組網(wǎng)的實(shí)現(xiàn)思路

如何能減少網(wǎng)絡(luò)改動(dòng)，低成本快速組網(wǎng)，同時(shí)簡化IPSec隧道的創(chuàng)建，刪除和管理？我們探索出了一種自動(dòng)化實(shí)現(xiàn)方案。

從圖中可以看出，我們參考了SDN軟件架構(gòu)設(shè)計(jì)，將×××網(wǎng)關(guān)抽象出來邏輯分層，實(shí)現(xiàn)集中管理。

2.1 組網(wǎng)自動(dòng)化方案的組件

1) IPSec容器
運(yùn)行在VPC或用戶側(cè)網(wǎng)絡(luò)的主機(jī)上；
處理IPSec通道（IPSec加密）流量；
通過WebSocket與控制器連接。

2) 控制器
通過Restful API完成指定隧道的創(chuàng)建，刪除，管理；
通過云服務(wù)商網(wǎng)絡(luò)API完成VPC的路由配置；
通過Restful API與Web Client通信。

3) Web Client
隧道管理；
用戶管理；
數(shù)據(jù)可視化。
各組件連接關(guān)系如下圖：

2.2 對等連接的過程及其實(shí)現(xiàn)
1) 用戶在管理界面點(diǎn)擊需要互通的網(wǎng)絡(luò)，Web Client向控制器發(fā)送創(chuàng)建連接請求，控制器向指定IPSec容器下發(fā)IPSec配置，同時(shí)在VPC路由表添加到達(dá)對端網(wǎng)絡(luò)的路由條目。配置完成后拉起隧道，兩端網(wǎng)絡(luò)完成互通。

2) 如果遇到兩端網(wǎng)絡(luò)VPC CIDR沖突的情況，可以通過管理界面修改指定連接的CIDR，Web Client向控制器發(fā)送修改CIDR請求，控制器向IPSec容器下發(fā)新的IPSec配置，同時(shí)更新VPC路由條目。完成后重新拉起隧道。

3) 通過界面，可以集中管理所有IPSec容器以及隧道。如果網(wǎng)絡(luò)環(huán)境發(fā)生變化，例如云服務(wù)器的公網(wǎng)IP變更，監(jiān)控服務(wù)會(huì)通知容器自動(dòng)更新IPSec配置，同時(shí)更新VPC路由條目，重新拉起隧道。

以上就是系統(tǒng)的工作原理。從中我們可以看出，系統(tǒng)已經(jīng)很好地解決了傳統(tǒng)連接方式所遇到的問題：

1) 控制器通過IPSec容器API接口完成IPSec連接配置，使用云服務(wù)商網(wǎng)絡(luò)API接口完成VPC路由配置，從而實(shí)現(xiàn)了自動(dòng)化。這種設(shè)計(jì)的優(yōu)勢在于可以消除復(fù)雜度，不需要網(wǎng)絡(luò)工程師，任何人都可以運(yùn)行。

2) 對于用戶側(cè)網(wǎng)絡(luò)和云網(wǎng)絡(luò)互通需求，由運(yùn)行在用戶側(cè)主機(jī)上的IPSec容器向運(yùn)行在云網(wǎng)絡(luò)的IPSec容器發(fā)起IPSec連接，這樣設(shè)計(jì)是為了避免對企業(yè)網(wǎng)絡(luò)進(jìn)行改動(dòng)，減少對硬件設(shè)備的依賴。由于不需要在企業(yè)用戶側(cè)開放端口，可以適應(yīng)直接路由，NAT，Proxy等主流的互聯(lián)網(wǎng)接入方式。

3) 采用容器化的部署方式，將企業(yè)邊界軟化，不需要在用戶側(cè)網(wǎng)絡(luò)部署CPE設(shè)備，不需要配置公有云邊界路由器。由于采用了集中管理，分布運(yùn)行的設(shè)計(jì)，可以滿足隨處運(yùn)行，可持續(xù)升級的需求。

2.3 客戶端遠(yuǎn)程接入的過程及實(shí)現(xiàn)

1) 管理員可以手動(dòng)添加用戶，也可以使用邀請注冊的方式導(dǎo)入用戶，將注冊地址，注冊碼分發(fā)給團(tuán)隊(duì)成員。用戶登記郵箱，密碼，手機(jī)號，注冊碼完成賬號注冊。如果有LDAP環(huán)境，還可以使用系統(tǒng)的LDAP自動(dòng)同步功能，對接LDAP服務(wù)器，周期性自動(dòng)更新賬號信息。

2) 賬號生效后，用戶不需要安裝客戶端，直接使用macOS，Windows，iOS，Android，Linux原生IPSec客戶端即可接入。IPSec類型為使用預(yù)共享密鑰的L2TP/IPSec。

3) 如果用戶需要重置密碼，可前往自助IT服務(wù)頁面自行重置密碼，就像重設(shè)郵箱密碼一樣簡單。

以上就是客戶端接入的流程。從中我們可以看出，系統(tǒng)已經(jīng)很好地解決了Open×××所遇到的問題：

1) 使用預(yù)共享密鑰的接入方式。這樣設(shè)計(jì)是為了避免維護(hù)客戶端證書，同時(shí)還能直接使用操作系統(tǒng)原生IPSec客戶端，不需要用戶再額外安裝IPSec客戶端。好處是降低了使用門檻，降低了實(shí)施難度，使得適應(yīng)更多的應(yīng)用場景，適應(yīng)更多用戶群。

2) 提供多種用戶導(dǎo)入方式。這樣設(shè)計(jì)是為了兼容企業(yè)的IT環(huán)境。管理員可以手動(dòng)添加用戶，或者使用邀請注冊的方式導(dǎo)入團(tuán)隊(duì)成員。還可以通過系統(tǒng)的LDAP自動(dòng)同步功能，自動(dòng)更新賬號。

3) 通過管理界面，可以集中管理所有IPSec容器以及用戶。為用戶提供密碼重置，接入配置指南等自助式IT服務(wù)界面。管理員無須介入，降低IT服務(wù)成本。

3. 自動(dòng)化組網(wǎng)的價(jià)值
   IPSec組網(wǎng)自動(dòng)化方案解決了幾個(gè)問題：

快速組網(wǎng)：使用IPSec 連接基礎(chǔ)設(shè)施，在多云，企業(yè)與云之間建立任意互聯(lián)。在幾分鐘內(nèi)，將資源連接到任何位置。

網(wǎng)絡(luò)改動(dòng)少：適應(yīng)原有網(wǎng)絡(luò)，無需部署硬件，不需要對原有網(wǎng)絡(luò)進(jìn)行改動(dòng)。

使用簡單：消除復(fù)雜度，用全點(diǎn)擊式操作取代CLI手動(dòng)配置，不需要網(wǎng)絡(luò)工程師，任何人都可以組網(wǎng)通網(wǎng)。

實(shí)施簡單：使用操作系統(tǒng)原生客戶端即可接入，不需要管理證書。

提高效率：集成云服務(wù)商API實(shí)現(xiàn)組網(wǎng)自動(dòng)化。讓用戶專注于核心業(yè)務(wù)，而不是基礎(chǔ)設(shè)施。

降低成本：通過廉價(jià)的Internet獲得近似專線的特性，節(jié)省90%的通網(wǎng)支出。

Accesshub為企業(yè)簡化混合云組網(wǎng)，產(chǎn)品地址是 www.accesshub.cn。

注冊即可使用。