成都科汇科技有限公司
Kehui Technology Co., Ltd.
10万变1万?手把手教你打造高质低价“上云专线”
行到水穷处,坐看云起时。
可以说,没有云,就没有众多互联网企业的萌芽,也没有蓬勃发展的在线业务,更不会有当今高速变迁的互联网时代。
另一方面,行业客户业务上云已经不是趋势,而是个不可逆的事实。即便传统的那些客户,也难以对业务云化带来的种种便利视而不见,前赴后继地开启了云时代的征程。
当然,随之而来的,少不了来自传统的挑战。
上云苦带宽久已
一旦业务云化,与云的交互流量就成了企业总部/分支办公网出口中重要的流量。
这部分流量如果出现异常,业务可用性就成了问题。而决定业务可用性的关键因素,除了链路品质,还有带宽。
必须承认,在政府主管部门的不断督导下,运营商这些年的提速降费工作卓有成效,惠及海量企业。但对于业务上云的那些企业来说,关键问题却迟迟没被解决。
早在20年前的ADSL时代,因为技术限制,运营商的低端企业接入产品有了上下行带宽不对称的特点。彼时互联网应用对上行带宽的要求普遍也不高,故而在很长一段时间内,企业客户和运营商都不认为有什么不妥。
直到风起云涌,需求突变。
不管是原本放在企业内网的业务上了云,还是直接用上SaaS,对上行带宽的要求都出现井喷。此时此刻,低端企业接入产品上下行带宽不对称的特点,突然就成了主要矛盾。
且不谈什么高端大气上档次的业务,就说身边愈发常见的一个基础云化应用吧。格物资讯在上半年对国内主流共享办公的日常调研中发现,入驻企业对云打印的投诉呈明显上升趋势,在IT类服务中仅次于WiFi,排名第二。
花钱上了云打印却带来更多投诉,这是共享办公业者始料未及的。究其原因,很大一部分是因为共享办公普遍使用了低端企业接入产品,有限的上行带宽让云打印流程变得漫长,降低了用户体验。
那么问题来了,企业为什么不升级带宽呢?
因为没钱。
就以北京为例。虽然北京电信和北京联通的低端企业级接入产品资费下调了很多,使用的传输技术也早已更新换代,却基本保持了上下行带宽不对称的特点;对称且没有**并发限制的接入产品则被定位在中高端,100M带宽的年费普遍起步就在10万以上。
对很多业务上云的企业来说,继续用不对称接入满足不了业务云化的要求,用对称接入又满足不了公司预算的要求,真是两难!
所幸,移动、鹏博士等新兴内容型运营商洞悉了互联网的核心正在从管道转向内容的趋势,开拓出一条和传统资源型运营商截然不同的建设/运营模式,也给业务上云的企业带来了好消息:廉价对称接入产品,来了!
廉价到什么程度呢?北京移动和北京鹏博士便宜的100M对称企业接入产品,年费也就是北京电信和北京联通相同规格产品的几分之一吧。
更令业务上云的企业心动的是,相比几年前千军万马一块抢三方出口的紧张局面,如今的移动和鹏博士与主流公有云的国内节点基本都做了对等互联,带宽也有了足够的冗余。
这样做的好处显而易见,就算移动和鹏博士在访问国外网站等少数场景还无法与电信、联通媲美,上云的双向大流量却妥妥能跑出一条直线,在降低双方成本的同时有效提升了体验。
一个简单的测试就能证明。我们在北京移动和北京鹏博士的接入环境下,针对部署在主流公有云上的业务做了路由跟踪,可以得到全部直通的结果。
除图中三朵云外,到金山云、UCloud等亦有相同结论
当然,直连只是基础,并不代表品质。如果链路质量飘忽不定,那再便宜也不能拿来做业务承载。
事实上,很多企业IT管理者对电信、联通外的运营商都保持怀疑,因为它们在过去确实没有很好的品质口碑,这一点都能理解。
有鉴于此,我们在北京鹏博士接入环境下,对阿里云、腾讯云和华为云上的业务做了10秒间隔的7x24不间断监测。
作为对比,这里也放上北京联通和北京电信的测试数据。三条链路的探针其实是跑在同一个宿主下配置**一致的虚拟机,测试时间段与所有测试参数也均保持一致。
结果一目了然,三个运营商的访问品质处于同一水平线。如果把截图中的运营商信息打上马赛克,谁又能看出哪个是联通、哪个是电信、哪个是鹏博士?
感谢具有创新动力的内容型运营商,它们为互联网时代的企业提供了一条业务上云的康庄大道。
上云及格线:持久可用的好体验
合适的通路找到了,**就都结束了么?
如果只从技术角度考虑,业务上云的企业只要加装移动或鹏博士这种内容型运营商的对称接入产品,再于网关做个策略路由,就能解决“上云专线”的有无问题。
但如果从交付乃至业务的可用性角度考虑,上述思路可以继承,简单粗暴的做法就必须抛弃了。想做到贴近真正上云专线般持久良好的业务体验,还有一些细节工作必须做到位,否则面前就不是康庄大道,而是一连串的坑。
如何长期**“上云专线”的业务品质?
1、更细粒度的选路机制
既然走得是业务流量,链路品质就需要时时得到**,而不是说接口UP或特定IP地址能PING通就OK。丢包、延迟、抖动出现异常也有可能也会影响到业务体验,需要及时介入调整。
遗憾的是,大部分网关和安全设备的链路检测机制只是简单的接口UP/DOWN或PING特定地址,缺乏对细微变化的感知能力。
2、隧道状态与策略路由联动
对于多数业务上云的企业来说,VPN是必不可少的安全防护手段。那么当选路策略发生变化时,隧道状态也需要及时更新,才能**业务可用性。
用过大量设备后,我们只能说,可以在同一台设备的不同接入线路上分别建立隧道到同一个对端、还能在问题出现时快速触发隧道和路由倒换的设备并不多。
3、及时有效的地址库更新
这个场景所谓的策略路由,不过是基于目的IP的路由,所以地址库的准确性很大程度上决定了业务的可用性。
而不管哪个层面的云服务,IP信息都是总在不断变化的。不要指望服务商能把每次变化都及时主动告知,这注定是个要亲力亲为的苦力活。如果设备上的IP库没有及时更新,则可能会导致流量牵引不全/错误,进而影响到业务。
这些经常被忽视的细节,可以看做实验环境(或理论环境)和真实环境的区别,也正是传统数通产品和SD-WAN交付边界的区别。
SD-WAN不是**,它只是将合适的数通技术/产品/资源整合后,提供出来的对结果负责的服务。而服务是什么?服务就是除了结果(品质)外,**都不重要。这一点,越来越多的客户开始用支票投票了。
SD-WAN在市场上能够越来越火,正是拜业务云化给管道带来的品质要求所赐。所以在云的时代,运营商也好,设备商也好,集成商也好,都要经历产品服务化的变革。若不能落地到具体的业务场景并为其保驾护航,就注定会被时代淘汰。
Fortinet解决之道:从填坑到
Fortinet的SD-WAN解决方案,恰好可以有效解决业务上云过程中的细节挑战,打造一条有良好可用性保障的高速上云通道。
这**只需一台运行新版本固件的FortiGate。如企业已经部署,那成本为0。
上一篇中重点提到的拨测机制,就是应对链路品质细微变化的利器。相对于PING,HTTP协议级拨测增加了对Web业务的感知度,再加上可灵活配置的状态检测规则,让线路切换条件得以尽量贴近于业务的实际体验。
如果企业上云用到了VPN也无妨,FortiGate的VPN本身用量就很大,坑都被先贤们填完了,在功能和兼容性方面没什么可怀疑的。也正是因为用得多,和主流IaaS的vrouter对接也不用担心,我们的经验是基本可以**多线路上的隧道在主备模式下正常工作。
记得几年前青云在国内IaaS界推出VPC架构时,我们就在3W咖啡用FortiGate一次对接vrouter成功,实现了本地和云上多个VLAN打通。看到一些运营业务迁移上云正常工作,就像窥见了未来。
但在企业业务普遍上云的今天,对业务体验和可用性的担忧显然比新鲜感多得多。
Fortinet SD-WAN解决方案的应对之策,是将拨测机制应用于VPN隧道。这是个将实用主义发挥到的做法——反正对于绝大多数企业客户来说,都是没有能力去改变调整Underlay的运行状态的。
既然做不到**,那不花钱的、简单的、七八十分效果的,就是好的。
如果对云上业务可用性有更*端的要求,就在IaaS上部署VM版本的FortiGate吧。我们水平有限,是用过才知道世界上还有隧道双活下链路断了业务不断这回事的。
如果说前面那些功能其它设备也很快都会提供(这是必然的),那接下来这个东西,也许能让Fortinet在市场上保持较长时间的**优势。
Fortinet显然很清楚网络测绘数据对SD-WAN的重要性,内置了海量不同维度的数据,并定期提供更新。针对业务上云这个场景,“Internet服务数据库”中收集了几乎全球所有知名云服务的IP信息,免去了客户自行维护IP库的烦恼,同时尽可能地保障了上云体验。
如果缺少SD-WAN的使用经验和运维经验,可能很难理解这个库的价值。在我们这些和企业流量调度打了五年以上交道的人看来,这个库至少能减少企业上云场景八成以上的运维成本。我们甚至相信,Gartner、NSS Labs能给Fortinet SD-WAN方案那么高的评价,很大程度上是因为这个不停快速迭代的数据库。
不知道这个库的更新频率,反正挺勤的;也不知道维护这个库要投入多少人力物力,只能说有钱任性吧。
在这个数据库的加持下,随便你想配到哪个云的加速通道,都不过是点几下鼠标的事。然后踏踏实实享用就好了,不管IaaS什么时候发生了什么变化,配合都不再是企业IT运维的工作职责,出篓子也不再是企业IT运维的锅。
如果只想加速特定流量也没问题,告诉设备什么人的什么应用什么时候可以通行就是了。来,我们给研发兄弟们配一个到3A+Google云的备份专线吧图片
近有些朋友问为什么说安全厂商能在SD-WAN市场占据有利位置,其实很简单,安全设备的基础功能和安全厂商的传统积累在SD-WAN时代被又一次激活了,近水楼台先得月。
不过使用一段时间后,我们感觉“Internet服务数据库”仍然有继续扩充的必要,尤其是在本土数据方面。
Fortinet告诉我们已在着手推动更多本土业务入库,但这显然需要时间。有较多业务上国内云的客户,建议现阶段通过加载第三方测绘数据的方式解决。
借助上面这些手段,FortiGate就可以交付一条低成本、大带宽、可持续**业务品质的“上云专线”了。
平心而论,这个方案的绝对指标肯定无法和高质高价的物理上云专线相提并论,却能给海量存在需求却没有足够付费能力的夹心层客户提供一个简单有效的选择。岂能尽如人意,但求无愧我心,这就是Fortinet SD-WAN解决方案的大价值。
IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新
以更低的复杂性提供业内****的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、**威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、**威胁检测、事件分析溯源
方案适用机型:
机框设备:FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E
超高端设备:FortiGate 6300F6301F6500F6501F
高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D
中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 400E 、FortiGate 300E、FortiGate 200E 、FortiGate 100E
入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged
Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV
专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR
服务区域:
四川 飞塔 Fortinet:成都 飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、
广元 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、
达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、
丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、
西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
飞塔自身关键词:
飞塔防火墙,飞塔官网,飞塔公司,fortigate防火墙,飞塔防火墙配置
飞塔相关关键词:
网络安全,安全SD-WAN,Fortinet FortiGate-VM,Fortinet,VPN保护,Web过滤,
网络分段,网络微分段,物联网平台保护
更多机型和方案请咨询
成都科汇科技有限公司 — 专业安全服务商。
无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式安全方案。
地址:四川省成都市人民南路四段一号时代数码大厦18F
电话咨询热线:400-028-1235
QQ:132 5383 361
手机:180 8195 0517(微信同号 )