數碼轉型近年愈見普及,加上疫情爆發期間大幅推動全球加速數碼轉型,不少企業為應對疫情所需及拓展業務,紛紛投資數碼科技如大數據、人工智能、流動應用程式等。據調查顯示,50% 本港僱主表示其企業已具備有關數碼轉型的策略,且進度良好;另 22% 僱主認為他們具備完整到位的策略。
不過數碼轉型加速亦令不少問題突然浮現,例如傳統數據中心應付突發流量的瓶頸、在家工作或混合工作模式所引申的網絡安全問題、微服務令流量急增引致的效能表現及成本等問題。傳統數據中心既有設備難以解決上述問題,有見及此,Aruba 和 Pensando 推出顛覆性的交換器架構,透過分佈式服務交換器 Aruba CX 10000,為東西向流量、零信任分割和普遍遙測提供 800G 分散式具狀態防火牆。
傳統數據中心流量達樽頸
普遍企業都將關鍵數據存放於數據中心,偏偏企業在數碼轉型方面很難從數據中心入手。由於傳統數據中心都較封閉、屬集中式架構,所有流量都需從同一個政策執行點轉發,引致低頻寬使用效率、擁擠與高延遲等問題出現。
此外,為應付高流量的特定時間點,並承載各網關的需求,數據中心需要更高階的網絡設備,但如此一來價格昂貴又浪費。
▲Aruba 香港及澳門地區總經理蕭惠蓮指出現時數據中心多達七成流量未經防火牆處理,容易構成網絡威脅。
「傳統數據中心應付數碼轉型頗大挑戰性,因為數據中心內有七成流量其實無經過防火牆,因此構成網絡威脅。無論數據丟失、客戶資料外洩或是遇上 ransomware(勒索程式) 都絕非好事,所以投資網絡安全對企業來說甚為重要。然而現實之中,所有流量都經防火牆是不合符成本經濟效益,一來成本太高,二來也會出現擁擠與延遲的問題。」Aruba 香港及澳門地區總經理蕭惠蓮續指,現時數據中心處理關鍵仍局限於 North-South workload(南北向工作負載),此舉能有效確保用戶至伺服器的連接安全性,但可能僅佔總流量 25%;至於應用對應用等 East-West workload(東西向工作負載)則未有經由防火牆處理。
▲傳統 IT 架構下,應用與應用之間無法直接溝通,須經由中央機櫃伺服器處理,新式微服務的出現自然對數據中心造成重大壓力。
新方應用服務對數據中心造成壓力
蕭惠蓮指出,數據中心發生得最多的是應用與應用之間的溝通、擷取資料數據。她解釋隨著雲端技術的普及,愈來愈多企業以新方式編寫應用和服務,例如容器(Container)或微服務(Microservices),這些技術讓企業能快速推出全新的應用服務,但同時亦會對數據中心造成壓力。
「若所有流量都集中在同一 Firewall(防火牆),成本會極之高昂,同時頻寬要求也會很高,划不來。有見及此,公司與 Pensando 合作推出 Aruba CX 10000,以解決現時企業擴展數據中心的樽頸和安全威脅問題。」
Aruba 香港及澳門地區解決方案架構師周銘耀闡釋:「傳統數據中心會將 heavy duty(重負載)的工作集中在同一機櫃,因此機櫃A的伺服器是無法與機櫃B的伺服器直接溝通的。」
他比喻恰似行車時,必須經過中心的迴旋處才能抵達第二個目的地一樣,所有網絡流量皆集中在同一機櫃,造成頻寬樽頸、擁擠與高延遲,同時設計與問題維護亦相對複雜困難,功能上亦較為單一,重點是高硬件成本。
DSS 顛覆性交換器架構
周銘耀指出:「DSS(分散式服務交換器,Distributed Services Switches)是一個全新架構,除包含傳統 L2 或 L3 層級數據中心交換器的優點,例如高速、spine-leaf(枝葉式網絡架構)架構外,同時也可於每隻機櫃頂(leaf)的交換器內加入 stateful services(有狀態服務),包括:Firewall(防火牆)、Flow Logging(流程日誌)、Load Balancer 等(負載平衡)。」
Pensendo 主力設計針對 Smart services(智能服務)、Security(安全)、Encryption(加密)的晶片,再結合 Aruba 的交換器技術,能有效針對 East-West(東西向)的網絡流量。
如此一來,機櫃與機櫃之間的溝通便無須繞圈子,能有效提高頻寬使用效率,同時簡化問題維護和系統配置。另外, Pensendo 具可程式化能力的數據處理器(programmable DPU),能克服傳統架構單一功能的局限,可於 DSS 上發展多功能服務。據悉,目前首階段設有防火牆和 Flow Logging(流程日誌),日後將會增添 DDoS(分佈式拒絕服務)、Encryption(加密)、NAT(網絡位址轉換)和 Load Balancer(負載平衡)等服務。
Pensendo 的背後原來正是網絡業界的領軍人物、前思科 CEO John Chambers,並且與 HPE 聯手得到後者的支援,成功開發出全新的分散式服務架構。
▲TOR / leaf 交換器能提供分散式功能服務,克服傳統架構單一功能的局限,幫助提高頻寬使用效率和解決擁擠及高延遲問題。
整體擁有成本與安全考量
站在企業角度,除了效能上的提升、解決現有樽頸的能力,當然亦要顧及成本以及安全的考量。以目前的規格,CX 10000 可提供 800 Gbps 的分散式狀態防火牆吞吐能力,用於東西向流量處理。相較於傳統 IT 架構,企業能在交換器端直接部署分散式服務,取得約 100 倍的延展性、10 倍的效能,以及 ⅓ 的總持有成本(TCO)。
這個 TCO 到底如何計算出來?由於 CX 10000 可提供分散式服務,因此蕭惠蓮強調不應單以交換器,而是以同等效能來比較。以 1000 伺服器、平均 32 個機櫃,而每機櫃配置 2 隻 TOR 交換器的數據中心規模計算,當中包括交換器、防火牆、軟件代理,以及合共三年的支援服務,相較傳統的中央式硬件或分散式代理軟件方案,在同等效能下,CX 10000 的整體擁有成本可折省高達 70%,即約 180 萬至 250 萬美元。
周銘耀又以行車比喻:「眾所周知,愈近 end host 或工作負載,代表愈安全。正如在車房門口截停,遠較駛至迴旋處才截停安全。」
而 CX 10000 能將標準的主幹 spine-leaf(枝葉式網絡架構),延伸出分散式狀態型網絡分段、東西向防火牆、流程日誌等多種服務,隨時透過每個可存取的網絡埠來提供,能夠更靠近關鍵企業應用執行的所在位置,故此在安全方面亦遠勝傳統 IT 架構,能滿足處理擁有敏感數據的大型企業、銀行金融服務、醫療健康或政府部門的網絡安全需求。