IT Certification 考試資訊

博客

  • 生成式AI如何協助DevOps和SRE的工作流程

     岱军 云云众生s

    譯自 How Generative AI Can Support DevOps and SRE Workflows 。

    隨著關於大語言模型(LLM)和生成式AI的討論從熱烈上升到轟動一時,有遠見的軟體團隊戴上耳機,聚焦一個重要問題:我們如何讓這項技術立竿見影?

    這看起來是天作之合,畢竟技術人員會喜歡新技術,不言而喻。 因此,儘管人力資源專業人員可能需要更長時間並更謹慎地考慮如何在工作中使用生成式AI,但開發者、網站可靠性工程師(SRE)和其他技術人員都非常適合嘗試並將生成式AI 工具應用於工作中。 例如,根據Stack Overflow的一項調查,70%的開發者已經或計劃使用AI改進工作。

    問題仍然存在:我們該如何讓生成式AI發揮作用?

    在可預見的未來,用例會不斷湧現,但對現代軟體團隊來說,根據PromptOps CEO兼創始人Dev Nag的說法,回答這個問題很大程度上歸結為溝通,PromptOps是一個面向DevOps和SecOps團隊的 基於生成式AI的Slack助手。

    「我認為企業中的所有工作,特別是對DevOps工程師來說,其實就是關於溝通,」Nag告訴The New Stack。 “不僅包括人與人之間的溝通,也包括人與機器之間的溝通。”

    Nag舉了Slack、Jira或Monday等工具作為例子,但他也將DevOps常見任務中查詢應用程式取得日誌、指標和其他數據,然後根據回應採取行動視為一種溝通形式。

    他指出,儘管這種交流是必要的,但也可能重複且浪費時間,這正是生成式AI能發揮巨大作用的地方。

    Nag說:“語言模型和生成式AI本質上是溝通的超級加速器。它們能夠從過去的數據中找到模式,在你表達想法之前就理解你的意圖。”

    PromptOps最近推出了一款生成式AI工具,它可以透過類似ChatGPT的提示,自動化並優化各種DevOps工作流程,無論是直接在Slack還是網頁端。

    Nag認為,生成式AI在DevOps、SRE和其他現代軟體團隊的應用潛力是幾乎無限的。 在接受The New Stack的採訪時,他分享了六個如今可以將生成式AI應用於DevOps工作流程的範例。

    生成式AI工具的6個使用案例

    查詢不同工具

    DevOps和SRE專業人員經常使用海量工具。 在某些組織,技術「棧」更像一座高塔。

    人工查詢眾多工具的日誌和各種可觀測資料既費時又費力,效率不高。 哪裡有該指標? 看板在哪裡? 機器名稱是啥? 通常怎麼稱呼? 通常會查看什麼時間範圍? 等等問題層出不窮。

    Nag:「這些背景資訊都曾由他人完成。」生成式AI 可以讓工程師用自然語言提示直接找到所需內容,通常還可以自動啟動後續工作流程,無需離開Slack(或其他客戶端)。

    “這極大節省時間,因為我不用再掌握數十種工具。” Nag說,“我可以用英語下達提示,它就可以跨工具幫我完成任務。”

    2. 發現額外環境

    此外,生成式AI可以根據需要自動關聯額外環境,這也很有用。 所以,儘管可以在Slack(或其他地方輸入提示)直接產生所需響應或數據,但生成式AI還可以添加導航層,在適當的時候直接連結到該響應的全文或環境。

    這在速度至關重要的情況下尤其有用,最典型的就是服務中斷事件。 回應事件每花費一分鐘都代價高昂。

    Nag說:“任何任務如果投入足夠時間都可完成。但問題是我們沒有時間和人手,特別是在服務中斷場景,速度至關重要,務必盡快恢復客戶體驗。”

    3. 自動化和快速執行必要係統操作

    就像Kubernetes之類的編排工具因為能根據期望狀態自動執行系統操作而流行起來一樣,生成式AI也可以進一步簡化和加速工作流程中的必要操作。

    Nag說,雲端原生工具和平台自己也帶來複雜性。 執行各種常見運維任務(如預配服務、管理配置、設定故障轉移)通常需要與其他元件互動。

    「這些任務可能接觸許多API。例如AWS API就有200多種服務。」他說。

    它們語法、控制台、命令列各不相同,子命令更是汗牛充棟——幾乎沒人會全部記住。 單就這一點,Kubernetes的學習曲線就令人生畏。

    Nag說,要全面掌握雲原生生態的龐雜細節幾乎不可能。 有了生成式AI,工程師不需要記住各系統與工具的細節。

    使用者只需下達「擴容Pod 2個副本」或「以某種方式配置Lambda函數」等提示。 我可以把它轉換為目標系統語言的實際程式碼,自動執行。 」 Nag說,「LLM幾乎像是這些非結構化資料與結構化資料之間的蟲洞。 」

    4. 撰寫事件報告

    眾所周知,生成式AI在內容創作方面有巨大潛力。 這也適用於系統故障值班人員編寫事後報告的場景。

    Nag指出,這類報告通常需要查看大量Slack訊息、指標、圖表、日誌等資料。

    他說,LLM「可以查看Slack對話——即使是50萬行也沒問題——並總結提取關鍵發現。」它專注相關數據,過濾無用資訊——極大節省人工匯總故障原因的時間。

    這再次證明了「蟲洞」效應,可以將大量非結構化資訊轉化為可操作的結構化資料。

    5. 建立事件

    內容創作類別還包括Nag提到的與事件管理相關的用例:建立工單。 LLM可以在事件或其他IT事件觸發的工作流程中,自動在Jira、Monday等系統建立工單並啟動後續操作。

    有時這些操作正是用例4中的事件報告結果:增強的事件報告可以確定如果事件再次發生要採取的更好做法。

    “下次我要創建警報,可能還需要額外基礎設施等等。” Nag說,“我們可以實際掃描對話,並將其轉化為工單。”

    6. 尋找非技術文檔

    最後但同樣重要的是,Nag說,他們發現越來越需要一種方法,無需大量時間就可以發現和調閱非技術文檔,例如運行手冊或公司政策——不僅包括IT政策,還包括HR福利 等常見業務政策。

    「你不一定知道這些文件的儲存位置。」他說,隨著組織規模擴大,尋找流程可能非常耗時。 類似ChatGPT的提示可以在幾秒鐘內找到所需內容,而不必在各種維基或工具中搜尋。

  • 私有雲架構面臨的安全挑戰與防禦措施

    隨著私有雲在不同產業、企業普及率越來越高,規劃快速擴大,已成為企業核心平台之一。 私有雲上的系統的資料與資訊安全將依賴於私有雲運算平台所提供的保密性和安全性。 一旦雲端平台安全受到威脅並被利用,無疑地為雲端上應用程式造成了重大威脅。

    所以隨著雲端運算市場規模的擴張,也為雲端運算平台的安全帶來了前所未有的挑戰。

    私有雲架構面臨的安全性挑戰

    本文主要從技術安全挑戰和管理安全挑戰兩個面向對私有雲架構面臨的風險進行闡述。

    技術安全挑戰:

    網路資料流在虛擬機器之間傳輸時,IT人員對敏感資訊、進階惡意軟體的監控及控制能力被削弱;

    私有雲對傳統網路架構的彈性度和頻寬要求較高;

    私有雲儲存中的資料面臨資源隔離、加密保護、入侵偵測、資料銷毀等問題;

    漏洞頻傳,主機間遷移能力升級過程中對業務有影響。

    管理安全挑戰:

    私有雲平台管理無平台化支撐,需要藉助統一的管理平台即時檢視運算、網路、儲存等資源;

    私有雲平台自動化管理能力亟待提高,使自服務基礎設施成為可能;

    私有雲平台要整合供應和編排引擎;

    混合雲作為未來的雲端趨勢,在私有雲平台建置過程中要考慮混合雲模型過渡。

    私有雲架構的安全防禦措施

    私有雲從整個架構來說與傳統環境沒有本質區別,所以從安全角度來說,面臨的安全問題和傳統環境面臨的安全問題無異。 與以往作業系統面臨的七層安全問題一樣,在私有雲情況下依然面臨同樣的安全問題。 但由於私有雲資源【運算、網路、儲存】為集中管控,所以從安全角度來說容易管控,不像以往的分散管控。

    在繼承傳統安全問題的同時,私有雲還有哪些新的防護模式要部署? 同樣我們依然遵守微軟的STRIDE威脅分析模型進行分析與出具防禦措施。

    STRIDE威脅分析模型是微軟提出的一套安全設計方法論,六個字母代表六種安全威脅,分別是:

    身份假冒(Spoofing):

    身份假冒,即偽裝成某對像或某人。 例如,透過偽裝成別人的身分來操作。

    篡改(Tampering):

    篡改,即未經授權的情況下,修改資料或代碼。 例如,非授權人員透過網路抓包或

    某種途徑修改某個請求包,使得竄改的請求包提交成功。

    抵賴(Repudiation):

    抵賴,即拒絕執行他人無法證實也無法反對的行為而產生抵賴。 例如,A攻擊了某個產品,產品方不知道是A做的,沒有證據證明是A做的,A就可以進行抵賴。

    資訊洩露(Information Disclosure):

    資訊洩露,即將資訊暴露給未授權用戶。 例如,透過某種途徑取得未經加密的敏感資訊。

    拒絕服務(DenialofService):

    拒絕服務,即拒絕或降低有效用戶的服務等級。 例如,透過拒絕服務攻擊,使得其他正常使用者無法使用產品的相關服務功能。

    特權提升(Elevation of Privilege):

    特權提升,即透過非授權方式獲得更高權限。 例如,試圖用管理員的權限進行業務操作。

     

     

     

     

     

     

     

     

     

    微軟的全系產品都是基於它進行安全考量與設計。 STRIDE模型幾乎是可以涵蓋現在世界上絕大部分的安全問題。

    但這些威脅根據其性質,基本上可以歸結為以下幾個面向:

    資訊外洩:被保護的資訊被無意或有意的洩漏;

    破壞資訊的完整性:被保護的資料被非法篡改或破壞;

    拒絕服務:非法阻止合法資訊使用者對資訊服務的存取;

    非授權存取:受保護資源被非授權個人或組織進行使用;

    竊聽:利用用各種可能的非法的手段竊取系統中受保護的資訊資源和敏感資訊;

    假冒:透過欺騙通訊系統或用戶,達到非法用戶冒充成為合法用戶,或特權小的用戶冒充成為特權大的用戶的目的。 駭客攻擊往往採取此方式,偽裝欺騙用戶,達到目的;

    漏洞攻擊:攻擊者利用系統的安全缺陷或漏洞取得非法的權限;

    內部攻擊:被授權以某一目的使用某一系統或資源的某個人,卻將此權限用於其他非授權的目的;

    抵賴:通常是為內部攻擊的分支,攻擊者否認自己曾經發布過的某則訊息;

    電腦病毒:一種在電腦系統運作過程中能夠實現傳染和侵害功能的程式;

    法規不完善:由於資訊安全法規法律上的不完善,給予資訊竊取、資訊破壞者可趁之機。

    私有雲的安全性面,建議從以下幾個層次去考慮:

    終端層(用戶層)

    終端層也稱為使用者層,主要是確保使用者存取雲端資源時,處於安全的終端環境;

    應用層

    為雲端平台承載的發佈業務,確保發佈的應用程式實現通訊加密、資料脫敏及存取控制等;

    資料層

    確保雲端上數據,包括用戶數據、系統數據及平台數據【VM】,處於加密狀態,可用狀態;

    系統層

    確保雲端上系統,包括雲端平台、雲端宿主和VM處於安全狀態,漏洞及時更新;

    網路層

    網路作為雲端平台的血脈至關重要,要確保網路通路的順暢及通訊加密;

    基礎設施層

    高可用的基礎設施架構,是確保業務連續性的前提條件;

    維運層

    雲端平台內各種資源的存取控制應及時進行安全審計,確保操作可控、運作透明。

  • 改子网掩码

    通信弱電交流學習

    如果是在一個小型的區域網路裡可能完全不必要考慮IP位址不夠的情況,但是在超過「255台」電腦的大型區域網路裡,就必須要考慮電腦IP位址不夠用該如何解決了。

    很多時候企業區域網路出現私網路位址192.168.1.x-255不夠用了,去掉一個廣播位址及一個網路位址後就可能不夠用。 (0是網路位址不可用, 255是廣播位址,除去這2個,可用的就是254個位址)。

    那麼如何解決呢?

    首先,我們來了解一下IP位址:“X.X.X.X”

    x代表0到255之間的任一個自然數,但是,在區域網路裡面,這裡的數字設定是有規則的,一般是由子網路遮罩來分割。

    如255.255.255.0。 說明最後面一個X可以從0到255之間隨意改變。 當網關是192.168.1.1時,我們可以設定成192.168.1.1–192.168.1.254。

    當在一個區域網路內,ip位址超過了數量怎麼辦,這個通常發生在C類的ip位址區域網路中較多,可以有三種方法來解決這個問題。

    一、改子網路遮罩

    因此當子網路遮罩設定成255.255.255.0時,路由器下面的區域網路最多只能”254台”電腦分配相對獨立的IP位址。

     

     

     

     

     

     

     

     

     

     

     

     

     

    想要增加區域網路IP,那麼可以修改下子網路遮罩就可以了,例如子網路遮罩從255.255.255.0修改成255.255.0.0,那麼我們區域網路裡面的電腦IP就相當於可以設定254乘以254台電腦 ,有64516個IP位址。

    而IP的第三個X也可以從0到255之間任一個數字變192.168.X.X。

    如果還要更多,那麼可以設定成255.0.0.0,區域網路就可以擁有254*254*254台電腦。

    不過這樣設定的話相當於這些所有電腦都處於一個區域網路裡面,而且可以互相訪問,容易引起“網路風暴”,所以我們在修改子網路遮罩時,應該盡量精確。

    例如:255.255.252.0,可以容納,4*254個ip位址。
    二、增加路由器

    也可以透過路由器後面再接路由器來分成多個網段,不過這種方法不太適合超大型網路。

     

     

     

     

     

     

     

     

     

    如果原來的網段為192.168.1.1。 那麼可以新增網段,192.168.X.1 。

    操作步驟:

    新增加一台路由器即可! 分配一個IP位址給新增的路由器靜態IP綁定下,然後如果想省事可以啟用DHCP,如果不想省事就自己設定IP位址。

    路由器的網關一定要改! 一般預設的都是192.168.0.1 或 192.168.1.1 ,你新增網段的網關應該是192.168.X.1切記!

    如果你新設定IP位址設定為192.168.2.1的話。 新路由器的IP位址池可以在 192.168.2.2~~~192.168.2.254之間。
    連接方法:

    之前的路由器LAN口和現在路由器的WAN埠相連接。 然後你新的路由器就可以上網了。 可以再接一個交換器插在新路由器的LAN口。

    三、劃分vlan

    最好的方法是透過設定虛擬區域網路“VLAN”,將區域網路裡面的電腦分成多個虛擬的區域網,可以減少網路風暴,而且可以提高交換器跟路由器的工作效率。 有的交換器自帶有VLAN接口,那麼只要將網路線依需要分別接到對應的網段。

     

     

     

     

     

     

     

    透過子網劃分! 你可以將IP位址設定成192.168.0.0/24
    那麼可以劃分192.168.0.x和192.168.1.x二個網段,增加了IP的數量,當然也可以續繼續劃分多個網段。

    網段一:

    192.168.0.x,192.168.0.1——192.168.0.254 ,255.255.255.0。

    網段二:

    192.168.1.x ,192.1681.1——192.168.1.254,255.255.255.0。

    這樣就劃分了兩個vlan,當然也可以分更多。

    四、補充

    這裡面弱電君補充下,很多朋友在專案中會遇到,ip位址192.168.0.0/23這樣的表示,是如何算出它的子碼掩碼是255.255.254.0?

    23是CIDR值。 簡單說就是一個CIDR值對應一個子網路掩碼,然後對網路就行分段。

    每個IP位址的長度為32位元(bit),分4段,每段8位元(1個位元組)。 簡單的說23代表從前往後有23個1,就是11111111.11111111.11111110.00000000

    把這個轉換成十進制就是255.255.254.0,子網路遮罩就是這樣算出來的。

  • 華為設備常用display指令合集

    華為設備常用display指令合集

  • 掌握Kubernetes優化:一種策略方法

    原创 岱军 云云众生s
    採取策略性的結構化的Kubernetes管理,可充分發揮其效能,使其成為推動業務效率與創新的關鍵因素。

    譯自Mastering Kubernetes Optimization: A Strategic Approach,作者 Eli Birger 是 PerfectScale 的共同創辦人兼技術長。 他是一位熱情的技術專家,擁有電信(Comverse、Vonage)、網路安全(Imperva、Cyren)和儲存(IBM)方面的背景。 他擁有超過六年的DevOps管理經驗,在這個角色中…

    Kubernetes 已經確立了自己作為首要容器編排平台的地位,它因在部署應用程式時擁有超凡的靈活性和可擴展性而獲得廣泛讚譽。

    這個開源系統旨在簡化容器化應用程式的管理,提供諸如高效擴展、負載平衡和自動化管理等功能。

    然而,掌握Kubernetes 需要在性能、彈性和成本效益之間達致精妙的平衡,這可能是一個複雜的持續挑戰。 對依賴 Kubernetes 運行關鍵應用程式卻又想控制營運成本的企業來說,確保達到最佳平衡至關重要。

    掌握 Kubernetes 的第一步關鍵在於對環境有詳細的了解。 這涉及密切監控和分析資源分配和使用模式,以及理解成本影響。

    達到這種洞察力對確定低效率和潛在改進領域至關重要。 這通常需要部署可以提供即時數據和分析的監控工具,使團隊能夠做出資訊化的數據驅動決策。 對 Kubernetes 環境中不同元件如何在不同條件下互動和消耗資源有詳細的了解,為有針對性的最佳化工作奠定基礎。

    一旦一個組織對其 Kubernetes 設定有了全面的理解,下一步就是朝著主動的、由所有者主導的行動邁進。 這個階段至關重要,因為它涉及將從最初的詳細分析中獲得的見解應用到做出資訊化和策略性的決策。 這些決策涉及 Kubernetes 管理的各個方面,包括資源分配、應用程式擴充和整體基礎架構調整。

    此時,組織開始積極管理他們的 Kubernetes 環境,應用資料驅動的策略來優化效能。 這可能涉及調整 pod 或節點的大小,以更好地匹配它們的實際用法,從而確保資源不會被低利用或過度擴展。

    它還可能包括重新配置網路策略或調整儲存配置以提高效率和效能。 在某些情況下,組織可能需要實現更複雜的更改,例如修改 Kubernetes 調度程序以實現更好的負載分配,或更新服務編排和管理的方式。

    這個階段流程的重點不僅在於節省成本或提高效能,而是在找到既滿足直接營運需求又符合長期策略目標的平衡。 這需要對Kubernetes環境及其與所支援的應用程式的相互作用有細緻的理解。 例如,縮減資源可能會在短期內降低成本,但如果這導致應用程式效能或可用性降低,則可能會對業務結果產生長期的負面影響。

    掌握Kubernetes的最後一個面向是採用自治權限調整,這代表了Kubernetes環境管理方式的重大進步。 這個階段的特點是實施設計用於持續和主動優化的自動化流程。

    這裡的主要目標是賦予Kubernetes自治和有效率地調節其資源使用的能力,以流暢地適應不同的營運需求。 這種自我調節對於在不需要持續人工幹預的情況下保持最佳表現至關重要。

    自治權調整涉及幾個戰略行動。 一個基本策略是實施自動擴縮機制,根據即時工作負載需求調整資源分配。 這可以確保應用程式在高峰時期可以存取必要的資源,而在需求較低時節省資源。 另一種尖端方法是整合AI驅動的工具。

    這些工具可以分析資源使用模式、預測未來需求並事先調整,確保Kubernetes環境始終運作在尖峰效率。

    一個自動化、高效的Kubernetes環境本質上更敏捷和響應迅速。 它可以快速適應不斷變化的需求,無論這些需求是由突發的用戶流量增加還是應用程式複雜性的逐漸增加引起的。 這種響應迅速性不僅提高了在Kubernetes環境中運行的應用程式的效能,還確保了更可靠、更一致的使用者體驗。

    遵循這種結構化的方法,組織可以將他們的Kubernetes操作從一個強大的工具轉化為一個策略資產。 這種Kubernetes的演進可以讓企業獲得深遠的利益。 所提出的方法論可以對確保資源不僅被有效利用,而且它們的利用與更廣泛的業務目標保持一致非常關鍵,從而實現成本效益。 在當今商業環境中,這種一致性至關重要,因為明智的資源管理可以顯著影響利潤。

    這種方法也提高了Kubernetes環境的彈性。 透過理解和主動管理Kubernetes的複雜性,組織可以創造不僅在正常條件下穩健,而且在面對意外挑戰或需求增加時也能維持效能和可靠性的系統。 這種彈性對於維持持續營運至關重要,這是依賴持續可用性和高效能的企業的關鍵因素。

    最後,當優化並與業務策略保持一致時,Kubernetes發揮其作為快速開發、部署和擴展應用程式基礎設施的最大潛力。 這種敏捷性使企業能夠快速回應市場變化,試驗新想法並提供增強的客戶體驗。 簡而言之,Kubernetes不僅支持現有業務,還可以驅動新計劃和擴張機會。

    透過採用策略性和結構化的Kubernetes管理方法,組織可以發揮其全部潛力,將其轉變為業務效率和創新的關鍵驅動因素,並使其成為組織的競爭優勢。 這不僅僅是技術優化,而是將Kubernetes定位為支撐組織發展的基石。

  • 為什麼思科願意高價收購雲端網路新創公司

    ■ 作者:Anissa Gardizy
    ■ 編輯:B Impact小章

    思科系統(Cisco Systems)宣布收購由Google和微軟支持的雲端網路和安全創業公司Isovalent的舉動表明,企業軟體股票的回升也推動了該行業中新創公司的估值提高。

    據一位知情人士透露,思科以現金支付約6.5億美元收購了這家新創公司,相當於其年度重複收入(ARR)的32倍。 根據Meritech Capital的數據,這遠高於人工智慧領域以外的企業軟體股票的平均估值倍數,後者的交易價格是重複收入的8.2倍。

    重點 • 這筆交易有助於思科繼續向雲端軟體轉型• 相對於其他最近的雲端交易,思科支付了高昂的價格• 雲端網路公司非常適合多家雲端服務供應商的客戶

    思科和Isovalent並未透露交易價格,只表示預計在接下來的六個月內完成交易。

    據一位知情人士透露,Isovalent的年度重複收入最近已經超過2,000萬美元。 ARR通常反映了客戶在接下來的12個月內承諾支付的訂閱費或支出金額。 目前尚不清楚該新創公司的成長率,而成長率是估值的關鍵因素。 根據Isovalent在2022年9月的數據,其收入每年增長約200%。 如此迅速的成長率可能能夠為高估值提供正當理由。 思科先前曾對這家新創公司進行投資,該公司在15個月前的一輪融資中的估值約為2.5億美元。

    Isovalent自稱總部位於美國加州的庫比蒂諾和瑞士的蘇黎世,屬於一類被稱為雲端網路的軟體,可以幫助客戶管理多家雲端服務供應商的伺服器。 該公司還提供能夠追蹤伺服器網路和應用程式效能的「可觀察性」軟體。 開發此類服務的公司正試圖複製Splunk和Datadog等公司在雲端應用轉型中取得的股票市場成功。

    Isovalent主要透過幫助客戶使用其開發的開源軟體Cilium賺錢。 Cilium基於eBPF,這是一種將應用程式與其運行的硬體連接起來的開源工具。 Isovalent的軟體對於使用Kubernetes的公司特別有用,Kubernetes是一款用於管理運行大量機器的應用程式的熱門開源軟體。 Isovalent表示Capital One是其付費客戶之一。

    收購狂潮

    Isovalent交易是思科今年宣布的第11筆收購交易,也是對雲端網路新創公司的第二筆收購。 Isovalent和另一家網路新創公司Valtix將加入思科的安全業務群組。 思科也在九月宣布以280億美元現金購買Splunk,該公司幫助企業監控和保護應用程序,包括透過可觀察性軟體實現。 然而,該交易尚未完成。 從業人士表示,思科最近的收購顯示這類軟體正在被企業廣泛採用。

    雖然亞馬遜網路服務(Amazon Web Services)和微軟提供了自己的網路軟體,但由於公司越來越多地使用多個雲端服務供應商,對Isovalent、Aviatrix和Alkira等較小公司的工具的需求也在 上升。

    思科的股價今年上漲了5%,遠遠落後那斯達克指數,後者在同一時期上漲了45%。 該公司在11月表示,截至10月底的季度營收成長了8%,但在當季(截至1月底)營收可能下降多達8%。 在思科宣布收購Splunk後,投資人也拋售了該公司的股票。

    據PitchBook稱,Isovalent目前擁有大約150名員工,並籌集了約7000萬美元的風險投資,其中包括來自安德烈森·霍洛維茨(Andreessen Horowitz)的投資。 該投資公司的雲端伺服器專家馬丁·卡薩多(Martin Casado)是Isovalent的董事會成員。

  • 透過理想的 SASE 架構實現網路與安全的融合

    思科联天下 作者:Omri Guelfand Cisco VP, Product Management
    然而,並非所有 SASE 都一般無二。 SASE 主要以服務的形式提供,可以作為一組模組化或分散化的元件進行部署,以單獨的軟體定義廣域網路(SD-WAN)、新一代防火牆(NGFW) 和其他安全解決方案構成基於雲端的安全 服務邊緣(SSE)。 或者,SASE 也可以作為統一的預先整合軟體即服務(SaaS) 提供,讓管理員能夠透過高度簡化和統一的方式來實現SASE 環境,並管理員工對應用程式的端到端安全多雲訪問,擺脫員工辦公 位置帶來的限制。

    為什麼說網路與安全融合是一種致勝策略? 如何在分散化、模組化和統一 SASE 解決方案之間做出抉擇? 下文給了答案。

    目前狀況的由來

    長久以來,為了應對各種網路威脅,組織已經增添了許多單點安全產品。 隨著雲端技術的採用不斷增加並因此使敏捷性和彈性得到保證,組織開始將更多應用程式從傳統資料中心遷移到私有雲、公有雲和 SaaS,導致環境高度分散。 除此之外,現今分散式混合辦公員工使得傳統的邊界不復存在,在這種超分散式 IT 環境中,受攻擊面急劇擴大。 顯然,基於邊界的傳統解決方案已不敷使用。

    此外,根據《2023 年全球網路趨勢報告》的數據,51% 的受訪者認為技能差距是所在組織在使用雲端原生技術時面臨的主要挑戰。 根據 Gartner 的數據,到 2025 年,這種人才短缺加上人為錯誤,可能是造成半數以上重大網路安全事件的原因。

    網路與安全融合與統一 SASE

    將網路和安全領域融合可提供每個連接的端到端視覺性,讓這兩個領域的管理員齊心協力地優化應用體驗。 整合的工具和集中的控制面板能夠提高效率並增進協作。 每次使用者體驗的流量資料都能輕鬆獲取,可以消除可視性差距並縮短平均修復時間 (MTTR)。

    SASE 能夠提供這樣的融合環境以及集中的統一管理,是一種從根本上簡化安全性和網路運維的方式(圖 1)。 Gartner 將其定義為提供整合網路與安全即服務的多層面解決方案。 其功能包括 SD-WAN、安全性 Web 閘道 (SWG)、雲端存取安全代理程式 (CASB)、NGFW 和零信任網路存取 (ZTNA)。 SASE 支援分公司、遠端員工和本地安全存取使用案例。

    圖 1. SASE 協助實現網路和安全運維的融合(點擊放大)

    SASE 提供了組織急需的框架,讓使用者能夠在複雜的高度分散式環境中安全且順暢地存取應用程式。 SASE 由Gartner 在2019 年首次提出,其後迅速從一系列分散化的單點解決方案(市場上有許多供應商解決方案)迅速發展為更全面的解決方案,由一個或多個供應商以模組 化組件的形式提供(圖2)。

    在單一供應商解決方案中,統一的 SASE 方法逐漸成形。 這種方法將所有組件作為一個可針對 SASE 進行最佳化的單一平台進行全面設計、整合和支持,將網路和安全結構融入雲端交付模式中。 在思科,我們的 SASE 座右銘是端到端 「實現萬物互聯,提供無所不在的安全」。

    圖 2. SASE 架構的各種技術和供應商方法(點擊放大)

    統一 SASE 讓 IT 人員的工作變得輕鬆簡單。 這種平台方法注重的是成果而非架構,可能對 IT 人員較少的小型組織吸引力特別大。

    上述每種 SASE 方法所吸引的組織不盡相同,而思科支援所有模式,無論我們的客戶處於技術發展之旅的哪個階段,都能滿足他們的獨特需求。

    SASE 的實際應用案例

    George Sink, P.A. Injury Lawyers 擁有38 名律師,為數以千計的南卡羅來納州和喬治亞州客戶提供人身傷害案件的服務,他們希望利用雲端的效率優勢,更輕鬆、更安全地為員工和支援人員提供 無所不在的連接。 於是,他們將本地 VPN 遷移到雲端中的虛擬終端和統一 SASE。 這樣,無論員工位於何處,無需任何本地實體設備也能安全順暢地存取所需應用程式。 由於他們使用統一的一站式解決方案遷移到雲端,部署時間只需數小時而不是數天,因此降低了 IT 複雜性。 最終,他們為使用者和 IT 團隊提供了卓越的體驗。

    Milwaukee Electronics 是一家電子製造服務 (EMS) 供應商,總部位於美國並在墨西哥、印度和新加坡設有工廠。 他們遇到供應鏈問題,使其難以獲得新的技術基礎設施為遍布全球的員工提供支援。 該公司提供一站式客製化電子設計、印刷電路板 (PCB) 原型製作、組裝和專案管理。 他們的客戶有著嚴格的網路安全監管要求,而統一 SASE 能夠改善公司的安全狀況,提供每個網路連線的可視性。 作為一項服務,單一供應商統一 SASE 為該公司提供了極其全面和高度自動化的網路和安全解決方案,讓他們有限的 IT 資源得到最大利用。

    SASE 能夠簡化和改善使用者和 IT 團隊的體驗,是應當今需求而生的架構。 當所有功能都由來自單一供應商的統一 SASE 提供時,輕鬆的部署和簡單的使用能夠加快受益速度並縮短實現投資回報的時間。

  • 解讀軟體定義網路(SDN)的架構特性、應用場景與發展趨勢

    原创 twt社区
    【摘要】SDN 是一種相對開放、相對較新的網路技術,本文主要介紹 SDN 的發展歷史、特徵及發展趨勢等 , 重點對 SDN 的體系結構、關鍵技術及應用場景進行介紹。 透過本文的閱讀與學習,可以協助網路人員初步了解什麼是軟體定義網路( SDN ),它的架構有哪些特點,本身俱備哪些優勢。 在日後的工作和規劃中,可以初步了解哪些場景可以利用 SDN 的特點,哪些場景不適用。
    【作者】張志強,多年的雲端運算、虛擬化架構設計、企業資訊化建置、自動化運維經驗。 熟練X86、Power、儲存、虛擬化等硬體設備調優與配置。 擁有豐富的混合雲架構及管理經驗,資訊安全及網路架構的設計與維運。

    概述
    隨著因特網的出現讓萬物實現了互聯,加速網路聯通,為人們的生活與溝通帶來了極大的方便。 每年全球互聯網技術都呈現指數級的發展,同時為迎合業務的多變性,網路的架構發生了翻天覆地的變化。

    工業互聯網、工業 4.0 和中國製造 2025 的提出,各種新技術湧現,如大數據、雲端運算、人工智慧、物聯網等。 對網路的複雜性和要求提出了更高的要求,傳統的因特網結構不僅複雜而且難以管理 , 更不能預先定義好策略來對網路進行配置。 新型的基於控制與轉送分離的軟體定義網路能夠有效地改變這種狀況。 此新型網路能夠使網路管理變得容易且還能更好地促進網路的演進。

    本文主要介紹 SDN 的發展歷史、特徵及發展趨勢等 , 重點介紹 SDN 的體系結構、關鍵技術及應用場景。

    什麼是軟體定義網路?
    軟體定義網路全稱為 Software Defined Network ,下文簡稱為 SDN 。 在 2006 年,由美國史丹佛大學提出的一種新型網路架構,可以透過軟體程式設計的形式定義和控制網絡,實現控制和資料流量的分離,同時也是網路虛擬化的技術實現方式。

    SDN 是利用Open Flow 技術,將網路設備的控制面與資料面分離開來,從而實現網路流量的靈活控制,使網路作為管道變得更加智能,化繁為簡,為核心網路及應用的創新提供 支撐,為下一代互聯網的發展奠定了基礎。

    俗話說“不為業務負責的技術,都是耍流氓”,軟體定義網路也是為了滿足業務的實際需求而誕生的。 旨在為公司提供穩定且適應性強的網路架構,架構具備處理由雲端化及傳統IT 基礎設施組成的複雜系統的能力,具備操縱底層網路基礎結構的能力,使網路控制可編程,且可使用 軟體進行控制,實現更大的敏捷性,管理員可以根據需要動態調整網路中的流量。

    因此, SDN 技術能夠有效降低網路設備負載,協助網路營運商更好地智慧化的管控基礎設施,降低整體網路營運成本。

    軟體定義網路的架構
    SDN 作為新一代的網路技術,已經開始在營運商、企業中進行試點應用,其整體架構由下到上(由南到北)可分為三個層次,資料平面、控制平面和應用平面,具體 如圖1-1 所示。

    數據平面:

    主要由各個網路設備廠商的通用交換設備組成,透過標準的 OpenFlow 介面與控制器進行通信,確保不同設備之間的配置和通訊相容性以及互通性。 資料平面對封包的處理,主要透過查詢由控制平面所產生的轉送資訊表來完成,達到解析封包頭和轉送封包到某些連接埠的目的。

    控制平面:

    是控制平面的核心元件,包含了邏輯上為中心的 SDN 控制器,掌握著全域網路訊息,負責各種轉送規則的控制,建立流量表和資料處理策略。 控制器的架構又可分為單控制器和多控制器,主要是看網路規模而定。

    應用平面:

    包含各種基於 SDN 的網路應用,如負載平衡、流量控制、入侵偵測 / 防禦以及 QoS

    等。 透過北向影響程序設計接口,向 SDN 控制平面分發策略。 使用者無需關心底層細節即可編程、部署新應用程式。

    SDN 中的介面具有天然的開放性,以控制器組件為中心,南向介面負責與資料平面進行通信,北向介面負責與應用平面進行通信,東西向介面負責多控制器之間的通信,採用主流 的OpenFlow 協定進行通訊。

    OpenFlow 協定最基本的特點是基於流( Flow )的概念來匹配轉發規則,每個交換器都維護一個流表( Flow Table ),依據流表中的轉發規則進行轉發,而流表的建立、維護和 下發都是由控制器完成的。 針對北向接口,應用程式透過北向接口編程來呼叫所需的各種網路資源,實現對網路的快速配置和部署。 東西向介面使控制器具有可擴展性,為負載平衡和效能提升提供了技術保障。 SDN 作為目前網路領域最炙手可熱且最具發展前景的技術之一,主要有以下優勢:

    解耦控制與轉發

    由於傳統網路設備,如交換器、路由器的韌體一般都是由設備製造商鎖定和控制,透過SDN 的控制與轉送分離機制,可以輕鬆的分離開網路控制與實體網絡,從而擺脫硬體廠商對網路架構的 限制。 同時管理員可以像升級、安裝軟體一樣對網路架構進行修改,滿足企業對整個網路架構進行調整、擴充或升級的需求。 至於底層的交換器、路由器等硬體則不需替換,提升了整體網路的相容性。

    安全加固

    利用 SDN ,可以獲得快速限制以及從中心視角查看網路內部的能力,網路管理人員可以根據網路中的安全事件快速有效的做出變更。 例如,分公司的網路中由於某個伺服器中毒,產生大量的惡意流量。 那麼網路人員可以透過 SDN 和 OpenFlow 迅速從集中控制平面尋找、定位和阻止惡意流量,來限制擴散,而不需要存取多個路由器或交換器進行排查。

    智慧調整

    網路管理員可以根據網路目前的實際營運情況進行智慧化的流量轉送與整合,實現流量的自動化、智慧化調整。 例如,針對集團級的視訊會議,利用預先制定的智慧策略,可以對頻寬進行智慧保障,確保視訊會議流暢。

    圖 1-SDN 體系架構圖

    軟體定義網路場景應用
    了解了軟體定義網路的概念和特點,不難看出 SDN 未來的應用物件將主要集中在電信級營運商、企業客戶、資料中心供應商、網路公司及政府單位。 應用場景主要集中在資料中心網路、資料中心的互聯、政企網路、電信營運商網路以及網路公司業務部署,以下逐一的介紹不同場景的應用。

    場景化解決方案
    資料中心網路的構建

    資料中心網路部署 SDN 的需求主要表現在大量的租戶、多路徑轉送、 VM( 虛擬機器 ) 的智慧部署和遷移、網路集中自動化管理、綠色節能、資料中心能力開放等幾個面向。

    SDN 控制邏輯集中的特性可充分滿足網路集中自動化管理、多路徑轉送、綠色節能等方面的要求。 同時, SDN 網路能力開放化和虛擬化也可充分滿足資料中心能力開放、 VM 的智慧部署和遷移、大量虛擬租戶的需求。 資料中心的建置和維護一般統一由資料中心營運商或 ICP/ISP 維護,具有相對的封閉性,可統一規劃、部署和升級改造, SDN 在其中部署的可行性高。 資料中心網路是 SDN 目前最明確的應用場景之一,也是最有前景的應用場景之一。

    資料中心互聯網構建

    資料中心之間互聯的網路具有流量大、突發性強、週期性強等特點,需要網路具備多路徑轉送與負載平衡、網路頻寬按需提供、綠色節能、集中管理和控制的能力。 引入 SDN 的網路可透過部署統一的控制器來收集各資料中心之間的流量需求,進而進行統一的運算和調度、實施頻寬的靈活按需分配、最大程度優化網路、提升資源利用率。

    政企網路建構

    政府及企業網路的業務類型豐富,網路設備功能複雜、類型多,對網路的安全性要求高,需要集中的管理控制,需要網路的彈性高,且能滿足客製化需求。 SDN 轉送與控制分離的架構,可使得網路設備通用化、簡化。 SDN 將複雜的業務功能剝離,由上層應用伺服器實現,不僅可以降低設備硬體成本,更可使得企業網路更加簡化,層次更加清晰。 同時, SDN 控制的邏輯集中,可實現企業網路的集中管理與控制,企業的安全策略集中部署與管理,更能在控制器或上層應用靈活客製化網路功能,更能滿足企業網路的需求。

    由於企業網路一般由企業自己的資訊化部門負責建置、管理和維護,具有封閉性,可統一規劃、部署和升級改造, SDN 部署的可行性較高。

    電信營運商網路建構

    電信業者網路包括了寬頻存取層、城域層、骨幹層等層面。 特定的網絡也可分為有線網絡和無線網絡,網絡存在多種方式,如傳輸網、數據網、交換網等。 總的來說,電信業者網路具有覆蓋範圍大、網路複雜、網路安全可靠性要求高、涉及的網路製式多、多廠商共存等特性。

    SDN 的轉送與控制分離特性可有效實現設備的逐步融合,降低設備硬體成本。 SDN 的控制邏輯集中特徵可逐步實現網路的集中化管理和全局最佳化,有效提升營運效率,提供端到端的網路服務;SDN 的網路能力虛擬化和開放化,也有利於電信業者網路向智慧化 ,開放化發展,發展更豐富的網路服務,增加收入。

    據報道, NTT 和德國電信都開始試驗部署SDN ,其中NTT 搭建了橫跨日本和美國的試驗環境,實現網絡虛擬化,並建立跨數據中心的WAN 網絡,而德國電信已在雲端資料中心、無線 、固定等接取環境使用SDN 。

    互聯網公司業務部署中的應用

    網路的終極意義在於為上層應用提供網路服務,承載上層應用。 網際網路公司業務基於 SDN 架構部署,將是 SDN 的重要應用場景。

    SDN 具有網路能力開放的特點,透過 SDN 控制器的北向接口,向上層應用提供標準化、規範化的網路能力接口,為上層應用提供網路能力服務。 ICP/ISP 可依需求取得對應的網路服務,有效提升最終用戶的業務體驗。

    國內企業如騰訊、百度等都在加快 SDN 的實驗室部署,例如,騰訊正利用 SDN 實現差異化的路徑運算、流量控制和服務,為使用者提供更好體驗。

    面臨的挑戰
    SDN 技術目前尚不夠成熟,標準化程度也不夠高。 大範圍、大量網路設備的管理問題,超大規模 SDN 控制器的安全性和穩定性問題,多廠商的協同和互通問題,不同網路層次 / 制式的協同和對接問題等均需要盡快解決。 目前 SDN 技術在電信業者網路大規模應用上仍難以實現,但可在局部網路或特定應用場景逐步使用,如行動回傳網路場景、分組與光網路的協同場景等。

    軟體定義網路發展趨勢
    軟體定義網路自問世那天,就一直被業界所關注,功能也在不斷的完善,為當前網路領域帶來了一場巨大的變革,其先進的思想有效的幫助企業擺脫了由於業務擴展、轉型所 帶來的網路結構複雜冗餘的架構限制。 透過控制與轉送分離,將網路中交換設備的控制邏輯集中到一個或多個運算設備上,為提升網路管理配置能力帶來新的思路。

    SDN 的本質特徵是控制平面和資料平面的分離以及開放可程式性。 透過分離控制平面和資料平面以及開放的通訊協議,打破傳統網路設備的封閉性。 此外,南北向和東西向的開放介面及可程式性,也使得網路管理變得更加扁平化、動態和靈活。

    隨著各種新技術的迸發,對於網路架構的要求也越來越高,現如今,軟體定義網路在IP 網路、無線網路、資料中心網等方面都取得了不錯的應用效果,有效的支撐了 大平台、大應用程式的部署。 如雲端運算內的網路虛擬化的支撐,實現東西向流量管控,資料中心利用二層網路性質完成流量監控,提升虛擬機間的資料傳輸速度。 雖然, SDN 已經能夠彌補傳統網路技術的不足,但是其在實際應用的過程中仍存在一定的問題,例如控制器介面不規範、運算任務相對繁重、安全性得不到保障、整體穩定性較差 等等。 要在日後發展中獲得良好的口碑,應盡快解決以上問題,拓展其發展空間,減少市場的阻礙空間。 隨著工業 4.0 帶動企業的數位轉型, SDN 的發展道路會越寬廣,企業對其的依賴程度會逐漸提升。

    結束語
    透過本文的閱讀與學習,可以協助網路人員初步了解什麼是軟體定義網路( SDN ),它的架構有哪些特點,本身俱備哪些優勢。 在日後的工作和規劃中,可以初步了解哪些場景可以利用 SDN 的特點,哪些場景不適用。 還是那句話, SDN 是一種相對開放、相對較新的網路技術,因此,對於一家要採用這些技術的公司,首先必須具備這種技能和經驗的專業人員,記得,記得。