什么是软件定义广域网SDWAN?
伴着云计算的兴起,软件定义网络(SDN)技术带来了新一轮的网络技术变革。SDN技术在数据中心和云网络中的应用已非常成熟,近几年业界逐渐把焦点转向数据中心之外的广域网,希望用SDN的技术来解决传统广域网中的问题遇到的挑战。
随着企业新兴业务的爆发、迅速增长。传统以昂贵MPLS专线为主的传统广域网互联难以支撑企业WAN的流量激增,SDWAN逐渐成为企业总部分支互联在云时代的首选。
SDWAN(Software-Defined WAN)软件定义广域网技术,是以广域网设备支持虚拟化功能为基础,构建多租户的虚拟化软件网络,以及软硬一体化的网络配置、监控、调度、可视化等功能,实现按需自助、敏捷弹性、低价高效地获得广域网服务的目的。
相较于传统网络设备厂商提供SDWAN产品硬件的方案不同,阿里云则依托于其全球高质量传输网的优势,利用互联网、4G/5G,与本地专线、长途专线组合,解决“最后一公里”就近接入阿里云全球SDWAN网络,用户只需通过在线购买阿里云SDWAN网络服务,就可迅速获得专有虚拟的全球广域网络。利用SDWAN的技术优势,进一步平衡并优化企业应用,从而提高企业WAN网络的可靠性、灵活性和运维效率。最终让客户逐步淘汰自建的老旧广域网系统,减少IT在长途专线上昂贵的支出。
本文重点介绍的,就是阿里云CCN、CEN、SAG等云产品组成的阿里云SDWAN解决方案。
1.1 什么是CEN
云企业网CEN(Cloud Enterprise Network),是构建在阿里云全球物理传输网络上、OVERLAY层面的多租户的SDWAN网络,用于创建各个租户专有的企业虚拟核心传输网络(CEN实例)。每个租户都可以创建一个或多个专有CEN实例,将其国内外各个VPC网络、云连接网CCN、边界路由器VBR等,都加载到这个CEN实例后,就能实现本企业云上VPC、云下IDC机房、各地分支机构相互之间的互通互联和防火墙安全控制。简单地说,客户只需要创建并购买CEN实例、SAG CCN连接等服务,就立刻拥有了一张企业级、高可用、高性能、大容量、安全隔离、全球连接的虚拟广域网络,再也不用像以前那般投资建设跨省/跨国的物理骨干网络。同时,在跨境云专线部分,阿里云也是和中国联通合作,由联通运营、通过阿里云销售渠道向客户提供专线服务,确保了线路的合规性。
1.2 什么是CCN
云连接网CCN(Cloud Connect Network),是在阿里云全球物理传输网络的基础上,构建的一张OVERLAY的SDWAN互联网VPN云接入网络。CCN网络主要是由Region里的CCN控制器(独立于CEN控制器),分布全国和海外主要城市POP点,以及部署在客户端的SAG组成。主要功能是通过互联网,就近建立各POP点与用户各线下分支机构和数据中心的IPSEC VPN连接。再通过阿里云高速传输网络,实现与阿里云CEN云企业网的虚拟实例连接。帮助客户快速搭建一张客户专有云的虚拟SDWAN网络。
CCN连接的最大价值,一是将客户原来时延和质量不稳定的端到端互联网VPN连接,变成一段本省内/城市内的互联网连接,加一段阿里云物理传输网络的稳定时延和质量连接。二是客户不需要投资客户端网络设备和中心侧汇接网络设备(阿里云统一提供),就可以建立起一套分布全国和海外的虚拟广域网,按需自助敏捷地开通任意接入点之间的网络连接,弹性扩缩任意2点间网络带宽,灵活敏捷地在各条互备网络连接上调度网络流量。目前CCN的已基本覆盖全国一线城市及二线发达城市,海外当前主要围绕阿里云region城市部署。
1.3 什么是SAG
SAG(Smart Access Gateway)智能接入网关,有硬件、APP(SDK)、镜像等3种部署形态。其中SAG 100wm/1000智能接入设备,支持由阿里云CCN和CEN统一远程管理、支持零配置自动安装上线,可以部署在客户各地分支机构和数据中心侧,将客户各级分支机构接入阿里云CCN、CEN的主打产品。SAG-APP则可以在手机、电脑等个人移动终端一键部署,即可远程SSL VPN接入用户在阿里云上虚拟SDWAN网络,从而远程访问企业云上、云下IT业务应用系统;SAG 镜像,则可在直接部署在客户IDC虚拟机,即可就近接入到CCN各地POP点,实现POP点到客户云上云下数据中心之间的阿里云的高速、优质地网络转发。
本文我们主要介绍面向金融分支机构客户SDWAN方案,那么首先我们来了解一下,当前金融分支机构的广域网现状是怎样的呢?
上图为典型的全国性中大型分支机构客户扁平化广域网网络设计架构,具体架构如下:
1) 数据中心之间通过多家运营商MPLS VPN网络实现高速互联;
2) 省级机构保持2条MPLS VPN线路,连接各个数据中心和总部机构,地市级机构只保留一条专线,另一条采用互联网宽带;
3) 各个营业网点通过 1条MPLS VPN专线或互联网线路,连接交易所、总部机构、数据中心;
以上扁平化广域网设计,可实现各级业务人员通过移动互联网就能在线办理客户业务,各级办公人员也可以实现通过ssl-vpn远程安全访问企业数据中心的各类业务系统。
但同样,也存在如下的挑战:
1、建设成本高:
总部机房和数据中心之间互连专线、省级/地市2条上行专线建设成本高,往往网络占到了IT总支出相对一部分的成本。
2、分支互联网线路质量无保证:
分支机构跨省、跨运营商的互联线路存在较大的时延、抖动、丢包等威胁,网络质量可靠性不足。
3、分支网络和设备运维量大:
三级骨干网高SLA运维依赖内部3级机构协同配合,难以统一集中管理。各级分支机构接入网络设备缺少自动化配置和一体化监管控能力。
4、未统筹考虑混合云组网要求:
同时,随着保险、证券业务应用逐步上云,客户的网络架构也需要解决各级分支机构需要同时高速连接云下和云上部署的应用系统,如何低成本、平滑构建混合云组网是面临的一大挑战。
解读:金融机构广域网发展趋势
随着我国金融机构的数字化转型不断深入,金融业务应用更加场景化、生态化、智能化。这些业务应用的发展趋势,促使金融机构WAN广域网向扁平化、在线化、服务化的发展。
而云计算服务,不仅是一种软件定义IT基础设施的技术架构,更是一种规模经济、服务经济、平台经济的商业模式。按需自助服务、敏捷弹性扩展、低成本高效、随时随地接入等云计算的的特性价值将得到最大限度发挥。
随着监管部门不断开明开放、鼓励支持、规范管理公共云/金融行业云的背景下,以互金、保险、基金为先锋的金融机构,将会优先拥抱连接公共云、行业云。金融机构建设发展融合专有云、公共云/金融行业云的一体化混合云架构,成为必然趋势。这将促使金融机构广域网,与公共云/行业云的广域网,进行广泛地连接和融合。
为了更好地服务好金融客户,阿里云网络面向金融机构广域网分支互联场景,推出了阿里云云原生的SDWAN解决方案。
面向金融机构的阿里云SDWAN解决方案
场景1-分支机构全面在线
目标场景:
• 全国多分支机构的保险、证劵、基金等金融类客户。客户原广域网络每个分支机构有2条专线与总部互联。
• 全国性保险类分支机构,通过此方案与总部数据中心构造扁平化网络改造。
方案介绍:
• 客户国内分支机构,通过1条专线+1条互联网宽带或者1条互联网宽带+1条4G/5G,连接到阿里云CEN云企业网。
• 客户本地数据中心,通过2条专线,就近连接到阿里云接入点机房
• 客户将基于阿里云CCN、CEN网络,建立自己专有的、覆盖国内、海外扁平化、虚拟化SDWAN网络,实现客户云下各数据中心、各级分支, 以及云上各VPC网络和互联网出口等灵活互连的混合云网络。
场景2-分支机构混合在线
目标场景
• 已经在云上/云下分级部署了应用系统的大中型保险类客户
方案介绍:
• 本地数据中心,通过2条专线,就近连接到阿里云核心传输节点中某个城市的2个接入点机房,再接入阿里云CEN。
• 客户省分公司,保留1条原运营商专线连接本地数据中心,再通过一条专线就近连接到阿里核心传输节点中某个城市的接入点机房。云下云上WAN设备、连接,统一纳入阿里云SDWAN控制器集中管理。云上云下2条网络连接,根据调度负责不同业务流量的路由,并相互备份。
• 客户地县区网点,通过1条专线(运营商MPLS VPN),1条互联网宽带或1条互联网4G/5G,连接到阿里云CCN云连接网再到阿里云CEN云企业网。
• 客户在香港或其他的海外数据中心,只需要租用户1条海外专线连接阿里云海外机房接入点,再租用一条海外互联网线路,就可以与国内建立高速网络连接。
• 客户将基于阿里云CCN、CEN网络,建立自己专有的、覆盖国内、海外扁平化、虚拟化SDWAN网络,实现客户云下各数据中心、各级分支, 以及云上各VPC网络和互联网出口等灵活互连的混合云网络。
针对以上两种场景的方案,我们总结了以下几点阿里云SDWAN方案价值:
• 成本节约:客户可节省原大量骨干网构建的设备采购,线下分支通过SAG或物理专线即可就近接入阿里云全球传输网络。通过阿里云SDWAN线路替换其中一条省会、地市2条长途专线,大幅降低网络成本。日常维护运营成本也将大幅下降,无需5年一次WAN全面升级换代,总体成本节约35%-45%。
• 安全可靠:各级分支机构互联网就近连接阿里云全国的POP点,POP点通过多条运营商专线连接阿里云CEN。配合阿里云内部SDWAN的秒级链路质量检测能力和智能调度,为用户提供质量高于传统互联网VPN的接入服务。
• 混合组网:客户可分钟级在线自助开通任意2机构之间的网络互连接,打造线上/线下一体化混合云容灾架构。也可以与云上其他企业之间对等自助开通任何两点间的网络连接,迅速构建对接的网络互联。
• 敏捷弹性:在线分钟级带宽自助扩缩,大量扩展分支机构,无需新增本地DC设备。同时也利用阿里云全球传输网的优势快速扩展出海机构业务,完成全球一张网的互联。
• 简单运维:SAG零配置自动上线、链路端到端健康检查快速故障监控和切换、集中自动配置QOS和安全策略。云上云下网络设备、链路、流量状态集中可视化管理,大幅降低企业IT运维压力。
通过对阿里云面向金融分支机构的SDWAN两个场景化的解决方案介绍,我相信大家对阿里云SDWAN的能力及价值有了初步的了解。下面我们也来分享一个阿里云在某金融机构的最佳实践。
某金融客户WAN网络现状:
• 云下两地灾备IDC,云上两地2个容灾中心架构。云下2个数据中心之间租用2条MSTP物理线路。同时,两地数据中心各租用2条MSTP线路连接本地阿里云。
• 全国30+家省级分支机构各租用2条MPLS VPN线路,接入北京、上海2个云下数据中心。
• 全国300+个地市级分支机构各租用1条MPLS VPN线路、1条互联网VPN线路,分别接入北京、上海 2个云下数据中心。
结合当前客户的广域网现状,我们提出了以下的优化改造方案:
• 云下2地数据中心,各通过2条1G MSTP线路连接本地阿里云
• 省级分支机构原有2条MV专线,利用SDWAN线路替换1条MV线路。
• 地市分支机构原有1条MV专线、1条互联网宽带专线,改为1条阿里云宽带互联网CCN连接、1条阿里云4G互联网CCN连接。
改造成本对比
除了在建设成本的优化,利用阿里云SDWAN的敏捷弹性,客户可以根据业务的需求灵活的调配SDWAN带宽,做到针对的网络为业务服务,进一步地提升了运营效能。利用阿里云SDWAN的简单运维的特点,客户可以实现云上云下统一的可视化监控管理,让网络做到真正的可管可用。同时,基于阿里云SDWAN全球一张传输网络的优势,地级分支机构只需就近加密加入阿里云pop即可完成分支总部的核心传输网互联,避免了原有跨省、跨运营商的公网时延、抖动、丢包对业务带来的可靠性影响,进一步地提升了总部分支机构广域网的网络质量,确保业务的稳定性。
写在最后
与其他厂商的SDWAN方案相比,阿里云提供的是一站式云网端“云原生”的SDWAN解决方案。从18年推出智能接入网关作为阿里云SDWAN的CPE角色,也是阿里云云网一体化的一次新尝试及突破。
经过两年多市场的历练和考验,阿里云SDWAN已经在金融、传统政企、跨国集团、零售门店等多个领域落地了最佳实践。我们希望通过阿里云计算网络的技术和产品,能够服务更多的客户,在为用户提供更加方便快捷的上云服务同时进一步放大云计算的优势和效能,为企业客户提供一张自服务、便捷、高质量的广域网服务。