Multicloud-Networking ist heute ein weit gefasster und oft verwirrender Überbegriff. Es kann ein breites Spektrum an Technologien umfassen, von SD-WAN-Lösungen bis hin zu erweiterten Netzwerksicherheits-Frameworks wie NGFW, SASE und Service-Networking. Es gibt so viele verschiedene Netzwerktechnologien und Methoden für den Umgang mit Multicloud-Netzwerken. Deshalb kann es schwierig sein, genau festzulegen, was es ist und ob es sich um eine Lösung handelt, die moderne Unternehmen benötigen.
Heute tauchen wir in die Multicloud-Netzwerkfunktionen von F5 Distributed Cloud Services ein, um die zehn wichtigsten Highlights unseres Ansatzes für Multicloud-Netzwerke in Cloud-, Hybrid- und lokalen Szenarien zu erkunden.
Einfach ausgedrückt ist Multicloud-Networking die Struktur, die Applications oder Dienste miteinander verbindet. Das Ziel der Vernetzung besteht darin, Organisationen die Bereitstellung von Apps für Endbenutzer zu ermöglichen, unabhängig davon, ob diese Apps in Rechenzentren oder in der öffentlichen Cloud bereitgestellt werden.
Laut dem „State of Application Strategy Report“ von F5 ist die Geschäftskontinuität einer der Hauptgründe dafür, dass Kunden sich für eine hybride Multicloud-Strategie zur Bereitstellung ihrer Apps entscheiden – um sicherzustellen, dass ihre Dienste im Falle katastrophaler Ausfälle bei einem einzelnen Cloud-Anbieter weiterhin ausgeführt werden. Ein weiterer wichtiger Grund besteht darin, dass die großen öffentlichen Cloud-Anbieter untereinander in Konkurrenz um die Kunden treten sollen. Dies gibt dem Kunden die Flexibilität, die kostengünstigste Option zu wählen, die dennoch seinen technischen Anforderungen entspricht.
Eine Einschränkung besteht jedoch: Eine Multicloud-Strategie bringt erhebliche Herausforderungen beim Aufbau einer sicheren, leistungsstarken Netzwerkstruktur mit sich, die sich über verschiedene Infrastrukturumgebungen erstreckt. Zu diesen Herausforderungen gehört nicht nur die Verbindung von Diensten, sondern auch die Gewährleistung von Sicherheit, Transparenz, Automatisierung und einfacher Bedienung.
Hier kommen die F5 Distributed Cloud Services ins Spiel. Es bietet eine einheitliche Plattform zum Verbinden und Sichern von Apps und gewährleistet eine zuverlässige, optimierte Leistung in hybriden Multicloud-Umgebungen. Diese Funktionen bilden den Kern der F5 Application Delivery and Security Platform und sind für jedes moderne Unternehmen unverzichtbar.
Die Customer Edge (CE) -Site ist die Schlüsseltechnologie, die Multicloud-Networking innerhalb verteilter Cloud-Dienste ermöglicht. Eine CE-Site ist bereitstellbare Software, die in Kundenumgebungen installiert werden kann, einschließlich lokaler Rechenzentren und öffentlicher Cloud-Regionen. Es kann als VM oder als eigenständiger Containerdienst in jeder Umgebung installiert werden.
Die zweite Multicloud-Netzwerkkomponente von Distributed Cloud Services ist das F5 globales Netzwerk. Das globales Netzwerk besteht aus einer Reihe von von F5 verwalteten Regional Edges (REs), die sich an Präsenzpunkten auf der ganzen Welt befinden. Jede RE ist über Glasfaserkabel von F5 verbunden und verfügt über modernste physische, Netzwerk- und Application .
Als Teil des CE-Bereitstellungsprozesses erstellt jeder CE eine Verbindung zu den beiden nächstgelegenen REs im globales Netzwerk, um die Funktionen der Steuerungs- und Verwaltungsebene zu nutzen. Um CE-Sites für die Datenebenenkonnektivität miteinander zu verbinden, können Kunden ihre eigenen Netzwerke oder das globales Netzwerk als Transitnetzwerk verwenden.
Die letzte Komponente ist die F5 Distributed Cloud Console, eine Multi-Tenant-SaaS-Konsole, die als zentraler Verwaltungs- und Betriebs-Hub für Multicloud-Netzwerke dient. Es bietet universelle Sichtbarkeit im gesamten Netzwerk sowie eine zentralisierte, konsistente Richtliniendurchsetzung.
F5 Distributed Cloud Services Multicloud-Netzwerkarchitektur
Die Multicloud-Vernetzung von Distributed Cloud Services bietet eine breite Palette an Funktionen, die für Anwendungsfälle wie Layer-3- und Layer-7-Konnektivität und netzwerkzentrierte Segmentierung gelten. Werfen wir einen Blick auf jede dieser Funktionen und darauf, warum sie dazu beitragen, dass sich F5 Distributed Cloud Services im Netzwerkbereich hervorheben:
1.SaaS-basierte Lösung: Die SaaS-basierte Bereitstellung bietet enorme Vorteile bei der Vereinfachung der Kundenabläufe. Kunden benötigen lediglich eine Cloud-basierte Konsole, um das Multicloud-Netzwerk vollständig zu betreiben, ohne zusätzlichen Aufwand für die Steuerungs- und Verwaltungsinfrastruktur. Kunden installieren ihre Datenebenenkomponenten an den Standorten, an denen sich ihre Apps und Dienste befinden.
2.Flexibilität bei der Bereitstellung: CEs können in jeder lokalen Umgebung (z. B. VMware, KVM, Nutanix, Red Hat OpenShift) sowie in öffentlichen Clouds wie AWS, Azure und Google Cloud Platform bereitgestellt werden. Ein CE kann auch als Ingress-Controller für Kubernetes eingesetzt werden. Alle CEs unterstützen außerdem bis zu acht Schnittstellen in diesen Umgebungen und bieten so Unterstützung für verschiedene Anwendungsfälle.
Verbindungen zu den regionalen Edges werden immer für die Steuerungs- und Verwaltungsebenenfunktionalität bereitgestellt. Für die Datenebenenkonnektivität können Kunden CE-Standorte direkt über ihre eigenen Netzwerke oder indirekt über das F5 globales Netzwerk als Transitnetzwerk miteinander verbinden. Die direkte Verbindung zwischen CEs kann über IPsec verschlüsselt werden. Dadurch wird eine Site Mesh Group (SMG) erstellt, oder unverschlüsselt über IP-in-IP, wodurch eine Data Center Cluster Group (DCG) erstellt wird.
3.Cloud-Orchestrierung: Öffentliche Cloud-Anbieter verfügen über viele Netzwerkkonstrukte und diese Konstrukte variieren von Anbieter zu Anbieter. Zu den AWS-Konstrukten gehören beispielsweise VPCs, Subnetze, Routentabellen, elastische Netzwerkschnittstellen, Netzwerk-ACLs und Sicherheitsgruppen. Dabei handelt es sich jeweils um einzelne Dienste, die auf AWS konfiguriert und verwaltet werden müssen. Dies wird noch verstärkt, wenn auch andere Cloud-Anbieter verwaltet werden.
F5 Distributed Cloud Services bietet einerseits die Möglichkeit, diese Konstrukte vollständig zu orchestrieren. Wenn ein Kunde diese CSP-Konstrukte hingegen verwaltet, kann er durch manuelles Routing sicherstellen, dass CEs nur innerhalb seiner vorhandenen VPCs bereitgestellt werden. Auch dies bringt eine Menge Flexibilität in bestehende Kundenumgebungen.
4.Netzwerkzentrierte Segmentierung: Ein Segment ist eine virtuelle Routing- und Weiterleitungskonstruktion, die sich über mehrere CEs erstreckt und es Kunden ermöglicht, vollständig isolierte Umgebungen auszuführen. Stellen Sie sich das wie zwei Schiffe vor, die nachts aneinander vorbeifahren. Beispielsweise erreichen Workloads in Produktionsumgebungen nur andere Workloads in der Produktion. Es gibt keinen Weg, um zur Entwicklungsumgebung zu gelangen. Die Netzwerksegmentierung kann auf einzelne Schnittstellen auf den CE, VPCs oder VNets innerhalb der Cloud-Umgebungen sowie auf alle externen Konnektoren ausgeweitet werden, die es Routern, Firewalls oder SD-WAN-Lösungen von Drittanbietern ermöglichen, eine Verbindung zu Ihrem Netzwerk herzustellen.
Produktions- und Entwicklungsnetzwerke voneinander isolieren
5.NAT-Unterstützung: Unsere Lösung bietet NAT-Unterstützung für überlappende Adressen mit statischem NAT (Abbildung 3). Darüber hinaus bieten wir Source-NAT-Funktionen zum Maskieren der tatsächlichen Adressen von Hosts für Ost-West-Verkehr sowie Source-NAT für Anwendungsfälle im Bereich Internetzugang.
Lösen überlappender Adressen
6.Service-Vernetzung: Die meisten Menschen denken bei Konnektivität an Netzwerke. Beispielsweise das Verbinden von Netzwerk A mit Netzwerk B, was in vielen Szenarien gültig ist. Dieses Modell stößt jedoch an seine Grenzen, wenn Sie innerhalb einer Umgebung eine Verbindung zu einer einzelnen App oder einem einzelnen Dienst benötigen. Nehmen wir einen externen Partner oder Kunden, der vor Ort oder in der Cloud arbeitet und Zugriff auf einen einzelnen Dienst benötigt. Um dies zu erreichen, wird ein Netzwerktechniker über Segmente, Segmentverbinder, Firewall-Regeln und möglicherweise NAT im Falle überlappender Adressen nachdenken.
Die Multicloud-Vernetzung von Distributed Cloud Services bietet die Möglichkeit, eine einzelne App oder Komponente zu veröffentlichen, ohne dass sich Kunden um L3-Routing, NAT- und Firewall-Regeln kümmern müssen, und bietet eine Menge Sicherheitsvorteile. Dies ist wichtig, wenn ein oder mehrere Customer Edge (CE) Apps veröffentlichen können, die sich an entfernten Standorten befinden. Das Multicloud-Networking von Distributed Cloud Services kann außerdem sowohl L3-Networking als auch Service-Networking bereitstellen, das speziell auf die Bedürfnisse und Szenarien des Kunden zugeschnitten ist.
Traditionelle Vernetzung vs. Service-Vernetzung
7.Externe Anschlüsse (in Kürze verfügbar): Die Multicloud-Vernetzung von Distributed Cloud Services ermöglicht eine standardbasierte Integration mit Komponenten von Drittanbietern wie Routern und Firewalls über IPSec-Konnektivität – mit Routing über BGP oder statisches Routing, um sicherzustellen, dass sich unser Fabric auf Drittanbieter erstreckt. Es ist auch erwähnenswert, dass ein externer Connector in einem Netzwerksegment platziert werden kann, wie im folgenden Diagramm gezeigt.
Externe Konnektivität zu Geräten von Drittanbietern mit IPSec
8.F5 globales Netzwerk: Unser Netzwerk aus REs und Verbindungsglasfasern ermöglicht unseren Kunden, ihre Apps überall auf der Welt mit einer Anycast-Adresse zu veröffentlichen und so die geringstmögliche Latenz für Kunden basierend auf ihrem nächstgelegenen RE sicherzustellen. Das F5 globales Netzwerk bietet außerdem umfassende Sicherheit mit F5 Distributed Cloud Web App and API Protection (WAAP) gegen gängige Angriffsmethoden wie SQL-Injection, Cross-Site-Scripting (XSS), Distributed Denial-of-Service (DDoS) und Bot-Angriffe, die auf Kunden-Apps oder APIs abzielen können. Es fungiert effektiv als verwaltete Eingangssicherheits- und App-Bereitstellungsebene.
9.CE-Sicherheit: CEs fungieren als Erweiterungen des F5 globales Netzwerk und bringen dieselben robusten WAAP-Funktionen in Ihre Umgebungen, ohne dass Sie eine Neustrukturierung vornehmen müssen. Interne und öffentliche Apps, die in Umgebungen mit bereitgestellter CE ausgeführt werden, sind vor externen Clients im Internet und/oder Ost-West-Verkehrsflüssen geschützt. CEs umfassen eine eingebettete L3/L4-Firewall und Kunden haben die Möglichkeit, eine vollständig orchestrierte NGFW-Lösung mit Palo Alto Networks für den Ost-West- sowie den Nord-Süd-Transit zu verwenden. Schließlich bieten CEs Zero-Trust-Netzwerkzugriff (ZTNA) mit App-zu-App-Authentifizierung über mTLS.
10.Netzwerk- und Application : Sichere Multicloud-Netzwerke bieten eine breite Palette an Tools und Betriebsfunktionen, um sicherzustellen, dass NetOps-, DevOps- und Platform Ops-Teams den Zustand ihres Netzwerks schnell erkennen und etwaige Probleme beheben können. Mit Distributed Cloud Network Connect und App Connect bieten wir Einblicke in:
Wie Sie sehen, decken die Multicloud-Netzwerkfunktionen der F5 Distributed Cloud Services eine breite Palette von Anwendungsfällen und Kundenanforderungen ab. Von der Ermöglichung externer Konnektivität für Partner bis hin zur Erstellung und Wartung präziser Netzwerksegmente – alles mit durchgängiger Netzwerküberwachung und -sicherheit – können unsere Multicloud-Netzwerklösungen Sie beim Betrieb und Schutz Ihres Netzwerks unterstützen. Bleiben Sie dran für detaillierte Informationen zu jeder dieser Funktionen.
Nehmen Sie Kontakt mit uns auf , um zu erfahren, was Multicloud-Networking innerhalb von Distributed Cloud Services für Sie leisten kann.