Documentos técnicos

El éxito en 5G comienza con la infraestructura nativa de la nube

La tecnología 5G está transformando el panorama digital de los proveedores de servicios, y trae consigo nuevos casos de uso y oportunidades de ingresos. Los proveedores de servicios que logren realizar con éxito la transición al 5G podrán beneficiarse de nuevas aplicaciones empresariales, automatización industrial, IoT y servicios de consumo como juegos y la RA/RV. Estos nuevos casos de uso están favorecidos por un nuevo núcleo autónomo (SA) 5G desarrollado sobre una arquitectura basada en servicios (SBA) nativa de la nube. Para aprovechar al máximo estas nuevas oportunidades, los proveedores de servicios deben definir e implementar una infraestructura nativa de la nube consistente desde el núcleo hasta el extremo más alejado que pueda soportar las funciones de red (NF) 5G Core, vRAN y N6-LAN, así como las aplicaciones y servicios empresariales y de consumo. La infraestructura nativa de la nube sienta las bases para el éxito de un proveedor de servicios con 5G.

Dado que la infraestructura es un bloque de desarrollo crítico para las implementaciones de 5G, que determina la capacidad de un proveedor de servicios para llevar a cabo nuevos casos de uso de 5G de forma íntegra, es imperativo que los proveedores de servicios definan, gestionen y controlen su propia infraestructura nativa de la nube de 5G. De hecho, hay muchos precedentes que indican la necesidad de centrar la inversión en la infraestructura. Por ejemplo, los hiperescaladores Google, AWS, Azure e incluso Apple; todas estas empresas realizaron una importante inversión en la construcción de una infraestructura que pudiera ofrecer de forma fiable y segura servicios y aplicaciones de consumo generadores de ingresos.

Aprovechando las tecnologías que impulsan las modernas aplicaciones web de hoy en día, la infraestructura 5G se basa en una arquitectura de contenedores nativa de la nube que ofrece al proveedor de servicios nuevos niveles de automatización operativa, flexibilidad y adaptabilidad. Kubernetes se ha convertido en el estándar del sector para la gestión y orquestación de contenedores, y es lo que casi todos los proveedores de servicios utilizan para su infraestructura nativa de la nube. Sin embargo, las redes de los proveedores de servicios plantean exigencias nuevas y únicas en cuanto al flujo de datos hacia el clúster de Kubernetes y dentro de él. Kubernetes no está equipado de forma nativa para satisfacer estas demandas. En las siguientes secciones, analizaremos los requisitos exclusivos que debe cumplir una infraestructura nativa de la nube para dar soporte a las funciones de red vRAN y 5G Core críticas, y a las aplicaciones empresariales y de consumo, para más tarde examinar cómo aborda F5 estos requisitos.

 

Control, seguridad y visibilidad para infraestructuras nativas de la nube

Para que los proveedores de servicios ofrezcan servicios fiables, seguros y escalables, deben tener en cuenta tres tipos de requisitos principales:

  • Control: los proveedores de servicios deben ser capaces de poner en práctica el control de políticas sobre varios tipos de tráfico que son exclusivos de una red de proveedor de servicios. La capacidad para aplicar una gestión inteligente del tráfico permitirá a los proveedores admitir nuevos servicios como la fragmentación de la red, ser compatibles con la transición de los protocolos 4G a 5G, y proporcionar la base necesaria para los nuevos casos de uso habilitados para 5G.
  • Seguridad: para mantener altos niveles de confianza y retención de clientes, los controles de seguridad deben aplicarse en múltiples puntos y a través de múltiples capas de la red.
  • Visibilidad: la visibilidad del flujo de tráfico hacia y dentro de la infraestructura mejorará la eficiencia operativa, aumentará la eficacia de la resolución de problemas y hará más flexibles los controles de ingresos.

 

Control de entrada/salida

En primer lugar, examinaremos los requisitos y la solución para la red de entrada/salida del clúster de Kubernetes, también llamada «tráfico norte-sur». La red estándar de Kubernetes es suficiente para la mayoría de las aplicaciones web que se ejecutan en un entorno de nube donde HTTP/HTTPS es el principal protocolo de comunicación hacia y dentro del clúster de Kubernetes. Un entorno de proveedor de servicios presenta dificultades particulares para la red de Kubernetes debido a que es necesaria la compatibilidad con determinados protocolos. El paso a 5G no será un cambio brusco; la mayoría de los proveedores de servicios tendrán que ejecutar 4G y 5G simultáneamente, y para ello necesitan una solución de migración que les ayude. Por ejemplo, a medida que se implemente el núcleo 5G SA, muchos proveedores de servicios aprovecharán sus actuales sistemas de facturación y cobro de 4G para acelerar la entrega de 5G, lo que les permitirá rentabilizar más rápidamente la inversión en 5G. Esto significa que sus clústeres Kubernetes deberán ser compatibles tanto con los protocolos 4G como con los 5G. Para el control de entrada y salida, es necesario un proxy de servicio que mejore la funcionalidad existente de Kubernetes.

Figura 1: F5® BIG-IP® Service Proxy para Kubernetes facilita la compatibilidad con múltiples protocolos.

Un proxy de servicios que ofrezca control de entrada/salida podrá cumplir con los estrictos requisitos de una red de proveedor de servicios proporcionando servicios de red mejorados para Kubernetes:

  • Compatibilidad con múltiples protocolos, incluida la señalización 4G y 5G
  • Enrutamiento
  • Equilibrio de carga

En el punto de entrada del clúster Kubernetes, los proveedores de servicios también deben proteger el clúster de los ataques y proporcionar visibilidad por suscriptor. La incorporación de un conjunto de servicios de seguridad sólidos en el punto de entrada del clúster es la primera línea de defensa. Los servicios de seguridad, como la protección DDoS, el cortafuegos y el WAF, pueden ejecutarse en la entrada para evitar que el tráfico malicioso entre en el clúster y afecte a las funciones de la red del núcleo 5G (5G Core) y a las aplicaciones de los clientes. Además de la seguridad de entrada, los proveedores de servicios necesitan visibilidad del tráfico por suscriptor. Estos valiosos datos ayudan a solucionar los problemas de la red y también pueden utilizarse para garantizar los ingresos. Los proveedores de servicios gastan una enorme cantidad de dinero en garantizar los ingresos para asegurar el seguimiento de los eventos con fines de cumplimiento y facturación. Estos datos pueden recopilarse en el punto de entrada del clúster de Kubernetes y, a continuación, compararse con los informes del conjunto dinámico de contenedores.

Figura 2: Un proxy de servicios puede ayudar a mejorar la seguridad y la visibilidad mediante el seguimiento de los datos en la entrada.

En resumen, un proxy de servicios que proporcione control de entrada y salida, seguridad y visibilidad proporciona la funcionalidad crítica que Kubernetes necesita para satisfacer las demandas de una infraestructura nativa de la nube 5G.

 

Service Mesh

Ahora que ya hemos tratado los requisitos del tráfico norte-sur en una infraestructura nativa de la nube basada en Kubernetes, podemos examinar los requisitos y retos que plantea el tráfico dentro del clúster. Al igual que la entrada y la salida, la comunicación este-oeste entre los servicios que se ejecutan dentro del clúster debe cumplir con los estándares más altos de observación y seguridad para ser compatible con la infraestructura nativa de la nube 5G. Los proveedores de servicios deben poder poner en práctica políticas de seguridad que controlen la comunicación entre los servicios dentro del clúster. La desagregación del núcleo 5G (5G Core) hace que sea necesario una mayor observación dentro del clúster, lo que permite a los proveedores de servicios evaluar el estado de sus servicios cuando se encuentran en buen estado, e identificar la causa raíz de los fallos cuando no se encuentran en buen estado. Los proveedores de servicios también deben garantizar que su infraestructura tenga capacidad para cumplir con los requisitos gubernamentales, como la interceptación legal. Estos requisitos suponen un reto para las redes y los controles de Kubernetes. Una manera de hacer frente a estos desafíos es implementar una malla de servicios como Istio, que aporta las siguientes capacidades:

  • Fiabilidad: reintentos, tiempos de espera, mitigación de fallos en cascada
  • Observación y depuración: supervisión, rastreo, datos métricos
  • Seguridad: authN/authZ, gestión de secretos, garantía de encriptación
  • Gestión del tráfico: descubrimiento de servicios, enrutamiento personalizado, implementaciones canary

Figura 3: F5® Aspen Mesh™ mejora la visibilidad y la seguridad en la comunicación este-oeste dentro de un clúster de Kubernetes.

Soluciones F5 para la infraestructura nativa de la nube

F5 es líder en servicios de aplicaciones, redes y seguridad, y ofrece una gama de soluciones para el núcleo 5G y la infraestructura nativa de la nube 5G. F5 cuenta con dos productos principales que abordan los retos a los que se enfrentan los proveedores de servicios a la hora de construir una infraestructura nativa de la nube que sea compatible con los requisitos de red y seguridad para vRAN, 5G Core y la aplicación empresarial.

  • F5 BIG-IP Service Proxy for Kubernetes (BIG-IP SPK)
  • Carrier-Grade Aspen Mesh
BIG-IP Service Proxy for Kubernetes (SPK)

BIG-IP SPK es único en el sector, ya que proporciona un control de entrada/salida compatible con seguridad y señalización multiprotocolo diseñado específicamente para los proveedores de servicios que implementan una infraestructura nativa de la nube en todo su entorno. BIG-IP SPK también se encuentra en línea con los patrones de diseño de Kubernetes para la configuración y orquestación. Esta solución permite aplicar funciones de red y seguridad líderes en el sector a una infraestructura basada en Kubernetes.1

Control de entrada/salida

  • Equilibrio de carga L4: TCP, UDP y SCTP
  • Equilibrio de carga L7: Diameter, SIP y HTTP/2
  • Equilibrio de carga GTPcV2
  • Enrutamiento
  • Limitación de velocidad

Seguridad

  • Cortafuegos de señalización, DDoS y WAF
  • Encriptación/desencriptación
  • Ocultación de la topología

Visibilidad

  • Garantía de ingresos
  • Estadísticas y análisis

Además, BIG-IP SPK puede aprovechar las capacidades mejoradas de Intel SmartNIC para obtener un mayor rendimiento y escalabilidad.

Figura 4: BIG-IP Service Proxy for Kubernetes puede integrarse con SmartNIC para mejorar el rendimiento.

Carrier-Grade Aspen Mesh

Carrier-Grade Aspen Mesh es una malla de servicios creada especialmente para las infraestructuras nativas de la nube de los proveedores de servicios. La malla de servicios Aspen Mesh se basa en el código abierto Istio y aporta funciones esenciales para una red de proveedores de servicios.

  • Visibilidad inigualable del tráfico dentro de cada clúster de Kubernetes de núcleo 5G (5G Core), lo que permite garantizar los ingresos y que los proveedores de servicios puedan monetizar la tecnología 5G utilizando los sistemas de facturación existentes.
  • Seguridad más fiable con un enfoque consistente para la encriptación y la autenticación de todo el tráfico entre las funciones de las redes de múltiples proveedores y de múltiples sitios; se basa en las técnicas mTLS más sólidas y está respaldada por una autoridad de certificación de grado de operador compatible con 3GPP.
  • Control del tráfico y gestión de políticas que permiten a los proveedores de servicios enrutar de manera eficiente las comunicaciones de servicios, y configurar y aplicar las políticas comerciales y normativas para la malla de servicios y el tráfico de la red

Aspen Mesh también proporciona capacidades de captura de paquetes, que Kubernetes estándar no ofrece. La captura de paquetes facilita la resolución de problemas de comunicación entre las funciones nativas de la nube (CNF) dentro del clúster y ofrece a los proveedores de servicios la infraestructura necesaria para cumplir con los requisitos gubernamentales, como la interceptación legal.

Ejemplo de 5G Core

BIG-IP SPK y Carrier-Grade Aspen Mesh trabajan en tándem para dar respuesta a los retos que supone el uso de Kubernetes en una infraestructura nativa de nube 5G. BIG-IP SPK se encarga de la necesidad de la señalización multiprotocolo, la seguridad y la visibilidad del tráfico en el clúster de Kubernetes, mientras que Carrier-Grade Aspen Mesh garantiza la comunicación entre las funciones nativas de la nube (CNF). Ambas funciones son esenciales para la implementación de una infraestructura nativa de la nube 5G. La siguiente figura muestra una infraestructura 5G con BIG-IP SPK y Aspen Mesh.

Figura 5: Arquitectura de red nativa de la nube

Conclusión

Los proveedores de servicios comprenden el papel fundamental que desempeñará una infraestructura nativa de la nube en el éxito de una implementación de 5G, y en su capacidad para soportar las aplicaciones y servicios que habilita una nueva red impulsada por 5G. Los proveedores de servicios buscan soluciones que les proporcionen el control, la seguridad y la visibilidad necesarios para la infraestructura nativa de la nube 5G. F5 entiende lo que una red de proveedores de servicios requiere y ofrece soluciones que permiten a los proveedores de servicios utilizar Kubernetes para crear e implementar con éxito su infraestructura nativa de la nube 5G.

1 Póngase en contacto con F5 para conocer la disponibilidad de funciones.

Published October 28, 2020
  • Share to Facebook
  • Share to X
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

Go to F5 Labs

DevCentral

The F5 community for discussion forums and expert articles.

Go to DevCentral

F5 Newsroom

News, F5 blogs, and more.

Go to the newsroom