Ressources Livres blancs

Le succès de la 5G commence par une infrastructure cloud native

La 5G transforme le paysage numérique des fournisseurs de services, apportant avec elle de nouveaux cas d’utilisation et de nouvelles opportunités de revenus. Les fournisseurs de services qui réussissent leur transition vers la 5G peuvent bénéficier de nouvelles applications d’entreprise, de l’automatisation industrielle, de l’IoT, ainsi que de services grand public tels que les jeux et la RA/RV. Ces nouveaux cas d’utilisation sont rendus possibles par un nouveau cœur 5G autonome (SA) construit sur une architecture basée sur les services (SBA) native du cloud. Afin de tirer le meilleur parti de ces nouvelles opportunités, les fournisseurs de services doivent définir et déployer une infrastructure cloud native cohérente du cœur à la périphérie, capable de prendre en charge les fonctions réseau 5G Core, vRAN et N6-LAN (NF), ainsi que les applications et services d'entreprise et grand public. L’infrastructure cloud native constitue la base du succès d’un fournisseur de services avec la 5G.

L’infrastructure étant un élément essentiel des déploiements 5G, déterminant la capacité d’un fournisseur de services à réaliser pleinement de nouveaux cas d’utilisation 5G, il est impératif pour les fournisseurs de services de définir, gérer et contrôler leur propre infrastructure cloud native 5G. En fait, il existe de nombreux précédents en matière d’investissement axé sur les infrastructures. On peut s’inspirer des hyperscalers Google, AWS, Azure et même Apple ; toutes ces entreprises ont investi massivement dans la construction d’une infrastructure capable de fournir de manière fiable et sécurisée des services générateurs de revenus et des applications client.

S’appuyant sur les technologies qui alimentent les applications Web modernes d’aujourd’hui, l’infrastructure 5G repose sur une architecture conteneurisée native du cloud qui permet de nouveaux niveaux d’automatisation opérationnelle, de flexibilité et d’adaptabilité pour le fournisseur de services. Kubernetes est devenu la norme industrielle pour la gestion et l'orchestration des conteneurs, et c'est ce que presque tous les fournisseurs de services utilisent pour leur infrastructure cloud native. Les réseaux de fournisseurs de services imposent toutefois de nouvelles exigences uniques en matière de flux de données vers et au sein du cluster Kubernetes. Kubernetes n’est pas nativement équipé pour répondre à ces exigences. Dans les sections suivantes, nous examinerons les exigences uniques auxquelles une infrastructure cloud native doit répondre pour prendre en charge les vRAN critiques, les NF Core 5G et les applications d'entreprise et grand public, puis nous discuterons de la manière dont F5 répond à ces exigences.

 

Contrôle, sécurité et visibilité pour les infrastructures cloud natives

Pour que les fournisseurs de services puissent fournir des services fiables, sécurisés et évolutifs, ils doivent tenir compte de trois principaux types d’exigences :

  • Contrôle: Les fournisseurs de services doivent pouvoir appliquer un contrôle des politiques sur plusieurs types de trafic propres à un réseau de fournisseurs de services. Être capable d’appliquer une gestion intelligente du trafic permettra aux fournisseurs de services de prendre en charge de nouveaux services tels que le découpage du réseau, de soutenir la transition des protocoles 4G vers 5G et de fournir les bases nécessaires aux nouveaux cas d’utilisation compatibles 5G.
  • Sécurité: Afin de maintenir des niveaux élevés de confiance et de fidélisation des clients, des contrôles de sécurité doivent être appliqués à plusieurs points et sur plusieurs couches du réseau.
  • Visibilité : La visibilité du flux de trafic vers et au sein de l'infrastructure améliorera l'efficacité opérationnelle, augmentera l'efficacité du dépannage et rendra les contrôles des revenus plus flexibles. 

 

Contrôle d'entrée/sortie

Tout d’abord, nous examinerons les exigences et la solution pour la mise en réseau d’entrée/sortie du cluster Kubernetes, également appelé « trafic nord-sud ». La mise en réseau Kubernetes standard est suffisante pour la plupart des applications Web exécutées dans un environnement cloud où HTTP/HTTPS est le principal protocole de communication vers et au sein du cluster Kubernetes. Un environnement de fournisseur de services présente des défis uniques pour la mise en réseau Kubernetes en raison de la nécessité de prendre en charge une gamme de protocoles. Le passage à la 5G ne sera pas une transition difficile ; la plupart des fournisseurs de services devront exploiter la 4G et la 5G simultanément, et ils ont besoin d’une solution de migration qui les aidera à y parvenir. Par exemple, à mesure que le cœur de réseau 5G SA sera déployé, de nombreux fournisseurs de services exploiteront leurs systèmes de facturation et de tarification 4G existants pour accélérer la fourniture de la 5G, leur permettant ainsi d’obtenir plus rapidement un retour sur leur investissement dans la 5G. Cela signifie que leurs clusters Kubernetes doivent prendre en charge les protocoles 4G et 5G. Un proxy de service pour le contrôle d'entrée/sortie est requis pour améliorer les fonctionnalités Kubernetes existantes.

Figure 1 : Le proxy de service F5® BIG-IP® pour Kubernetes facilite la prise en charge de plusieurs protocoles.

Un proxy de service fournissant un contrôle d'entrée/sortie sera en mesure de répondre aux exigences strictes d'un réseau de fournisseur de services en fournissant des services réseau améliorés pour Kubernetes :

  • Prise en charge de plusieurs protocoles, y compris la signalisation 4G et 5G
  • Routage
  • Équilibrage de charge

Au point d’entrée du cluster Kubernetes, les fournisseurs de services doivent également protéger le cluster contre les attaques et fournir une visibilité par abonné. L’application d’un ensemble de services de sécurité robustes au point d’entrée dans le cluster constitue la première ligne de défense. Des services de sécurité tels que la protection DDoS, le pare-feu et le WAF peuvent être appliqués à l'entrée pour empêcher le trafic malveillant de pénétrer dans le cluster et d'avoir un impact sur les fonctions du réseau principal 5G et les applications client. Outre la sécurité d’entrée, les fournisseurs de services ont besoin d’une visibilité sur le trafic par abonné. Ces données précieuses aident à résoudre les problèmes de réseau et peuvent également être utilisées pour garantir les revenus. Les fournisseurs de services dépensent des sommes considérables en matière d’assurance des revenus afin de garantir que les événements peuvent être suivis à des fins de conformité et de facturation. Ces données peuvent être collectées au point d’entrée du cluster Kubernetes, puis comparées aux rapports de l’ensemble dynamique de conteneurs.

Figure 2 : Un proxy de service peut aider à améliorer la sécurité et la visibilité en suivant les données à l'entrée.

En résumé, un proxy de service fournissant un contrôle d’entrée/sortie, une sécurité et une visibilité fournit les fonctionnalités critiques dont Kubernetes a besoin pour répondre aux exigences d’une infrastructure cloud native 5G.

 

Service Mesh

Maintenant que nous avons abordé les exigences du trafic nord-sud dans une infrastructure cloud native basée sur Kubernetes, nous pouvons examiner les exigences et les défis du trafic au sein du cluster. Tout comme l’entrée et la sortie, la communication est-ouest entre les services exécutés au sein du cluster doit répondre à des normes plus élevées en matière d’observabilité et de sécurité afin d’être compatible avec l’infrastructure 5G native du cloud. Les fournisseurs de services doivent pouvoir appliquer des politiques de sécurité qui contrôlent la communication entre les services au sein du cluster. La désagrégation du cœur 5G crée un besoin d’observabilité accrue au sein du cluster, permettant aux fournisseurs de services d’évaluer l’état de santé de leurs services et d’identifier la cause profonde des défaillances lorsqu’ils ne le sont pas. Les fournisseurs de services doivent également s’assurer que leur infrastructure a la capacité de répondre aux exigences gouvernementales telles que l’interception légale. Ces exigences présentent des défis pour la mise en réseau et les contrôles de Kubernetes. Une méthode pour relever ces défis consiste à mettre en œuvre un service mesh tel qu'Istio, qui ajoute les fonctionnalités suivantes :

  • Fiabilité : nouvelles tentatives, délais d'attente, atténuation des échecs en cascade
  • Observabilité et débogage : surveillance, traçage, métriques
  • Sécurité : authN/authZ, gestion des secrets, garantie du cryptage
  • Gestion du trafic : découverte de services, routage personnalisé, déploiements Canary

Figure 3 : F5® Aspen Mesh™ améliore la visibilité et la sécurité de la communication est-ouest au sein d'un cluster Kubernetes.

Solutions F5 pour l'infrastructure cloud native

F5 est un leader des services d'application, de réseau et de sécurité et fournit une gamme de solutions pour les infrastructures 5G de base et 5G natives du cloud. F5 fournit deux produits principaux qui répondent aux défis auxquels sont confrontés les fournisseurs de services lors de la création d'une infrastructure cloud native pour prendre en charge les exigences de mise en réseau et de sécurité du vRAN, du cœur 5G et des applications d'entreprise.

  • Proxy de service F5 BIG-IP pour Kubernetes (BIG-IP SPK)
  • Treillis Aspen de qualité professionnelle
Proxy de service BIG-IP pour Kubernetes (SPK)

BIG-IP SPK est unique dans l'industrie, offrant un contrôle d'entrée/sortie avec prise en charge de la signalisation multiprotocole et une sécurité spécialement conçue pour les fournisseurs de services déployant une infrastructure cloud native sur l'ensemble de leur empreinte. BIG-IP SPK s'aligne également sur les modèles de conception Kubernetes pour la configuration et l'orchestration. Cette solution permet d'appliquer des fonctionnalités de réseau et de sécurité de pointe à une infrastructure basée sur Kubernetes.1

Contrôle d'entrée/sortie

  • Équilibrage de charge L4 : TCP, UDP et SCTP
  • Équilibrage de charge L7 : Diamètre, SIP, HTTP/2
  • Équilibrage de charge GTPcV2
  • Routage
  • Limitation de débit

Sécurité

  • Pare-feu de signalisation, DDoS, WAF
  • Crypter/Décrypter
  • Masquage de la topologie

Visibilité

  • Assurance des revenus
  • Statistiques et analyses

De plus, BIG-IP SPK peut exploiter les capacités améliorées d'Intel SmartNIC pour de meilleures performances et une plus grande évolutivité.

Figure 4 : BIG-IP Service Proxy pour Kubernetes peut s'intégrer à SmartNIC pour des performances améliorées.

Treillis Aspen de qualité professionnelle

Carrier-Grade Aspen Mesh est un maillage de services spécialement conçu pour les infrastructures cloud natives des fournisseurs de services. Le service mesh Aspen Mesh est basé sur Istio open source et ajoute des fonctionnalités essentielles pour un réseau de fournisseur de services.

  • Visibilité du trafic inégalée au sein de chaque cluster Kubernetes 5G, permettant une garantie de revenus et permettant aux fournisseurs de services de monétiser la 5G à l'aide des systèmes de facturation existants.
  • Une sécurité renforcée avec une approche cohérente du cryptage et de l'authentification de tout le trafic entre les fonctions réseau multifournisseurs et multisites, basée sur les techniques mTLS les plus puissantes et liée à une autorité de certification de niveau opérateur compatible 3GPP.
  • Contrôle du trafic et gestion des politiques permettant aux fournisseurs de services d'acheminer efficacement les communications de service et de configurer et d'appliquer des politiques commerciales et de conformité pour le maillage de services et le trafic réseau. 

Aspen Mesh fournit également des capacités de capture de paquets, que Kubernetes standard ne fournit pas. La capture de paquets facilite la résolution des problèmes de communication entre les CNF au sein du cluster et offre aux fournisseurs de services l'infrastructure nécessaire pour se conformer aux exigences gouvernementales telles que l'interception légale.

Exemple de cœur 5G

BIG-IP SPK et Carrier-Grade Aspen Mesh fonctionnent en tandem pour résoudre les défis liés à l'utilisation de Kubernetes dans une infrastructure cloud native 5G. BIG-IP SPK répond au besoin de prise en charge de la signalisation multiprotocole, de la sécurité et de la visibilité du trafic dans le cluster Kubernetes, tandis que Carrier-Grade Aspen Mesh gère la communication entre les CNF, deux fonctions essentielles au déploiement d'une infrastructure cloud native 5G. La figure ci-dessous illustre une infrastructure 5G utilisant BIG-IP SPK et Aspen Mesh.  

Figure 5 : Architecture réseau native du cloud

Conclusion

Les fournisseurs de services comprennent le rôle central qu’une infrastructure cloud native jouera dans le succès de leur déploiement 5G et dans leur capacité à prendre en charge les applications et les services activés par un nouveau réseau alimenté par 5G. Les fournisseurs de services recherchent des solutions qui leur offriront le contrôle, la sécurité et la visibilité nécessaires à l’infrastructure cloud native 5G. F5 comprend les exigences d'un réseau de fournisseurs de services et fournit des solutions qui permettent aux fournisseurs de services d'utiliser Kubernetes pour créer et déployer avec succès leur infrastructure 5G cloud native.

1 Contactez F5 pour connaître la disponibilité des fonctionnalités.

Publié le 28 octobre 2020
  • Partager sur Facebook
  • Partager sur X
  • Partager sur Linkedin
  • Partager par e-mail
  • Partager via AddThis

Connectez-vous avec F5

F5 Labs

Les dernières nouveautés en matière de renseignement sur les menaces applicatives.

Accéder aux laboratoires F5

DevCentral

La communauté F5 pour les forums de discussion et les articles d'experts.

Accéder à DevCentral

Salle de presse F5

Actualités, blogs F5 et plus encore.

Accéder à la salle de presse