深信服 SSLo 流量编排解决方案:重塑安全架构,保障业务不中断
很多业务在运行过程中会碰到这样的矛盾:
为保证数据和网络安全,进入数据中心的流量均需受到安全设备的层层防护;同时,业务要保证 7*24 小时不中断,突发状况下也需确保"业务先行"。
但此时如果遇到数据中心"网络安全设备故障"和"业务停止访问"同时发生,想在保证网络安全的前提下恢复业务运行,会非常耗时。
为什么会出现这种情况?先来看看现在的数据中心架构:
↑ 糖葫芦串架构:所有的网络安全设备以物理串联或者逻辑串联的形式部署在网络出口侧,且按照主备部署的模式提供服务。这种架构主要存在以下问题:
(1)流量流经所有安全设备造成网络时延大
串行部署的架构中,用户访问流量进入数据中心,在到达服务器业务系统的过程中需要流经所有的安全网络设备,每一个安全设备需要对流量进行处理。串行架构无法根据访问类型选择性地跳过部分安全设备,进而造成整体访问网络时延的增加。
(2)安全设备故障后恢复业务慢
传统串行架构中,当某一种主备安全设备均发生故障后,外部用户访问请求阻塞在故障设备处,访问流量无法继续前进,造成业务中断,且只能通过更换更高性能的设备恢复网络,业务恢复时间慢。
(3)若使用主备部署,将导致资源利用率低下
安全设备主备部署,正常情况下只有主安全设备提供安全服务,当主设备发生故障时,热备设备接管业务流量,为网络提供安全能力。设备资源利用率一般小于 50%,造成安全设备资源的极大浪费。
如何破解这些问题?
保障业务先行,同时提高用户的访问速度,
深信服带来新思路 --
深信服 SSLo 流量编排解决方案
重塑数据中心安全架构,将传统的糖葫芦串网络架构转变成设备池化、流量可编排的安全新架构 --
(1)流量编排降低整体时延
通过架构重构,将"糖葫芦串架构"转变成"菊花链架构",安全设备资源池旁挂在 SSLo 设备旁用于统一调度。SSLo 基于事先定好的策略对外部用户访问流量进行智能编排,通过区分不同类别的应用流量(如 HTTP 业务、非 HTTP 业务、一般业务等),根据策略控制其流经不同的安全设备,灵活操控网络流量,通过减少流经的设备种类降低网络整体时延。
(2)设备故障后启动逃生机制
通过池化部署的形式,减少设备集体发生故障的可能性。当极端情况下,某种设备集体故障时,SSLo 通过流量灵活调度的能力,自动执行 Bypass 机制,主动绕过故障的安全设备组,单种安全设备的问题不再影响整个网络。
(3)安全设备资源池化
深信服 SSLo 通过将安全设备池化部署的形式,将安全设备的主备部署模式变成池化集群模式,多台设备可同时提供安全能力,从而使安全组性能翻数倍。通过提升单种设备的载荷能力减少设备集体故障的可能性,同时提升设备资源利用率。
架构重塑后,即使安全设备发生集体意外导致访问请求有卡死阻塞的风险,深信服 SSLo 也会以最快速度跳过故障设备,保证业务运行不受影响,不影响客户体验。
最后,总结一下深信服 SSLo 新架构给您带来的"6 可价值":
1、安全 SSL 流量可视:消除安全盲点,集中设备加解密,节省安全设备加解密消耗,规避利用 SSL 绕过安全设备。
2、流量智能编排可控:基于策略的流量智能编排快速排障,节省运维成本;安全测试设备灰度上线。
3、整体网络延迟可降:流量只流经必要的安全设备,减少其他设备不必要的损耗,降低访问延迟。
4、安全设备性能可扩:安全设备池化,消除闲置,支持平滑扩容。
5、安全设备间可异构:安全设备松耦合,同种安全设备实现品牌异构,将安全功能与单一厂商解绑。
6、投资回报率可提升:资源池化后,每台设备均可提供服务,提升设备资源利用率。
在突发状况下保证业务先行已成刚需,尤其对于金融、能源、交通等行业及企业来说,一旦业务停转,将会给关键业务和客户体验带去不可估量的损失。正因关注到您的实际需求,深信服 AD 推出 SSLo 解决方案,为您的业务运行保驾护航。
2022-05-06 02:01:11