快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

企业与云VPN组网自动化实践

伴随着不断出现的外部,内部挑战,我们将营业向公有云迁移。随着时间的推移,逐渐形成了混合云架构。

广告 (2).png


混合云架构需要组建捏造专用收集,完成资源互通,餍足加密传输请求。混合云收集连接类型总结以下:

一、VPC到VPC(同一个云服务商)

2、VPC到VPC(不同云服务商之间)

三、 企业内陆收集到VPC 

常见的组网方案有:专线,VPN,SD-WAN。但也会带来下列问题:

起首是VPC的互通。例如,将阿里云北京的VPC资源接入AWS新加坡的VPC。通常我们使用VPN软件解决,但繁琐的CLI以及不同云服务商不同工作流的部署要领,会造成在基础举措措施上花费太多的精力。

云到云部署流程.png

其次是VPC以及企业私网互通。例如,将阿里云杭州的VPC基础举措措施接入到北京的数据中心。传统的连接方式依靠硬件,需要改动收集,部署花费几天或几周的时间。

数据中心到云部署流程.png

最后则是快速提供收集服务能力。营业需求是更快的发布应用程序。拼集使用多种连接方式组网,会使收集架构臃肿,增添复杂度。快,敏捷将是难以完成的。

基于以上问题。怎么样缩小收集改动,采用一致的工作流程,简化加密地道的创建,删除以及治理?我们结合容器,探究出了一种自动化完成方案。 

SDN.png

从图中可以看出,我们参考了SDN软件架构设计,将VPN网关的功能抽象出来逻辑分层,完成集中治理。

VPN组网自动化方案需要下列3个组件:

一、VPN容器

部署在VPC或内陆收集

处理IPSec流量

通过WebSocket与控制器连接

2、控制器

通过Restful API实现指定地道的创建,删除,治理

通过云服务商API实现VPC的路由设置

通过Restful API与Web Client通讯

三、Web Client

设置治理界面

连接可视化

各组件连接关系以下图:

SDN架构 (1).png

云与云创建VPC加密对等连接的过程及其完成以下:

一、用户在治理界面点击需要互通的收集,Web Client向控制器发送创建连接要求,控制器向指定VPN容器下发IPSec设置,同时在VPC路由表添加到达对端收集的路由条目。设置实现后拉起地道,两端收集实现互通。

2、要是遇到两端收集VPC CIDR冲突的情形,可以通过治理界面修改指定连接的CIDR,Web Client向控制器发送修改CIDR要求,控制器向VPN容器下发新的IPSec设置,同时更新VPC路由条目。实现后重新拉起地道。

三、要是收集环境发生变迁,例如云服务器的公网IP变更,监控服务会通知容器自动更新IPSec设置,同时更新VPC路由条目,重新拉起地道。

云到云部署流程 (1).png

以上就是体系的工作道理。从中我们可以看出,体系已经很好地解决了传统连接方式所遇到的问题:

一、控制器通过VPN容器API接口实现IPSec连接设置,使用云服务商API接口实现VPC路由设置,黑客工具,从而完成了自动化。这类设计的优势在于可以消除复杂度,不需要收集工程师,任何人都可以运行。

2、对于企业以及云收集互通需求,由运行在内陆数据中心的VPN容器向运行在云收集的VPN容器提议IPSec连接,如许设计是为了纰谬企业收集进行改动,缩小对硬件设备的依靠,适应支流的互联网接入方式。

三、采用容器化的部署方式,简化部署过程。由于采用了集中治理,分布运行的设计,可以餍足随处运行,可持续升级的需求。

为了提高使用体验,我们在设计与完成时考虑到了很多细节,在这里拿出来与人人分享。

一、容器与控制器的通讯协定选择

在选择容器与控制器通讯协定时,考虑了下列几点:

A、控制器能及时联系到容器:用户在Web界面的操作(例以下发设置信息或查询运行状态数据),得到及时响应;

B、绝可能缩小对运行环境的请求,譬如开放端口、设置防火墙等;

C、适应运行环境的种种Internet接入方式,包括直接路由、NAT、Proxy。

基于上述束厄局促,初步确定了容器作为通信的客户端,控制器作为通信的服务端。

在详细通讯协定的选择时,考虑了MQTT以及WebSocket。两者比较,前者有成熟的开源组件,用很少的开发就可以完成设备接入、新闻路由、数据存储、自动订阅 、状态监控等功能;而后者完成相同的功能,需要额外的工作量。然则考虑到WebSocket基于HTTP/HTTPS,对防火墙更友爱,我们选择了WebSocket作为网关与控制器的通讯协定。网关作为WebSocket客户端,控制器作为WebSocket服务端,如许完成了用户侧的防火墙零设置,而基于WebSocket的长连接又可以餍足通讯的实时性。

2、怎么样简化部署及使用?

在用户部署对等收集时,我们希翼能够将用户的操作最简化,不需要去查VpcID、RouterTableID、CidrBlock等等信息,只要要输入容器的公网IP地址。为完成这个目标,我们充分行使云厂商的API来获取设置所需的参数、信息,再通过API实现VPC路由的设置。

各家公有云的完成不同样,API的表现也不同样。例如VPC路由设置API,有的厂商是同步操作,有的是异步操作。异步操作又间接制约并发要求,甚至对API调用间隔也产生了间接制约。我们对各家公有云厂商的API进行适配,终极完成设置简化的目标。

三、控制器的设计

控制器与容器的交互仅限于设置信息下发、运行状态查询等带外治理功能。收集之间的流量直接通过VPN容器确立起来的加密地道传输,不经过控制器。考虑到控制器存在单点故障的可能性,控制器采用了多活集群设计,可以横向扩大,完成容器带外治理负载。

交互 (1).png

VPN组网自动化方案解决了几个问题:

快速组网:使用IPSec连接基础举措措施,在云与云,企业与云之间确立任意互联。在几分钟内,将资源连接到任何地位。

使用简化:用自动化工作流取代复杂的cli手动设置,让DevOps专注于核心营业,而不是基础举措措施。

收集改动少:适应原有收集,纰谬原有收集进行改动。

tu.png

*

您可能还会对下面的文章感兴趣: