“自动驾驶”是网络自然演进的结果

瞻博网络(Juniper Networks)首席执行官Rami Rahim在一次采访中提到了“自动驾驶网络”这个概念。他在采访中表示,可自主运行的网络就像是自动驾驶的汽车一样,网络本身具备高性能和强大的功能,所有网络组件都能提供相关的数据和信息。借助机器学习平台进行分析,人们可以更好地了解网络的状态,在故障发生前就能提前预知并提供相应的解决办法;同时网络还可以实现自动化的配置和安全策略的设定,具有自我调整的能力。

但业界普遍认为,“自动驾驶”的汽车至少在2020年之前不可能到来,让网络“自动驾驶”是否只是个梦想?在2017年全球网络技术大会(GNTC)上,云杉网络CEO亓亚烜博士指出自动驾驶的网络”会比自动驾驶汽车更早变为现实。

基于意图的网络系统

“自动驾驶网络”是一个形象的比喻,意即未来的网络会更加自动化,一些最基本的网络配置、功能实现、安全保障完全可以由网络系统自己实现、自主管理。网络管理员从每天疲于奔命的故障排查中解放出来,将更多精力放在网络业务规划上。仔细想一想,这真是一个美好的愿景,关键是如何才能实现呢?IBNS(Intent-Based Networking System,基于意图的网络系统)顺势而生。

Gartner大约从2016年开始关注IBNS,《Innovation Insight: Intent-Based Networking Systems, Gartner, Feb 7, 2017》定义,IBNS必须具备以下四种能力:转译和验证,自动部署,网络状态的察觉,精确诊断以及动态的优化和补救。

IBNS提供了一种搭建和运维网络的新方法,提升了网络的可用性和敏捷性。系统可以在现有的网络设施进行适合的网络变更,并且是由系统自动完成的。IBNS还提供了对网络基础设施的生命周期管理,包含设计、安装、运营和精确诊断。

“IBN与SDN不是一回事。SDN关注的是网络本身,也就是‘路’,而IBN是实现交通控制的红绿灯(系统)。”亓亚烜解释说,“SDN的广泛应用为IBN提供了基础条件。由于SDN的出现,网络的控制变得开放可编程,但是网络变得更加复杂了,使得网络管理变的非常困难。而IBN的出现,让SDN网络的配置、管理和运维变得更加简捷、方便。在实现SDN之后,IBN是必然选择。”

IBN的概念是2016年出现的。云杉网络从一开始就在关注,而且提出了一个更直接的说法——网络监控一体化。时至今日,SDN已经是数据中心网络的一种新常态。SDN是从技术的角度出发,而IBN是从用户业务的角度出发,解决具体的应用问题,包括网络管理、业务连续性、安全性等。Gartner的数据显示,采用IBN后,用户业务部署的速度可以提高10倍,业务中断减少50%

“IBN的出现对网络工程师的影响最大,这不仅仅是技术层面的问题,而是人的观念要彻底改变。”亓亚烜在演讲中说,“如果有一天,我们不用自己开车,去哪都有人接送,这是一种什么感觉?IBN带来的改变,网络工程师要慢慢适应。”

用户自发的需求

以前,我们看到的更多情况是,技术的发展驱动应用的变革,而IBN却打破常规,先有了客户自发的需求,才促进了IBN的产生和发展。

因为云计算、SDN等的普及,企业数据中心网络的规模越来越大、越来越复杂,继续沿用人工管理的方式,既不经济也是人力所难以胜任的。”网络未来发展的趋势一定是实现自动化管理。亓亚烜介绍说,“国内的一些证券公司、互联网公司甚至大型物流公司都提出了几乎相同的需求:降低网络管理的复杂性和成本,更有效地保证业务的连续性和安全性。”

以前,网络管理都由企业的网络部门一力承担,而现在要想实现网络的”多快好省“,仅靠人工是远远不够的。比如一家大型的物流企业,可能有数百个业务同时并发,要对其进行实时的状态管理,必须依靠网络的自动化。再比如,现在很多互联网企业都提供公有云服务,但是经常会有一些用户因为很基础的网络配置或功能问题来寻求帮助,而云服务商通常没有这么多的人力来应对这些问题,怎么办?唯一途径就是让网络具备自动化解决这些问题的能力。这才是IBN兴起的根本原因。

云杉网络提供基于IBN的服务也有一段时间了,现有的客户主要来自金融、运营商等行业,其中很多用户是主动来咨询未来网络如何规划。“2011年,SDN刚开始部署时,我们主要还是向国外厂商学习。现在进入IBN时代,中国用户成了应用的先锋,其需求之迫切更强于国外。”亓亚烜表示,“对IBN提出需求的更多是传统企业,而不是像BAT这样的互联网企业。国外的市场分析机构显然也注意到了这些不同寻常的变化。”

IBN当前主要的应用环境包括数据中心基础网络、WAN等。美国高速公路安全委员会将自动驾驶分成5个级别,Level 0代表没有自动驾驶功能,而Level 4表示完全自动驾驶。在亓亚烜博士看来,目前自动驾驶网络的水平相当于汽车具有增强驾驶功能,差不多是Level 3。

从网络安全发端

Juniper推出了软件定义安全网络(SDSN)。云杉网络也是从网络安全的角度切入IBN的。“我们主要解决的是安全策略管理和分析方面的问题,云杉网络只用了半年时间就推出了安全白名单功能。”亓亚烜介绍说。

云杉网络安全白名单的研发源自客户的实际需求。某客户的生产环境为自研OpenStack云平台,其安全部门提出了构建能够实现安全监控的云的诉求。针对云上的业务流量,南北向的安全由传统的防火墙负担,而东西向的安全暂时没有解决方案,所以希望云杉网络能够基于白名单方案实现对内网流量的控制。

客户业务部门负责定义合法的VM池、IP地址、协议端口等资源组,安全部门根据业务部门的意见定义该资源组的流量,并由此形成可编辑的策略,保障业务的安全性和网络的可控性。

安全白名单具体功能实现如下:假设某金融机构有一个手机银行业务,其业务流是用户在手机APP的操作回传到数据中心之后,先经过服务端校验和处理,然后再回写到数据库,之后数据库将变更结果反馈出去,直至用户手机APP。为了安全起见,该金融机构的安全人员只允许手机APP的服务端(某些固定的IP或其他自定义的资源)访问特定数据库(的指定端口),其他任何资源不允许访问。这个规则是横亘在被保护的资源和外部访问之间的安全门,称之为白名单系统,就像一些公司的门禁卡,只有本公司员工能开门,对不符合该白名单的访问系统除了进行阻断,还要进行报警、记录日志等相关操作。

毫无疑问,IBN当然会用到机器学习、数据分析以及人工智能,数据的采集和分析是核心,而为了实现对网络的实时监控,数据分析的性能和效率要进一步提升。

早在2012年,也就是云杉网络创立的第二年,云杉网络便推出了国内首个网络虚拟化平台。经过多年打磨,产品已演进到DeepFlow® v5.2,它帮助用户打造了基于x86和开放网络架构下的网络虚拟化、网络监控分析及网络安全服务平台。不同于面向网络设备的传统网管系统,DeepFlow®可以帮助客户在虚拟化的网络环境中保证业务的连续性和安全性。安全白名单其实就是DeepFlow®的一个新增功能。亓亚烜表示“未来,我们将更快地进行产品迭代,进一步丰富产品功能,比如目前只能管理VM,未来还要统一管理物理机、容器集群以及公有云等。”

现在,我们对人工智能有了越来越清晰的认知,它不是取代人,而是辅助人提高工作的效率。IBN的出现,也是借助人工智能、数据分析,让网络完成以前只能由人完成的事情。IBN会带来一场革命吗?与其说革命,不如说它是网络自然演进的结果。