בחלק זה בסדרה, נעסוק באתגרים המרכזיים בבניית סביבות מולטיקלאוד. ניגע במספר פתרונות של סיסקו, שתומכים במודל מרובה עננים וצמצום החיכוך בין הצוותים. בעת שהם לומדים להתנהל בסביבה ההיברידית החדשה. 

להלן חלק מן האתגרים בבניית סביבת מולטיקלאוד: 

• אוטומציה של יצירת חיבורים מאובטחים בין On-Prem לענן ציבורי. 
  אתגר זה כולל שורה של חיבורים, ביניהם Any-to-any, IPSec VPN, Cross connect Interchanges (Direct Con Cross connect, Interchanges dedicated Interconnects) 
  ועוד. 
• ניהול וניטור מחזור החיים של קבצי ההגדרות והרכיבים (פריסה של Cloud Routers, שמתבצעת על ידי משתמשים ותשתיות cloud native כגון Gateways ושירותי peering). 
• ריבוי חלונות לניהול ותפעול רשתות בסביבה מרובת העננים. 

נראות מבודלת ובלתי אחידה, יכולות לא עקביות לפתרון תקלות והיעדר תאימות בין ספקיות הענן השונות. מייצרים מורכבות ב- Governance וברגולציות. אף אחת מספקיות הענן אינן מספקות כלים ואינן אף מתיימרות להתמודד עם סוגיה זו. 

• יכולות סגמנטציה שונות 

אתגר זה רלוונטי בסביבות עם ספקיות ענן שונות כמו גם לתחזוקה ולעדכון מדיניות  

הענן מהרמה המקומית לענן  ולהיפך. 

השגת רמת עמידות אבטחת מידע גבוהה למיקומים גאוגרפים שונים. גישות API ויישום מוצרים נחשבת למשימה מרתיעה. 

כיצד זה משפיע על המעבר לענן, או משנה את מודל הניהול של אירוע תקיפה? 

כל ענן ציבורי ועקומת הלמידה שלו – ארגונים רבים מנסים ליישם בענן מתודולוגיות, קונספטים וארכיטקטורות מוכרות. 
למשל, backhauling של תעבורה דרך On-Premise. לכאורה, פתרון סביר עבור ארגונים  שחסרה להם המומחיות בענן (כאלה שמרגישים נוח ובטוח עם הטמעת אמצעי האבטחה בסביבה הפרטית, או ארגונים שה-workloads שלהם משרתים בעיקר משתמשים פנימיים). למעשה, פתרון זה יגביל את הארגון מלהבין ולממש את יתרונות הענן במלואו. למשל את יתרון הסקלביליות. גם חוויית המשתמש עלולה להיפגע, כתוצאה מפוטנציאל הפגיעה במהירות התקשורת (לעומת המצב שבו משתמשים בענן כפי ש"התכוון המשורר"). היות שתעבורת הרשת עוברת דרך On-Prem במקום להיכנס ולצאת מפלטפורמת הענן. באופן זה גם נוצרות עלויות תפעול נוספות (20-30% יותר). כתוצאה מעבודה עם מודלים שונים וסותרים, בענן הציבורי ובסביבת On-Prem.

אינטגרציה של שירותים בסביבת מולטיקלאוד

חוסר יכולת למנף אינטגרציה עקבית של שירותים בשכבות 4 עד 7 בפריסות בסביבת מולטיקלאוד 
שירותים אלה הם חלק קריטי בפריסות ענן. בייחוד שמדובר בחוסר יכולת למינוף אינטגרציה מתמשכת של שירותים בשכבות L4-L7 בפריסה של סביבה מרובת עננים. גם במקרה של שירותי  L4-7 קלאוד נייטיב וגם במקרה של צדדים שלישיים. 

 Cisco ACI

להשיג אוטומציה, אבטחה, ניידות, ונראות –הנחוצים להגשמת טרנספורמציה דיגיטלית מוצלחת באמצעות אינטגרציית Full Stack חזקה יותר.    

Cisco Cloud ACI 

מנוע המבין את כוונות העסק והמשתמש על פי פעילותם ומתרגם אותן לעקרונות מובנים למדיניות עבור אפליקציות הנפרסות על פני סביבות ענן שונות 
Cisco ACI  

פתרון שסיפק את ההבטחה של אוטומציה ברכיבי רשת של מודל רשת מוגדרת תוכנה (Software-Defined Networking) 

 ובהפשטה של פעולות נוספות על ידי שליטה וניראות, המתבססות על מדיניות הרשת האפליקטיבית. 

השלב הבא של Cisco ACI יביא את הבשורה של הרחבת אוטומציה מונעת-מדיניות זו. מסביבת On-Prem לעולמות המולטיקלאוד. 

פתרון Cisco Cloud ACI מציע אסטרטגיית מולטיקלאוד קוהרנטית, ונותן מענה ברכיבים המרכזיים של אוטומציה: אוטומציה, אבטחה ופשטות. 

מודל ניהול מרכזי לסביבות מולטיקלאוד

Cisco ACI Anywhere 

מציע שורה של יכולות, שמאפשרות חיבוריות שקופה בין דאטה סנטר בסביבת On-Prem, אתרים מרוחקים קטנים ודאטה סנטרים מפוזרים עם ניהול מדיניות ממסך אחד.  זה מאפשר ללקוחות לפרוס ולנהל רשתות טוב יותר בכל מקום. פתרון זה נבנה על מנת להיות חלק מכל ארכיטקטורה, בכל ענן, אפליקציה, פלטפורמה ובכל מקום והוא תומך בסביבות On-Prem, אתרים מרוחקים ועננים ציבוריים. 

כמו כן כולל הרחבות Virtual ACI, Multisite ו- Multicloud לאוטומציה , אבטחה, ניידות ונראות. 

Cisco Cloud ACI (Multicloud), שהיא חלק מ"ACI Anywhere" כארכיטקטורה שנבנתה עבור עננים ציבוריים, מכילה את המרכיבים הבאים: 

Cisco Nexus Dashboard Orchestrator (NDO) 

NDO מתפקד כבקר, המנהל מדיניות לאורך סביבות On-Prem שונות, דאטה סנטרים של Cisco ACI, ועננים ציבוריים. כאשר כל סביבת ענן עוברת אבסטרקציה באמצעות ה-Cloud APIC שלה. 

NDO פועל כService על Nexus Dashboard. אותו ניתן לפרוס כקבוצת של מכשירים פיזיים, או מכונות וירטואליות שעובדות על  

VMware ESXi, Linux KVM, Amazon Web Services   או Microsoft Azure. 

לפתרון זה ישנה תמיכה בין-גרסאות. כך שהוא מסוגל לנהל גם On-Prem וגם Cloud APICs בגרסאות תוכנה שונות. 

Cisco Cloud APIC 

פתרון זה עובד כ-Virtual Instance בסביבת ענן ציבורי נתמכת ומספק קישוריות אוטומטית. יישום מדיניות וניראות מוגברת של ה-Workloads בענן הציבורי. 

Cisco Cloud APIC מתרגם את כל דרישות המדיניות שמגיעות מה-NDO  

ומתכנת אותן לעקרונות cloud-native כגון VPCs, וקבוצות אבטחה ב-AWS ו-VNets, קבוצות אבטחה לאפליקציות וקבוצות אבטחת רשת ב-Microsoft Azure. 
Cloud APIC נפרס בכל סביבת ענן ציבורית, כמו AWS Marketplace ו-Azure Marketplace. 

Cisco Cloud Router (CCR)  

Cisco Cloud Router הוא מרכיב חשוב בפלטפורמות ענן ציבוריות. CCR משמש לתקשורת בין אתרים בסביבת On-Prem ובפלטפורמת ענן ציבורי. בנוסף, נתבים אלה משמשים לתקשורת inter-VNet ב-Microsoft Azure. 

Cisco Cloud Application Centric Infrastructure (Cisco Cloud ACI) 

הוא פתרון מקיף עבור אופרציות מפושטות, חיבוריות רשת אוטומטית, חיבוריות אוטומטית, ניהול מדיניות עקבי וניראות עבור מספר דאטה סנטרים בסביבות On-Prem ועננים ציבוריים או סביבות מולטי קלאוד. 
פתרון זה מצטיין בגישה הוליסטית כדי לאפשר זמינות האפליקציה וסגמנטציה עבור חומרה פיזית (Bare Metal), ועבור אפליקציות בתצורה של מיקרו-שירותים, בוירטואליזציה, או בקונטיינרים, בסביבות ענן שונות. 

עוצמתו של הפתרון טמונה במודל מדיניות אחיד ורשמי שמשלב אבסטרקציה ופשטות בהקצאה ובניהול של רכיבי cloud native. במקביל לסטנדרטים, שצוותי תקשורת מכירים מעולמות ה-On-Prem . 

מיפוי זה מאפשר תפעול קל. היות שהוא יוצר קורלציה בין רכיבי קונפיגורציה/ענן בהקשר של האפליקציה והמצב הסופי אליו שואפים להגיע. 
המדיניות האחידה ומודל התפעול האחיד מפחיתים משמעותית את העלות והמורכבות  בניהול פריסות בסביבה מרובת עננים.  

הפתרון מספק קונסולת ניהול אחת. שמנטרת ומנהלת מספר סביבות מנותקות בינהן, לאורך עננים שונים. 
לפי שעה, Cloud ACI זמין בפלטפורמות הבאות: AWS, Microsoft Azure, Google Cloud 

תכונות ויתרונות 

פריסה של אפליקציות next-generation לאורך סביבות ענן שונות, עם תפעול עקבי, ניראות ושליטה 

• ניהול ממסך אחד. מודל תפעול אחיד לכל סביבות הענן עם ניראות מפושטת ויכולת תיקון תקלות 
• אינטגרציה של שירותי קלאוד-נייטיב בין דאטה סנטרים מקומיים (on prem) ועננים ציבוריים. 
• אוטומציה לתהליך חיבור שירותים חוצי דומיינים של תקשורת אפליקטיבית לאורך רכיבי Layer 4-7 שונים, כדי לאבטח כל אפליקציה בכל מקום. 
• הטמעת מודל מדיניות אחידה של רשימת מורשים (Whitelist) לאורך תשתיות ענן הטרוגניות.  
  סגמנטציה עקבית, פיקוח ועמידה ברגולציות לאורך כלל ה-Instances בענן, באמצעות אבסטרקציה של מדיניות מרכזית. 

רציפות עסקית ויכולת התאוששות מאסון 

• תחזוקה וחזרה מהירה לפעילות של אפליקציות קריטיות באמצעות אתר גיבוי והתאוששות בענן הציבורי. איתור זליגות (configuration drifts), תמיכה באישורים ו-reconciliation workflows. 
• רציפות עסקית לארגונים באמצעות חיבוריות Always On. מוצפנת לאורך הענן הציבורי והדאטה סנטר. 

• בקרת גישה מבוססת תפקידים (RBAC), multi-tenant ואחידה, כך  שה-IT יוכלו לנהל בבטחה את מדיניות הרשת בסביבה מרובת עננים. 

אלסטיות בניהול משאבים לאורך דאטה סנטר מקומי וענן 

• אוטומציה של חיבורים פנימיים בין דאטה סנטרים בסביבה מקומית ובסביבת ענן. באמצעות ניהול אחיד עבור כל סוגי דפוסי תקשורת נתונים (אפשרויות חיבור פרטי בין חוות שרתים, VPN/tunnels/internet/internal/ 
• external ingress options – לאורך כל הדאטה סנטרים, תשתיות hyper scaler באמצעות אבטחת רשימה לבנה אוטומטית. 
• סקלביליות ואוטומציה של הרחבות דאטה סנטר אל הענן הציבורי. רוצים לאפשר פריסה של סביבת ענן חדשה בקליק אחד וללא צורך בידע כלשהו בתשתיות ענן? בחרו באפשרות On-demand cloud bursting 

בכל זמן, שבו ה- workload של הדאטה סנטר המקומי דורש תוספת משאבי ענן. 

• גמישות, חיסכון ואבטחה עקבית לפי דרישה. מיגרציה בטוחה של workloads וניידות לאורך סביבות ענן עם שליטה וניראות עקבית. תוך שמירה על מדיניות סגמנטציה וזהות ה-workload (IP mobility) 

סקירת הפתרון – פריסה של  Cloud ACI לענן ההיברידי 

NDO  ו-Cloud APIC של סיסקו מנהלים שורה של קונפיגורציות רשת על פני מגוון פלטפורמות ענן באזורים ג"ג שונים. כדי לאפשר זרימה של תעבורה בסביבות ענן היברידיות הפרוסות על פני מספר אזורים. 

דוגמאות לקונפיגורציות תקשורת רשת: 

• AWS: VPCs, CIDRs, subnets, route tables, TGWs, TGW peering, קבוצות אבטחה, חוקי קבוצות אבטחה (Security Groups) ן-Load Balancers אפליקטיביים. 
• Microsoft Azure: Vnets, CIDRs, subnets, route tables, Vnet peerings, קבוצות אבטחה, Application Security Groups, Azure Application Gateaway ומאזן עומסים.  
• Cloud Router של סיסקו 
  ניהול וקונפיגורציה של מחזור החיים 

הנתונים הבאים מדגימים את הרכיבים שעוברים לאוטומציה על ידי NDO  ו-Cloud Apic של סיסקו. 

סיכום 

כמובילה עולמית בתחמי ה- IT, תקשורת רשת ופתרונות הגנת סייבר. לסיסקו יש היכולת לסייע לארגונים בכל גודל לבצע טרנספורמציה בדרך שבה הם מחוברים למידע שלהם, מאבטחים אותו ובדרך בה הם מתַקשרים.  

Cisco Application Centric Infrastructure, ארכיטקטורת ה-SDN המובילה בתעשיה, מאפשרת גמישות של האפליקציה ואוטומציה של הדאטה סנטר. 

היכולות החדשות של Cisco Cloud ACI, מאפשרות למנהלי הרשת להתאים את התשתית בקלות ובמהירות לדרישות העסקיות המשתנות.  הפתרון מספק גמישות ל-IT באמצעות קונפיגורציה קלה ו- Day2 Operation  של סביבות ענן היברידיות. 

Cisco Cloud ACI מאפשר לך לתכנן טופולוגיות רשת מורכבות וסוגים שונים של מדיניות אבטחה. הכוללים סביבות On-Prem וסביבות ענן ציבורי.  
Cisco ACI Multi-Site Orchestrator מאפשר פריסה של תקשורת רשת ומדיניות סגמנטציה של עומסי עבודה באתרים מרובים כאשר הוא משולב עם Cisco Cloud APIC ועם on-premises APIC. 

תכונה זו מאפשרת גם אינטגרציה קלה יותר והרחבה של מודלים מתקדמים של תפעול. עם כלי IAC (Infrastructure-as-code) כגון Terraform Cloud לעסקים. סיסקו יצרה, בשיתוף עם HashiCorp, המוביל באוטומציה של תשתית בסביבות מרובות עננים, פתרון משותף, המבצע אוטומציה הקצאות תשתיות תקשורת נתונים. פתרון זה משפר באופן דרמטי את הפרודוקטיביות של פיתוח DevOps, ומבטל את האפשרות לטעות אנוש. בכך הוא מצמצם את הסיכונים ומשפר את מחזור החיים של DevOps. 

במאמר הבא נעסוק בהרחבה ביתרונות השימושיות וביכולות החדשות שמציעים הפתרונות המשותפים יחדיו. 

Stay Tuned!