基于云端SaaS的应用被越来越多的企业所接受,像大家所熟知的Office365、Salesforce、Dropbox、Zendesk等,这些位于公有云的服务都需要通过互联网去访问,像延迟、丢包这些因素直接影响着应用的性能和终端用户的使用体验,目前大多数网管手段很有限或做不到非常直观的对应用性能状态的可视化,用户无法便捷的了解应用的在线实时状态,而且当出现性能问题时往往用户需要复杂的手动步骤来将应用的流量从主路径切换至备用路径。思科Viptela SD-WAN针对目前企业中主流的SaaS应用程序提供了Cloud onRamp for SaaS特性来解决此类问题,最早也被称为Cloud Express特性,它可以提供应用的可视性并持续监控网络性能特征,帮助SaaS应用对最佳性能路径做出实时决策来提高用户体验,它通过智能地将应用流量从性能下降的网络路径重新路由,来自动响应网络性能的变化,并支持如图9- 22所示,通过互联网链路接入云端的多种接入方式。首先,最为常见的是通过站点本地直接出局访问互联网,通常也把这种方式称为直接互联网访问(DIA)。其次,在传统的企业网区域设计时外网访问一般都会通过数据中心出局,并在数据中心进行流量管控,当然站点规模较大时也会设立区域中心出局来优化访问模型。最后,也可以接入第三方的中立数据中心,为广域网路径选择出局带来更多选项。
图9- 22用户访问云端SaaS应用的多种方式
Cloud onRamp for SaaS特性使用探针机制对企业上线的SaaS应用执行持续探测,用来判断最终用户与SaaS应用之间的应用性能。在DIA场景下,通过vEdge Router发出大量的HTTP请求消息会探测到丢包、延迟等信息并通过内部计算得出一个称为Viptela质量体验(vQoE)的分值,这个分值由0-10之间取值,分值越低性能越低,通过周期性的对每个SaaS应用分值计算来进行最优路径的决策。如图9- 23所示,当前企业站点有两条路径可以直接访问Dropbox和Office365,通过http请求消息得到丢包,延迟等信息,经过计算得出由Internet1访问到Office365的vQoE值为10,由Internet2访问到Office365的vQoE值为8,所以最终确定访问Office365的最优路劲为Internet1。其次,由Internet1访问到Dropbox的vQoE值为6,由Internet2访问到Dropbox的vQoE值为8,所以对于Dropbox的最优路径为Internet2。通过举例我们不难发现不同的SaaS应用可能会分摊在不同的线路上,因为对于SaaS应用的探测都是独立进行的。
图9- 23 DIA访问云端SaaS
在这里需要注意的是,用户对SaaS应用访问的初始化流量是不会经由vQoE分值高的链路来转发的,因为此时vQoE分值还未计算得出,所以对于一开始的流量依然遵循路由表转发原则,换句话说当发送完初始化的几个数据包后vEdge Router会通过识别应用并将其信息存储在缓存中,以便前往该目的地的任何后续流都被发送到由vQoE分值决定而不是正常路由路径确定的最佳出口。
除了DIA场景,我们前面也提到数据中心或是区域中心出局,在此类场景下vQoE的计算方式有些许差别。如图9- 24所示,Office365应用访问的互联网出局点位于数据中心,那么位于数据中心的vEdge Router依然会发起http请求探测最终计算出局点到Office365应用之间的性能信息,而后此性能信息会通过OMP消息由vSmart Controller中继给分支站点的vEdgeRouter,分支站点的vEdge Router还会与数据中心站点中的vEdge Router之间的IPSec隧道来发送BFD探测包来计算彼此之间的性能信息,最终分别计算两段的vQoE分值,综合两段的vQoE分值来计算应用的最优性能路径。访问Office365的路径为分支站点通过Internet1到数据中心的VE1最后访问到Office365,访问Dropbox的路径为分支站点通过Internet1到数据中心的VE2最后访问到Dropbox.
图9- 24 经由区域中心或数据中心出局访问SaaS应用
以上的描述,大家了解了Cloud onRamp for SaaS的运作机制,看起来很复杂,但是这些工作完全都是由后端自动完成,不需要去定义每项应用,思科Viptela SD-WAN已经帮您预先定义好了,您所关心的所有信息,都会以图形化的视图呈现在GUI界面,当链路上应用性能下降时也会自动识别自动完成SaaS应用的链路切换。如图9- 25所示显示了当前企业当中使用的SaaS应用有哪些,分别有多少站点使用了这个应用,当前应用的性能状态直观的通过不同的颜色来加以区分。
图9- 25 Cloud onRamp for SaaS概要面板
也可点击每个SaaS应用查看更详细的信息,如图9- 26所示显示了有哪三个Site使用此SaaS应用,是通过DIA本地出局还是远端网关出局,以及当前被选择链路SaaS应用的vQoE值和出接口等众多信息。你也可以通过如图9- 27所示查看在具体哪一时刻出现了丢包和延迟,来定位故障时间点。
图9- 26 office 365 SaaS应用详情
图9- 27 按时间维度查看应用的丢包与延迟
SaaS服务是现在公有云服务商竞争的主战场,会有越来越多的SaaS应用在云端实现,企业上云已经达成了共识,由于企业本身多年的建设的基础设施的存在,现在来看还有很长一段时间企业会处于混合云的过度阶段,那么对于IaaS层面来说,思科Viptela SD-WAN也提供纯软件的解决方案在云端部署,您可以将vEdge Router部署在主流的AWS和Azure的公有云平台并和企业站点内部的vEdge Router建立互联,这是典型的混合云架构。因为云端部署带来的诸如弹性、高可用、容错等天然优势,其中部分优势属于全托管方式,不需要用户对底层架构做过多考量,由公有云的服务提供商已经帮你构建完成。对于用户来说只需要关心业务应用,但是这种方式下用户缺乏统一管理的平台,对于云端部署的路由器需要用户进入公有云的镜像市场找到相应的镜像创建实例,并完成VPC、VNet等相对复杂的部署步骤(对于VPC和VNet的讨论已经超出了本章的范畴,感兴趣的读者可以参阅官网的技术文档)而且对这类实例的监控也需要单独登录公有云平台才能查看得到。思科Viptela SD-WAN当中的Cloud OnRamp特性依然对于IaaS层面也提供了扩充,它使得通过在vManange NMS上使用AK/SK对接AWS或Azure,由vManage NMS统一完成vEdge Router的部署和基本信息的监控。如图9- 28所示,可以便捷的在vManange上批量创建vEdge Router实例,并创建AWS账户下的VPC与之关联。最后可以直观的如图9- 29所示查看到当前vEdge Router在AWS上相关状态信息。
图9- 28 通过vManage对接AWS
图9- 29 Cloud onRamp概要面板
思科Viptela SD-WAN通过Cloud onRamp为时下云端不同层面的适配提供了更多的可能性,在笔者编写本章的过程中思科已经开始了Viptela SD-WAN融入现有的DNA方案进程中,最终有DNAC统一调度,并且在安全方面引入思科多年在全领域沉淀的诸多技术特性,在未来我们将看到一个更加完善的SD-WAN解决方案。
