針對核心網路與資料中心等級的網路交換器,從2017年起,Aruba陸續發表多款CX系列機型,今年10月宣布將推出第一款分散式服務交換器(Distributed Services Switch,DSS),名為CX 10000,預計2022年1月上市,屆時將包含:加速的狀態型防火牆(stateful firewall)、零信任網路分段(Zero-Trust Segmentation)、封裝遠端交換器連接埠分析器(ERSPAN)、遙測,以及DDoS防護等功能。

企業可透過這款設備,將軟體定義的狀態型服務部署到資料產生與處理的位置,而不需為了建置混合雲環境而去部署傳統應用設備與伺服器軟體系統。

基本上,這款交換器結合Aruba本身的L2與L3層級資料中心交換器、設備內建的作業系統AOS-CX,以及具有完整可程式化能力的資料處理器(programmable DPU),也就是新創公司Pensando的Elba,能提供狀態型的線上(inline)軟體定義服務,而且是可支援大規模使用、具備全線傳輸(wirerate)等級的網路效能,克服了傳統架構的局限。對比既有的資料中心L2與L3交換器,這樣的解決方案具有更好的延展性、效能,以及更低的總體持有成本。

Pensando表示,透過這種「軟體矽晶片(software-in-silicon)」的架構,企業能在交換器端直接部署分散式服務,如此一來,相較於傳統IT架構,可獲得100倍的延展性、10倍的效能,以及1/3的總持有成本。

值得注意的是,Pensando的DPU本身是支援P4語言的可程式化處理器,這裡為邊緣端的網路、安全等類型的服務執行,提供了最佳化的軟體堆疊,也是CX 10000之所以能提供各種狀態型服務的重要基礎。

而且,這款交換器內建的這些DPU,可透過Pensando的Policy and Service Manager(PSM)來進行集中管理與監控。Aruba表示,透過PSM,用戶可以運用軟體解決方案Aruba Fabric Composer,調度指揮網路環境的執行政策,提供單一管理介面。

同時,基於上述的技術組成,CX 10000能將標準的主幹-枝葉式網路架構,延伸出分散式狀態型網路分段、東西向防火牆、NAT、加密處理、遙測、負載平衡等多種服務,而且,這些都可以從線上提供,做到隨時提供,並且透過每個可存取的網路埠來提供,能夠更靠近關鍵企業應用執行的所在位置。

以目前Aruba公布的規格來看,CX 10000可提供800 Gbps的分散式狀態防火牆吞吐能力,用於東西向流量處理、零信任網路分段,以及廣泛的網路活動遙測,未來可支援狀態型NAT、加密處理等服務。

顛覆傳統架構,提供可在邊緣端設置的軟體定義網路

一般而言,若要廣泛分發各種進階的網路服務,以及網路安全服務,而且要將整個網路環境來來回回的流量,強制送到集中的政策實施點處理,往往是不切實際且需要付出昂貴代價的。

同時,有許多工作負載是以相當分散的方式執行,為了能夠彼此存取,因而產生大量的東西向網路流量,而且,像是防火牆、負載平衡器、VPN匯聚設備,若要做到集中管理,成本不只相當昂貴,也將形成複雜的服務鏈(Service Chain)。

為了克服這類問題,目前有些公有雲業者會在底層架構的每一臺運算節點當中,置入智慧型網路介面(SmartNIC),以便提供狀態型服務。相較之下,企業仍在既有伺服器升級,以及每臺節點相關成本控制等層面掙扎,然而,所要處理的網路流量,卻比公有雲環境要少,因此,該如何改善這樣尷尬的局面,是一大挑戰。因此,Aruba與Pensando攜手合作,開發出新的交換器類型設備,希望能夠橫跨多臺伺服器來共享Pensando DPU的處理能力,促成新的分散式服務架構,同時,也須順應法規遵循要求,以及降低總體持有成本、提高IT投資報酬率。

在Aruba方面,提供的是運用雲端原生概念而成的交換器通用作業系統,名為CX-OS,可部署在骨幹或枝葉網路環境當中,而且內建了48個25 GbE網路埠,加上6個支援100 GbE的網路埠;而Pensando方面,提供ASIC晶片型態的DPU與協力應用軟體PSM。Pensando表示,他們已陸續開發出第一代與第二代DPU,以此搭配狀態型服務,而他們透過可程式化DPU來提供乾淨的交換器設計,目前Pensando最新推出的是7奈米製程的DPU,能支援軟體與硬體晶片的應用,而這樣的DPU產品足以作為200 GbE網路環境的運作基礎,可建置非常大的應用規模,以處理網路狀態、追蹤狀態型服務的連線,以及狀態型的網路流向。同時,全球最大的公有雲業者,也正將Pensando的DPU用於生產環境。

值得一提的是,企業若要提供狀態型網路服務,需要管理非常大量的連線,以及了解這些連線裡面進行的活動,但又不能嚴重影響網路應用程式的效能,無法仰賴傳統網路交換器來進行這些處理與管理工作,因為首當其衝的部分,就是記憶體容量不足,其次,要實作到交換器平臺的政策數量規模也不敷使用,所以難以負荷狀態型防火牆與負載平衡的服務。

若單就網路防護的求而言,由於資安威脅日趨精密、複雜,企業必須要能檢視整個封包、流向、記錄所有連線活動,如此一來,才能獲得更好的啟發能力去察覺各式各樣的異常行為,以及新興的資安威脅。

也因此,有了DPU的助力,CX 10000能夠針對這些服務的效能、延展性、自動化處理等特色,提供獨特的混合方式,而且可以在應用程式執行的網路存取層邊緣,就能施行這些服務。以交換器搭配的Pensando DPU而言,可協助處理狀態型的防火牆、網路分段、進階的網路活動遙測等功能,而且基於這樣的可程式化機制,未來還能擴建更多應用案例,像是加密、負載平衡。

在網路管理、安全政策控管、自動化處理的部分,IT人員可以運用軟體解決方案Aruba Fabric Composer,作為CX 10000統一的網路與安全管理引擎,能夠處理所有交換器與網路的組態,以及適用於交換器與分散式防火牆的政策控管定義,可涵蓋相當廣泛的網路服務建立,舉凡交織網路(fabrics),虛擬交換擴充(Virtual Switching Extension,VSX)、多機箱鏈路聚合群組(Multi-Chassis Link Aggregation Group,MLAG)交換器、底層的OSPF/BGP協定與BGP EVPN層疊、伺服器網路埠、儲存服務等級控管(QoS),而且能夠橫跨交換器、伺服器、網路介面、虛擬層(Hypervior)、虛擬機器、容器,將這些端點的網路活動狀態以圖解的方式呈現。

除此之外,CX 10000也能透過REST API進行整合,而且,可以將流量與流向資料,提供各式各樣的網路效能與安全管理工具,包含:進階AI資安系統(XDR)、應用程式相依性對應系統(Application Dependency Mapping,ADM)、網路效能管理(NPM),以及SIEM、SOAR、防火牆政策遵循、身分群組對應工具。

可適用於企業資料中心與主機代管業者

關於CX 1000的關鍵應用場景上,Aruba初步列出兩種類型,一是企業內部資料中心、私有雲,Aruba認為,CX 10000能夠顛覆傳統資料中心架構,不再局限於採用集中化、硬體式網路安全設備,而是能協助企業將新一代分散式進階服務建置到資料中心邊緣端,運用統一的網路與安全自動化處理,以及政策管理機制,具備更大的靈活度,同時,不需將本地端流量導向一個集中據點,也能獲得理想的網路頻寬與傳輸效能,還能局限各種設備的衍生使用,縮減複雜度,以及建置與管理成本,協助改善企業網路安全態勢。

Aruba表示,若企業想要將既有資料中心也能運用分散式服務模式,CX 10000為企業提供一條遷移的路徑,假如打算添購新的伺服器機櫃,可以考慮部署這款交換器,經過一段時間,再以此替換現有的骨幹交換器。

另一種是用於主機代管服務業者的網路邊緣環境,CX 10000能以安全的方式,讓雲端服務供應商彼此連結,同時,也能以相當小的機箱空間(1U)、相對省電的方式,建置網路與安全服務,當中提供路由、可達到完整線速的加密處理效能、防火牆、NAT等功能。

同時,這款交換器,也能針對企業內部網路或主機代管業者資料中心連至公有雲的專屬連線,提供涵蓋所有環節的遙測能力,而不需要在代管業者的環境部署昂貴的資安與管理設備,或是大費周章,將連至電信網路端的回程(backhaul)流量,送至集中的資安設備進行過濾處理。

Aruba表示,這款解決方案能夠降低總體持有成本,提供最佳化的安全架構,縮減IT突發狀況的衝擊範圍與風險層級。

產品資訊

Aruba CX 10000系列
●原廠:HPE Aruba
●建議售價:45,000美元起
●網路介面:48埠10/25GbE(SFP/SFP+/SFP28)+ 6埠40/100GbE(QSFP+/QSFP28)
●機箱尺寸:1U
●網路交換容量:3.2 Tbps
●運算元件:BroadcomTrident3-X7 / BCM56870、2顆Pensando DPU

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


熱門新聞

Advertisement