目前這家日本老牌食品大廠已在日本總部資料中心展開小規模SDN部署,預計明年1月將全面切換SDN,並做為防火牆、負載平衡,以及交換器、路由器等第2層或第3層網路設備的集中化控管,此外,在整個網路架構上將區分為3個部份,從底層由下而上分別是既有實體網路、集中式配置的實體Fabric Network,以及結合SDN可快速靈活、調度網路資源的Overlay Network。

圖片來源: 

IBM

不只是大型電信業者或跨國資訊業者積極推廣SDN,也開始有大型傳統企業採用,日本一家年營收破千億的老牌食品公司2014年開始導入SDN,東京總部今年率先改用,明年1月將全面切換到新的SDN網路架構。近日,參與這項SDN導入計畫的IBM全球資訊科技服務事業部首席架構師陳建和也在臺揭露了這家大型食品公司用SDN取代舊有網路架構的關鍵。

陳建和是IBM全球智慧公用事業網路工程師團隊一員,近兩年也在日本至少參與了兩件大型企業網路架構升級和SDN導入計畫,一家為日本兆級資本額規模的大型銀行,為了讓私有雲能夠和公有雲服務整合,將部分業務如DevOps開發專案或前端應用轉移到公有雲,而後端資料庫仍儲存在內部私有雲,也開始展開網路架構調整,其中一項就是導入SDN網路,採用了Hop by hop設計和VXLAN疊覆架構等兩種SDN網路架構。

另一家陳建和參與的SDN計畫則是日本百年老字號食品公司,在全球設立數百家子公司、擁有超過2萬名員工,同時在各地皆建置有資料中心。

IBM全球資訊科技服務事業部首席架構師陳建和表示,只有在企業經營方針上,得時常不斷追求創新,持續加強產業競爭力,才需把IT基礎架構SDN化,來支撐起整個企業的經營發展腳步。

網路架構得先扁平化

而促使這家擁有百年招牌的食品業者非採用SDN不可的原因,陳建和表示,過去這家食品公司基於安全考量,分別在總公司和分公司的資料中心內設置眾多防火牆,將網路細分成不同信任程度的隔離區域(Zone),並採用如白名單(White Listing)等網路封包的過濾機制,決定是否讓IP可以在各區域防火牆之間通行,但隨著不斷增加的隔離區域,也讓這家公司的網路變得複雜化,而演變至今已累積多達數百條過濾規則,只要一遇到原先允許存取的應用撤除,或是負責管理的人員離職,維護上就會造成IT人員很大負擔,甚至,一旦要新增加1~2條過濾規則,就得動用5~6名IT人力,花上2周才能將分布總公司和多達300家分公司內部網路不同區域的規則一致化。

為了導入SDN架構,得讓SDN控制器得集中控管原本切割成大量區域的網路環境,這成了這家食品公司首要克服的難題,先將網路架構扁平化,去除原有的區域隔離設計,整合成一個大型網路環境。

不過,眾多網路區域移除,就無法再使用原有的IPS等資安防護設備來層層把關。因此,這家食品公司轉而強化端點安全防護,例如在使用者的電腦安裝防毒軟體,同時也強化後端系統的安全認證等,避免因網路區域撤除後,而導致企業安全門戶大開。

陳建和表示,為了減少硬體成本,這家食品公司選擇在資料中心採用了Overlay架構的SDN設計。他解釋,Overlay架構就像是在不同在虛擬網路之間,建立一個可讓網路封包通行的隧道,只要不同設備廠商的軟體有支援Overlay技術,確保這些硬體設備的封包能穿越,就能以現有設備來實作出SDN網路,而不用全面汰換既有的網路設備。

這家日本食品公司已在日本總部資料中心展開小規模SDN部署,預計明年1月將全面切換SDN,並做為防火牆、負載平衡,以及交換器和路由器等第2層或第3層網路設備的集中化控管,此外,在整個網路架構上將區分為3個部份,從底層由下而上分別是既有實體網路、集中式配置的實體Fabric Network,以及結合SDN來快速調度網路資源的Overlay Network。

目前在東京總部導入SDN後,陳建和表示,像先前費時費人工的網路過濾名單更新,變成只需幾分鐘就能完成。

更正啟示:文中提及的SDN的兩個架構名稱“Hub by Hub”和“VSM”有誤,正確名稱應為“Hop by hop”和“VXLAN”。另外文中提到陳建和近兩年也“派赴”日本至少參與了兩件大型企業......部份敘述有誤,正確是陳建和為“直接受雇”IBM日本分公司,而非派赴日本,內文已做更正。


Advertisement

更多 iThome相關內容