混合云网络过于复杂？ENS给你全局一张网的极致体验

本文分享自华为云社区《【华为云Stack】【大架光临】第19期：混合云网络过于复杂？ENS给你全局一张网的极致体验》，作者：华为云Stack ENS研发团队。

政企IT的混合形态

经过几十年的发展，支撑企业IT系统的数据中心已不再是单一的资源池、单一位置分布或单一平台类型，而是形成了包括多种资源池、分布在不同物理位置的混合形态。考虑到业务安全隔离、防止锁定、可靠性、技术创新、组织流程和竞标合规等因素，企业的业务系统通常会部署在不同平台的资源池和地理位置上。

随着业务的发展和技术的发展，企业应用架构不断演进，从传统单体架构，到SOA架构，然后到微服务架构，再到云原生技术的使用，应用的资源类型和架构类型也也呈现出多种形态混合共存。

面向多平台类型、多地理位置、多计算类型、多应用架构等混合多态的客户环境，网络如何提供更佳的连接服务是ENS（Enterprise Networking Service）致力解决的问题。

混合形态让网络复杂度指数级增加

经过对数百个政企客户CIO、IT主管、网络主管、网络安全主管做了调研，我们总结出政企客户IT系统混合多云多池、混合应用架构形态下的几大网络痛点问题：

• 网络互通难

1. 易出错：多资源池网络形成孤岛，无法集中统一管控和自动打通，网络配置管理依赖人工，跨站点网络互通复杂、低效，人工配置容易出错，且难以排查故障。

2. 通用性差：不同资源池和云内的网络功能有些差异，模型也各有不同，网络设计规划难以在各个资源池内通用。

• 网络安全策略管理难

1. 策略割裂：跨站点安全策略复杂且不联动，易出现安全漏洞。

2. 管理成本高：不同资源池的安全功能类似，但学习、配置成本和复杂度高。

3. 迁移难：跨站点业务负载迁移需要IP变更，需重新配置网络和安全策略，迁移困难。

• 应用连接体验差

1. 传统应用和云原生应用之间互访、不同k8s集群之间的应用互访，是分段式网络配置管理，缺少统一操作体验。

2. 缺少服务统一管理、精细化的服务治理。

• 网络运维效率低

1. 网络与应用问题定界定位难：业务受损时，难以快速确定问题来源于哪个资源池，以及是网络问题还是应用问题。

2. 虚拟网络与物理网络定界定位难：业务受损时，无法迅速判断是虚拟网络问题还是物理网络问题，或确定涉及的资源池。

3. 缺乏事故现场记录与定界手段：偶发问题无历史记录，难以抓取事故现场证据并进行有效定位。。

• 资源迁移难

多资源池的网络不能自动打通，导致分散在不同资源池的资源不能调度和迁移，且弹性不足。

总结来说，政企客户IT系统混合形态下的网络痛点问题主要包括网络连接难、应用连接难、网络安全管理难、运维定界难等问题，解决这些痛点问题，需要一个立足全局视角的全新服务模型和架构来支撑，这是华为云Stack ENS服务产生的背景。

华为云Stack面向混合网络的探索

华为云Stack 致力于为客户提供在混合平台和混合应用环境下“一朵云”的能力和体验。我们全新开发的网络服务，支持覆盖传统IT/虚拟化资源池、华为云Stack各版本资源池、华为云资源池以及异构云资源池。在此基础上，该服务提供统一连接、统一安全和统一运维三大核心功能：

• 统一连接配置：跨池跨云便捷、高效、安全、可靠、一致操作体验的网络和应用连接。

• 统一安全策略：跨池跨云一致的网络安全策略，覆盖云内、云间、云边的具备防御纵深的立体式安全防护。

• 统一运维能力：跨池跨云可视化监控，覆盖物理网络基础设施、虚拟网络基础设施、业务应用的一体化运维。

解决混合多池的网络问题后，可以进一步与算力协同，实现跨资源池的业务部署、迁移、扩容和容灾。无论资源池内部署的是传统应用还是云原生应用，都能突破资源池边界，实现自动互通。

华为云Stack ENS服务，混合多云多池网络自动连接，为客户提供一张网体验

ENS 面向混合多态的客户环境，支持多平台类型、多地理位置、多计算类型和多应用架构，提供跨云跨池的高速网络连接和一致的安全策略自动化服务。通过集中管控、自动连通、高效安全和可视化运维，ENS 实现两类连接功能：1. 资源连接聚焦跨池跨云的IP互联；2. 应用连接聚焦跨集群跨云跨池的服务互联。

ENS面向资源的多云多池网络连接

资源网络连接旨在实现跨云跨池的网络互通和网络安全服务化，网络互通包括基础的二三层互通和增强的广域网协同、WAN侧协同；网络安全包括近端安全、跨域安全，以及安全-资源联动：

1. 跨域互联互通：提供云平台无关的跨云跨池通用声明式网络，屏蔽平台网络模型差异；跨云跨池网络互通统一管控、自动化；既支持跨华为云Stack不同版本资源池、虚拟化资源池、华为云之间的三层互通，也支持二层互通。

2. 可视化监控：网络拓扑可视化，流量监控统计，流量路径可视化。

3. 跨域网络安全：提供云平台无关的跨云跨池通用安全模型，屏蔽平台安全模型差异；跨云跨池的计算近端和边界安全统一管控，策略自动化。

4. 跨域数据迁移：跨华为云Stack不同版本资源池、虚拟化资源池、华为云的业务迁移，网络配置和安全策略自动跟随，流量就近出口。

5. 云网协同：广域网控制器集成协同，包括流量标签，流量分类，流量工程，广域链路质量保障；华为广域网控制器协同，生态伙伴广域网控制器协同。

6. WAN流量优化选路：SD-WAN集成协同，包括自动化部署、管理，流量调度，应用性能保障，链路成本优化；华为数通产品的SD-WAN协同，生态伙伴的SD-WAN协同。

ENS面向应用的多云多池应用连接

应用连接旨在实现跨云跨池的应用网络互联、应用治理、应用安全服务化，通过模型抽象屏蔽资源层网络的复杂性，并且兼容多种容器CNI网络方案，为客户提供：

1. 跨域容器网络连接：集中管控跨K8S集群容器到容器的连接、容器到服务的访问，服务到容器的连接。K8S集群可以部署在不同的资源池上，也可以采用不同的CNI网络方案。

2. 跨域容器服务互访：集中管控跨K8S集群服务自动发现、负载均衡、流量治理。

3. 跨域容器网络安全：集中管控跨K8S集群的应用网络安全，支持基于命名空间粒度、网段粒度、容器粒度的一致安全策略管理。

总结

今天要向大家介绍的全新的 ENS 服务，专为政企客户的混合多态环境设计，致力于消除网络孤岛和应用孤岛，为客户提供“一张网”的视角，带来便捷、高效、安全、一致、高性能、稳定且简洁的网络体验。

点击关注，第一时间了解华为云新鲜技术~