精华内容
下载资源
问答
  • 云原生网络
    2022-05-26 16:36:52

    一、什么是云原生网络功能?

    云原生网络功能 (Cloud Native Function),也称为容器(化)网络功能,是一种旨在容器内运行的网络功能,容器是捆绑代码的标准化软件单元,因此应用程序可以在不同的计算环境中无缝运行。

    CNF是网络功能“软件化”的最新进展。

    二、什么是网络功能?

    网络功能是网络中定义明确的节点或构建块,负责促进特定行为。网络功能的示例包括路由、自然地址转换 (NAT)、域名服务 (DNS)、负载平衡、防火墙和数据包检查等。

    最初,通信服务提供商 (CSP) 使用物理网络功能 (PNF) 或为促进特定功能而构建的有形硬件对象。为了寻求更好的前进方向,CSP 最终开始将网络功能数字化,虚拟网络功能 (VNF) 应运而生。

    虚拟网络功能(VNF)使CSP和其他类型的公司能够通过使用软件而不是硬件来为客户服务并满足他们的需求,从而更加灵活地运营。虚拟网络功能(VNF),企业通常需要更少的硬件和更少的能耗来实现其目标,可以节省大量的维护成本。由于其数字信息的特性,虚拟网络功能(VNF)可以更轻松地完成升级和推出新服务。

    虽然虚拟网络功能(VNF)的出现确实帮助企业减少了资本支出并加快了服务的速度,不像物理网络功能 (PNF)需要漫长的等待周期,企业虽然可以使用现成的商用服务器运行网络功能(VNF),但仍然需要一些准备时间来实现。对于实时数据处理和决策的系统而言,仍然不能满足这类需要。

    这些因素导致了网络功能发展的下一阶段的到来:Cloud Native Function,云原生。 

    三、云原生是什么意思?

    云原生是一种(有点)新的软件开发方法,在这种方法中,企业也可以使用云中的工具、资源和其他服务完全在云中构建、部署和运行应用程序。

    借助云原生(CNF),可以进一步抽象物理硬件,并利用云服务的一些优势,包括弹性、速度、可扩展性和灵活性等。

    四、云原生的主要特性

    云原生有一些非常常见的特性以及它们提供的好处。

    4.1  微服务

    以往的软件开发,只有一台计算机,网络也很原始,软件都集中在巨大的、单一的组件上,旨在一次性解决所有问题。现代方法是将问题分解,让每个子问题成为微服务的责任,这中方式有很多好处:

    • 以将预先打包的开源组件实现为微服务,无需对它们进行任何更改。

    • 拥有许多小组件使其更易于扩展。

    • 微服务使重用变得更加简单。通过在开发过程的一开始就坚持零依赖和明确定义的API,一个优秀的微服务组件,不关心它周围发生了什么,或者在什么上下文中被使用。

    • 团队开发要简单得多,因为一旦定义了API,不同团队就可以独立并行开发不同的微服务。

    4.2  容器化

    最初,所有软件都是直接在计算机操作系统上开发和运行的。这导致了问题:

    1. 资源与其他应用程序共享,有时会有资源利用的冲突。

    2. 统一所有环境(开发、测试、生产)的操作系统、库或其它环境的更改,通常很难做到的,有时甚至是不可能做到。

    3. 当进行低级别更改(例如对配置文件)时,随着时间的推移,它们会导致该物理服务器独有的环境,使支持和管理成为一场噩梦。

    这个问题的第一个解决方案是虚拟化。操作系统没有运行应用程序,而是运行了另一个运行应用程序的操作系统副本。大型服务器可以运行多个虚拟机,每个虚拟机都可以运行一个应用程序,我们不必担心它与其他应用程序发生冲突,因为它们在不同的虚拟机上。但虚拟机 (VM) 也存在问题:

    1. 因为虚拟机通常是一个实时操作系统的完整映像,上面有一层薄薄的应用程序,所以它的大小通常为GB级别范围。

    2. 除了大得笨拙之外,VM启动需要很长时间才能加载和运行。

    3. VM可以隔离CPU和内存,但仍然在不知情的情况下共享网络和 IO。

    4. 虚拟机仍然需要正常操作系统需要的所有安全性和其他补丁以及其他东西。

    容器化是更近一步的优化方案。容器化可以获得足够的操作系统服务来运行应用程序,还可以拥有自己的库等,但实际上与许多其他容器共享操作系统和硬件。容器不会自动感知同一服务器上的其它容器。容器不仅可以快速启动,而且可以通过编程方式创建和删除。容器由容器管理器运行,有丰富的API和工具可以完成对容器的控制。

    4.3  服务注册

    微服务和容器化带来了另外的复杂性问题。过去每个人都知道所有应用程序在哪里,因为只有服务器数量和功能比较明确。但是对于微服务和容器化,应用程序是无法通过硬编码方式找到其它组件的名称,而是必须其它方式找到它们并连接它们。

    这就是服务注册中心的作用。服务注册中心是一个数据库,旨在存储应用程序级通信的数据结构,并作为应用程序开发人员查找模式和注册应用程序的中心位置。换句话说,它是微服务声明其存在、可用性和功能的地方。虽然解决了组件服务发现的问题,但也引入了单点故障问题。

    4.4  无状态服务

    传统上,在应用程序开发中,持久化是一个核心问题。持久化意味着应用程序会将改变的数据保存,甚至会影响未来程序的运行预期。容器化不擅长持久化数据,所以很多服务是“无状态的”,这意味着它们没有存储数据或者依赖历史数据的地方。这也意味着容器没有关于它们正在做什么、已经做什么或应该做什么的可靠存储的本地信息。相反,他们使用有状态服务来跟踪所有这些。当然有一些场景,例如在内存中缓存数据等。那些涉及共享的资源,则依赖于有状态的服务来保证它们的正常运行。

    无状态服务非常受欢迎,并且有充分的理由:如果应用服务确实是无状态的,我们可以根据需要运行更少或更多的容器来实现它,而不必担心可扩展性。

    五、云原生功能的主要优势

    随着5G的不断推出和越来越多的工作负载在边缘处理,越来越多的公司正在摆脱虚拟网络功能并采用CNF——如果不将VNF和CNF 相互结合使用的话。这是因为CNF带来了很多好处,包括:

    提高灵活性和敏捷性,因为推出新服务或升级不再涉及更换任何硬件。相反,企业可以创建一个新的微服务并将其推广到现有的基础架构上,从而加快上线时间并降低与以传统方式实施新产品相关的成本。云原声功能的最大好处是,它使我们摆脱了在单一、价格过高的硬件集上运行的单一、极其复杂的应用程序的束缚。可以混合搭配、扩大和缩小规模,将部署克隆到新市场,而不是在工程部署方面花费大量的无效时间。

    • 降低成本。因为程序部署需要的硬件比支持VNF所需的硬件还要少。由于按需使用付费和按需的可扩展性,应用程序始终能够访问所需要的基础设施,同时只需为确切使用的硬件资源付费。

    • 改进的可扩展性。因为容器化的微服务可以根据需要横向或者纵向扩展。由于云的特性,很容易部署更多的硬件资源,支持大量流量或并行用户涌入,基本上可以认为我们拥有无限可扩展性。

    • 提高容错性和可靠性。如果一个容器因任何原因而离线,运维人员可以立即启动另一个容器。由于升级可以在微服务级别进行,因此大型应用不必冒大规模中断或安排系统停机的风险。这反过来又提供了更可靠的产品套件和更好的客户体验。

    六、云原生功能的技术挑战

    虽然云原生功能的好处很多,但如果打算尝试它,则需要牢记一些注意事项:

    1. 需要重新架构现有的网络功能。例如,如果使用任何单体应用程序,则需要将它们分解为微服务。

    2. 无法在一夜之间完全成为云原生。当开始向云原生功能过渡时,需要弄清楚如何确保它们可以与现存的虚拟网络功能交互通信。

    3. 确保数据平台在规模上具有高性能。确保平台可以在边缘处理数据,而不是在数据层和应用层之间来回移动数据。

    有关为5G时代设计并为支持云原生功能,构建的久经考验的数据平台,请访问https://voltdb-china.cn。

    如果您希望集成VoltActiveData到您的技术栈中,请与我们联系!

    更多相关内容
  • 云原生计算基金会(CNCF)发布的《云原生网络功能一致性指南》,52页PPT详细阐述了现有网络功能向云原生网络功能(CNF)演进的方向、一致性要求以及CNCF能够提供的支持和协作。 1、很多电信运营商已经表达了从VNF...
  • 为您提供MOSN云原生网络数据平面下载,MOSN是一款使用Go语言开发的网络代理软件,作为云原生的网络数据平面,旨在为服务提供多协议、模块化、智能化、安全的代理能力。MOSN是Modular Open Smart Network-proxy的简称...
  • 从6大应用场景深入探讨2022云原生网络发展趋势。

    云原生技术在飞速发展的过程中不断地进入更多的行业和领域,作为云原生网络发展的见证者、亲历者,Kube-OVN Team对大量用户的技术选型、应用场景、落地实践经验进行分析,看到了一套不同于以往的网络发展趋势。

    当下网络的瓶颈和机遇在哪里?

    是否有可参考的场景来印证这些方向?

    本篇文章将和你一起发现和探讨我们眼中的“云原生网络”发展趋势及应对方法!


    主要发现

    •       单一 CNI 很难满足所有场景需求,不同场景会出现特定网络插件:

    •       不依赖特定 CNI 的网络辅助组件会不断涌现

    •       新技术涌现,传统技术回归

    •       软硬件结合将会把云原生网络带向新的战场 

    云原生网络主要应用场景 
     

    近些年,云原生技术在飞速发展的过程中也在不断地进入更多的行业和领域。我们最早认为云原生技术,还主要是互联网企业以及一部分技术领先企业(比如应用微服务架构)的选择。但在灵雀云多年的实践中,我们看到更多领域的企业和场景在不断接纳云原生技术。主要有以下的几个比较明确的应用场景:

    1、传统应用上云

    一些传统行业的企业,如金融、能源、制造、车企的应用希望基于K8s做云原生应用现代化改造,是现在的一个大趋势。

    2、数据中心基础设施建设

    云原生技术现在来看不只是只针对应用、服务,而是不断地下沉到数据中心的基础设施中去。我们发现,现在的整个IT基础设施,趋于通过云原生的方式进行编排和管理。

    3、边缘计算场景

    这些年比较火边缘计算相当于把计算不断地推到离用户更近的地方。这种场景下,传统的CDN把计算往边缘CDN上推的过程中云原生也发挥了很大的作用。

    4、多集群跨云管理

    随着早期云原生用户规模的不断扩大,产生了多集群、跨云的管理问题。

    5、“金融级”安全和审计要求

    相较于K8s比较松散比较灵活的安全审计要求,在金融领域,我们看到了“金融级”更加严格的安全、审计应用场景。

    6、运营商5G

    运营商的5G业务在国内已经广泛布局,在这个过程中存在很多5G、流量编排的任务开始用云原生技术去做落地。


    在总结应用场景这个过程中,我们发现网络经常成为这些云原生场景落地的瓶颈。在计算和存储部分,目前都有一些成熟的解决方案,但在网络部分不是功能不足,就是性能不够,或者监控、可视化等分析跟不上,又或者是安全的要求不达标……种种限制导致云原生网络还面临着很多的一个发展机遇和挑战。下面我就会结合各种各样的场景来分析,云原生网络网络面临哪些新的需求,以及目前来自于开源项目和商业化的厂商给出的解决方案。

    首先来看一下最早的容器网络方案的基本的拓扑。这是一个Flannel的架构的一个示意图,最早的容器网络是针对K8s、微服务这种服务平台来设计的,所以它希望做到开箱即用,对底层的网络要求很低。在整个云原生早期的应用视角来看,平台希望把网络完全屏蔽掉,不希望暴露更多的网络细节给用户。

    在这个方案里,每个节点固定有一个固定的网络IP段,这样、能够减少IP分配,通过iptable这样的一些内核技术来实现其安全策略。这样的一个网络模式和结构,在早期来说是与整个云原生的理念符合的,但是随着云原生向更多的领域渗透的过程,这样的网络模型就显得不够用了。 

    场景1:传统应用云原生化

    我们以“传统应用云原生化”这个场景为例做简单分析。

    •       传统应用不管是开发、部署、运维模式都是和微服务框架完全不同。很多应用的开发运维都依赖于固定IP,需要对IP有很强的管控能力。但最早期的云原生网络是不具备这样能力的。

    •       我们发现在传统的我们之前只是把一些应用部署在 K8s上,但是现在越来越多的人会把中间件等一些有状态服务部署在K8s里面,而且需要对外提供服务,相当于K8s集群中运行中间件,也是需要对外提供一个固定的服务地址并且是从外部可以访问的。

    •       我们的一些用户由于历史原因,应用无法全部云原生化,需要集群内外互通直达。

    •       我们的一些用户还存在应用、网络管理分离,需要传统网络友好的容器网络。

    以上这些,是我们在传统的应用云原生化的场景中遇到的问题。 如果我们把这些问题抽象来看,其实是有以下几个需求:

    1、Underlay 网络

    传统应用需要的并不总是灵活的overlay网络,可能更需要这种underlay网络。直接把容器网络以固定IP的方式在我二层暴露出去,通过交换机打通,这样整体的开发、部署、运维的冲击是最小的,尽管这个可能不太符合云原生最早的一些理念,但是从实践上来看,这种方式其实是落地最快的。

    2、灵活的 IPAM

    用户需要对IP有很强的管控,而且也不希望你的IP是和节点绑定的,所以需要一个更灵活的 IPAM来完成这样的功能。

    3、Whereabouts, Macvlan, Bridge, Multus-CNI

    在社区有一些开源的解决方案,比如像Whereabouts,它其实是一个 global级别的一个IPAM工具,就是你可以通过这个工具来设置一个全球的iPad其他的项目。Underlay网络可以通过Macvlan还有Bridge这样一些插件去实现。如果需要多网卡多IP,还可以通过Multus-CNI的方式去实现,尽管这些方式看上去很传统,但在传统应用云原生化的场景下是很实用的解决方案。

    应用场景案例: 

    云原生网络 Kube-OVN的企业级实践之路

    Kube-OVN云原生网络性能的自我救赎 

    场景二:数据中心基础设施

    第二个大趋势是云原生技术向数据中心下沉,K8s托管的业务不再是应用,不再是微服务,而是整个IT基础设施。在这种大趋势下,网络不是一个单纯的容器网络,而需要同时承载容器、虚拟机、甚至是裸金属,以及很多异构基础设施。然后你的基础设施中有不同的交换机、路由器、防火墙等各种各样的网络设备和硬件设备,需要通过网络进行统一管理,而且在这种规模下,用户大多数情况都有多租户VPC的需求。

    现有的很多K8s网络相当于二层、三层打通的统一的网络平面,但在数据中心的场景下更需要多租户的隔离。此外,数据中心对南北向的流量有一些更高的要求,他们在网关层面上可能需要有一些高性能、高可用横向扩展的能力,这些都是传统数据中心SDN的理念,现在是不断向云原生来迁移。

    我们看到,一些传统的数据中心网络厂商,SDN厂商,以及一些硬件厂商现在都在不断的把他们的网络融合到K8s中来,因为用户对传统SDN的需求还在。

    在开源的领域,由灵雀云开源的K8s CNI 插件Kube-OVN已经在做这样一些事情了,你可以创建VPC,可以创建subnet,可以给每个租户创建LB/EIP/NAT防火墙,甚至还有DHCP/DNS这样的一些租户内部的网络应用。

    从商业化工具来看,像VMware的NSX-T也在做类似的事情。我们见到国内的一些传统的做SDN的厂商也开始往这个方向发展,所以大家很快就能看到一些很成熟的数据中心的基础网络商业化产品。

    应用场景案例:  

    基于Kube-OVN打通OpenStack和K8s网络

    云原生虚拟化的最佳拍档:Kube-OVN + KubeVirt 
    实践案例 | Kube-OVN在字节跳动的应用场景和技术探索


    场景三:边缘计算场景

    边缘跟数据中心的场景有很大的差异,因为在数据中心里整体的计算资源是相对充足,可以完善很多像VPC多租户这种设备托管理的高级功能。但在边缘的场景就会是完全另一种情况,它的资源紧张,而且节点与节点之间的网络很不稳定,设备之间无法直接互联。边缘场景下完全打破了K8s的网络模型,产生了一些特别的需求。

    在这种情况下,需要一个更加简洁的网络,尽可能的减少资源的占有和消耗。同时,由于网络状况不稳定,不能像数据中心的网络有集中式的控制器,所以节点必须网络自制的能力,保证节点之间正常通信。由于设备之间连通性也相对较弱,在边缘的场景对路由、代理、VPN等功能会有更高的要求。

    应用场景案例:  

    实践案例 | 基于天翼云边缘计算场景,Kube-OVN社区最新拓展特性一览 

    场景四:集群互联场景

    近些年,集群网络管理需求变得越来越多。越来越多的用户不再是管理一个K8s,而是跨公有云、私有云,或者是跨地域的多个K8s,需要异构的网络集群的打通。

    这种情况下,用户网络策略跨集群的打通;流量需要实现一个跨界型调度,完善多集群流量管理及加密;很多的这种高级的功能不断涌现。

    基于这些需求,Kube-OVN做了以下方案应对:

    •       基于隧道的跨集群互通网关

    •       IPSec, wireguard 等加密方式支持

    •       Multi-Cluster Service APIs 实现

    •       跨集群 Ingress,NetworkPolicy 控制器

    •       跨集群服务网关

    •       Submariner, Clusternet, Cilium

    除了Kube-OVN,这里也介绍几个开源社区中具备跨集群能力的网络组件:
    Submariner可以做到集群的这种网络的互通;

    Clusternet很多的像边缘计算的框架里面都会用这种代理;

    Cilium也在做跨集群互通的事情,但Cilium的应用成本比较高,应用跨集群能力也需要同时用到它整个的数据平面控制平面。

    应用场景案例:  

    F5 & Kube-OVN 联合方案加速 PaaS 与基础架构的融合


    场景五:“金融级”的安全和审计

    灵雀云在金融客户中有很多落地案例,所以我们深刻总结了金融用户应用云原生网络的场景痛点和问题。在“金融级”场景下,存在更多监管方面的问题:

    1、金融用户希望有根因分析,必须分析到很彻底原因故障到底是怎么产生的;

    2、安全的规范也更加严格的,需要多层次细粒度的规范;

    3、金融需要较强的流量审计需求,需要保存所有流量方便日后进行审计分析,甚至进行一些故障的回放,日后进行演练。

    所以金融用户对云原生网络提出了更高的要求。我们需要有更细粒度、不同层次的网络安全策略,不单单是面向应用的网络策略,而是分层、分用户的安全策略。

    与此同时,金融用户需要有一些容器流量镜像的能力,像银行传统的那种流量现象,其实都是有专门的团队做分析,像商业化npm公司目前也开始转型做云原生的流量分析。

    应用场景案例:

    金融行业企业级容器云平台网络方案
    Kube-OVN:大型银行技术团队推荐的金融级云原生网络方案
     

    场景六:运营商的云原生网络场景

    运营商的特点与边缘有些类似,他们会更靠近终端的客户,但是资源比较充足。另一方面运营商对性能和延迟会比较敏感,在运营商的场景下,更多是OpenStack或者VM这种方式来部署应用,而不是通过容器化部署应用。另一个很明显的特点是,运营商同场很注重一些节点之间的网络性能。

    对于运营商来说,他们对同住机制内的不同的容器或者是不同VM进行流量交互,基于此我们需要提供一些软硬件结合的一些网络加速方案,在延迟很敏感吞吐量特别大的情况下,用SR-IOV,DPDK,或者先进的智能网卡来完成流量处理和加速。当然,也可以使用像eBPF这样的工具来完成节点内的流量转发。

    应用场景案例: 

    联通天宫平台数字化虚拟网络基座实践
    软硬兼施:多功能、零损耗的云原生网络方案
     

    我们对云原生网络发展的解读 


    以上,介绍了不同的场景下的挑战和对网络一些需求,以及现有的开源和商业化产品的应对措施。下面做一个简单的总结。

    •       单一 CNI 很难满足所有场景需求,不同场景会出现特定网络插件:

    从以上这些场景也可以了解到,,目前用户对于云原生网络的需求特别多,一些场景之间的需求是相互矛盾的,我们认为可能在不同的场景下可能会出现特定的网络插件,专门解决某一领域的问题。

    •       不依赖特定 CNI 的网络辅助组件会不断涌现

    例如Submariner或 Clusternet,不是一个完整的数据平面,但是他们是在数据平面不同的CNI之上再做了一个特殊场景化的功能。这种情况下,我们可能就不需要去因为某一个场景去完全实现一整套的网络功能,可能我只需要对某个场景实现特定的网络功能了,剩下的功能组件去不断辅助完成整个的功能。

    •       新技术涌现,传统技术回归

    我们看到一些新技术不断进入云原生领域,比如像eBPF、智能网卡这样的一些软硬件都在与K8s做融合。与此同时,我们也看到很多传统技术在不断的回归,很多网络需求其实都是很多传统网络的需求,这些云原生传统的技术可能会对整个云原生网络能力有一个不断的增强。

    •       软硬件结合将会把云原生网络带向新的战场

    我们传统容器网络就只在软件层面,硬件只是在硬件层面,但是我们看到这种软硬件结合的场景,可能会在不同的领域、特定场景中发挥巨大的优势。在这种模式下会给云原生网络的发展带来一个新的可能。

    展开全文
  • 面向万物智联的云原生网络.docx
  • 1.前言边缘节点又被称为POP(point-of-presence)节点,通常边缘节点设备更接近用户终端设备,其主要作用是加速终端用户访问数据中心网络资源。从节
  • 为您提供MOSN云原生网络数据平面下载,MOSN是一款使用Go语言开发的网络代理软件,作为云原生的网络数据平面,旨在为服务提供多协议、模块化、智能化、安全的代理能力。MOSN是Modular Open Smart Network-proxy的简称...
  • 为您提供MOSN云原生网络数据平面下载,MOSN是一款使用Go语言开发的网络代理软件,作为云原生的网络数据平面,旨在为服务提供多协议、模块化、智能化、安全的代理能力。MOSN是Modular Open Smart Network-proxy的简称...
  • 为您提供MOSN云原生网络数据平面下载,MOSN是一款使用Go语言开发的网络代理软件,作为云原生的网络数据平面,旨在为服务提供多协议、模块化、智能化、安全的代理能力。MOSN是Modular Open Smart Network-proxy的简称...
  • MOSN是一款使用Go语言开发的网络代理软件,作为云原生网络数据平面,旨在为服务提供多协议、模块化、智能化、安全的代理能力。MOSN是Modular Open Smart Network-proxy的简称。MOSN可以与任何支持xDS API的Service...
  • 云原生系列】云原生下的网络安全如何防御?

    千次阅读 多人点赞 2022-07-14 09:18:24
    云原生下的网络安全如何防御? OneDNS来解决!

    📢📢📢📣📣📣

    哈喽!大家好,我是【Bug 终结者,【CSDNJava领域优质创作者】🏆,阿里云受邀专家博主🏆,51CTO人气博主🏆 .

    一位上进心十足,拥有极强学习力的【Java领域博主】😜😜😜

    🏅【Bug 终结者】博客的领域是【面向后端技术】的学习,未来会持续更新更多的【后端技术】以及【学习心得】。 偶尔会分享些前端基础知识,会更新实战项目,面向企业级开发应用
    🏅 如果有对【后端技术】、【前端领域】感兴趣的【小可爱】,欢迎关注【Bug 终结者】💞💞💞


    ❤️❤️❤️ 感谢各位大可爱小可爱! ❤️❤️❤️

    OneDNS 免费使用

    ✨前言

    事情是这样的,今天,和往常一样,在开心的码代码,朋友的一条消息发了过来,具体内容为,他买了阿里云的服务器,但是今天阿里云官方给他发了一条告警消息,内容是 您的 服务器可能遭受到了攻击,吓得他立马登录阿里云控制台查看,这一看,好家伙,CPU飙升到了100%,我猜是被恶意挖矿了

    一、解决问题

    我登上了他的远程服务器后,查看CPU进程,排查了各种原因,终于,找到了,原因是Redis 服务开启,未设置密码,导致被恶意攻击了,设置上密码,开启阿里云防护,就没问题了。

    网络安全可是大问题啊,你要注意啊,提高网络安全认识!

    二、什么是网络安全

    “网络安全”是指在保护网络和数据的可用性和完整性下的任何活动。它包括硬件和软件技术。有效的网络安全管理对网络的访问。它针对各种威胁,并阻止危险进入或传播到您的网络。

    网络安全问题是现在的要点,如果一个企业或者个人对网络安全不重视,那么他所产生的价值可能随时被窃取!

    如何才能解决网络安全的问题呢,如何做好防御呢

    等等一系列的问题,表明了网络安全是多么的重要!

    One DNS,可谓是DNS中的极品,我们来看看OneDNS能为我们解决什么问题。

    三、什么是 OneDNS?

    OneDNS并非传统的DNS,而是具有安全检测/防护能力的DNS,隶属国内新一代网络安全公司微步在线。传统的DNS只提供解析服务,但我们并不知道解析性能怎么样,出了问题也很难发现,同时还有DNS流量劫持等风险。

    OneDNS是一个轻量化办公网安全上网服务,全面防护新型威胁及变种,一个账号搞定多分支。

    可以确保任何一台终端、任何一个办公职场安全地接入到互联网,有效防护恶意软件、勒索病毒、APT攻击、钓鱼链接、非法站

    点等多种新型高级威胁,实现检测、拦截、定位、取证闭环。

    在这里插入图片描述

    ⛅DNS是互联网访问必备的基础服务

    DNS:域名系统(DomainNameSystem)的缩写,因特网的一项核心服务,相当于互联网的GPS。

    可以看成一个巨大的通讯录,主机访问域名时,把网址解析为对应IP地址给出终端。

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fKp2nUr1-1657761482046)(D:\攥写文章\onedns2.png)]

    四、OneDNS能解决什么样的问题?

    ☁️OneDNS 的建设背景

    真正让企业头痛的网络安全攻击往往是“来无影,去无踪”的,无法检测和防护的攻击让安全建设防不胜防。

    在这里插入图片描述

    ⛄OneDNS:替换企业或终端原有的递归DNS

    绝大部分企业今天选择:

    免费的、从互联网上随意搜索到的、没有SLA保证、不具备安全能力的DNS

    在这里插入图片描述

    ⚡OneDNS核心能力

    在这里插入图片描述

    ☔办公终端的高级威胁防护

    高级威胁全面防护,自动拦截实时阻断

    微步在线威胁情报云,准确率高达99.9%

    在这里插入图片描述

    五、OneDNS 成功解决互联网安全案例

    ⌛医疗行业网络安全解决方案

    医疗行业网络安全是我国网络安全的重要组成部分,受到国家高度重视。无论从医院、

    基层医疗机构信息化建设,以及一些基本惠民便民的传统医疗信息系统建设,到国家出台的

    医疗行业信息安全法律,无不强调落实做好医院网络安全工作。虽各方高度重视,但我国医

    疗行业网络安全仍处于工作起步较晚、整体风险较高、 防护水平相对落后的局面,网络安

    全形势不容乐观。主要体现在如下方面

    医疗机构网络结构复杂,网络安全边界日渐模糊。

    医疗行业根据业务种类和信息的重要

    性,通常将网络依据 VLAN 划分为医疗内网和信息外网,两网之间通过网闸/防火墙逻辑隔

    离。随着医联体模式的盛行以及智慧医疗的发展,医院逐渐规划出互联网前置区,网络安全

    边界日渐模糊,“内网绝对安全”的情况早已不复存在。

    医疗信息泄露事件频发,网络安全形势严峻。

    2019 年,德国一家漏洞分析和管理公司发现,含有大量医疗放射图像的服务器暴露在公共互联网中,其中涉及中国 14 个服务器系

    统,包含近 28 万条医疗数据,详细记录了患者个人信息及医疗情况,攻击者利用这些数据在暗网中交易获取巨额利润。恶意攻击事件频繁发生、数据泄露成为家常便饭,医疗行业网络安全形势日益严峻。

    内网承载医院的核心业务系统,

    APT、勒索病毒和钓鱼攻击盛行。医疗行业核心业务系统众多,例如信息管理系统 HIS、影像归档和通信系统 PACS、放射科信息管理系统 RIS、电子病历系统 EMR 等应用系统包含着大量的患者信息。由于行业特殊性,医疗行业成为攻击者攻击的重要目标,尤其是勒索病毒和钓鱼攻击更是偏爱医疗行业。2019 年初,某省几十家互联互通医院同时感染 GlobeImposter3.0 变种勒索病毒而被加密;2020 年 9 月,德国杜塞尔多夫大学医院外网遭到勒索软件攻击,病毒感染了 30 台服务,医院的手术系统瘫痪,一名急救病人错失拯救时机而死亡;2020 年 2 月,在我国正处于新型冠状病毒肺炎抗疫关键时期,印度 APT 黑客组织对我国医疗机构展开钓鱼攻击,以“新冠肺炎”话题为诱饵,引诱受害者执行钓鱼指令,从而窃取相关数据。

    私有终端难以统一管理与处置,增大内网感染风险。

    医护人员以及患者、家属针对私人终端进行的所有不安全操作,例如不明网页浏览、不安全链接访问、木马病毒邮件查收等,都存在感染个人终端,继而影响整个网络的风险。这些终端大多属于个人资产,一旦被攻击安全运营人员很难定位到失陷终端,更无法通过统一安装杀毒软件的方式进行查杀,终端统一管控与处置困难。

    安全建设起步晚,人员和管理资源不足,难以应对现有威胁

    医疗行业前期投入更多在基础网络建设以及业务系统建设,在安全人才队伍建设和安全技术防御体系方面投入较少,部署的多是防火墙等被动防御设备,同时安全运营人员、安全管理资源和安全专业能力稀缺,在应对 APT 攻击、勒索病毒、钓鱼攻击等威胁时难以及时监测预警并完成处置。

    整体架构图如下所示:

    在这里插入图片描述

    典型案例

    广东省某医院医疗信息中心互联网安全接入案例

    客户痛点:

    (1)近年来,医疗行业勒索和钓鱼等安全事件频发,该医院作为广东省的三甲医院,逐渐成为攻击者攻击的主要目标,安全运营人员对医院的网络安全情况担忧。

    (2)医院的安全建设投入较少,只有防火墙和上网行为管理等传统安全设备,这些安全设备基于已知的规则,特征库每年更新一次,在网络安全实战化的趋势下,对于勒索病毒以及APT 团伙、钓鱼攻击等新型威胁处于被动挨打的境地。

    (3)医护人员的私有设备通过连接医院无线网络访问互联网,加上医院人员复杂流动性高,私有终端难以做到有效管控,更是增加了医院网络防护的难度。

    解决方案:

    (1)修改医院信息中心出网的 DNS 递归查询地址指向 OneDNS;

    (2)OneDNS 依托于微步高质量的威胁情报,通过情报碰撞,准确识别恶意软件、APT 攻击等新型未知的威胁,自动拦截阻断恶意攻击,帮助医院增强高级威胁防护能力;

    (3)通过云端部署的方式,实现对医疗复杂网络、多系统的统一安全管控,无需部署实施,运维简单,安全运维人员可实时监控安全防护情况,下发安全防护策略。

    使用效果:

    测试周期共计 1 个月,OneDNS 通过持续防护能力,发现并拦截了 93 多起威胁事件,其中 2 起 APT 攻击事件,64 起容易造成数据泄露的恶意软件及木马病毒,有效的对医院信息系统接入互联网提供了安全防护。

    在这里插入图片描述

    六、OneDNS拥有轻量、统一的全集团安全DNS防护体系

    在这里插入图片描述

    ⛵小结

    以上就是【Bug 终结者】对 【云原生系列】云原生下的网络安全如何防御? 的简单介绍,部署 Docker 集群,在当下的网络环境下,我们使用OneDNS来解决我们的痛点是个很好的选择!

    如果这篇【文章】有帮助到你,希望可以给【Bug 终结者】点个赞👍,创作不易,如果有对【后端技术】、【前端领域】感兴趣的小可爱,也欢迎关注❤️❤️❤️ 【Bug 终结者】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💝💝💝!

    展开全文
  • 云原生视角下的开放网络架构.docx云原生视角下的开放网络架构.docx云原生视角下的开放网络架构.docx云原生视角下的开放网络架构.docx云原生视角下的开放网络架构.docx云原生视角下的开放网络架构.docx云原生视角下的...
  • 一文带你了解国内首个“云原生能力成熟度模型”及“云原生网络性能测试方法” 等云原生网络领域最新成果及计划

    4月21日,由中国信息通信研究院云计算开源产业联盟联合云原生技术实践社区(CNBPA)主办的,“原”动力技术沙龙第三期——云原生网络技术沙龙,在线上举行。来自信通院、灵雀云、英特尔、蚂蚁金服、兴业数金、中国移动等单位的多位云原生网络专家,深入探讨了日趋复杂的K8s网络技术、应用场景以及最新趋势。沙龙活动中,信通院解读了国内首个“云原生能力成熟度模型”及“云原生网络性能测试方法” 等云原生网络领域最新成果及计划,灵雀云深度参与编纂工作,为企业提供云原生基础架构能力的权威指南。

    中国信通院云大所云计算部副主任陈屹力为沙龙开场致辞。陈主任表示,当前云原生技术在互联网、金融、通信等领域逐步深入应用,云原生架构也正在向分布式方向演进,基于容器、微服务、Kubernetes等的新型网络架构需要满足诸如网络监测、链路追踪等的各类场景应用要求,这对云原生网络解决方案提出了新的挑战。

    中国信通院云大所云计算部工程师魏博锴,为大家介绍了信通院今年云原生网络方面的最新成果及计划。自2016年,信通院开始云原生领域的技术研究工作,在容器、微服务、无服务器等方面完成了20余项行业标准编制工作,形成了一整套测试评估咨询体系。今年初,国内首个《云原生能力成熟度模型》系列标准技术架构全貌发布,得到业界的广泛关注。企业和厂商,可通过“成熟度模型”网络评估标准快速定位平台系统网络的能力水平,并为远期网络技术演进规划提供切实可行的依据。为核心编写单位,灵雀云专家承担了成熟度模型中网络环境能力建设规范的设计和编纂,为企业提供检验网络通信的复杂度、质量、性能,网络形态的丰富程度,以及对安全策略支撑能力的评级标准。

    与“成熟度模型”共同开展的还有“云原生网络性能测试方法”的技术研究和标准编纂工作。借鉴灵雀云以往性能优化的经验和过程,信通院搭建出了容器网络性能对比实验的场景,并将Kube-OVN、Calico、Flannel、Cilium等主流K8s网络工具进行了初步的横向测评。不同应用场景下,几款网络工具功能和性能各具优势,从测试数据中可以看出,Kube-OVN和Cilium在不同大小包的测试下,TCP和UDP的吞吐量更具优势,呈现出较为优异的性能表现。

    注:测试基于英特尔®至强® Gold 6330处理器硬件得出

    接下来,“云原生网络性能测试方法”研究将结合更多的应用场景需求进行扩展,携手金融交易、零售支付、移动互联,信息交付等领域的企业用户及合作伙伴,不断完善云原生网络性能的测试标准及工具。

    据悉,云原生能力成熟度模型系列标准文稿及评测方案已通过审议,已开始评估工作。“云原生网络性能测试方法”也在紧锣密鼓的讨论与制定中,即将在第三季度正式亮相。

    展开全文
  • 一文带你了解如何打造适用于大中型银行的云原生网络体系建设方案。
  • CNCF推出云原生网络功能(CNF)Testbed

    千次阅读 2019-02-26 11:38:49
    CNCF推出云原生网络功能(CNF)Testbed 开源计划验证了在Kubernetes上运行ONAP网络功能对电信运营商的好处 巴塞罗那,2019年2月25日 - 移动世界大会 - 支持Kubernetes®和Prometheus™等开源技术的的CNCF®(云...
  • 2020云原生产业大会演讲PPT合集,供大家学习参考。 1、阿里云数据库PolarDB 2、博云容器网络Fabric的前世、今生和未来 3、泛在计算服务白皮书解读 4、分布式云及云边协同标准体系规划及解读 5、可信云微服务分级...
  • 云原生PDF文档资料合集.zip
  • 主要介绍云原生架构原则
  • KubeCon 2021云原生开源技术峰会PPT汇总,共14份。 KubeCon 2021云原生开源技术峰会由云原生各技术领域专家,深度分享了基于Karmada, KubeEdge, Volcano等分布式云原生开源软件,实现云边端统一的应用、流量、数据...
  • 作者简介Arthur,Stephen,Jaff,Weir,几位均来自携程云平台基础设施和网络研发团队,目前专注于网络和云原生安全相关的开发。Cilium 是近两年最火的云原生网络方案之...
  • 云原生数据中心网络入门材料,作者是一家网络公司的首席科学家,在网络行业有 20 多年工作经验,曾 是 Cisco Fellow,是 TRILL、VxLAN 等协议的合作者(co-author)之一。
  • 企业上云面临的网络安全问题解析,云原生安全-云防火墙介绍,云防火墙的八大核心能力,四个角度看云防火墙的用户价值,通过云防火墙实现业务上云最佳实践,打造云原生安全体系
  • 总结:云原生架构理解

    千次阅读 2022-04-08 11:00:23
    一、 为什么需要云原生架构? 企业内部 IT 建设如果都基于最底层 IDC 设施独自向上构建,都需要单独分配硬件资源,这就造成资源被大量占用且难以被共享。 但是上云之后,由于云厂商提供了统一的 IaaS 能力和云服务...
  • 基于云原生计算的5G网络演进策略
  • 2020云原生产业大会演讲PPT合集,供大家学习参考。 1、数据库PolarDB 2、博云容器网络Fabric的前世、今生和未来 3、泛在计算服务解读 4、分布式云及云边协同标准体系规划及解读 5、可信云微服务分级评估及拆分指南 ...
  • 2020年云原生产业大会PPT合集(18份),包含主论坛、云原生数据库及安全论坛、微服务应用实践论坛、分布式云与云边协同应用创新论坛、Serverless & Container论坛、DevOps落地实践论坛。 保险行业云原生之旅 云ICP ...
  • 集合了云原生架构白皮书、“云”原生安全白皮书、 云原生中间件白皮书、云原生实时数仓解决方案、企业上云安全解决方案、云原生数据安全解决方案、云原生安全运营中心建设方案、云原生应用安全、云原生网络安全解决...
  • vSphere 7云原生容器网络架构概述.pdf
  • 爱尔兰都柏林和以色列赖阿南纳,2022年1月18日–云原生和分解网络解决方案的领导者DriveNets和来自行业先锋制造商的技术解决方案的全球分销商EPS Global今天宣布建立战略合作伙伴关系,这将加速分解网络市场的发展和...
  • 2.1 安装NFS网络文件系统工具链 2.2 创建共享目录 2.3 暴露共享目录 2.4 启动NFS服务 2.5 测试 第3步:搭建NFS Client节点 3.1 安装NFS工具链 3.2 启动NFS服务 3.3查看服务器上有哪些可以mount的NFS目录 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 67,047
精华内容 26,818
关键字:

云原生网络