如今，VMware 賦予了“EASE”新的含義，那就是 Elastic Application, Secure Edge--“彈性應用、安全邊緣”，這一面向多云場景下現代化應用的體系架構和解決方案。正如“ease”的英文原意那樣，VMware 將通過“EASE”輕松地提供現代化應用的跨云連接和安全服務。

企業應用數字化轉型的挑戰

企業應用的數字化轉型正在同時經歷三大挑戰：應用的容器化和微服務化改造;基礎設施轉型：私有云轉向公有云和多云;遠程工作和 BYOD。

為迎接每一項挑戰，都需要對應用和基礎架構進行一些改進、甚至重構。那么，當同時面臨三項挑戰時，要考慮的就是：微服務架構的“服務單元”能否跨云、甚至跨多個私有云和公有云?微服務的“服務單元”是否一定基于容器?如何使遠程客戶最便捷安全地訪問跨云構建的新型應用?

如果這些挑戰碰撞出來的需求可以實現，將進一步消除應用現代化改造過程中的種種束縛，幫助企業客戶更快、更經濟地實現他們各種應用的數字化和云化轉型，促進企業業務適應不斷變化的全球形勢，并獲得增長。

圖 1 微服務的多云化和安全訪問

由于企業正在改變他們的單體應用程序架構，越來越傾向于支持跨多云環境的高度分布式微服務、利用容器、K8s 和無服務器功能。這意味著越來越多的服務和組件需要被連接，甚至將不同云上的服務作為“服務單元”，以“微服務”的思路組合成全新的應用。用戶從不同位置訪問企業自行構建的應用，或者訪問公有云上的 SaaS 服務時，應在一致的安全策略下進行。

依據市場的云報告《Flexera 2021 State of the Cloud Report》調查顯示：82% 的企業用戶正在使用/建設混合云，而 92% 的企業有多云計劃?，F代化應用越來越多地使用云原生技術來構建，以進行敏捷開發。應用多云化具有很大潛力，也面臨著很多困難和限制。

§ 多云互聯的困境

眾多的公有云是彼此孤立的，沒有通用的網絡標準，提供的網絡和安全功能不同，配置和消費模型也不同。如果我們能夠超越孤島并提供跨云的無縫、安全連接并規范云消費模型時，那么企業應用架構師就可以選擇最符合應用需求的云，并且將組成應用的各個“服務單元”分布在多云中。在每個公有云中，企業擁有一部分資源以及服務，用于構建某個服務單元。此時，企業在這個云上就創建了一個類似于“虛擬專用云 VPC”的應用空間。

不僅在“云 VPC”內部需要 L2-L3 網絡連接、負載平衡、安全和管理功能，在“云 VPC”的邊緣也需要具有緊密集成的連接性、安全性、負載平衡和可觀察性(圖 2)。但如果要將不同私有云、公有云上的來自不同供應商的網絡、安全和負載平衡產品拼接在一起，是非常具有挑戰性的工作，如果再要求由單一控制中心進行統一管理，這就大大增加了復雜性。

圖 2 “云VPC”的安全連接

§ 安全攻擊的位置和數量驟增

基于微服務架構開發的新型應用要求數量更多的內、外部連接，安全威脅攻擊面的數量將隨著這些基于多云的異構應用的使用而上升。安全威脅和攻擊態勢每天都變得越來越復雜，因此對內置安全性的要求已成為網絡的首要任務。在每個“云 VPC”上需要提供完整的安全性，將攻擊面限制在“云 VPC”邊界內?！巴暾陌踩浴币呀洶l展為“零信任”安全目標和方法論，以此為指導的安全設計應該通過控制平面分發到多云基礎設施中的任何地方，以提供更有效的應用安全保障。

§ “遠程工作”、“在家工作”成為新常態

越來越多的員工現在在傳統的辦公室安全邊界之外工作：越來越多的用戶正在使用越來越多的設備，并將它們連接到比以往更多的未知和個人網絡基礎設施中。因此，越來越多的遠程工作使移動設備與敏感的企業資源接觸。由于用戶希望在任何地方工作，并且應用正在跨多個云進行部署，遠程用戶流量的增長要求網絡安全、高吞吐量和低延遲。SASE--安全接入服務邊緣--是滿足用戶接入應用需求的方式。

VMware EASE--彈性應用、安全邊緣

VMware EASE 將應用的連接性、安全性、彈性和安全性作為核心，以服務于應用層為目標。VMware 的現代化應用架構和解決方案(圖 3)可以為用戶提供：

· Antrea(社區版或企業版)：用于云原生應用環境的容器連接和安全

· Tanzu ServiceMesh：提供應用級端到端連接和安全性，提供 API 安全擴展

· 高級負載均衡(NSX-ALB)：用于 K8S 應用的 L4-L7 服務和安全，Web 應用程序防火墻和內置的應用分析

· 全局命名空間(GNS)：用于跨云的虛擬應用連接

· NSX Cloud：用于云內和云間的虛擬化安全連接

· 全面的 SASE 方案：用于客戶與云之間的連接和安全

圖 3 從“云內”到“云間”的應用連接和安全

VMware EASE 是如何“輕松”化解日益復雜的跨云應用連接和安全帶來的挑戰呢?它與其他解決方案之間的差異體現在哪里?我們從多云互聯、應用安全和遠程訪問優化三個方面進行介紹。

§ 應用的跨云彈性連接

通過對 EASE 的剖析可以了解，VMware 以“應用”為中心設計了多云連接方案體系。同樣為“多云”環境提供連接服務的，是已有數年歷史的“DCI”、“InterCloud”等概念方案--它們服務于網絡層，重心在于“DC”或“Cloud”。從這個區別不難理解，EASE 的網絡服務(如防火墻和負載平衡)具備“盡可能靠近應用工作負載運行、遷就應用部署”的方式和特點。

為了讓現代應用通過安全、彈性的網絡進行大規模連接，所有功能都應該是分布式并且集中管理的。圖 4 展示了 VMware EASE 在多云環境中“集中管理、分布式服務”的體系架構?！霸茟每刂破矫妗敝?，不僅有 NSX 管理中心，而且還可以集成分布式計算、分布式存儲的控制平面，集成各種云管軟件、平臺和應用自動化系統。這個架構和理念開放而靈活，不局限于 VMware 的產品。

然而，VMware 是唯一具備云應用全棧產品的方案提供者。VMware 擁有非常廣泛的跨云服務組合，包括網絡和安全。NSX 事實上已經與所有最主要的私有云和公有云基礎架構兼容，并可以提供面向企業用戶的 NSX Cloud 服務。作為 EASE 中最重要的組件，NSX 是分布式防火墻、分布式 IDS/IPS、分布式負載均衡和分布式分析的領導者，NSX 系列將這些關鍵構建塊無縫協同工作，以提供彈性、可擴展、高度可用且易于使用的基礎架構。而且不需要為 NSX 定制設備(硬件)，可以使用既有的通用服務器來運行所有這些服務。這首先將帶來巨大的資本支出節省;隨后，架構師和運維團隊將意識到，這種“分布式”方式顛覆了傳統網絡拓撲的設計原則，優化了流量，并降低了部署復雜性：不再需要設計多 VLAN 之間的復雜的交換體系、不再需要設計“精巧而繁復”的策略路由，分布式的 NSX 轉發機制可以規避傳統網絡中很多令人頭疼的“陷阱”。

圖 4 集中式控制、分布式連接的云應用互連

這個集中的“應用控制平面”并非，也不可能，由某個公有云主導建設且提供給最終用戶。要實現圖 1 所示的各個服務單元之間按需跨云連接，應用所有者應當自己主導這個控制平面，按需選用不同云上的資源和服務，在不同的云上選擇建設最合適的微服務單元，利用 NSX 的多云兼容性和連通性特點，來自定義應用在多云上的擴展和延伸范圍。

在圖 4 所示的架構中，跨云應用控制平面有“控制中心”，而數據平面則沒有“流量中心”。通常在這種多方互聯的需求下會采用中心輻射(Hub-Spoke)的設計或拓撲模型。這種傳統設置存在的明顯缺點是：如果流量從一個云傳輸到另一個云，則必須穿越中心 Hub 位置，這將使中心位置成為阻塞點。在公有云都彼此孤立的體系架構下，這個中心 Hub 不得不由企業用戶自建，難度和資金壓力非常大;當業務增長需要擴大規模時，將導致更加高昂的投資，用更大規模、更大的設備來增加互通容量。

隨著 VMware NSX 和 SD-WAN 提供的技術方案的實現，將網絡和安全服務引向邊緣，我們實現了從中心輻射拓撲到網狀拓撲的演進。流量現在可以直接在任意兩個云之間實現“一跳可達”，因為不再需要經由某個 Hub 中心位置了;這樣擴展問題就解決了，而且故障影響域也縮小了。

我們將這種基于 EASE 的云應用互聯(圖 4)與 ServiceMesh 的服務單元互聯(圖 5)進行類比，不難發現：EASE 代理了企業客戶在各個“云 VPC”之間的連接，就如同 Sidecar Proxy 在 ServiceMesh 架構內發揮的作用，基于 EASE 的云間應用互連，就像是 ServiceMesh 在多云尺度上的放大。這個類比可以幫助我們更好地理解 EASE 的“無中心、分布式”流量模式和它的必要性。EASE 比 Kubernetes 世界里的 Sidecar Proxy 更加靈活。因為被 EASE 連接的服務，不限于是單個 Kubernetes 集群中以容器方式構建的單元，也可以是不同位置上私有云中基于裸金服務器的服務、基于虛擬機的服務、公有云上的云原生應用或 SaaS 服務……

圖 5 基于 Sidecar 的服務互聯參考模型

§ 應用的“安全邊緣”和可視化

通過 EASE 的設計指導思想，“云 VPC”連接拓撲將被優化，減少了連接安全保障所面臨的困難，這是對“泛安全焦慮癥”的最合適的治療方式。連接必然具有開放性，這是連接的活力所在;開放則必然引入受攻擊的可能性;為了“安全”而選擇“封閉”就是因噎廢食。新冠疫情期間，我國采取的“動態清零”策略和針對檢驗檢疫而增強的邊境口岸管理方法，就是在保持開放性的同時與病毒保持相對隔絕的生動案例。

在云應用場景中，對多種多樣云連接的方式和拓撲進行歸納、整理、簡化，有助于我們厘清多云環境下的安全態勢和需求，有助于我們制定更加針對性的安全措施。

EASE 簡化架構下的云連接安全性可以歸納為三種場景：

a) 在 “云 VPC” 內部，制定并實現流量的東-西向安全策略

b) 在“云 VPC” 的邊緣進行連接的安全加固，如防火墻、入侵檢測和防御、IDS/IPS 和 Web 應用程序防火墻

c) 對一個“云 VPC”到另一個“云 VPC”的流量進行加密

EASE 對“云 VPC”的邊界進行了重新定義，這個邊界不是在數據中心/云的物理邊緣，而是遵循應用分散部署的特點而定義的“虛擬邊緣”。

以往，由于缺乏對安全策略的一致性和落地貫徹進行集中管理，經常采用的應對措施是建設諸如“安全服務區”或“流量清理區”這樣的設施，只有在這里，才能較大程度發揮傳統安全設備的功能，這也就是數據中心/云的物理安全邊界。

隨著應用微服務化和敏捷開發運維流程的引入，固定的物理安全邊界無法跟隨應用的位置的變化，反而制約了應用的生長和彈性擴展--狠抓安全，就把應用“管死了”;發展敏捷應用，就會發現物理安全邊界上“千瘡百孔”，被動封堵無濟于事。

EASE 面向應用，通過 NSX 的分布式安全功能，將“物理安全區”的功能分散到各個應用集群中，形成對應用的貼身安全服務。這樣，“應用安全邊緣”就簡化了，面向應用的安全邏輯應當、也必須基于應用特征和標記，而不是基于 IP 地址或 VLAN 編號。企業用戶也就可以在自身應用的邊緣自行劃定安全邊界并執行自定義的安全策略，無需依賴公有云或電信運營商的“安全服務中心”。

NSX 方案家族提供了 L2-L7 完善的安全功能(圖 6)，適用于私有云、公有云環境中以裸金服務器、虛擬機、容器形態承載的應用，可以覆蓋以上三個方面的策略需求，實現多云、一致的安全。

圖 6 NSX應用交付安全堆棧

應用互聯時，我們不僅要在基礎設施級別進行監控，還要在應用級別進行監控，需要了解多云環境的實際狀況，這也是云安全不可或缺的一部分。對應用的健康，不僅限于從流量的角度，也要從客戶體驗的角度、從端到端遲的角度、從敏捷應用反應的角度。應用跨云連接時，不同云提供了不同的可見性工具，這些工具無法實現跨云可見性，這種割裂會增加安全團隊的盲點。EASE 中集成了適應多環境的可觀察性工具(圖 7)，正是跨云連接安全所需的特性。有了這種權威的基于場景的威脅情報，安全團隊將減少盲點，并能夠調整安全控制和策略以更快地解決安全事件。

圖 7 跨云可視化是實現應用安全的必選項

§ 用戶對云應用的安全訪問

用戶在使用基于 EASE 構建的跨云應用時，涉及用戶與應用之間的連接和安全，就必須提到 SASE，即“安全訪問服務邊緣”(圖 8)。

SASE 更多地以用戶為中心。SASE 的誕生和普及源于這樣一個事實：即用戶真的越來越需要在任何地方進行云應用的訪問，可能在家里，可能在車里，可能來自公司辦公室。某種意義上來說，SASE 可以看作 SDWAN 的升級和擴展，能夠優化從網絡邊緣到云上的應用、或回傳到企業數據中心的網絡傳輸，同時提供滿足“零信任”要求的最小特權訪問。SASE 圍繞著用戶和用戶正在使用的設備，收窄并控制對于應用的訪問權限。SASE 中也包含防火墻功能，比傳統防火墻更加靈活和主動，能夠圍繞應用、用戶、分支站點以及“在家辦公”的環境創建安全邊界。

因此，通過這種方式，以用戶為中心的 SASE 和以應用程序為中心的 EASE 可以共同提供更大的、更適合現代應用程序的應用程序，并且人們實際上不受其分支環境的束縛，能夠實際從任何地方工作。

圖 8 從 SASE 到 EASE

結語

以上，我們描述并討論了應用的多云轉型過程中許多亟需解決的云連接挑戰，以及基于“彈性應用、安全邊緣”思想的 VMware EASE 解決方案架構。

在過去的十年中，VMware 一直致力于開發并提供多云網絡服務的軟件，以 NSX 為核心創建了一個非常全面的平臺。NSX 在私有云、VMware 云以及 AWS、Azure 和 Google 云中都有成千上萬的客戶。大多數“財富 100 強”客戶都使用 NSX 進行了大規模的云建設，這些部署案例中，NSX 運行了企業網絡所需的完整功能集。開發人員可以使用基于意圖的策略輕松實現 NSX 自動化，也就是實現了連接和安全的自動化。我們堅信，憑借軟件定義的領先地位、持續的投入和創新，NSX 可以成為您首選的多云現代網絡平臺，EASE 可以成為令人興奮的多云之旅中值得信賴的跨云應用連接方案。