Migrace pracovních zátěží do cloudu přichází s řadou výzev. Ve společnosti Oracle Cloud Infrastructure (OCI) se na tyto přechody dívají z optiky zákazníků, mají na paměti jejich zájmy a cíle a berou tyto výzvy jako příležitosti k vytvoření bezproblémové migrace.
Aby nám zjednodušili migraci na OCI, spustili v roce 2020 funkci Bring Your Own IP (BYOIP), která nám umožňuje znovu používat vaše vlastní veřejné IP adresy na OCI. Tato funkce umožňuje zachovat reputaci IP vázanou na tyto adresy IP. Zákazníci mohou i po migraci služeb na OCI nadále používat stávající zásady zabezpečení.
Nyní jsou v tomto směru o krok dále zavedením funkce Bring Your Own Autonomous System Numbers (BYOASN). S podporou BYOASN na OCI si nyní můžete přinést svá vlastní ASN do OCI a použít je pro své předpony BYOIP. Toto vylepšení vám umožňuje zachovat vaše ASN a reputaci s ním spojenou při migraci do cloudu Oracle.
BYOASN je v současné době podporován pro ARIN, RIPE a APNIC Regional Internet Registries (RIR) a je dostupný ve všech komerčních regionech OCI.
Proč potřebujeme BYOASN?
Zachování dobrého jména sítě
Rostoucí potřeba schopnosti BYOASN pramení z rostoucího důrazu na reputaci sítě a internetovou bezpečnost. Skóre reputace ASN je měřítkem důvěryhodnosti IP sítí v ASN. Více organizací, jako jsou poskytovatelé internetových služeb (ISP), poskytovatelé sítí pro doručování obsahu (CDN) a odborníci na kybernetickou bezpečnost, nyní zkoumá nejen pověst IP, ale také pověst ASN. Sledování skóre reputace sítí ASN na internetu jim umožňuje zaměřit své bezpečnostní úsilí na síťové entity s nižším skóre. Mohou například podniknout příslušná opatření k blokování tras IP nebo sledování provozu IP spojeného s ASN s nízkou reputací.
V důsledku toho jsou organizace, které nabízejí služby přes internet, vysoce motivovány udržovat a zlepšovat reputaci své sítě, protože silná reputace IP a ASN je nezbytná k tomu, aby zabránily blokování jejich sítí nebo provozu ze strany ISP, poskytovatelů CDN nebo dodavatelů kybernetického zabezpečení. Při migraci služeb do nového prostředí však čelí výzvě udržet si tuto reputaci, aby se zabránilo narušení služeb souvisejících s reputací. Protože reputace sítě je přímo vázána na IP adresy a ASN, efektivním řešením je přenést jejich stávající IP adresy a ASN do nového prostředí. Tento proces je kořenem potřeby BYOIP a BYOASN na OCI.
BYOASN doplňuje BYOIP pro správu reputace sítě. BYOIP umožňuje organizacím udržovat si svou reputaci IP tím, že do OCI přivede své vlastní veřejné IP adresy, zatímco BYOASN jim umožňuje zachovat si reputaci ASN opětovným použitím jejich vlastních ASN na OCI. Společně tyto dvě funkce poskytují širší prostor pro zachování stávající síťové pověsti organizace.
Bezproblémová migrace
Díky spolupráci s BYOIP nabízí BYOASN vylepšené řešení správy IP adres (IPAM), které usnadňuje bezproblémovou migraci na OCI. Zákazníci mohou nadále používat své vlastní bloky CIDR veřejné IP s vlastním ASN na OCI, aniž by se museli obávat dalších ověřování souvisejících s asociací ASN nebo kontrolami reputace ASN. Zachování stejných veřejných IP CIDR a ASN během migrace eliminuje potřebu aktualizovat bezpečnostní pravidla nebo zásady směrování, zjednodušuje proces a zabraňuje prostojům. Díky tomuto přístupu je migrace hladší a efektivnější.
Povolení větší kontroly směrování
S BYOIP vám funkce BYOASN dává možnost předřadit vaše vlastní ASN k AS-PATH v reklamách BYOIP trasy od OCI. Přidání více ASN (předřazených) k AS-PATH může způsobit, že trasa bude méně preferovaná ve srovnání s trasami s kratší AS-PATH pro stejnou předponu IP, pokud se AS-PATH stane rozhodujícím bodem v procesu výběru nejlepší cesty protokolu hraniční brány (BGP). Tato funkce předřazení AS-PATH funkce OCI BYOASN vám dává větší kontrolu nad tím, jak může být provoz směrován do vaší sítě, což jim umožňuje vytvářet odolnější cloudové nebo hybridní cloudové návrhy datových center, jako je například vybudování místa pro obnovu po havárii na OCI pro jejich místní datové centrum. Ukázka toho, jak používat funkci předřazení AS-PATH k nastavení webu pro obnovu po havárii, je uvedena v části případové studie tohoto blogového příspěvku.
Klíčové schopnosti OCI BYOASN
Funkce BYOASN na OCI má následující klíčové funkce:
- Bez omezení počtu ASN: Nemáme žádné omezení na počet ASN, které můžete importovat do OCI.
- Importovat stejné ASN do více oblastí: Pokud máte v úmyslu nasadit úlohy v nastavení pro více oblastí, můžete se rozhodnout importovat stejné ASN do více oblastí.
- Předřazení ASN k ovlivnění preference trasy: ASN můžete přidat až 20krát, abyste ovlivnili preferenci trasy, což lze použít při nastavování místa v aktivním pohotovostním režimu nebo při obnově po havárii.
- Podpora pro 2bajtové i 4bajtové ASN: Podporujeme 2bajtové i 4bajtové ASN. Tato flexibilita zajišťuje kompatibilitu s širokou škálou síťových konfigurací. Ať už používáte starší systém nebo moderní nastavení, máme pro vás vše.
- Podpora pro API i Terraform: Kromě podpory na konzole UI a CLI poskytujeme také kompatibilitu s API i Terraformem. Ať už integrujete s API nebo spravujete infrastrukturu pomocí Terraform, BYOASN podporuje váš operační nástroj podle vašeho výběru.
Přehled procesu: Spojte vše dohromady
Podobně jako u procesu importu BYOIP zahájíte import BYOASN ze správy IP v konzole Oracle Cloud Console. Oracle poté vydá ověřovací token pro ASN. Aktualizujte svůj regionální internetový registr (RIR) pomocí ověřovacího tokenu. Po úspěšném ověření tokenu můžete díky vestavěné automatizaci přistoupit k dokončení importu vašeho ASN. Když bylo ASN importováno do OCI, můžete ASN přidružit k vašim předponám BYOIP (IPv4 a IPv6) a inzerovat je z OCI.
Následující obrázek ilustruje kompletní pracovní postup a ukazuje, jak BYOASN a BYOIP spolupracují, aby byly předpony BYOIP inzerovány s importovanými BYOASN.
Návod k uživatelskému rozhraní
Pracovní postup importu ASN můžete spustit z karty BYOASN dostupné v části Správa IP v konzole Oracle Cloud Console a importovat 2bajtové nebo 4bajtové ASN. Poté můžete zkopírovat ověřovací token pro jeho aktualizaci ve svém účtu v RIR. Po dokončení aktualizace RIR se vraťte do konzoly a výběrem možnosti Dokončit import dokončete proces importu. Po úspěšném ověření se ASN zobrazí jako Aktivní a je nyní k dispozici k použití. Nyní můžete přejít na kartu BYOIP a aktualizovat původní ASN pro vaše předpony BYOIP z Oracle ASN (výchozí) na vaše vlastní ASN. Můžete také volitelně přidat importované ASN až 20krát před AS-PATH a zároveň přiřadit předponu, abyste ovlivnili preferenci směrování. Níže uvedený obrázek poskytuje přehled o konzoli OCI.
BYOASN v akci: Jak to funguje pro zákazníky
Řekněme, že Cyber Defense je renomovaná společnost, která nabízí bezpečnostní řešení pro každou vrstvu zásobníku aplikací. Díky věrné zákaznické základně, která zahrnuje společnosti z Fortune 500, si vybudovala reputaci excelence.
Inženýrské týmy společnosti Cyber Defense pracují nepřetržitě a posilují bezpečnostní obranu opravami každé nové zranitelnosti nahlášenou jejich partnery. Objem hrozeb však v průběhu let narůstal, což značně zatěžovalo stávající infrastrukturu společnosti. To způsobilo výpadky v jejich místním datovém centru, někdy dokonce nefunkční. CTO pověřil tým, aby prozkoumal nastavení záložního webu ve veřejném cloudu, který by pomohl zmírnit výskyt těchto událostí v budoucnu.
Tým síťové infrastruktury je konfrontován s náročným úkolem zřídit zálohovací web v cloudu, aby se zajistilo, že to nezpůsobí žádné prostoje nebo nebude vyžadovat zásadní změny konfigurace sítí jejich dodavatelů, kdykoli dojde k převzetí služeb při selhání. Zároveň musí zajistit, aby dlouholetá pověst společnosti v oblasti spolehlivosti a výkonu sítě, budovaná po mnoho let provozu, zůstala nedotčena.
Během jejich hledání OCI vyčnívá jako jedna z mála, která nabízí jak funkce BYOIP, tak BYOASN, které by mohly tento požadavek splnit. Aby tuto potřebu splnila, plánuje Cyber Defense hostit své služby na redundantním páru míst – aktuální on-premise datové centrum jako primární místo a region OCI London (LHR) jako záloha. Obě stránky používají stejné veřejné předpony BYOIP a inzerují je na internetu se stejným ASN. Aby však bylo možné upřednostnit primární web, když je k dispozici, umožňuje jim OCI BYOASN inzerovat trasy do záložní oblasti LHR s delší AS-PATH prostřednictvím možnosti předřazení více ASN.
Například vyvolají primární místní datové centrum a inzerují BYOIP prefix 143.100.1.0/24 s BYOASN 200 v AS-Path [200], zatímco jejich záložní web v Londýně (LHR) inzeruje stejné 143.100.1.0/20 ASN s delší předponou AS-Path [20N ASN 200, 200, 200]. Trasa inzerovaná místem zálohování je méně výhodná kvůli delší AS-Path. Když primární web utrpí výpadek, stáhne svou inzerci trasy pro 143.100.1.0/24 a trasa ze záložního webu se stane novou nejlepší cestou. Tato akce spustí internetový provoz, aby přešel na záložní web.
Závěr
Pro další informace nás neváhejte kontaktovat.
Zdroj: Oracle
