致雲原生企業:傳統網路過時了,你需要的是SD-Branch

網路通訊頻道發表於2022-02-22

SD-WAN如此多嬌,引無數英雄競折腰。

如果說當下基礎網路領域還能有什麼熱點,那必須是SD-WAN。這個領域已沉寂太久,好不容易迎來個客戶認可並且需要的新概念,立刻被諸多廠商包裝成行業頂流,圍繞它開啟了一場久違的狂歡。

但我今天想聊的是SD-Branch,相信對很多人來說,是第一次聽說這個詞。

它絕不是個蹭熱點的新概念。SD-WAN這麼火,在Google裡也只能搜尋到大約1.2億條結果;你再搜一下SD-Branch,結果還多2000萬條。

也不必擔心錯過了行業熱點,因為它確實一直在低調蟄伏。Google Trends裡對比一下兩個關鍵詞的資料就能看到,與漸入佳境的SD-WAN的相比,SD-Branch有如錦衣夜行。

但今天我必須強調,再不關心SD-Branch,就真晚了。

何謂SD-Branch

用一句話概括,SD-Branch是企業網路針對業務雲化過程中產生的種種需求,進化發展成的以云為中心的理想架構。

它是個方案概念,並不是個具體的產品技術概念。

對於SD-Branch,業界主流諮詢機構紛紛給出了自己的定義。我簡單整理了一下,大家意見高度統一的主要有以下四點。

首先是能夠完整組網。對於客戶來說,SD-Branch是完整的企業網路方案,要具備獨立組網能力,至少要提供閘道器、交換、無線等必要的品類供客戶選擇。單純只能解決某個維度問題的方案,比如某廠商能且只能提供非常好的企業WLAN,那不算是SD-Branch方案。

在SD-Branch方案中,裝置級SD-WAN功能也是必選項。上一篇我已經寫過,可以把SD-WAN看做企業VPN組網能力面向業務品質的進化。那做為完整的企業網路方案,以前不能缺少VPN,如今不能缺少SD-WAN,完全在情理之中。

既然業務上雲,企業網路邊界也隨之擴充到雲端,理論上租戶內的所有非生產資源都屬於企業網路範疇。所以SD-Branch方案還必須包括能夠以虛擬化形態交付的閘道器產品,用來打通雲網和線下辦公網,同時將SD-WAN能力延展上雲。

這三個條件不是任何人拍腦袋想出來的,你會發現只有全部滿足後,才達到業務雲化後企業網路的組網要求,真正構建了雲管端模型中完整的管道層。

業界對SD-Branch的第二個共識是需要整合安全能力。

安全的重要性永遠和其保護物件的價值成正比。對業務上雲的企業來說,數字資產就是全公司的核心價值所在,故而安全是內生需求,而不是為了合規做做樣子,所以SD-Branch方案中必須包括安全能力。

但如何保護、保護到什麼地步,比起傳統組網方案,SD-Branch會有一定變化。

第一個改變是由窄變寬。當今時代,辦公的概念發生巨大變化,共享辦公、居家辦公、移動辦公、BYOD等新需求層出不窮。尤其在今年,疫情防控的常態化勢必會加速這一趨勢。

這就導致企業網路的邊界變得模糊乃至破碎,傳統的將安全功能決策點放在“出口”的做法,如今已經沒什麼意義。SD-Branch方案必須能適應這樣的變化,將與時俱進的安全能力下沉到所有可能出現的邊界。

第二個改變是由深變淺。業務上雲是個資料大集中的過程,在雲上,在儘量靠近資料資產的地方,安全要做深做強,顧及到業務安全、資料安全等多個層面;企業網路做為中間管道,其生產屬性反倒被削弱了,安全可以更聚焦於網路層面,重點落地准入、認證、訪問控制、網路層的主動被動防護等功能。

在很多調研中,企業IT運維人員非常擁護業務雲化後的組網模型,就是因為線上環境和企業網路徹底解耦,企業IT運維和線上運維之間的管理邊界和責任邊界更加清晰,少了很多扯皮,也少背不少鍋。

業界對SD-Branch的第三個共識是要提供統一的管理運維能力。

如今企業網路承載的業務模型越發多變,其複雜度、變化頻率都不同與往日。對著裝置敲命令效率太低,企業IT對統一管理運維的需求異常迫切。

這裡所說的統一管理運維能力,也不是像很多大網管平臺那樣,簡單地把多個裝置或功能決策點的介面統一在一個入口,而是徹底從廠商視角切換到客戶視角,把所有網路和安全資源池化,按使用者的意志(或者說人的思維邏輯)進行排列組合。

可以參考NGFW,它的定義中也包括了這一點,並且取得了市場的高度認可;SD-Branch乾的是同樣的事情,只不過生效位置不再是一臺裝置,而是整個企業網路,相對要複雜得多。策略如何拆解下發?哪些裝置參與執行?流量如何牽引?這些你都不用關心,SD-Branch的“SD”在這裡證明了存在的意義——在企業網路上實現統一的網路編排加安全編排。

實際上,在這個層面,SD-Branch是SDN在企業網路的落地實踐。

業界對SD-Branch的最後一個共識是要提供簡化的部署與排障方式。

業務雲化,讓企業IT的責任空間變得更廣,要處理的事物也更繁雜。但對幾乎所有企業的管理層來說,控制IT編制、降低IT成本都是永恆的主題。兩者矛盾越來越尖銳,唯一的緩解方式,只能是來自產品方案的更多的、更好的賦能。

比如在開局階段,目前企業IT最頭疼的主要有兩個問題,其一是分支建設速度在加快(5G是最大“幫兇”之一),IT人員工作量過度飽滿;其二是工期縮短,IT是建設的最後一個環節,經常要為前置工作的拖延買單,逼得IT打工人只能熬夜趕工,事倍功半。

在這種情況下,零配置部署逐漸成為一個非常剛性的需求。雖然它很難做到真正意義上的“零”配置,卻也能大幅降低企業IT部門的工作量,成為SD-Branch方案中不可或缺的能力之一。

再比如運維階段,故障處理是佔企業IT人員精力最多,也是他們最不願意面對的工作任務。這件事的真正瓶頸往往不在於個人技術能力,而是產品方案對此缺乏有力支撐。

毫不客氣地說,企業網路產品技術發展了這麼多年,關心的一直是更高更大更強,在排障方面給IT運維人員的賦能幾乎是0。也虧了這幾年企業無線運維方面的矛盾太過激烈,主流裝置廠商才開始正視這個問題,給出一些解決區域性問題的自動化輔助工具。但總體看來,IT人依然在黑暗中潛行。

與統一管理運維一樣,SD-Branch方案要求在統一平臺下提供客戶視角的整網運維能力,並加入更多的自動化及輔助決策工具。但更智慧、更強大不代表更復雜、更難用,相反,平臺給客戶的呈現和互動需要更簡單。只有這樣,才能將企業IT運維人員徹底從盲人摸象式的工作狀態中解放出來。

不難看出,SD-Branch並不是產品技術層面的革命,而是企業網路帶有鮮明時代特徵的一次自我完善。它針對傳統企業組網方案中上雲和IT效率等薄弱環節做出增強,更好地滿足業務雲化帶來的種種需求。

SD-Branch的價值與挑戰

概念搞清楚了,我們們再看看價值。

首先一點,由於SD-Branch中包括了SD-WAN,後者的價值自然也被全盤繼承,在此不再贅述。但前者覆蓋了企業網路的所有環節,一旦將LAN與WAN整體編排,無論效果還是價值,都將被放大。

這個結論來自於去年做的一個測試。我和某二級運營商合作,對其運營的某個商業樓宇的駐地網做了改造,將大量品質存在差異的三方出口下沉到樓內機房,同時部署了快取、邊緣CDN等方案,儘可能將內容拉到邊緣。然後找了一些樓內對IT品質不滿的企業租戶,為他們免費提供包括網際網路接入、無線辦公網和IT運維在內的一攬子服務。

測試初衷是我手裡的兩組資料,一組來自某ICT服務商,售後服務中超過一半的客戶報障最終原因是運營商和SaaS;另一組來自北京某一級運營商,其客戶報障追溯結果中有超過2/3是客戶內網問題。我的目的很單純,就是想知道如果兩種服務合二為一,會是什麼結果?

要驗證的東西很多,真實環境下的整網編排效果恰好是其中一項。你可以理解成我在用企業IT理念去打理駐地網,我提供的服務範圍可以視為SD-Branch方案的覆蓋範圍,邊緣快取/CDN中的內容就是雲上業務,現場輪番駐守的各位大神充當了統一管理運維加編排能力,只不過是人肉的。

幾個月下來,參與測試的客戶就沒有什麼投訴報障,唯一幾例還都是電腦自身WiFi問題所導致。LAN與WAN整體編排的效果,就是這麼出人意料。

另一方面,很多客戶雖然可能完全不瞭解SD-Branch,但業務上雲後對企業網路的需求變化也在倒逼他們尋求改變。今年我在一些SD-WAN專案中就看到這樣的趨勢,有些客戶明確提出要求,希望在做SD-WAN建設的時候把無線辦公網一起更新。他們的想法很簡單:以前WiFi差就忍了,費力不討好,不願意搞;現在公司花這麼多錢上SD-WAN,最後因為WiFi問題影響了效果,再被需求部門質疑、投訴,何必呢!

凡是有類似想法的客戶,最終都選擇了能提供SD-WAN方案加企業WiFi方案的品牌。只可惜,我沒看到真正的SD-Branch方案。

把客戶樸素的想法翻譯一下,其實就是希望在企業網路結構愈發複雜的同時,能擁有更好的品質體驗和更高的建設與運維效率。而這,恰恰是SD-Branch能體現的最大價值。尤其對那些規模高速增長的企業來說,解決的甚至是能與不能的問題。在這個過程中,自動化會讓人力成本得到很好的控制,OPEX自然得以降低。

從長遠來看,CAPEX也會降低。傳統組網方案這幾十年來一直以打補丁的方式追隨業務發展,講究的是大而全和向後相容,如今太過複雜且臃腫不堪;SD-Branch則與雲共生,關注的是業務體驗,對未來業務雲化的趨勢非常友好。雖然後者短期建設成本略高,但只要形成規模,場景化帶來的價效比優勢就會顯露出來。

不理解上面這段話的話可以參考新老MacBook的差別,Intel處理器版就是揹著大而全和相容性包袱的那個,M1處理器版就是面向未來的那個。用不著的過去和看得到的未來,你願意為誰買單?

但真說到交付,SD-Branch確實還面臨一些挑戰。

首先是客戶缺乏足夠多的選擇。做為新興概念,SD-Branch的市場仍然處於培育期,目前能提供相對完整的SD-Branch解決方案的廠商,基本是海外的網路及安全頭部玩家。它們對趨勢發展有一定超前的判斷,又具備豐富的技術資源儲備,產品化一般走在市場前面。

國內廠商因為多數收入來自本土,而國內企業與國外企業又長期存在“IT時差”,導致需求並不旺盛,廠商自然也缺乏動力。沒人質疑SD-Branch的方向正不正確,但什麼時候做出改變,怎麼改變,目前基本看不到國內廠商的明確計劃。

個人推測,一些廠商可能會基於現有完善的產品線,快速透過SaaS形態的雲管理平臺向SD-Branch方案轉型。雲管理平臺本身就是行業熱點,很多廠商都在投入研發和推廣,和SD-Branch方案中的統一管理運維平臺在功能上又有一定重合度,是產品化的最優路徑。

另一方面,企業客戶對雲管理平臺的認可度也在加強。我就瞭解這樣兩個客戶,雖然都買了傳統組網方案中的大網管平臺,最後卻都棄用了,成千上萬臺裝置就這麼直接飄在廠商的公有云管平臺上。他們的理由特別簡單:雲管理平臺雖然可能還不太成熟,卻一直在變化,功能上真的在與時俱進;傳統網管平臺雖然穩定,但功能增強太慢,對新技術、新平臺也不敏感,經常一年半載都沒有更新。

又是一個未來與傳統的較量,客戶選擇了有限的風險和無限的未來。

SD-Branch方案落地的第二個挑戰,是企業的風控與採購制度。

在企業IT領域,產品技術必須是標準化的,才能和其它裝置互聯互通,交換機就是最好的例子;方案則不然,只要對外標準化,理論上內部隨便怎麼折騰都可以。而對於客戶來說,他真正感興趣的往往不是標準化的產品,而是形成方案後這些“不標準”帶來的額外價值。

舉個例子,企業級SD-WAN的底層依然是標準隧道協議,你可以用SD-WAN CPE和其它品牌裝置對接IPSec組網。但如果真要部署全網SD-WAN方案,就只能透過自家的控制器對接自裝潢置組網,這裡用到的就不是標準協議;再比如頭些年很多客戶問過我,A家的無線自動最佳化平臺真好,我用B家的無線方案能不能接入?當然不能,雖然無線協議是標準的,但對接方案中的自動最佳化平臺用的也不是標準協議。

那麼問題來了,SD-Branch恰恰是企業網路的完整方案,你翻回去看我梳理的那些定義,沒有一個和標準化沾邊。對客戶來說,想獲得一個SD-Branch方案的所有價值,就必須接受單一供應商的事實。Gartner在今年的技術成熟度曲線報告裡也提到了這一點,“雖然理論上SD-Branch方案可能來自多個供應商,但在實踐中,預計大多數企業最終將選擇單一供應商。”

這個問題不是技術問題,卻比技術問題還要麻煩。業務上雲不可逆,SD-Branch大勢所趨,如何擺平與兄弟部門和決策層博弈?估計CIO的髮際線又要上移了。

綜上所述,如今SD-Branch方案的價值很突出,挑戰也很明顯。這造就了一個完全由價值所驅動的市場,只有認識到並認同其價值的客戶才會為其買單。

這些客戶到底是誰?

雲原生企業的最佳選擇

目前與SD-Branch方案價值匹配度最高的客群,是以“網際網路+”為代表的雲原生企業。

我很熟悉這類客群,也瞭解它們的IT場景。對初創和成長型雲原生企業來說,SD-Branch簡直就是為它們量身定製的。

最重要的一點,這類客戶與雲是共生關係,業務模型註定了更適合使用SD-Branch方案。哪怕只是幾個人的初創團隊,其業務也一定會放在雲上,很快會出現上雲的管道與安全需求。隨著規模增長,業務可能會從單一雲發展到多雲,也可能從純公有云發展到混合雲,但業務在雲的邏輯,永遠也不會發生改變。

在它們的企業組網結構中,雲做為資料和業務的載體,才是真正意義上的“總部”,也就是Hub;行政意義上的總部、分支,或者說線下所有辦公場所,在網路層面都是“分支”,也就是Spoke。所以在這種企業,總部與分支用到的裝置規格可能存在差異,但在功能層面沒有差別,甚至沒有存在差別的必要。

對雲原生企業而言,甚至都不存在很剛性的分支互聯需求。業務方面,雲化意味著絕大多數關鍵業務流量都是流向雲的,而不是其它分支;企業應用方面,無論從體驗還是商務角度,這類企業都更傾向於SaaS化的產品服務,你看它們用的OA、協同辦公、視訊會議、考勤、會議室管理、列印……非雲化的方案已經要絕跡了。

既然雲和上雲是最重要的,那虛擬化部署和SD-WAN就成了剛性需求,SD-Branch也就有了提前介入的必要性。這裡可能有人要問了,一定要SD-Branch麼?我用傳統企業組網方案加上SD-WAN方案不行麼?

這個問題,我看到過一些實踐,基本都是爛尾交付,甚至出現過企業IT部門整體離職的激烈衝突。關鍵點就在於,如果企業組網用的品牌不能提供虛擬化部署方案(可能性很大),導致無法建立拉通雲和線下的SD-WAN時,該如何是好?

唯一的答案是再花一筆錢,把每個線下分支的閘道器換成和雲上一致的,或者直接在網路邊緣多放一臺裝置。我見過這種時候IT跳出來反對的,理由也很充分:SD-WAN效果如何還不知道,我就知道要失去對整個企業網路的統一管理運維能力了。但沒人會在乎他的意見,業務最重要——從來就沒有支撐部門讓業務部門妥協的道理,對不?

當然,提出這個問題是可以被理解的,尤其對於業務上雲過程中的那些傳統行業客戶來說,保護原有IT投資是決策層必須考慮的問題。此外,那麼大規模的企業網路,向SD-Branch整體遷移的時間週期和風險,對此類客戶來說也是不能不考慮的。它們一定會轉向SD-Branch,但現在可能不是個合適的時間點。

反觀初創和成長型雲原生企業,IT建設方面還沒那麼多傳統的“包袱”,又存在雲和上雲層面網路和安全的剛性需求,適合一步到位。假如在當今環境下業務還能保持增長,就儘早上SD-Branch方案吧。明明有綜合成本最低的最優路徑,為什麼還要重走花錢又多、效率又低的彎路呢?

具體到產品方案的選擇,個人建議從企業所使用的公有云的應用市場裡尋找具有完整SD-Branch交付能力的供應商。首先,能登陸應用市場,就意味著供應商的虛擬化部署版本經過了複雜的測試驗證流程,可靠性有所保證,對業務的風險最小。其次,從線上往線下倒推,可以杜絕前面提到的線上線下不匹配的情況,將試錯成本最小化。

SD-Branch適合雲原生企業的第二個理由,是解決了部署、管理、運維效率方面的痛點。

這類企業一旦找到市場突破口,其業務規模和分支數量會急劇增加,一年開十幾個、幾十個分支機構的情況絕不罕見,前些年的共享單車/連鎖零售/網際網路金融、去年的線上教育、今年的跨境電商莫不如此。另一方面,在快速成長期,企業業務的變化也會頻繁要求IT策略配合調整。

這些情況一旦出現,瓶頸往往不在預算,而在人。首先,IT編制絕不會正比增加,即便幾千人的雲原生企業,真正負責企業網路建設運維的人可能也只有兩三個;部門內部挖潛是肯定的,但人的效率總有極限,產品方案如果再缺乏賦能,瓶頸就會過早出現。

SD-Branch則是為此而生的方案,我在方案調研中看到,零配置部署和統一管理運維往往只是基礎特性,很多廠商都會提供更多、更強的部署運維能力,儘可能提升IT人員的工作效率。

有時,一些看似很簡單的變化就能帶來很大的效率提升。我看到過一個SD-Branch方案,就允許開局時“隨意”給裝置接線。線串成環了,可以自動在邏輯上阻斷介面、形成鏈路冗餘;線串多了,會自動做埠捆綁增加頻寬、提升冗餘效果。這做法擱在傳統組網方案裡絕對是大逆不道,但對於追求IT效率的雲原生企業來說,怎麼看都是個很實用的功能。

SD-Branch方案和雲原生企業還有個很好的契合點,就是IT觀高度一致。

雲原生企業有個顯著特點,就是員工平均年齡非常年輕。IT部門也是一樣,我接觸過的初創和成長型雲原生企業的IT人裡,二三十歲的部門主力比比皆是,部門決策者一般也就是三十出頭。他們精力充沛,充滿幹勁。每次和他們交流,我都覺得自己老了。

對這些數字原生代來說,網際網路基因是刻在骨子裡的,傳統IT技術、理念與他們有代溝。

他們追求個性,願意擁抱變化。比起四平八穩的傳統產品,他們更願意去琢磨那些存在差異化的技術方案。只要真有價值,並且對企業IT能有所幫助,那單一供應商也沒什麼不能接受的。畢竟對這種企業來說,總會蹦出些傳統方案沒法滿足的新需求,做出嘗試就比干耗著強。

日常交流中,我感覺IT人對SD-Branch的態度就是兩個極端。老IT人(包括剛上手時的我)先想到的必然是風險:太過顛覆,超出經驗和知識範疇,也許會和其它我們也說不清楚的東西存在相容問題……總之有種發自內心的抗拒感;雲原生企業的IT人先看到的是價值,他們充滿興趣,有不少人主動提出想測試一下,好用又不貴的話不排除全網部署。這就是代溝的完美體現,也證明了SD-Branch和數字原生代之間天然的親和力。

他們沒有包袱,對傳統沒有顧慮。前一陣我發了個朋友圈,感嘆現在懂SNMP、用SNMP的企業IT人越來越少。後來想想,其實是自己狹隘了。數字原生代IT人並沒錯,他們手握雲管理平臺或者更先進的生產工具,一樣可以解決問題,並且人效比更高。先進取代落後,這是歷史的必然。要改變的反而是我,如果仍守著陳舊的產品技術不放,勢必會被時代拋棄。

當然,人和平臺是互相成就的,缺一不可。為什麼網際網路行業的IT人很少跨圈找工作?除了待遇因素外,他們需要一個同樣沒有枷鎖和包袱的平臺才可能雙贏。

他們甚至沒有必要向傳統IT靠攏,那是自降效率的表現,也是開歷史倒車。需要改變的是傳統IT的一切,不關注業務、不迎合業務,就只能存在於價值鏈的底端。

曾經有位共享公寓運營商的CIO問我如何能讓自研的客房管理系統快速打通網路實現認證,我告訴他透過Radius。但他不知道什麼是Radius,也不打算讓他團隊裡拿著高薪的每個人去研究這個土味協議。最終,他們使用了最熟悉、最方便的REST解決問題——透過雲管理平臺滿足需求的供應商中標,不能提供支援的則被棄用。

這已經是幾年前的事了,當時我覺得是個體需求,今天看已經是大勢所趨。Gartner甚至把開放API定義為SD-Branch方案的必要屬性,想必也是看到並認同了這一趨勢。

說了這麼多,其實就是“道不同不相為謀”一句話。雲原生企業的IT需求,和傳統企業組網方案和之間,秉承的“道”大不相同;SD-Branch就是企業網路領域的數字原生代,它的誕生就是奔著業務上雲場景去的,解決的種種問題也是這類企業迫切需要的,並且足夠性感、頗具時代潮流。天時地利與人和在手,我認為企業網路的SD-Branch轉型,必然從初創和成長型雲原生企業開始。

來自 “ https://mp.weixin.qq.com/s/iz3OOfKDnQwSgymThU18gg ”, 原文作者:老韓一米九;原文連結:https://mp.weixin.qq.com/s/iz3OOfKDnQwSgymThU18gg,如有侵權,請聯絡管理員刪除。

相關文章