网络通信 频道

致云原生企业:传统网络过时了,你需要的是SD-Branch

SD-WAN如此多娇,引无数英雄竞折腰。

如果说当下基础网络领域还能有什么热点,那必须是SD-WAN。这个领域已沉寂太久,好不容易迎来个客户认可并且需要的新概念,立刻被诸多厂商包装成行业顶流,围绕它开启了一场久违的狂欢。

但我今天想聊的是SD-Branch,相信对很多人来说,是第一次听说这个词。

它绝不是个蹭热点的新概念。SD-WAN这么火,在Google里也只能搜索到大约1.2亿条结果;你再搜一下SD-Branch,结果还多2000万条。

也不必担心错过了行业热点,因为它确实一直在低调蛰伏。Google Trends里对比一下两个关键词的数据就能看到,与渐入佳境的SD-WAN的相比,SD-Branch有如锦衣夜行。

图片

但今天我必须强调,再不关心SD-Branch,就真晚了。

何谓SD-Branch

用一句话概括,SD-Branch是企业网络针对业务云化过程中产生的种种需求,进化发展成的以云为中心的理想架构。

它是个方案概念,并不是个具体的产品技术概念。

对于SD-Branch,业界主流咨询机构纷纷给出了自己的定义。我简单整理了一下,大家意见高度统一的主要有以下四点。

首先是能够完整组网。对于客户来说,SD-Branch是完整的企业网络方案,要具备独立组网能力,至少要提供网关、交换、无线等必要的品类供客户选择。单纯只能解决某个维度问题的方案,比如某厂商能且只能提供非常好的企业WLAN,那不算是SD-Branch方案。

在SD-Branch方案中,设备级SD-WAN功能也是必选项。上一篇我已经写过,可以把SD-WAN看做企业VPN组网能力面向业务品质的进化。那做为完整的企业网络方案,以前不能缺少VPN,如今不能缺少SD-WAN,完全在情理之中。

既然业务上云,企业网络边界也随之拓展到云端,理论上租户内的所有非生产资源都属于企业网络范畴。所以SD-Branch方案还必须包括能够以虚拟化形态交付的网关产品,用来打通云网和线下办公网,同时将SD-WAN能力延展上云。

这三个条件不是任何人拍脑袋想出来的,你会发现只有全部满足后,才达到业务云化后企业网络的组网要求,真正构建了云管端模型中完整的管道层。

业界对SD-Branch的第二个共识是需要集成安全能力。

安全的重要性永远和其保护对象的价值成正比。对业务上云的企业来说,数字资产就是全公司的核心价值所在,故而安全是内生需求,而不是为了合规做做样子,所以SD-Branch方案中必须包括安全能力。

但如何保护、保护到什么地步,比起传统组网方案,SD-Branch会有一定变化。

第一个改变是由窄变宽。当今时代,办公的概念发生巨大变化,共享办公、居家办公、移动办公、BYOD等新需求层出不穷。尤其在今年,疫情防控的常态化势必会加速这一趋势。

这就导致企业网络的边界变得模糊乃至破碎,传统的将安全功能决策点放在“出口”的做法,如今已经没什么意义。SD-Branch方案必须能适应这样的变化,将与时俱进的安全能力下沉到所有可能出现的边界。

第二个改变是由深变浅。业务上云是个数据大集中的过程,在云上,在尽量靠近数据资产的地方,安全要做深做强,顾及到业务安全、数据安全等多个层面;企业网络做为中间管道,其生产属性反倒被削弱了,安全可以更聚焦于网络层面,重点落地准入、认证、访问控制、网络层的主动被动防护等功能。

在很多调研中,企业IT运维人员非常拥护业务云化后的组网模型,就是因为线上环境和企业网络彻底解耦,企业IT运维和线上运维之间的管理边界和责任边界更加清晰,少了很多扯皮,也少背不少锅。

业界对SD-Branch的第三个共识是要提供统一的管理运维能力。

如今企业网络承载的业务模型越发多变,其复杂度、变化频率都不同与往日。对着设备敲命令效率太低,企业IT对统一管理运维的需求异常迫切。

这里所说的统一管理运维能力,也不是像很多大网管平台那样,简单地把多个设备或功能决策点的界面统一在一个入口,而是彻底从厂商视角切换到客户视角,把所有网络和安全资源池化,按使用者的意志(或者说人的思维逻辑)进行排列组合。

可以参考NGFW,它的定义中也包括了这一点,并且取得了市场的高度认可;SD-Branch干的是同样的事情,只不过生效位置不再是一台设备,而是整个企业网络,相对要复杂得多。策略如何拆解下发?哪些设备参与执行?流量如何牵引?这些你都不用关心,SD-Branch的“SD”在这里证明了存在的意义——在企业网络上实现统一的网络编排加安全编排。

实际上,在这个层面,SD-Branch是SDN在企业网络的落地实践。

业界对SD-Branch的最后一个共识是要提供简化的部署与排障方式。

业务云化,让企业IT的责任空间变得更广,要处理的事物也更繁杂。但对几乎所有企业的管理层来说,控制IT编制、降低IT成本都是永恒的主题。两者矛盾越来越尖锐,唯一的缓解方式,只能是来自产品方案的更多的、更好的赋能。

比如在开局阶段,目前企业IT最头疼的主要有两个问题,其一是分支建设速度在加快(5G是最大“帮凶”之一),IT人员工作量过度饱满;其二是工期缩短,IT是建设的最后一个环节,经常要为前置工作的拖延买单,逼得IT打工人只能熬夜赶工,事倍功半。

在这种情况下,零配置部署逐渐成为一个非常刚性的需求。虽然它很难做到真正意义上的“零”配置,却也能大幅降低企业IT部门的工作量,成为SD-Branch方案中不可或缺的能力之一。

再比如运维阶段,故障处理是占企业IT人员精力最多,也是他们最不愿意面对的工作任务。这件事的真正瓶颈往往不在于个人技术能力,而是产品方案对此缺乏有力支撑。

毫不客气地说,企业网络产品技术发展了这么多年,关心的一直是更高更大更强,在排障方面给IT运维人员的赋能几乎是0。也亏了这几年企业无线运维方面的矛盾太过激烈,主流设备厂商才开始正视这个问题,给出一些解决局部问题的自动化辅助工具。但总体看来,IT人依然在黑暗中潜行。

与统一管理运维一样,SD-Branch方案要求在统一平台下提供客户视角的整网运维能力,并加入更多的自动化及辅助决策工具。但更智能、更强大不代表更复杂、更难用,相反,平台给客户的呈现和交互需要更简单。只有这样,才能将企业IT运维人员彻底从盲人摸象式的工作状态中解放出来。

不难看出,SD-Branch并不是产品技术层面的革命,而是企业网络带有鲜明时代特征的一次自我完善。它针对传统企业组网方案中上云和IT效率等薄弱环节做出增强,更好地满足业务云化带来的种种需求。

SD-Branch的价值与挑战

概念搞清楚了,咱们再看看价值。

首先一点,由于SD-Branch中包括了SD-WAN,后者的价值自然也被全盘继承,在此不再赘述。但前者覆盖了企业网络的所有环节,一旦将LAN与WAN整体编排,无论效果还是价值,都将被放大。

这个结论来自于去年做的一个测试。我和某二级运营商合作,对其运营的某个商业楼宇的驻地网做了改造,将大量品质存在差异的三方出口下沉到楼内机房,同时部署了缓存、边缘CDN等方案,尽可能将内容拉到边缘。然后找了一些楼内对IT品质不满的企业租户,为他们免费提供包括互联网接入、无线办公网和IT运维在内的一揽子服务。

图片

测试初衷是我手里的两组数据,一组来自某ICT服务商,售后服务中超过一半的客户报障最终原因是运营商和SaaS;另一组来自北京某一级运营商,其客户报障追溯结果中有超过2/3是客户内网问题。我的目的很单纯,就是想知道如果两种服务合二为一,会是什么结果?

要验证的东西很多,真实环境下的整网编排效果恰好是其中一项。你可以理解成我在用企业IT理念去打理驻地网,我提供的服务范围可以视为SD-Branch方案的覆盖范围,边缘缓存/CDN中的内容就是云上业务,现场轮番驻守的各位大神充当了统一管理运维加编排能力,只不过是人肉的。

几个月下来,参与测试的客户就没有什么投诉报障,唯一几例还都是电脑自身WiFi问题所导致。LAN与WAN整体编排的效果,就是这么出人意料。

另一方面,很多客户虽然可能完全不了解SD-Branch,但业务上云后对企业网络的需求变化也在倒逼他们寻求改变。今年我在一些SD-WAN项目中就看到这样的趋势,有些客户明确提出要求,希望在做SD-WAN建设的时候把无线办公网一起更新。他们的想法很简单:以前WiFi差就忍了,费力不讨好,不愿意搞;现在公司花这么多钱上SD-WAN,最后因为WiFi问题影响了效果,再被需求部门质疑、投诉,何必呢!

凡是有类似想法的客户,最终都选择了能提供SD-WAN方案加企业WiFi方案的品牌。只可惜,我没看到真正的SD-Branch方案。

把客户朴素的想法翻译一下,其实就是希望在企业网络结构愈发复杂的同时,能拥有更好的品质体验和更高的建设与运维效率。而这,恰恰是SD-Branch能体现的最大价值。尤其对那些规模高速增长的企业来说,解决的甚至是能与不能的问题。在这个过程中,自动化会让人力成本得到很好的控制,OPEX自然得以降低。

从长远来看,CAPEX也会降低。传统组网方案这几十年来一直以打补丁的方式追随业务发展,讲究的是大而全和向后兼容,如今太过复杂且臃肿不堪;SD-Branch则与云共生,关注的是业务体验,对未来业务云化的趋势非常友好。虽然后者短期建设成本略高,但只要形成规模,场景化带来的性价比优势就会显露出来。

不理解上面这段话的话可以参考新老MacBook的差别,Intel处理器版就是背着大而全和兼容性包袱的那个,M1处理器版就是面向未来的那个。用不着的过去和看得到的未来,你愿意为谁买单?

但真说到交付,SD-Branch确实还面临一些挑战。

首先是客户缺乏足够多的选择。做为新兴概念,SD-Branch的市场仍然处于培育期,目前能提供相对完整的SD-Branch解决方案的厂商,基本是海外的网络及安全头部玩家。它们对趋势发展有一定超前的判断,又具备丰富的技术资源储备,产品化一般走在市场前面。

国内厂商因为多数收入来自本土,而国内企业与国外企业又长期存在“IT时差”,导致需求并不旺盛,厂商自然也缺乏动力。没人质疑SD-Branch的方向正不正确,但什么时候做出改变,怎么改变,目前基本看不到国内厂商的明确计划。

个人推测,一些厂商可能会基于现有完善的产品线,快速通过SaaS形态的云管理平台向SD-Branch方案转型。云管理平台本身就是行业热点,很多厂商都在投入研发和推广,和SD-Branch方案中的统一管理运维平台在功能上又有一定重合度,是产品化的最优路径。

另一方面,企业客户对云管理平台的认可度也在加强。我就了解这样两个客户,虽然都买了传统组网方案中的大网管平台,最后却都弃用了,成千上万台设备就这么直接飘在厂商的公有云管平台上。他们的理由特别简单:云管理平台虽然可能还不太成熟,却一直在变化,功能上真的在与时俱进;传统网管平台虽然稳定,但功能增强太慢,对新技术、新平台也不敏感,经常一年半载都没有更新。

又是一个未来与传统的较量,客户选择了有限的风险和无限的未来。

SD-Branch方案落地的第二个挑战,是企业的风控与采购制度。

在企业IT领域,产品技术必须是标准化的,才能和其它设备互联互通,交换机就是最好的例子;方案则不然,只要对外标准化,理论上内部随便怎么折腾都可以。而对于客户来说,他真正感兴趣的往往不是标准化的产品,而是形成方案后这些“不标准”带来的额外价值。

举个例子,企业级SD-WAN的底层依然是标准隧道协议,你可以用SD-WAN CPE和其它品牌设备对接IPSec组网。但如果真要部署全网SD-WAN方案,就只能通过自家的控制器对接自家设备组网,这里用到的就不是标准协议;再比如头些年很多客户问过我,A家的无线自动优化平台真好,我用B家的无线方案能不能接入?当然不能,虽然无线协议是标准的,但对接方案中的自动优化平台用的也不是标准协议。

那么问题来了,SD-Branch恰恰是企业网络的完整方案,你翻回去看我梳理的那些定义,没有一个和标准化沾边。对客户来说,想获得一个SD-Branch方案的所有价值,就必须接受单一供应商的事实。Gartner在今年的技术成熟度曲线报告里也提到了这一点,“虽然理论上SD-Branch方案可能来自多个供应商,但在实践中,预计大多数企业最终将选择单一供应商。”

这个问题不是技术问题,却比技术问题还要麻烦。业务上云不可逆,SD-Branch大势所趋,如何摆平与兄弟部门和决策层博弈?估计CIO的发际线又要上移了。

综上所述,如今SD-Branch方案的价值很突出,挑战也很明显。这造就了一个完全由价值所驱动的市场,只有认识到并认同其价值的客户才会为其买单。

这些客户到底是谁?

云原生企业的最佳选择

目前与SD-Branch方案价值匹配度最高的客群,是以“互联网+”为代表的云原生企业。

我很熟悉这类客群,也了解它们的IT场景。对初创和成长型云原生企业来说,SD-Branch简直就是为它们量身定制的。

最重要的一点,这类客户与云是共生关系,业务模型注定了更适合使用SD-Branch方案。哪怕只是几个人的初创团队,其业务也一定会放在云上,很快会出现上云的管道与安全需求。随着规模增长,业务可能会从单一云发展到多云,也可能从纯公有云发展到混合云,但业务在云的逻辑,永远也不会发生改变。

在它们的企业组网结构中,云做为数据和业务的载体,才是真正意义上的“总部”,也就是Hub;行政意义上的总部、分支,或者说线下所有办公场所,在网络层面都是“分支”,也就是Spoke。所以在这种企业,总部与分支用到的设备规格可能存在差异,但在功能层面没有差别,甚至没有存在差别的必要。

图片

对云原生企业而言,甚至都不存在很刚性的分支互联需求。业务方面,云化意味着绝大多数关键业务流量都是流向云的,而不是其它分支;企业应用方面,无论从体验还是商务角度,这类企业都更倾向于SaaS化的产品服务,你看它们用的OA、协同办公、视频会议、考勤、会议室管理、打印……非云化的方案已经要绝迹了。

既然云和上云是最重要的,那虚拟化部署和SD-WAN就成了刚性需求,SD-Branch也就有了提前介入的必要性。这里可能有人要问了,一定要SD-Branch么?我用传统企业组网方案加上SD-WAN方案不行么?

这个问题,我看到过一些实践,基本都是烂尾交付,甚至出现过企业IT部门整体离职的激烈冲突。关键点就在于,如果企业组网用的品牌不能提供虚拟化部署方案(可能性很大),导致无法建立拉通云和线下的SD-WAN时,该如何是好?

唯一的答案是再花一笔钱,把每个线下分支的网关换成和云上一致的,或者直接在网络边缘多放一台设备。我见过这种时候IT跳出来反对的,理由也很充分:SD-WAN效果如何还不知道,我就知道要失去对整个企业网络的统一管理运维能力了。但没人会在乎他的意见,业务最重要——从来就没有支撑部门让业务部门妥协的道理,对不?

当然,提出这个问题是可以被理解的,尤其对于业务上云过程中的那些传统行业客户来说,保护原有IT投资是决策层必须考虑的问题。此外,那么大规模的企业网络,向SD-Branch整体迁移的时间周期和风险,对此类客户来说也是不能不考虑的。它们一定会转向SD-Branch,但现在可能不是个合适的时间点。

反观初创和成长型云原生企业,IT建设方面还没那么多传统的“包袱”,又存在云和上云层面网络和安全的刚性需求,适合一步到位。假如在当今环境下业务还能保持增长,就尽早上SD-Branch方案吧。明明有综合成本最低的最优路径,为什么还要重走花钱又多、效率又低的弯路呢?

具体到产品方案的选择,个人建议从企业所使用的公有云的应用市场里寻找具有完整SD-Branch交付能力的供应商。首先,能登陆应用市场,就意味着供应商的虚拟化部署版本经过了复杂的测试验证流程,可靠性有所保证,对业务的风险最小。其次,从线上往线下倒推,可以杜绝前面提到的线上线下不匹配的情况,将试错成本最小化。

SD-Branch适合云原生企业的第二个理由,是解决了部署、管理、运维效率方面的痛点。

这类企业一旦找到市场突破口,其业务规模和分支数量会急剧增加,一年开十几个、几十个分支机构的情况绝不罕见,前些年的共享单车/连锁零售/互联网金融、去年的在线教育、今年的跨境电商莫不如此。另一方面,在快速成长期,企业业务的变化也会频繁要求IT策略配合调整。

这些情况一旦出现,瓶颈往往不在预算,而在人。首先,IT编制绝不会正比增加,即便几千人的云原生企业,真正负责企业网络建设运维的人可能也只有两三个;部门内部挖潜是肯定的,但人的效率总有极限,产品方案如果再缺乏赋能,瓶颈就会过早出现。

SD-Branch则是为此而生的方案,我在方案调研中看到,零配置部署和统一管理运维往往只是基础特性,很多厂商都会提供更多、更强的部署运维能力,尽可能提升IT人员的工作效率。

有时,一些看似很简单的变化就能带来很大的效率提升。我看到过一个SD-Branch方案,就允许开局时“随意”给设备接线。线串成环了,可以自动在逻辑上阻断接口、形成链路冗余;线串多了,会自动做端口捆绑增加带宽、提升冗余效果。这做法搁在传统组网方案里绝对是大逆不道,但对于追求IT效率的云原生企业来说,怎么看都是个很实用的功能。

SD-Branch方案和云原生企业还有个很好的契合点,就是IT观高度一致。

云原生企业有个显著特点,就是员工平均年龄非常年轻。IT部门也是一样,我接触过的初创和成长型云原生企业的IT人里,二三十岁的部门主力比比皆是,部门决策者一般也就是三十出头。他们精力充沛,充满干劲。每次和他们交流,我都觉得自己老了。

对这些数字原生代来说,互联网基因是刻在骨子里的,传统IT技术、理念与他们有代沟。

他们追求个性,愿意拥抱变化。比起四平八稳的传统产品,他们更愿意去琢磨那些存在差异化的技术方案。只要真有价值,并且对企业IT能有所帮助,那单一供应商也没什么不能接受的。毕竟对这种企业来说,总会蹦出些传统方案没法满足的新需求,做出尝试就比干耗着强。

日常交流中,我感觉IT人对SD-Branch的态度就是两个极端。老IT人(包括刚上手时的我)先想到的必然是风险:太过颠覆,超出经验和知识范畴,也许会和其它我们也说不清楚的东西存在兼容问题……总之有种发自内心的抗拒感;云原生企业的IT人先看到的是价值,他们充满兴趣,有不少人主动提出想测试一下,好用又不贵的话不排除全网部署。这就是代沟的完美体现,也证明了SD-Branch和数字原生代之间天然的亲和力。

他们没有包袱,对传统没有顾虑。前一阵我发了个朋友圈,感叹现在懂SNMP、用SNMP的企业IT人越来越少。后来想想,其实是自己狭隘了。数字原生代IT人并没错,他们手握云管理平台或者更先进的生产工具,一样可以解决问题,并且人效比更高。先进取代落后,这是历史的必然。要改变的反而是我,如果仍守着陈旧的产品技术不放,势必会被时代抛弃。

图片

当然,人和平台是互相成就的,缺一不可。为什么互联网行业的IT人很少跨圈找工作?除了待遇因素外,他们需要一个同样没有枷锁和包袱的平台才可能双赢。

他们甚至没有必要向传统IT靠拢,那是自降效率的表现,也是开历史倒车。需要改变的是传统IT的一切,不关注业务、不迎合业务,就只能存在于价值链的底端。

曾经有位共享公寓运营商的CIO问我如何能让自研的客房管理系统快速打通网络实现认证,我告诉他通过Radius。但他不知道什么是Radius,也不打算让他团队里拿着高薪的每个人去研究这个土味协议。最终,他们使用了最熟悉、最方便的REST解决问题——通过云管理平台满足需求的供应商中标,不能提供支持的则被弃用。

这已经是几年前的事了,当时我觉得是个体需求,今天看已经是大势所趋。Gartner甚至把开放API定义为SD-Branch方案的必要属性,想必也是看到并认同了这一趋势。

说了这么多,其实就是“道不同不相为谋”一句话。云原生企业的IT需求,和传统企业组网方案和之间,秉承的“道”大不相同;SD-Branch就是企业网络领域的数字原生代,它的诞生就是奔着业务上云场景去的,解决的种种问题也是这类企业迫切需要的,并且足够性感、颇具时代潮流。天时地利与人和在手,我认为企业网络的SD-Branch转型,必然从初创和成长型云原生企业开始。

0
相关文章