Cisco云应用中心基础设施如何增强应用服务链

博客标题云应用中心基础设施服务链化云ACI为公共云中本地负载平衡器生命周期管理提供优异解决方案交通点到程序负载平衡器前 简单使用防火墙插入并使用综合服务链框架CiscoACI解决更多复杂使用案例

保护工作量无缝防火墙插入

安全由公有云最大关注点, 客户希望交通检验不单指从互联网流入公共云客户应用量, 也指公共云内交通量, 即跨VPC/VNETs/MicrooftAzure举个例子来说明客户在Azure不同虚拟网络运行webVNET网络应用流量需要检验后端应用运行前app级VNET。这通常指防火墙或入侵检测系统或入侵预防系统插入路径web应用传输需要重定向ISS/IPS并发送后端应用

云ACI无缝自动化不单网络化,安全组配置从Web阶层服务器一直到App阶层服务器和基于服务链和两个应用间契约的所有事务检验设备(IPS/IDS)通常支持网络负载平衡器,以备高可用性图理学像下方

上图中后端应用由应用负载平衡器前台,Azure程序网关称AGW记住 web服务器正与AGW主机后端应用虚拟IP(VIP)聊天,对防火墙一无所知。如何插入防火墙路径

实现云ACI全部潜力

Cloud ACI为客户实现此目标提供真正创新方式,即提供非常灵活的服务图配置模型通过添加网络负载平衡器、防火墙和应用负载平衡器来创建服务图添加LBS时,服务图允许您对消费者和提供者连接器指定一个“偏向式”选项选择此选项后,WebVNET发送到应用层的流量将重定向到LBS类似地,从APP层返回Web流经BLEB

云ACI通过WebVNET路由表自动编程用户定义路线实现这一点路由指向下图显示Bright贵宾下一站通向AGW贵宾

防火墙通常以一臂模式部署此用例WebVNET安装UDR将转向Vient12.1.0.10解决方案使用高可用端口配置由Azure北草坪会议大楼提供允许LBS传递后端接收的所有流量, 不论端口/协议流量。 因此,LBS发送从Web服务器接收的所有流量到防火墙检查后防火墙发送到12.1.0.10的实际目的地通知中流出源端IP包不变源端保留Web服务器IP和目的地AGWIP网络地址翻译不发生,调试流更容易化云ACI创建并编程网络安全组

实现云网络和安全政策完全自动化并运行Web应用VNETs不要再人工配置网络中复杂服务链

Azure使用云ACI5.0(2)和以上有兴趣试出这个查查细节逐步指南开始对云中的L4-L7服务自动化