Ressourcen White Papers

Der Erfolg von 5G beginnt mit einer Cloud-nativen Infrastruktur

5G verändert die digitale Landschaft für Dienstanbieter und bringt neue Anwendungsfälle und Umsatzmöglichkeiten mit sich. Dienstanbieter, die erfolgreich auf 5G umsteigen können, können von neuen Unternehmensanwendungen, industrieller Automatisierung, IoT sowie Verbraucherdiensten wie Gaming und AR/VR profitieren. Diese neuen Anwendungsfälle werden durch einen neuen 5G-Standalone-Kern (SA) ermöglicht, der auf einer Cloud-nativen servicebasierten Architektur (SBA) basiert. Um diese neuen Möglichkeiten optimal zu nutzen, müssen Dienstanbieter eine konsistente Cloud-native Infrastruktur vom Kern bis zum äußersten Rand definieren und bereitstellen, die die Netzwerkfunktionen (NF) 5G Core, vRAN und N6-LAN sowie Unternehmens- und Verbraucheranwendungen und -dienste unterstützen kann. Eine Cloud-native Infrastruktur legt den Grundstein für den Erfolg eines Serviceproviders mit 5G.

Da die Infrastruktur ein entscheidender Baustein für 5G-Bereitstellungen ist und die Fähigkeit eines Dienstanbieters bestimmt, neue 5G-Anwendungsfälle vollständig umzusetzen, ist es für Dienstanbieter zwingend erforderlich, ihre eigene 5G-Cloud-native-Infrastruktur zu definieren, zu verwalten und zu kontrollieren. Tatsächlich gibt es zahlreiche Präzedenzfälle für die Konzentration von Investitionen auf die Infrastruktur. Ein Beispiel hierfür sind die Hyperscaler Google, AWS, Azure und sogar Apple. Alle diese Unternehmen haben massiv in den Aufbau einer Infrastruktur investiert, die zuverlässig und sicher umsatzgenerierende Dienste und Kundenanwendungen bereitstellen kann.

Die 5G-Infrastruktur nutzt Technologien, die die Grundlage moderner Webanwendungen bilden, und basiert auf einer Cloud-nativen, containerisierten Architektur, die dem Dienstanbieter ein neues Maß an Betriebsautomatisierung, Flexibilität und Anpassungsfähigkeit ermöglicht. Kubernetes hat sich zum Industriestandard für Containerverwaltung und -orchestrierung entwickelt und wird von fast allen Dienstanbietern für ihre Cloud-native Infrastruktur verwendet. Allerdings stellen die Netzwerke der Dienstanbieter neue, einzigartige Anforderungen an den Datenfluss in und innerhalb des Kubernetes-Clusters. Kubernetes ist von Haus aus nicht darauf ausgelegt, diese Anforderungen zu erfüllen. In den folgenden Abschnitten untersuchen wir die besonderen Anforderungen, die eine Cloud-native Infrastruktur erfüllen muss, um kritisches vRAN, 5G Core NFs sowie Unternehmens- und Verbraucheranwendungen zu unterstützen. Anschließend besprechen wir, wie F5 diese Anforderungen erfüllt.

 

Kontrolle, Sicherheit und Sichtbarkeit für Cloud-native Infrastrukturen

Damit Dienstanbieter zuverlässige, sichere und skalierbare Dienste bereitstellen können, müssen sie drei grundlegende Anforderungen berücksichtigen:

  • Kontrolle: Dienstanbieter müssen in der Lage sein, Richtlinienkontrolle auf mehrere Verkehrstypen anzuwenden, die für das Netzwerk eines Dienstanbieters einzigartig sind. Durch die Möglichkeit, intelligentes Verkehrsmanagement anzuwenden, können Dienstanbieter neue Dienste wie Network Slicing unterstützen, den Übergang von 4G- zu 5G-Protokollen erleichtern und die notwendige Grundlage für neue 5G-fähige Anwendungsfälle schaffen.
  • Sicherheit: Um ein hohes Maß an Kundenvertrauen und -bindung aufrechtzuerhalten, müssen Sicherheitskontrollen an mehreren Punkten und auf mehreren Ebenen im Netzwerk angewendet werden.
  • Sichtbarkeit: Die Transparenz des Verkehrsflusses in und innerhalb der Infrastruktur verbessert die Betriebseffizienz, erhöht die Wirksamkeit der Fehlerbehebung und ermöglicht eine flexiblere Umsatzkontrolle. 

 

Ein-/Ausgangskontrolle

Zunächst untersuchen wir die Anforderungen und Lösungen für das Ingress-/Egress-Networking des Kubernetes-Clusters, auch „Nord-Süd-Verkehr“ genannt. Die Standard-Kubernetes-Vernetzung reicht für die meisten Webanwendungen aus, die in einer Cloud-Umgebung ausgeführt werden, in der HTTP/HTTPS das primäre Kommunikationsprotokoll in und innerhalb des Kubernetes-Clusters ist. Eine Service-Provider-Umgebung stellt besondere Herausforderungen für das Kubernetes-Networking dar, da eine Reihe von Protokollen unterstützt werden müssen. Die Umstellung auf 5G wird kein radikaler Wandel sein. Die meisten Dienstanbieter müssen 4G und 5G gleichzeitig nutzen und brauchen eine Migrationslösung, die ihnen dabei hilft. Wenn beispielsweise der 5G SA-Kern ausgerollt wird, werden viele Dienstanbieter ihre vorhandenen 4G-Abrechnungs- und -Gebührensysteme nutzen, um die Bereitstellung von 5G zu beschleunigen und so schneller eine Rendite für ihre 5G-Investition zu erzielen. Das bedeutet, dass ihre Kubernetes-Cluster sowohl 4G- als auch 5G-Protokolle unterstützen müssen. Zur Erweiterung der vorhandenen Kubernetes-Funktionalität ist ein Service-Proxy für die Ein-/Ausgangskontrolle erforderlich.

Abbildung 1: Der F5® BIG-IP® Service Proxy für Kubernetes erleichtert die Unterstützung mehrerer Protokolle.

Ein Service-Proxy, der Eingangs-/Ausgangskontrolle bereitstellt, kann die strengen Anforderungen eines Service-Provider-Netzwerks erfüllen, indem er erweiterte Netzwerkdienste für Kubernetes bereitstellt:

  • Unterstützung für mehrere Protokolle, einschließlich 4G- und 5G-Signalisierung
  • Routenplanung
  • Lastenausgleich

Am Eintrittspunkt des Kubernetes-Clusters müssen Dienstanbieter den Cluster außerdem vor Angriffen schützen und Transparenz pro Abonnent bereitstellen. Die Anwendung einer Reihe robuster Sicherheitsdienste am Eintrittspunkt in den Cluster ist die erste Verteidigungslinie. Sicherheitsdienste wie DDoS-Schutz, Firewall und WAF können beim Eingang angewendet werden, um zu verhindern, dass bösartiger Datenverkehr in den Cluster eindringt und die 5G-Kernnetzwerkfunktionen und Kundenanwendungen beeinträchtigt. Zusätzlich zur Eingangssicherheit benötigen Dienstanbieter Einblick in den Datenverkehr einzelner Abonnenten. Diese wertvollen Daten helfen bei der Behebung von Netzwerkproblemen und können auch zur Umsatzsicherung verwendet werden. Dienstanbieter geben enorme Summen für die Umsatzsicherung aus, um zu gewährleisten, dass Ereignisse aus Compliance- und Abrechnungsgründen nachverfolgt werden können. Diese Daten können am Einstiegspunkt zum Kubernetes-Cluster gesammelt und dann mit Berichten aus dem dynamischen Containersatz verglichen werden.

Abbildung 2: Ein Service-Proxy kann durch die Datenverfolgung beim Dateneingang zur Verbesserung der Sicherheit und Sichtbarkeit beitragen.

Zusammenfassend lässt sich sagen, dass ein Service-Proxy, der Ein- und Ausgangskontrolle, Sicherheit und Sichtbarkeit bietet, die entscheidende Funktionalität bereitstellt, die Kubernetes benötigt, um die Anforderungen einer 5G-Cloud-native-Infrastruktur zu erfüllen.

 

Service Mesh

Nachdem wir uns nun mit den Anforderungen für den Nord-Süd-Verkehr in einer Cloud-native-Infrastruktur auf Kubernetes-Basis befasst haben, können wir die Anforderungen und Herausforderungen für den Verkehr innerhalb des Clusters untersuchen. Wie Ein- und Ausgang muss auch die Ost-West-Kommunikation zwischen den im Cluster ausgeführten Diensten höhere Standards hinsichtlich Beobachtbarkeit und Sicherheit erfüllen, um mit der Cloud-nativen 5G-Infrastruktur kompatibel zu sein. Dienstanbieter müssen in der Lage sein, Sicherheitsrichtlinien anzuwenden, die die Kommunikation zwischen den Diensten innerhalb des Clusters steuern. Durch die Disaggregation des 5G-Kerns wird eine bessere Beobachtung innerhalb des Clusters erforderlich. Dadurch können Dienstanbieter den Zustand ihrer Dienste beurteilen und die Grundursache von Fehlern ermitteln, wenn dies nicht der Fall ist. Dienstanbieter müssen außerdem sicherstellen, dass ihre Infrastruktur die erforderlichen Kapazitäten besitzt, um behördliche Anforderungen, wie etwa die Einhaltung gesetzlicher Vorschriften, zu erfüllen. Diese Anforderungen stellen Herausforderungen für die Vernetzung und Steuerung von Kubernetes dar. Eine Methode zum Bewältigen dieser Herausforderungen ist die Implementierung eines Service Mesh wie Istio, das die folgenden Funktionen hinzufügt:

  • Zuverlässigkeit: Wiederholungsversuche, Timeouts, Minderung kaskadierender Fehler
  • Beobachtbarkeit und Debugging: Überwachung, Ablaufverfolgung, Metriken
  • Sicherheit: authN/authZ, Geheimnisse verwalten, Verschlüsselung sicherstellen
  • Verkehrsmanagement: Diensterkennung, benutzerdefiniertes Routing, Canary-Bereitstellungen

Abbildung 3: F5® Aspen Mesh™ verbessert die Sichtbarkeit und Sicherheit der Ost-West-Kommunikation innerhalb eines Kubernetes-Clusters.

F5-Lösungen für Cloud-native Infrastruktur

F5 ist ein führendes Unternehmen im Bereich Anwendungs-, Netzwerk- und Sicherheitsdienste und bietet eine Reihe von Lösungen für 5G-Kern- und Cloud-native 5G-Infrastrukturen. F5 bietet zwei Hauptprodukte, die die Herausforderungen bewältigen, denen sich Dienstanbieter beim Aufbau einer Cloud-nativen Infrastruktur gegenübersehen, um die Netzwerk- und Sicherheitsanforderungen für vRAN, 5G Core und Unternehmensanwendungen zu unterstützen.

  • F5 BIG-IP Service Proxy für Kubernetes (BIG-IP SPK)
  • Aspen Mesh in Carrier-Qualität
BIG-IP Service-Proxy für Kubernetes (SPK)

BIG-IP SPK ist in der Branche einzigartig und bietet Ein-/Ausgangskontrolle mit Multiprotokoll-Signalunterstützung und Sicherheit, die speziell für Dienstanbieter entwickelt wurde, die in ihrem gesamten Wirkungsbereich eine Cloud-native Infrastruktur bereitstellen. BIG-IP SPK richtet sich außerdem nach den Kubernetes-Entwurfsmustern für Konfiguration und Orchestrierung. Diese Lösung ermöglicht es, branchenführende Netzwerk- und Sicherheitsfunktionen auf eine Kubernetes-basierte Infrastruktur anzuwenden.1

Ein-/Ausgangskontrolle

  • L4-Lastausgleich: TCP, UDP und SCTP
  • L7-Lastausgleich: Durchmesser, SIP, HTTP/2
  • GTPcV2-Lastausgleich
  • Routenplanung
  • Ratenbegrenzung

Sicherheit

  • Signalisierungs-Firewall, DDoS, WAF
  • Verschlüsseln/Entschlüsseln
  • Topologie ausblenden

Sichtweite

  • Umsatzsicherung
  • Statistiken und Analysen

Darüber hinaus kann BIG-IP SPK die erweiterten Funktionen von Intel SmartNIC für mehr Leistung und Skalierbarkeit nutzen.

Abbildung 4: BIG-IP Service Proxy für Kubernetes kann zur Leistungsverbesserung in SmartNIC integriert werden.

Aspen-Netz in Carrier-Qualität

Carrier-Grade Aspen Mesh ist ein Service Mesh, das speziell für Cloud-native Infrastrukturen von Dienstanbietern entwickelt wurde. Das Service-Mesh Aspen Mesh basiert auf dem Open-Source-System Istio und fügt Funktionen hinzu, die für ein Service-Provider-Netzwerk von entscheidender Bedeutung sind.

  • Unübertroffene Verkehrstransparenz innerhalb jedes 5G-Kern-Kubernetes-Clusters, die Umsatzsicherung ermöglicht und es Dienstanbietern ermöglicht, 5G mithilfe vorhandener Abrechnungssysteme zu monetarisieren.
  • Stärkere Sicherheit durch einen konsistenten Ansatz zur Verschlüsselung und Authentifizierung des gesamten Datenverkehrs zwischen Netzwerkfunktionen mehrerer Anbieter und mehrerer Standorte, basierend auf den stärksten mTLS-Techniken und an eine Carrier-Grade-Zertifizierungsstelle mit 3GPP-Kompatibilität angebunden.
  • Verkehrssteuerung und Richtlinienverwaltung, die es Dienstanbietern ermöglichen, Servicekommunikation effizient weiterzuleiten und Geschäfts- und Compliance-Richtlinien für das Service Mesh und den Netzwerkverkehr zu konfigurieren und durchzusetzen. 

Aspen Mesh bietet außerdem Funktionen zur Paketerfassung, die Standard-Kubernetes nicht bietet. Die Paketerfassung erleichtert die Behebung von Kommunikationsproblemen zwischen CNFs innerhalb des Clusters und bietet Dienstanbietern die erforderliche Infrastruktur, um behördlichen Anforderungen wie der rechtmäßigen Überwachung nachzukommen.

5G-Core-Beispiel

BIG-IP SPK und Carrier-Grade Aspen Mesh arbeiten zusammen, um die Herausforderungen der Verwendung von Kubernetes in einer 5G-Cloud-native-Infrastruktur zu lösen. BIG-IP SPK geht auf die Anforderungen an Multiprotokoll-Signalunterstützung, Sicherheit und Transparenz des Datenverkehrs im Kubernetes-Cluster ein, während Carrier-Grade Aspen Mesh die Kommunikation zwischen CNFs abdeckt – beides kritische Funktionen für die Bereitstellung einer 5G-Cloud-native-Infrastruktur. Die folgende Abbildung zeigt eine 5G-Infrastruktur, die BIG-IP SPK und Aspen Mesh nutzt.  

Abbildung 5: Cloud-native Netzwerkarchitektur

Abschluss

Dienstanbieter sind sich bewusst, dass eine Cloud-native Infrastruktur eine zentrale Rolle für den Erfolg ihrer 5G-Bereitstellung spielt und für ihre Fähigkeit, die Anwendungen und Dienste zu unterstützen, die ein neues 5G-Netzwerk ermöglicht. Dienstanbieter suchen nach Lösungen, die ihnen die Kontrolle, Sicherheit und Transparenz bieten, die für die Cloud-native 5G-Infrastruktur erforderlich sind. F5 versteht die Anforderungen eines Dienstanbieternetzwerks und bietet Lösungen, die es Dienstanbietern ermöglichen, mithilfe von Kubernetes ihre Cloud-native 5G-Infrastruktur erfolgreich aufzubauen und bereitzustellen.

1 Wenden Sie sich bezüglich der Funktionsverfügbarkeit an F5.

Veröffentlicht am 28. Oktober 2020
  • Auf Facebook teilen
  • Teilen mit X
  • Auf Linkedin teilen
  • Teilen per E-Mail
  • Teilen über AddThis

Verbinden mit F5

F5 Labs

Die neuesten Erkenntnisse im Bereich Anwendungsbedrohungsinformationen.

Zu F5 Labs

DevCentral

Die F5-Community für Diskussionsforen und Expertenartikel.

Zu DevCentral

F5-Newsroom

Neuigkeiten, F5-Blogs und mehr.

Zum Newsroom