Sucesso do 5G começa com infraestrutura nativa da nuvem
O 5G está transformando o cenário digital para provedores de serviços, trazendo consigo novos casos de uso e oportunidades de receita. Os provedores de serviços que conseguirem fazer a transição para o 5G com sucesso poderão se beneficiar de novos aplicativos empresariais, automação industrial, IoT, além de serviços ao consumidor, como jogos e RA/RV. Esses novos casos de uso são habilitados por um novo núcleo autônomo (SA) 5G construído em uma arquitetura baseada em serviço nativa da nuvem (SBA). Para aproveitar ao máximo essas novas oportunidades, os provedores de serviços devem definir e implantar uma infraestrutura nativa da nuvem consistente, do núcleo até a extremidade mais distante, que possa dar suporte às funções de rede 5G Core, vRAN e N6-LAN (NF), bem como aplicativos e serviços corporativos e de consumo. A infraestrutura nativa da nuvem estabelece a base para o sucesso de um provedor de serviços com 5G.
Como a infraestrutura é um bloco de construção crítico para implantações 5G, determinando a capacidade de um provedor de serviços de realizar totalmente novos casos de uso 5G, é fundamental que os provedores de serviços definam, gerenciem e controlem sua própria infraestrutura nativa da nuvem 5G. De fato, há muitos precedentes para concentrar investimentos em infraestrutura. Podemos observar os hiperescaladores Google, AWS, Azure e até mesmo a Apple; todas essas empresas investiram pesadamente na construção de uma infraestrutura que pudesse fornecer serviços de geração de receita e aplicativos para clientes de forma confiável e segura.
Aproveitando tecnologias que impulsionam os aplicativos da web modernos de hoje, a infraestrutura 5G é construída em uma arquitetura nativa da nuvem e em contêineres que permite novos níveis de automação operacional, flexibilidade e adaptabilidade para o provedor de serviços. O Kubernetes se tornou o padrão do setor para gerenciamento e orquestração de contêineres, e é o que quase todos os provedores de serviços usam para sua infraestrutura nativa da nuvem. No entanto, as redes de provedores de serviços colocam demandas novas e exclusivas no fluxo de dados para dentro do cluster do Kubernetes. O Kubernetes não está nativamente equipado para atender a essas demandas. Nas seções a seguir, examinaremos os requisitos exclusivos que uma infraestrutura nativa da nuvem deve atender para dar suporte a vRAN, 5G Core NFs e aplicativos corporativos e de consumo essenciais. Em seguida, discutiremos como o F5 aborda esses requisitos.
Para que os provedores de serviços forneçam serviços confiáveis, seguros e escaláveis, eles devem levar em conta três tipos principais de requisitos:
- Controle: Os provedores de serviços devem ser capazes de aplicar controle de políticas sobre vários tipos de tráfego exclusivos de uma rede de provedores de serviços. Ser capaz de aplicar o gerenciamento inteligente de tráfego permitirá que os provedores de serviços ofereçam suporte a novos serviços, como fatiamento de rede, suportem a transição dos protocolos 4G para 5G e forneçam a base necessária para novos casos de uso habilitados para 5G.
- Segurança:Para manter altos níveis de confiança e retenção de clientes, os controles de segurança devem ser aplicados em vários pontos e em várias camadas da rede.
- Visibilidade: A visibilidade do fluxo de tráfego para dentro e para dentro da infraestrutura melhorará a eficiência operacional, aumentará a eficácia da solução de problemas e tornará os controles de receita mais flexíveis.
Primeiro, examinaremos os requisitos e a solução para a rede de entrada/saída do cluster Kubernetes, também chamada de “tráfego norte-sul”. A rede padrão do Kubernetes é suficiente para a maioria dos aplicativos web executados em um ambiente de nuvem onde HTTP/HTTPS é o principal protocolo de comunicação de entrada e saída no cluster do Kubernetes. Um ambiente de provedor de serviços apresenta desafios únicos para a rede Kubernetes devido à necessidade de oferecer suporte a uma variedade de protocolos. A mudança para o 5G não será uma mudança difícil; a maioria dos provedores de serviços precisará executar 4G e 5G simultaneamente e precisa de uma solução de migração que os ajude a fazer isso. Por exemplo, à medida que o núcleo 5G SA for implementado, muitos provedores de serviços aproveitarão seus sistemas existentes de cobrança e faturamento 4G para acelerar a entrega do 5G, permitindo que eles obtenham um retorno mais rápido sobre seu investimento em 5G. Isso significa que seus clusters Kubernetes devem oferecer suporte aos protocolos 4G e 5G. Um proxy de serviço para controle de entrada/saída é necessário para aprimorar a funcionalidade existente do Kubernetes.
Figura 1: O F5® BIG-IP® Service Proxy para Kubernetes facilita o suporte a vários protocolos.
Um proxy de serviço que fornece controle de entrada/saída será capaz de atender aos requisitos rigorosos de uma rede de provedor de serviços, fornecendo serviços de rede aprimorados para o Kubernetes:
- Suporte para vários protocolos, incluindo sinalização 4G e 5G
- Roteamento
- Balanceamento de carga
No ponto de entrada do cluster do Kubernetes, os provedores de serviços também devem proteger o cluster contra ataques e fornecer visibilidade por assinante. Aplicar um conjunto de serviços de segurança robustos no ponto de entrada no cluster é a primeira linha de defesa. Serviços de segurança como proteção DDoS, firewall e WAF podem ser aplicados na entrada para evitar que tráfego malicioso entre no cluster e afete as funções da rede principal 5G e os aplicativos do cliente. Além da segurança de entrada, os provedores de serviços precisam de visibilidade do tráfego por assinante. Esses dados valiosos auxiliam na solução de problemas de rede e também podem ser usados para garantir receita. Os provedores de serviços gastam uma quantia enorme de dinheiro em garantia de receita para garantir que os eventos possam ser rastreados para fins de conformidade e cobrança. Esses dados podem ser coletados no ponto de entrada do cluster do Kubernetes e depois comparados com relatórios do conjunto dinâmico de contêineres.
Figura 2: Um proxy de serviço pode ajudar a melhorar a segurança e a visibilidade rastreando dados na entrada.
Em resumo, um proxy de serviço que fornece controle de entrada/saída, segurança e visibilidade fornece a funcionalidade crítica que o Kubernetes precisa para atender às demandas de uma infraestrutura nativa da nuvem 5G.
Agora que abordamos os requisitos para o tráfego norte-sul em uma infraestrutura nativa da nuvem baseada em Kubernetes, podemos examinar os requisitos e desafios para o tráfego dentro do cluster. Assim como a entrada e a saída, a comunicação leste-oeste entre os serviços executados no cluster deve atender a padrões mais elevados de observabilidade e segurança para ser compatível com a infraestrutura 5G nativa da nuvem. Os provedores de serviços devem ser capazes de aplicar políticas de segurança que controlem a comunicação entre os serviços dentro do cluster. A desagregação do núcleo 5G cria uma necessidade de maior observabilidade dentro do cluster, permitindo que os provedores de serviços avaliem a integridade de seus serviços e identifiquem a causa raiz das falhas quando elas não estiverem. Os provedores de serviços também devem garantir que sua infraestrutura tenha capacidade para atender aos requisitos governamentais, como interceptação legal. Esses requisitos apresentam desafios para a rede e os controles do Kubernetes. Um método para abordar esses desafios é implementar uma malha de serviços como o Istio, que adiciona os seguintes recursos:
- Confiabilidade: novas tentativas, tempos limite, mitigação de falhas em cascata
- Observabilidade e depuração: monitoramento, rastreamento, métricas
- Segurança: authN/authZ, gerenciamento de segredos, garantia de criptografia
- Gerenciamento de tráfego: descoberta de serviços, roteamento personalizado, implantações canárias
Figura 3: O F5® Aspen Mesh™ melhora a visibilidade e a segurança na comunicação leste-oeste dentro de um cluster Kubernetes.
A F5 é líder em serviços de aplicativos, rede e segurança e fornece uma variedade de soluções para núcleo 5G e infraestrutura 5G nativa da nuvem. A F5 fornece dois produtos principais que abordam os desafios que os provedores de serviços enfrentam ao criar uma infraestrutura nativa da nuvem para dar suporte aos requisitos de rede e segurança para vRAN, 5G Core e aplicativos corporativos.
- Proxy de serviço F5 BIG-IP para Kubernetes (BIG-IP SPK)
- Malha Aspen de nível de operadora
O BIG-IP SPK é único no setor, fornecendo controle de entrada/saída com suporte de sinalização multiprotocolo e segurança projetada especificamente para provedores de serviços que implantam uma infraestrutura nativa da nuvem em toda a sua área de cobertura. O BIG-IP SPK também se alinha aos padrões de design do Kubernetes para configuração e orquestração. Esta solução possibilita aplicar recursos de rede e segurança líderes do setor a uma infraestrutura baseada em Kubernetes.1
Controle de entrada/saída
- Balanceamento de carga L4: TCP, UDP e SCTP
- Balanceamento de carga L7: Diâmetro, SIP, HTTP/2
- Balanceamento de carga GTPcV2
- Roteamento
- Limitação de taxa
segurança
- Firewall de sinalização, DDoS, WAF
- Criptografar/Descriptografar
- Ocultação de topologia
Visibilidade
- Garantia de receita
- Estatística e Análise
Além disso, o BIG-IP SPK pode aproveitar os recursos aprimorados do Intel SmartNIC para maior desempenho e escalabilidade.
Figura 4: O BIG-IP Service Proxy para Kubernetes pode ser integrado ao SmartNIC para melhor desempenho.
O Aspen Mesh de nível de operadora é uma malha de serviços desenvolvida especificamente para infraestruturas nativas em nuvem de provedores de serviços. O serviço de malha Aspen Mesh é criado no Istio de código aberto e adiciona recursos essenciais para uma rede de provedores de serviços.
- Visibilidade de tráfego inigualável dentro de cada cluster Kubernetes de núcleo 5G, permitindo garantia de receita e permitindo que provedores de serviços monetizem o 5G usando sistemas de cobrança existentes.
- Segurança mais forte com uma abordagem consistente para criptografar e autenticar todo o tráfego entre funções de rede de vários fornecedores e vários sites, desenvolvida com base nas técnicas mTLS mais fortes e vinculada a uma autoridade de certificação de nível de operadora compatível com 3GPP.
- Controle de tráfego e gerenciamento de políticas que permitem aos provedores de serviços rotear comunicações de serviço de forma eficiente e configurar e aplicar políticas de negócios e conformidade para a malha de serviço e tráfego de rede.
O Aspen Mesh também fornece recursos de captura de pacotes, o que o Kubernetes padrão não fornece. A captura de pacotes facilita a solução de problemas de comunicação entre CNFs dentro do cluster e fornece aos provedores de serviços a infraestrutura necessária para cumprir com requisitos governamentais, como interceptação legal.
O BIG-IP SPK e o Carrier-Grade Aspen Mesh trabalham em conjunto para resolver os desafios de usar o Kubernetes em uma infraestrutura nativa da nuvem 5G. O BIG-IP SPK atende à necessidade de suporte de sinalização multiprotocolo, segurança e visibilidade do tráfego no cluster Kubernetes, enquanto o Aspen Mesh de nível de operadora aborda a comunicação entre CNFs, ambas funções críticas para a implantação de uma infraestrutura nativa da nuvem 5G. A figura abaixo descreve uma infraestrutura 5G utilizando BIG-IP SPK e Aspen Mesh.
Figura 5: Arquitetura de rede nativa da nuvem
Os provedores de serviços entendem o papel central que uma infraestrutura nativa da nuvem desempenhará no sucesso de sua implantação de 5G e em sua capacidade de dar suporte aos aplicativos e serviços habilitados por uma nova rede alimentada por 5G. Os provedores de serviços estão buscando soluções que forneçam o controle, a segurança e a visibilidade necessários para a infraestrutura nativa da nuvem 5G. A F5 entende as demandas de uma rede de provedores de serviços e fornece soluções que permitem que os provedores de serviços usem o Kubernetes para construir e implantar com sucesso sua infraestrutura 5G nativa da nuvem.
1 Entre em contato com a F5 para verificar a disponibilidade dos recursos.
Conecte-se com F5
