WHITE PAPER

5G-Erfolg beginnt mit cloudnativer Infrastruktur

5G verändert die digitale Landschaft für Service-Provider mit neuen Anwendungsfällen und Umsatzmöglichkeiten. Dienstanbieter, die erfolgreich auf 5G umstellen, können von neuen Unternehmensanwendungen, industrieller Automatisierung, IoT sowie Verbraucherdiensten wie Gaming und AR/VR profitieren. Diese neuen Anwendungsfälle werden durch einen neuen 5G-Standalone(SA)-Core ermöglicht, der auf einer cloudnativen servicebasierten Architektur (SBA) aufbaut. Um diese neuen Möglichkeiten optimal nutzen zu können, müssen Service Provider eine einheitliche cloudnative Infrastruktur vom Core bis zum Far Edge definieren und bereitstellen, die den 5G Core, vRAN und N6-LAN-Netzwerkfunktionen (NF) sowie Unternehmens- und Verbraucheranwendungen und -services unterstützen kann. Eine cloudnative Infrastruktur ist der Grundstein für den 5G-Erfolg von Service-Providern.

Da die Infrastruktur ein kritischer Baustein für 5G-Implementierungen ist, von dem die erfolgreiche vollständige Realisierung neuer 5G-Anwendungsfälle abhängt, ist es für Service-Provider unerlässlich, ihre eigene cloudnative 5G-Infrastruktur zu definieren, zu verwalten und zu kontrollieren. Es gibt tatsächlich viele Beispiele für die Fokussierung von Investitionen auf die Infrastruktur. Die Hyperscaler Google, AWS, Azure und sogar Apple sind Beispiele für Unternehmen, die stark in den Aufbau einer Infrastruktur investiert haben, um zuverlässig und sicher umsatzsteigernde Dienste und Kundenanwendungen bereitzustellen.

Die 5G-Infrastruktur basiert auf einer cloudnativen, containerisierten Architektur, die ein völlig neues Maß an betrieblicher Automatisierung, Flexibilität und Anpassungsfähigkeit für Service-Provider bietet. Kubernetes hat sich zum Industriestandard für Container-Management und -Orchestrierung entwickelt und wird von fast allen Service-Providern für ihre cloudnative Infrastruktur verwendet. Service-Provider-Netzwerke stellen jedoch neue, einzigartige Anforderungen an den eingehenden und internen Datenfluss des Kubernetes-Clusters, die Kubernetes nativ nicht erfüllt. In den folgenden Abschnitten werden die einzigartigen Anforderungen behandelt, die eine cloudnative Infrastruktur erfüllen muss, um essenzielle Dinge wie vRAN, 5G Core NFs sowie Unternehmens- und Verbraucheranwendungen zu unterstützen, und anschließend erörtert, wie F5 mit diesen Herausforderungen umgeht.

Kontrolle, Sicherheit und Sichtbarkeit für cloudnative Infrastrukturen

Damit Service Provider zuverlässige, sichere und skalierbare Dienste bereitstellen können, müssen sie drei wesentliche Arten von Anforderungen berücksichtigen:

  • Kontrolle: Service-Provider müssen in der Lage sein, Richtliniensteuerung für mehrere Traffic-Typen anzuwenden, die für ein Service-Provider-Netzwerk einzigartig sind. Mit intelligentem Verkehrsmanagement können Dienstanbieter neue Dienste wie Network Slicing sowie den Übergang von 4G- zu 5G-Protokollen unterstützen und die Grundlage für neue 5G-Anwendungsbereiche schaffen.
  • Sicherheit: Für ein hohes Maß an Kundenvertrauen und -bindung müssen Sicherheitskontrollen an mehreren Punkten und über mehrere Schichten im Netzwerk angewendet werden.
  • Transparenz: Die Transparenz des in die Infrastruktur eingehenden und internen Traffics verbessert die betriebliche Effizienz, unterstützt Sie bei der Fehlerbehebung und macht die Kontrolle der Einnahmen flexibler.

Ingress-/Egress-Kontrolle

Zunächst betrachten wir die Anforderungen und die Lösung für das Ingress/Egress-Networking des Kubernetes-Clusters, auch „Nord-Süd-Traffic“ genannt. Die Standard-Netzwerkfunktionen von Kubernetes sind für die meisten in einer Cloud mit HTTP/HTTPS als primärem eingehenden und internen Kommunikationsprotokoll laufenden Webanwendungen ausreichend. Eine Service-Provider-Umgebung stellt besondere Herausforderungen an die Netzwerktechnik von Kubernetes, da eine Reihe von Protokollen unterstützt werden müssen. Statt einer plötzlichen Umstellung auf 5G werden die meisten Service-Provider 4G und 5G gleichzeitig betreiben, und sie brauchen eine Migrationslösung, die ihnen dabei hilft. Während der SA 5G-Core eingeführt wird, werden viele Service-Provider beispielsweise ihre bestehenden 4G-Abrechnungssysteme nutzen, um die Bereitstellung von 5G und somit auch die Rendite der entsprechenden Investitionen zu beschleunigen. Das bedeutet, dass ihre Kubernetes-Cluster sowohl 4G- als auch 5G-Protokolle unterstützen müssen. Ein Service-Proxy für die Ingress-/Egress-Kontrolle ist erforderlich, um bestehende Kubernetes-Funktionen zu erweitern.

Ein Service-Proxy, der Ingress-/Egress-Kontrolle bietet, kann die strengen Anforderungen eines Service-Provider-Netzwerks erfüllen, indem er erweiterte Netzwerkdienste für Kubernetes bereitstellt:

  • Unterstützung mehrerer Protokolle, einschließlich 4G- und 5G-Signalisierung
  • Routing
  • Load Balancing

Service-Provider müssen den Kubernetes-Cluster auch am Eintrittspunkt des Clusters vor Angriffen schützen und Transparenz aller einzelnen Teilnehmer bieten. Eine Reihe robuster Sicherheits-Services am Eintrittspunkt des Clusters ist die erste Verteidigungslinie. Sicherheits-Services wie DDoS-Abwehr, Firewall und WAF können am Ingress eingesetzt werden, um zu verhindern, dass bösartiger Datenverkehr in den Cluster eindringt und die 5G Core-Netzwerkfunktionen und Kundenanwendungen beeinträchtigt. Zusätzlich zur Ingress-Sicherheit benötigen Service Provider einen Einblick in den Traffic individueller Teilnehmer. Diese wertvollen Daten helfen bei der Fehlerbehebung von Netzwerkproblemen und können auch zur Ertragssicherung genutzt werden. Service Provider geben sehr viel Geld für Ertragssicherung aus, um sicherzustellen, dass Ereignisse für Compliance- und Abrechnungszwecke nachvolllzogen werden können. Diese Daten können am Eingangspunkt des Kubernetes-Clusters gesammelt und dann mit Berichten aus dem dynamischen Satz von Containern verglichen werden.

Zusammenfassend lässt sich sagen, dass ein Service-Proxy, der Ingress/Egress-Kontrolle, Sicherheit und Transparenz bietet, die entscheidenden Funktionen bietet, mit denen Kubernetes die Anforderungen einer cloudnativen 5G-Infrastruktur zu erfüllen.

Service Mesh

Nachdem wir nun die Anforderungen für den Nord-Süd-Verkehr in eine Kubernetes-basierte cloudnative Infrastruktur angesprochen haben, behandeln wir die Anforderungen und Herausforderungen für den Verkehr innerhalb des Clusters. Wie Ingress und Egress muss auch die Ost-West-Kommunikation zwischen im Cluster ausgeführten Services höhere Standards für Beobachtbarkeit und Sicherheit erfüllen, um mit der cloud-nativen 5G-Infrastruktur kompatibel zu sein. Service-Provider müssen die Kommunikation zwischen den Services innerhalb des Clusters mit Sicherheitsrichtlinien kontrollieren können. Durch die Disaggregation des 5G Core ist eine bessere Beobachtbarkeit innerhalb des Clusters nötig, damit Service-Provider den Zustand ihrer funktionierenden Services beurteilen und die Ursache von Ausfällen identifizieren können, wenn sie nicht funktionieren. Außerdem brauchen Service-Provider eine Infrastruktur, die behördliche Anforderungen wie gesetzeskonformes Abhören erfüllt. Diese Anforderungen stellen Herausforderungen für Kubernetes-Netzwerke und -Management dar. Eine Methode zur Bewältigung dieser Herausforderungen ist die Implementierung eines Service-Mesh wie Istio mit folgenden Features:

  • Zuverlässigkeit: Neuversuche, Timeouts, Minimierung kaskadierender Ausfällen
  • Beobachtbarkeit und Fehlersuche: Überwachung, Verfolgung, Metriken
  • Sicherheit: authN/authZ, Geheimnis-Management, Verschlüsselung garantieren
  • Traffic-Management: Service-Erkennung, benutzerdefiniertes Routing, Canary-Deployments

F5-Lösungen für cloudnative Infrastrukturen

F5 ist ein führender Anbieter von Anwendungs-, Netzwerk- und Sicherheits-Services und bietet eine Reihe von Lösungen für 5G-Core- und Cloud-native 5G-Infrastrukturen. F5 bietet zwei Hauptprodukte, um die Probleme zu lösen, die Service-Provider beim Aufbau einer cloudnativen Infrastruktur erwarten. Sie unterstützen Netzwerk- und Sicherheitsanforderungen für das vRAN, den 5G Core und Unternehmensanwendungen.

  • F5 BIG-IP Service Proxy für Kubernetes (BIG-IP SPK)
  • Carrier-Grade Aspen Mesh

BIG-IP Service Proxy für Kubernetes (SPK)

BIG-IP SPK ist einzigartig in der Branche dank seiner Ingress/Egress-Kontrolle mit Unterstützung für Multiprotokoll-Signalisierung und Sicherheit, die speziell für Service-Provider entwickelt wurde, die eine cloudnative Infrastruktur in ihrem Bereich einsetzen. BIG-IP SPK ist außerdem mit den Kubernetes-Designmustern für Konfiguration und Orchestrierung abgestimmt. Mit dieser Lösung ist es möglich, branchenführende Netzwerk- und Sicherheitsfunktionen auf eine Kubernetes-basierte Infrastruktur anzuwenden.[1]

Ingress-/Egress-Kontrolle

  • L4-Load Balancing: TCP, UDP und SCTP
  • L7-Load Balancing: Diameter, SIP und HTTP/2
  • GTPcV2-Load Balancing
  • Routing
  • Ratenbegrenzung

Sicherheit

  • Signalisierungs-Firewall, DDoS, WAF
  • Verschlüsselung/Entschlüsselung
  • Topology Hiding

Transparenz

  • Ertragssicherung
  • Statistik- und Analysefunktionen

Darüber hinaus kann BIG-IP SPK die erweiterten Funktionen von Intel SmartNIC für mehr Performance und Skalierbarkeit nutzen.

Carrier-Grade Aspen Mesh

Carrier-Grade Aspen Mesh ist ein Service-Mesh, das speziell für cloudnative Infrastrukturen von Service-Providern entwickelt wurde. Das Service-Mesh von Aspen Mesh basiert auf dem Open Source-Projekt Istio und bietet zusätzliche Funktionen, die für ein Service-Provider-Netzwerk essenziell sind.

  • Unübertroffen transparenter Traffic innerhalb jedes 5G Core-Kubernetes-Clusters zur Einnahmesicherung, die Service-Providern die Monetarisierung von 5G über bestehende Abrechnungssysteme erlaubt.
  • Stärkere Sicherheit mit einem einheitlichen Ansatz zur Verschlüsselung und Authentifizierung des gesamten Traffics zwischen anbieter- und standortübergreifenden Netzwerkfunktionen auf Grundlage der stärksten mTLS-Techniken mit einer 3GPP-kompatiblen, Carrier Grade-Zertifizierungsstelle.
  • Trafficsteuerung und Richtlinienverwaltung, die Service-Providern ein effizientes Routing der Service-Kommunikation und die Konfiguration sowie Durchsetzung von Geschäfts- und Compliance-Richtlinien für das Service-Mesh und den Netzwerktraffic bieten.

Anders als natives Kubernetes bietet Aspen Mesh auch Packet Capturing, was die Fehlersuche bei Kommunikationsproblemen zwischen CNFs innerhalb des Clusters erleichtert. So haben Service-Provider die nötige Infrastruktur, um gesetzliche Vorgaben wie etwa bei richterlich angeordnetem Abhören zu erfüllen.

5G Core-Beispiel

BIG-IP SPK und Carrier-Grade Aspen Mesh bewältigen unterschiedliche Herausforderungen der Nutzung von Kubernetes in einer cloudnativen 5G-Infrastruktur. BIG-IP SPK bietet die benötigte Unterstützung für Multiprotokoll-Signalisierung, Sicherheit und Transparenz des Traffics im Kubernetes-Cluster, während Carrier-Grade Aspen Mesh für die Kommunikation zwischen CNFs zuständig ist. Beide sind essenziell für die Bereitstellung einer cloudnativen 5G-Infrastruktur. Nachstehend sehen Sie eine 5G-Infrastruktur mit BIG-IP SPK und Aspen Mesh.

Schlussfolgerung

Service-Provider sind sich bewusst, welche zentrale Rolle eine cloudnative Infrastruktur für den Erfolg ihrer 5G-Implementierung und für ihre Fähigkeit zur Unterstützung neuer Anwendungen und Dienste durch ein neues, mit 5G betriebenes Netzwerk spielen wird. Sie sind auf der Suche nach Lösungen, die ihnen die für die cloudnative 5G-Infrastruktur benötigte Kontrolle, Sicherheit und Transparenz bieten. F5 kennt die Anforderungen von Service-Provider-Netzwerken und bietet Lösungen, die es Service-Providern ermöglichen, Kubernetes zu nutzen, um ihre cloudnative 5G-Infrastruktur erfolgreich aufzubauen und bereitzustellen.

1 Erkundigen Sie sich bei F5 nach der Verfügbarkeit von Features.

Published October 29, 2020
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis

Connect with F5

F5 Labs

The latest in application threat intelligence.

DevCentral

The F5 community for discussion forums and expert articles.

F5 Newsroom

News, F5 blogs, and more.