-
Notifications
You must be signed in to change notification settings - Fork 1
Motivation and Background
ZTM的核心初创团队来自Flomesh和W3IF社区,如下几个场景和需求驱动了开发ZTM:
-
作为一个并不大的开发团队,Flomesh在自己办公室运行了多台“服务器”,用于开发、测试等。开发人员在家里需要访问这些服务器的时候,我们首先想到了VPN方案,但是这需要一个固定的公网IP,对于一个成本优先的团队,获取和维护一个公网IP成本和复杂度都超过的预期。因此我们需要一个廉价的、简单易用的内网访问方案,并且这个方案应该是安全的。frp等内网穿透工具打通了网络,但是需要额外的安全配置,对于开发团队来说维护安全策略是复杂和高成本的。 需要一个内网访问工具,简单、易用、跨平台、安全
-
W3IF社区成立后一直在讨论构建 去中心化 的应用和内容共享平台(比如在社区成员之间直接共享家庭服务器上的网页和照片),我们深入的研究了IFPS,但是IFPS和存量网络的连通性复杂且不够友好,因此出现了多种IPFS Gateway类软件。去中心化的网络应该兼容现存网络,并且兼容存量的工具。比如当我在我家庭电脑共享一个照片的时候,我的朋友应该可以直接使用浏览器来访问它,而不必使用特定的客户端和工具。需要一个去中心化的overlay网络,无缝兼容和衔接现有的IP网络
-
Flomesh团队核心产品是服务网格,我们在商业上提供面向微服务的网络和服务治理产品和方案。在企业环境里,我们通常要面对涵盖了物理极、虚拟机、单机Docker、Kubernetes多集群的网络环境,打通网络和服务发现变得复杂且难于维护。需要一种简单的、可以快速实施的网络基础设施,兼容企业内部复杂的网络环境,并且提供网络和安全团队所需要的管理接口和安全能力,需要一个可以无缝打通多容器集群网络的工具,并且有网管和安全所需要的接口
-
我们需要提升网络安全的同时,降低网络复杂度。在今天,我们大多数人在大多数时候使用的网络是IP网络。IP网络在设计之初是面向“环境充分可信”的,任何一个接入网络的设备都有自己独立的IP,访问控制是基于IP和端口的。随着IP网络高速发展,无论在Internet还是局域网,其规模和可信环境都发生了巨大的变化,除了基于IP、端口的访问控制,更多的访问控制方案和工具被开发出来。同时随着网络拓扑的复杂性增加,基于 边界访问控制 的模型变得异常复杂,作为一个例子,用户从自己手机访问gmail服务的时候,需要穿透层层叠叠的网络边界,这些边界的访问控制策略高度动态,复杂且难于管理。针对这种情况,行业提出了Zero Trust的概念。正是在Zero Trust的理念下,Flomesh参考<BeyondCorp: The Access Proxy(https://research.google/pubs/beyondcorp-the-access-proxy/)> 开发了可编程代理Pipy(https://github.com/flomesh-io/pipy) 。 Pipy作为 访问代理 是构建ZTN数据平面的 原子 ,基于这些 原子 ,我们需要一个完整的网络平面,包括了对这些访问代理的管理和网络策略的管理,即控制平面。ZTM就是这个控制平面。
-
高性能终端设备为直接内容访问提供可能 。
-
家庭和终端设备大带宽为构建去中心化网络提供了物理基础 。