避坑秘籍 | 海外SaaS加速一定要搞清楚这些_北京源点思博科技有限公司

避坑秘籍 | 海外SaaS加速一定要搞清楚这些

业务上云，不仅指借助IaaS或PaaS构建自己的业务系统，还包括直接使用成熟的、经过市场考验的企业级SaaS。

无论客户数量还是市场渗透程度，后者都明显比前者大得多。从世界500强到初创型企业，都在以开放的心态拥抱各类企业级SaaS。事实已经证明，它确实能为多数企业降低成本、提升业务效率。

但由于不同国家/地区在文化、政策、市场规则等方面存在差异，企业级SaaS天然有着明显的区域属性，地盘划分比较清晰，互相渗透的难度较大。

所以可以看到，跨国公司在国内开展业务，信息化方面开始逐渐依赖于本土SaaS；同样道理，国内企业走出去做生意，海外SaaS是最佳且唯一的选择。

尤其在这个“互联网+一带一路”战略威力初显的时代，国内企业对海外SaaS的应用需求突然井喷式爆发。

当然，伴随市场机会一同出现的，少不了各种挑战。

海外SaaS访问之殇

访问缓慢甚至中断，是国内企业在应用海外SaaS时面临的最大挑战，已经严重到影响业务的正常开展。

在格物资讯对样本客户的日常调研中，几乎所有用到海外SaaS的企业，其IT运维人员和最终用户都对访问品质充满怨念。

“一早开电脑登录Salesforce，冲杯咖啡回来还没打开。”

“Office365的Portal页经常加载不出来。说是协作，效率比以前还低。”

“GitHub有时候打不开，代码同步不了，还干个毛。”

……

真的，在企业IT层面，除了WiFi，你很难再找到这样一个几乎所有付费客户都在吐槽的产品服务了。

业务拨测数据可以有效证明这一点。我们截取了9月份通过北京电信企业专线访问Offce365、Salesforce和GitHub首页的完整数据，可以看到访问体验确实是长期稳定的不堪。

业务拨测的数据维度很多，关注“首屏时间”这个最重要的指标就好。通常来说，首屏时间超过3秒，用户就会明显有慢的感觉；5秒还没加载完，一般就不等了。

与国内主流SaaS通常1-2秒的首屏时间相比，Office365国际版、Salesforce和GitHub的实测数据平均在10秒以上，确实妥妥的让人想砸电脑。

如果说每20分钟一次拨测的整月数据阐述了一个宏观事实，那每分钟一次的HTTP GET无疑能揭示更多的秘密。

首先，海外SaaS的访问品质有着明显的潮汐效应。以Office 365国际版用户常用到的Outlook入口为例，其访问品质在工作时间及晚间相当糟糕，后半夜至上班前则有着还算不错的表现。

其次，高频拨测消除了削峰填谷的效果，让我们看到“品质不好”也并不意味着每时每刻都不好，而是可用与不可用的随机交替。

讲真，这种让用户在希望与绝望间不停摇摆的感受，比彻底一棍子打晕要难受的多。

想象一下，辛辛苦苦填了七八页业务流，最后提交的时候来了个“页面无法打开”，刷新页面说不定又要重填，谁能接受？此时此刻，让任何人保持理智与冷静都是不现实的，也是不人道的。

纸上谈兵易方案落地难

要提升海外SaaS访问体验倒也不难，满足两个条件即可。

首先是更高品质的带宽，这是解决问题的基础。

造成海外SaaS访问缓慢的原因很多，其中最主要的一方面，当属海外SaaS在国内大多没有CDN，而三大运营商的国际出口又长期拥堵罢了。

确切地说，长期拥堵的是家用宽带和一般企业宽带/专线用到的国际出口。运营商还有更高规格的企业专线，国际方向走高品质且不拥堵的国际出口；再往上，带宽部分独享乃至完全独享的跨境专线产品也是存在的，品质无极限。

我们可以负责任地讲，都用不着跨境专线，只要是高规格企业专线，访问海外SaaS的体验就已经有着颠覆性的变化。

这张和上面同时间段、同地点，同配置的HTTP GET测试结果截图就是很好的证据，二者唯一区别是北京电信普通的企业专线换成了规格更高的CN2。这个结果谈不上完美，但对绝大多数Office 365国际版的用户来说，足够了。

遗憾的是，规格越高，价格也越高，能接受的企业客户就越少。

上一篇中我们提到过，北京电信普通100M企业专线的年费目前也就是10万出头。但如果想换成同样100M的CN2，企业预算要再增加3-4倍才行。相信这对于大多数海外SaaS访问品质有需求的企业来说，都是个极为沉重的包袱。

所以才需要满足第二个条件，精准的分流。

早在三五年前，企业信息化的先行者们就已经开始了尝试，并找到了白名单分流这个最优的技术思路——只让企业级SaaS等关键业务的流量走高品质带宽，其余流量走普通出口，即可在满足业务加速需求的前提下将带宽成本控制到最低。

但技术最优往往不等于工程最优。截至目前，莫说分流，能精准识别企业级SaaS流量的设备都还不多。对于这个刚刚确定就突然爆发的市场需求来说，设备厂商显然没做好充足的准备。

不要对基础网络运营商和各路SD-WAN运营商抱太大希望，人家毕竟只是资源租售者，大多没能力也没兴趣干这个费力不讨好的事。

换句话说，你想吃是一盘宫保鸡丁，人家可以提供给你合格的食材，你得自己找家伙炒菜。问题是有多少企业客户会炒、能炒好“海外SaaS加速”这盘菜呢？

现实情况是，大部分客户被交付的方案都采用了简单粗暴的黑名单机制，体验只能用不及格来形容。

在格物资讯对使用了海外SaaS加速服务的企业进行的调研中，多数IT运维人员坦言仍在使用最简易的策略路由，将国内流量甩到普通出口，其余流量送至高品质链路。这就导致鱼龙混杂，真正关键业务的体验经常得不到保障。

那么，假设海外SaaS加速服务在交付时做到精准分流，就高枕无忧了么？

事情绝非那么简单。

要知道，SaaS的指纹和其所用到的资源是会变化的，SaaS运营者往往不会也没有义务第一时间将所有变化细节同步给每个客户。这就意味着，原本正常工作的海外SaaS加速服务，有可能会因此变得不正常。

要保证服务的持续可用，就必须不停跟踪、更新海外SaaS的流量模型数据，依此调整分流策略，尽量缩短因为指纹和资源变化导致的失效期。

然而，从精准分流到长期精准分流，难度、投入和痛苦都不是线性增长。

我们见过不少具有探索精神的企业IT运维人员和团队，试图通过一己之力自行解决问题。但这终究是个费时费力且永无止境的工作，客户侧的有限投入不但难以持久，还经常引入更多、更复杂的问题，最终落个费力不讨好的结果。

企业级SaaS分流这件事，说起来容易，做起来真难。

Fortinet解决之道：

低成本下的高品质保证

应用加速也好，SD-WAN也罢，都是对关键业务品质负责的长期服务。既是服务，客户便只要结果；精准分流等烂事，终归还得由设备商或服务商去妥善解决。谁能解决好长期精准分流的问题，谁就拿到了SD-WAN市场的通行证。

但目前真能做到这一点的企业级SaaS加速方案还不多，Fortinet的SD-WAN解决方案算一个。

这一切仍然只需要一台运行新版本固件的FortiGate，三步配置即可完成。

对以SaaS为品质保障对象的任何SD-WAN服务来说，指纹、资源等网络测绘数据的广度与深度是真正的核心竞争力所在。Fortinet在这个场景所依赖的，正是其拥有的比较丰富的、迭代频繁的“Internet服务数据库”和应用特征库。

负责任地说，这解放了太多人。

长期实践血的教训告诉我们，应用特征的变化频率远大于应用所涉及的IP地址。所以在保证准确的前提下，基于IP地址库的选路在后期维护成本方面会显著小于基于应用特征的选路。

所以我们建议把上一篇中提到过的“Internet服务数据库”做为海外SaaS选路的基准条件，为的是选路时不漏掉流量；应用特征库在FortiGate的SD-WAN规则中与“Internet服务数据库”是“与”的关系，所以写上SaaS及其子应用，为的是选路时不错放流量。

二者相结合，才能接近最佳性价比，即品质保障和带宽占用的平衡点。

尤其对于那些使用第三方公有云和CDN的SaaS来说，通过应用特征库筛选流量简直是必须的。比如为达到加速目的在“Internet服务数据库”中选择了Akamai，又没做应用级别的控制，那高品质链路中就可能会有非关键业务流量，甚至存在带宽用满的风险。

实际上，应用特征库在安全起家的Fortinet手里，还能体现更多价值。

首先是访问控制。对大部分企业网络来说，FortiGate本身就是工作在边缘的NGFW，可以在解决海外SaaS加速需求的同时做更细粒度的控制，比如允许销售访问Salesforce和SharePoint但不能在SharePoint中下载文件这种。

基于用户角色和应用做访问控制，本身就是NGFW的安身立命之本。

第二是流量控制。基于应用做各种灵活的限速对于FortiGate来说是很成熟的功能了，可以有效提升高品质链路的使用公平性和可用性，海外SaaS加速必备。

至于更多的安全支撑，例如CASB的基础支撑等，这里就不展开了。

上面这些，是定位于解决“通不通”问题的SD-WAN CPE做不到的，CPE的位置本身也不适合做这些事；而CPE能做的，FortiGate却不见得做不了。

实际上，FortiGate在某种程度上甚至已经具备了SD-WAN CPE的完整能力。它原生支持标准IPSec隧道协议，对那些以Overlay模式的隧道形态交付的SD-WAN服务非常友好。

可以的话就拿掉CPE吧，须知大部分SD-WAN服务商提供的CPE都不具备电信级的可用性，部署时也很少会考虑冗余，出问题则全断且短期难以恢复。而直接使用FortiGate建立三层隧道，既没有了物理条件限制，又可以让选路变得更可控，还消灭了一个故障点。

上面这段话的背后栽过多少次跟头，打死也不说。

最后，利用之前多次提到过的拨测模块，FortiGate可以让海外SaaS的品质保障变得更灵活。

想尽量保证海外SaaS的可用性和体验，就别等高品质链路彻底挂掉再做切换。单独针对SaaS做拨测，并使之在品质开始出现劣化时就调整路由，效果会更好——对最终用户来说，慢点也比彻底断了强，对不？

如果用一句话总结，那就是用过那么多海外SaaS加速方案，Fortinet的方案是最省心的。

省心源自于能识别、分流的SaaS种类众多，常见的企业级SaaS全都包含；源自于靠快速迭代的“Internet服务数据库”和应用特征库消除SaaS升级带来的运维成本及可用性降低的风险；源自于将流量调度、安全乃至接入特性整合在一个硬件中，降低管理运维成本。

这是一个合格的、面向长期品质保证的、面向服务的海外SaaS加速方案。

分享到：微信 QQ好友新浪微博 QQ空间腾讯微博人人网