業務上雲，不僅指藉助IaaS或PaaS構建自己的業務系統，還包括直接使用成熟的、經過市場考驗的企業級SaaS。

無論客戶數量還是市場滲透程度，後者都明顯比前者大得多。從世界500強到初創型企業，都在以開放的心態擁抱各類企業級SaaS。事實已經證明，它確實能為多數企業降低成本、提升業務效率。

但由於不同國家/地區在文化、政策、市場規則等方面存在差異，企業級SaaS天然有著明顯的區域屬性，地盤劃分比較清晰，互相滲透的難度較大。

所以可以看到，跨國公司在國內開展業務，資訊化方面開始逐漸依賴於本土SaaS；同樣道理，國內企業走出去做生意，海外SaaS是最佳且唯一的選擇。

尤其在這個“網際網路+一帶一路”戰略威力初顯的時代，國內企業對海外SaaS的應用需求突然井噴式爆發。

當然，伴隨市場機會一同出現的，少不了各種挑戰。

海外SaaS訪問之殤

訪問緩慢甚至中斷，是國內企業在應用海外SaaS時面臨的最大挑戰，已經嚴重到影響業務的正常開展。

在格物資訊對樣本客戶的日常調研中，幾乎所有用到海外SaaS的企業，其IT運維人員和終端使用者都對訪問品質充滿怨念。

“一早開電腦登入Salesforce，衝杯咖啡回來還沒開啟。”

“Office365的Portal頁經常載入不出來。說是協作，效率比以前還低。”

“GitHub有時候打不開，程式碼同步不了，還幹個毛。”

……

真的，在企業IT層面，除了WiFi，你很難再找到這樣一個幾乎所有付費客戶都在吐槽的產品服務了。

業務撥測資料可以有效證明這一點。我們截取了9月份透過北京電信企業專線訪問Offce365、Salesforce和GitHub首頁的完整資料，可以看到訪問體驗確實是長期穩定的不堪。

業務撥測的資料維度很多，關注“首屏時間”這個最重要的指標就好。通常來說，首屏時間超過3秒，使用者就會明顯有慢的感覺；5秒還沒載入完，一般就不等了。

與國內主流SaaS通常1-2秒的首屏時間相比，Office365國際版、Salesforce和GitHub的實測資料平均在10秒以上，確實妥妥的讓人想砸電腦。

如果說每20分鐘一次撥測的整月資料闡述了一個宏觀事實，那每分鐘一次的HTTP GET無疑能揭示更多的秘密。

首先，海外SaaS的訪問品質有著明顯的潮汐效應。以Office 365國際版使用者常用到的Outlook入口為例，其訪問品質在工作時間及晚間相當糟糕，後半夜至上班前則有著還算不錯的表現。

其次，高頻撥測消除了削峰填谷的效果，讓我們看到“品質不好”也並不意味著每時每刻都不好，而是可用與不可用的隨機交替。

講真，這種讓使用者在希望與絕望間不停搖擺的感受，比徹底一棍子打暈要難受的多。

想象一下，辛辛苦苦填了七八頁業務流，最後提交的時候來了個“頁面無法開啟”，重新整理頁面說不定又要重填，誰能接受？此時此刻，讓任何人保持理智與冷靜都是不現實的，也是不人道的。

紙上談兵易 方案落地難

要提升海外SaaS訪問體驗倒也不難，滿足兩個條件即可。

首先是更高品質的頻寬，這是解決問題的基礎。

造成海外SaaS訪問緩慢的原因很多，其中最主要的一方面，當屬海外SaaS在國內大多沒有CDN，而三大運營商的國際出口又長期擁堵罷了。

確切地說，長期擁堵的是家用寬頻和一般企業寬頻/專線用到的國際出口。運營商還有更高規格的企業專線，國際方向走高品質且不擁堵的國際出口；再往上，頻寬部分獨享乃至完全獨享的跨境專線產品也是存在的，品質無極限。

我們可以負責任地講，都用不著跨境專線，只要是高規格企業專線，訪問海外SaaS的體驗就已經有著顛覆性的變化。

這張和上面同時間段、同地點，同配置的HTTP GET測試結果截圖就是很好的證據，二者唯一區別是北京電信普通的企業專線換成了規格更高的CN2。這個結果談不上完美，但對絕大多數Office 365國際版的使用者來說，足夠了。

遺憾的是，規格越高，價格也越高，能接受的企業客戶就越少。

上一篇中我們提到過，北京電信普通100M企業專線的年費目前也就是10萬出頭。但如果想換成同樣100M的CN2，企業預算要再增加3-4倍才行。相信這對於大多數海外SaaS訪問品質有需求的企業來說，都是個極為沉重的包袱。

所以才需要滿足第二個條件，精準的分流。

早在三五年前，企業資訊化的先行者們就已經開始了嘗試，並找到了白名單分流這個最優的技術思路——只讓企業級SaaS等關鍵業務的流量走高品質頻寬，其餘流量走普通出口，即可在滿足業務加速需求的前提下將頻寬成本控制到最低。

但技術最優往往不等於工程最優。截至目前，莫說分流，能精準識別企業級SaaS流量的裝置都還不多。對於這個剛剛確定就突然爆發的市場需求來說，裝置廠商顯然沒做好充足的準備。

不要對基礎網路運營商和各路SD-WAN運營商抱太大希望，人家畢竟只是資源租售者，大多沒能力也沒興趣幹這個費力不討好的事。

換句話說，你想吃是一盤宮保雞丁，人家可以提供給你合格的食材，你得自己找傢伙炒菜。問題是有多少企業客戶會炒、能炒好“海外SaaS加速”這盤菜呢？

現實情況是，大部分客戶被交付的方案都採用了簡單粗暴的黑名單機制，體驗只能用不及格來形容。

在格物資訊對使用了海外SaaS加速服務的企業進行的調研中，多數IT運維人員坦言仍在使用最簡易的策略路由，將國內流量甩到普通出口，其餘流量送至高品質鏈路。這就導致魚龍混雜，真正關鍵業務的體驗經常得不到保障。

那麼，假設海外SaaS加速服務在交付時做到精準分流，就高枕無憂了麼？

事情絕非那麼簡單。

要知道，SaaS的指紋和其所用到的資源是會變化的，SaaS運營者往往不會也沒有義務第一時間將所有變化細節同步給每個客戶。這就意味著，原本正常工作的海外SaaS加速服務，有可能會因此變得不正常。

要保證服務的持續可用，就必須不停跟蹤、更新海外SaaS的流量模型資料，依此調整分流策略，儘量縮短因為指紋和資源變化導致的失效期。

然而，從精準分流到長期精準分流，難度、投入和痛苦都不是線性增長。

我們見過不少具有探索精神的企業IT運維人員和團隊，試圖透過一己之力自行解決問題。但這終究是個費時費力且永無止境的工作，客戶側的有限投入不但難以持久，還經常引入更多、更復雜的問題，最終落個費力不討好的結果。

企業級SaaS分流這件事，說起來容易，做起來真難。

Fortinet解決之道：低成本下的高品質保證

應用加速也好，SD-WAN也罷，都是對關鍵業務品質負責的長期服務。既是服務，客戶便只要結果；精準分流等爛事，終歸還得由裝置商或服務商去妥善解決。誰能解決好長期精準分流的問題，誰就拿到了SD-WAN市場的通行證。

但目前真能做到這一點的企業級SaaS加速方案還不多，Fortinet的SD-WAN解決方案算一個。

這一切仍然只需要一臺執行新版本韌體的FortiGate，三步配置即可完成。

對以SaaS為品質保障物件的任何SD-WAN服務來說，指紋、資源等網路測繪資料的廣度與深度是真正的核心競爭力所在。Fortinet在這個場景所依賴的，正是其擁有的比較豐富的、迭代頻繁的“Internet服務資料庫”和應用特徵庫。

負責任地說，這解放了太多人。

長期實踐血的教訓告訴我們，應用特徵的變化頻率遠大於應用所涉及的IP地址。所以在保證準確的前提下，基於IP地址庫的選路在後期維護成本方面會顯著小於基於應用特徵的選路。

所以我們建議把上一篇中提到過的“Internet服務資料庫”做為海外SaaS選路的基準條件，為的是選路時不漏掉流量；應用特徵庫在FortiGate的SD-WAN規則中與“Internet服務資料庫”是“與”的關係，所以寫上SaaS及其子應用，為的是選路時不錯放流量。

二者相結合，才能接近最佳價效比，即品質保障和頻寬佔用的平衡點。

尤其對於那些使用第三方公有云和CDN的SaaS來說，透過應用特徵庫篩選流量簡直是必須的。比如為達到加速目的在“Internet服務資料庫”中選擇了Akamai，又沒做應用級別的控制，那高品質鏈路中就可能會有非關鍵業務流量，甚至存在頻寬用滿的風險。

實際上，應用特徵庫在安全起家的Fortinet手裡，還能體現更多價值。

首先是訪問控制。對大部分企業網路來說，FortiGate本身就是工作在邊緣的NGFW，可以在解決海外SaaS加速需求的同時做更細粒度的控制，比如允許銷售訪問Salesforce和SharePoint但不能在SharePoint中下載檔案這種。

基於使用者角色和應用做訪問控制，本身就是NGFW的安身立命之本。

第二是流量控制。基於應用做各種靈活的限速對於FortiGate來說是很成熟的功能了，可以有效提升高品質鏈路的使用公平性和可用性，海外SaaS加速必備。

至於更多的安全支撐，例如CASB的基礎支撐等，這裡就不展開了。

上面這些，是定位於解決“通不通”問題的SD-WAN CPE做不到的，CPE的位置本身也不適合做這些事；而CPE能做的，FortiGate卻不見得做不了。

實際上，FortiGate在某種程度上甚至已經具備了SD-WAN CPE的完整能力。它原生支援標準IPSec隧道協議，對那些以Overlay模式的隧道形態交付的SD-WAN服務非常友好。

可以的話就拿掉CPE吧，須知大部分SD-WAN服務商提供的CPE都不具備電信級的可用性，部署時也很少會考慮冗餘，出問題則全斷且短期難以恢復。而直接使用FortiGate建立三層隧道，既沒有了物理條件限制，又可以讓選路變得更可控，還消滅了一個故障點。

上面這段話的背後栽過多少次跟頭，打死也不說。

最後，利用之前多次提到過的撥測模組，FortiGate可以讓海外SaaS的品質保障變得更靈活。

想盡量保證海外SaaS的可用性和體驗，就別等高品質鏈路徹底掛掉再做切換。單獨針對SaaS做撥測，並使之在品質開始出現劣化時就調整路由，效果會更好——對終端使用者來說，慢點也比徹底斷了強，對不？

如果用一句話總結，那就是用過那麼多海外SaaS加速方案，Fortinet的方案是最省心的。

省心源自於能識別、分流的SaaS種類眾多，常見的企業級SaaS全都包含；源自於靠快速迭代的“Internet服務資料庫”和應用特徵庫消除SaaS升級帶來的運維成本及可用性降低的風險；源自於將流量排程、安全乃至接入特性整合在一個硬體中，降低管理運維成本。

這是一個合格的、面向長期品質保證的、面向服務的海外SaaS加速方案。

感謝杭州飛享資料技術有限公司為本文素材收集提供技術支撐