网络安全 频道

DP xCloud云数据中心方案

  二、 云数据中心需求要点

  云数据中心的需求要点有如下三点:

  ■ 虚拟化

  虚拟化给网络和安全带来了前所未有的挑战,虚机与物理主机的解耦合,以及在数据中心的自由迁移,让传统的基于接入交换机物理端口区分应用的方法彻底失效。这使得所有的网络和安全策略部署失去了最基本的依据。因此,如何在虚拟化环境下,对不同租户的虚机、同一租户的不同虚机进行识别和隔离成为云数据中心网络需要解决的首要问题。

  对此,目前常用的解决方案是利用虚拟化软件自带的vSwitch来实现对虚机的识别和基于VLAN的隔离。但是虚拟化软件自带的vSwitch特性不丰富,很难与物理网络很好的配合,并且还模糊了主机和网络的边界,无法进行流量监控和安全管理。因此虚机感知的要点在于通过新的网络协议,将虚拟主机之间的流量牵引至物理交换机,实现虚拟网络到物理网络的映射。

  与此同时,虚机在迁移过程中要求应用不能中断,也就是说虚机迁移时虚机的IP地址不能改变,这就使得整个云数据中心要采用二层组网。此外,虚机迁移引起了应用部署位置的不确定性,这使得数据中心跨核心的横向流量大幅增加,这就要求数据中心的组网应该是带宽低收敛甚至是无收敛的。而一般的以太网由于生成树协议的运行造成了网络带宽的浪费,并且虚机迁移时与之相关的网络策略(如VLAN和ACL)也要随之一同迁移,这会引发整网生成树的重新计算,造成网络震荡。因此如何建设一个带宽无收敛、网络策略迁移无震荡的大二层网络,是云数据中心网络需要解决的第二个问题。

  此外,云数据中心出于灾备或者其他方面考虑,可能会采用主备数据中心或者多数据中心模式,此时需要保证所有数据中心之间可以进行二层互通。同时,相比于单中心,多中心的分布式架构使得网关部署变得复杂。并且,由于虚机可能在多个数据中心之间迁移,因此如何保证外部用户能够快速有效的访问到目的虚机,在访问的过程中,流量如何选取非常好的路径,而不会浪费数据中心间有限的带宽资源等,都是多数据中心建设过程中需要考虑的问题。

  ■ 多租户

  与传统数据中心相比,云数据中心是为多租户服务的,多租户环境为云数据中心带来了新的挑战。一方面,租户间的隔离是必要的。另一方面,不同租户在云中的私有网络间可能存在地址重叠问题。这都需要云数据中心网络在设计时加以充分的考虑。此外,租户部署在自建私有云的应用和公有云中的应用之间,存在数据通信的需求,因此需要租户自有网络与云中的应用进行跨广域网互联(也即VPN)。当虚机需要进行跨广域网迁移时,甚至可能需要跨广域网的二层互联。

  ■ 满足安全防护与等保合规

  云计算为应用带来了极大的便利,在降低采购、运维等成本的同时,极大的提升了系统的效率,简化了管理,并使得应用具有了非常简便的弹性扩展的能力。但是,云计算也模糊了安全的边界,使得传统的信息安全防护手段不再适用。事实上,信息安全问题已经成为企业用户使用云资源的主要障碍,因此安全防护应为云建设的重中之重。安全防护需求又可以细分为云基础架构的安全防护以及租户自身的安全防护。同时信息安全等级保护制度作为我国信息安全建设的基本国策,是必须要满足的。按照等保定级指南进行评估,一般的云数据中心至少应该达到等保三级的要求。

0
相关文章