网络安全 频道

DP xCloud云数据中心方案

  三、 DP xCloud云数据中心解决方案

  迪普科技凭借自身的技术积累以及对于应用的理解,推出了DP xCloud云数据中心解决方案。DP xCloud云数据中心解决方案立足于云数据中心的建设目标和建设需求,结合迪普科技领先的“应用即网络”技术理念和技术实现,为用户提供简单、智能、可靠的云数据中心建设方案。

  DP xCloud云数据中心解决方案框架如下图所示:

DP xCloud云数据中心解决方案

  DP xCloud云数据中心解决方案框架

  DP xCloud云数据中心解决方案提供一个扁平化的简单组网,通过虚机感知和大二层技术为用户提供基本的网络互联,并进一步实现租户间的隔离和租户自组网。通过融合于网络之中的安全与应用交付的资源池,一方面实现云基础架构的安全防护与等保合规,另一方面可以为租户提供虚拟安全和应用交付设备,允许租户自行定制并部署自己的安全与应用交付策略。

  方案要点如下:

  ■ 虚拟化组网

  如前文所述,虚拟化环境下需要通过新的网络协议,将虚拟主机之间的流量牵引至物理交换机,实现虚拟网络到物理网络的映射。这方面,业界已有 802.1BR和802.1Qbg为代表的标准技术,但是目前主流的虚拟化软件(如VMWare、KVM等)暂时尚不支持802.1BR和802.1Qbg等标准。基于这种现状,迪普科技在支持业界标准的同时,还提出了基于PVLAN/VLAN的非常好的实践,保障了在以虚拟化软件内置的vSwitch为主的虚拟网络环境下,将虚拟主机之间的流量牵引至物理交换机,实现了物理交换机对虚拟网络内流量的管控。

  如前文所述,为保证虚机迁移时业务不中断,云数据中心要求采用大二层组网,同时还需要解决由STP带来的带宽浪费和STP引发重收敛引发的网络震荡问题。在这方面,迪普科技的VSM(Virtual Switching Matrix虚拟交换矩阵)多合一虚拟化技术,可以将多台核心设备虚拟成为一台逻辑设备,实现二、三层控制平面的统一,进而在保证高可靠的前提下,实现接入交换机上行链路的跨设备链路聚合,从而消除环路,提高二层组网的性能,消除由生成树重计算造成的网络震荡。

  如果进行多数据中心建设,则有虚机在多个数据中心之间进行迁移的需求,因此多数据中心的二层互联就成为云数据中心建设的另外一个重点。

  对于多数据中心二层互联,最简单的解决方案是采用裸光纤,此时多数据中心与单数据中心在组网方面基本没有区别,但裸光纤价格较为昂贵,并且距离较为有限(一般说来两中心间最远不能大于70公里)。另外一种二层互联的方案是采用二层VPN技术,如VLL或者VPLS,但二层VPN配置复杂,并且二层VPN没有处理广播报文,这会极大的浪费中心间的宝贵带宽。为解决二层VPN存在的问题,DP xCloud云数据中心解决方案采用了VE-DCI(Virtual Ethernet – Data Center Interconnect)技术。VE-DCI技术是一种以太网的扩展技术,可以将多个数据中心进行二层互联,实现了虚机跨数据中心的迁移,并通过任播技术,实现了三层网关的优选和自动切换。

  除二层互联问题外,多数据中心还要解决外部用户访问路径优化的问题。DP xCloud云数据中心解决方案采用“全局负载均衡+本地负载均衡”的方式解决这一问题。其中,全局负载均衡负责对外发布服务地址。而本地负载均衡上则配置有应用对外发布的地址,再通过NAT,将用户的流量转发至应用所在的虚机。具体过程如下图所示:

DP xCloud云数据中心解决方案

  1. 当应用存在于DC-A时,GLB对外发布应用的地址为IP-A,此地址配置于DC-A的LLB-A之上,虚机配置地址为IP-VM。用户通过IP-A发起访问,LLB-A将访问转发至虚机。

  2. 当虚机发生迁移时,未完成的访问依然通过IP-A进行,由于在迁移过程中IP-VM并没有发生变化,LLB-A依然能够将访问流量跨数据中心转发至虚机。

  3. 虚机发生迁移后,GLB感知到这一迁移,将应用对外发布的地址改为IP-B,此地址配置于位于DC-B中的LLB-B之上。用户新发起的访问通过IP-B直接发送至LLB-B,LLB-B再通过NAT将流量转发至IP-VM,也即转发至虚机之上。

  ■ 多租户环境

  如上所述,通过802.1BR、802.1Qbg、PVLAN等技术可以把虚机间的流量牵引到物理网络中来。再结合VLAN技术,可以实现对不同的租户的应用加以标记和识别。但是多租户环境中的一些特殊问题,如前面提到的租户IP地址重叠问题,租户自组网需求等,并不能通过VLAN技术得到彻底的解决和满足。DP xCloud云数据中心解决方案引入了OVC(OS-Level Virtual Context)虚拟化技术。OVC可以创建具有独立网管的虚拟系统,虚拟系统之间进行严格的资源隔离。因此,每个OVC虚拟系统就可以对应一个虚拟租户网,满足租户隔离与自组网的需求。同时,OVC虚拟系统本身相当于一个虚拟的路由器,可以实现与租户自有网络之间的跨广域网互联。

  ■ 安全防护与等保合规

  如前所述,云计算模糊了安全的边界,使得传统的信息安全防护手段不再适用。面对这种情况,云数据中心的安全防护要立足于逻辑安全边界而非物理安全边界。因此,云计算技术不仅仅对计算和存储资源提出了虚拟化的要求,也对网络安全资源提出了虚拟化的要求。

  云数据中心的安全防护包括云基础架构的安全防护和租户自身的安全防护。

  对于云基础架构的安全防护,DP xCloud云数据中心解决方案主要通过集成式的融合安全网关实现。融合安全网关具有多种高性能的业务板卡,在保证性能的前提下,能够满足访问控制、攻击防范、恶意代码访问、流量识别与控制、网络行为管理等多种安全需求,满足等保三级对于网络安全的各种要求。

  对于租户自身安全防护,DP xCloud云数据中心解决方案通过L2~7的N:M虚拟化技术,建立安全资源池,可以为租户提供虚拟业务设备(Virtual Services Appliance——VSA)。VSA是虚拟防火墙、虚拟IPS、虚拟UAG等虚拟设备的统称。VSA允许租户自行配置管理,租户可根据自身的需要租用特定的种类的虚拟设备(如一个虚拟防火墙加一个虚拟IPS),在此基础上自行部署安全策略实现自身的安全防护。同时,也可以作为虚拟路由器,与租户自有网络设备建立隧道,实现跨广域互联。

  除VSA以外,DP xCloud云数据中心解决方案还可以通过安全网关集成的流量清洗、WAF板卡以及漏洞扫描设备,为租户提供有价值的增值安全业务,包括抗DoS/DDoS,Web应用安全防护和定期安全检查服务。

0
相关文章