网络安全 频道

DP xCloud云数据中心方案

  【IT168 方案】

  一、 云数据中心的演进

  随着业务的逐步集中和整合,承载业务的数据中心已经成为信息化建设的核心,传统的数据中心正在纷纷向云数据中心过渡。从传统数据中心向云数据中心的演进大致会分为两个阶段。

  ■ 虚拟化阶段:利用虚拟化技术建设IaaS架构的私有云,将应用从传统的物理服务器迁移至云中,也即将应用的部署从物理服务器改为虚拟主机。这样可以使应用的部署和迁移时间从几个小时缩短到几分钟,并且显著的提高了服务器的资源利用率,降低运行维护的复杂性和成本。

  ■ 弹性扩展阶段:自建私有云意味着刚性的IT投资,在进行资源规划时,如果按照所需的峰值资源来进行规划,则意味着平时的资源闲置,这不符合通过云计算提高资源利用率节约成本的初衷。因此,自建私有云无法提供应用所需要的弹性。自建私有云与公有云/行业云中租用资源组建的虚拟私有云结合,形成私有混合云,是未来的趋势。

云数据中心的演进

  云数据中心的演进

  二、 云数据中心需求要点

  云数据中心的需求要点有如下三点:

  ■ 虚拟化

  虚拟化给网络和安全带来了前所未有的挑战,虚机与物理主机的解耦合,以及在数据中心的自由迁移,让传统的基于接入交换机物理端口区分应用的方法彻底失效。这使得所有的网络和安全策略部署失去了最基本的依据。因此,如何在虚拟化环境下,对不同租户的虚机、同一租户的不同虚机进行识别和隔离成为云数据中心网络需要解决的首要问题。

  对此,目前常用的解决方案是利用虚拟化软件自带的vSwitch来实现对虚机的识别和基于VLAN的隔离。但是虚拟化软件自带的vSwitch特性不丰富,很难与物理网络很好的配合,并且还模糊了主机和网络的边界,无法进行流量监控和安全管理。因此虚机感知的要点在于通过新的网络协议,将虚拟主机之间的流量牵引至物理交换机,实现虚拟网络到物理网络的映射。

  与此同时,虚机在迁移过程中要求应用不能中断,也就是说虚机迁移时虚机的IP地址不能改变,这就使得整个云数据中心要采用二层组网。此外,虚机迁移引起了应用部署位置的不确定性,这使得数据中心跨核心的横向流量大幅增加,这就要求数据中心的组网应该是带宽低收敛甚至是无收敛的。而一般的以太网由于生成树协议的运行造成了网络带宽的浪费,并且虚机迁移时与之相关的网络策略(如VLAN和ACL)也要随之一同迁移,这会引发整网生成树的重新计算,造成网络震荡。因此如何建设一个带宽无收敛、网络策略迁移无震荡的大二层网络,是云数据中心网络需要解决的第二个问题。

  此外,云数据中心出于灾备或者其他方面考虑,可能会采用主备数据中心或者多数据中心模式,此时需要保证所有数据中心之间可以进行二层互通。同时,相比于单中心,多中心的分布式架构使得网关部署变得复杂。并且,由于虚机可能在多个数据中心之间迁移,因此如何保证外部用户能够快速有效的访问到目的虚机,在访问的过程中,流量如何选取非常好的路径,而不会浪费数据中心间有限的带宽资源等,都是多数据中心建设过程中需要考虑的问题。

  ■ 多租户

  与传统数据中心相比,云数据中心是为多租户服务的,多租户环境为云数据中心带来了新的挑战。一方面,租户间的隔离是必要的。另一方面,不同租户在云中的私有网络间可能存在地址重叠问题。这都需要云数据中心网络在设计时加以充分的考虑。此外,租户部署在自建私有云的应用和公有云中的应用之间,存在数据通信的需求,因此需要租户自有网络与云中的应用进行跨广域网互联(也即VPN)。当虚机需要进行跨广域网迁移时,甚至可能需要跨广域网的二层互联。

  ■ 满足安全防护与等保合规

  云计算为应用带来了极大的便利,在降低采购、运维等成本的同时,极大的提升了系统的效率,简化了管理,并使得应用具有了非常简便的弹性扩展的能力。但是,云计算也模糊了安全的边界,使得传统的信息安全防护手段不再适用。事实上,信息安全问题已经成为企业用户使用云资源的主要障碍,因此安全防护应为云建设的重中之重。安全防护需求又可以细分为云基础架构的安全防护以及租户自身的安全防护。同时信息安全等级保护制度作为我国信息安全建设的基本国策,是必须要满足的。按照等保定级指南进行评估,一般的云数据中心至少应该达到等保三级的要求。

  三、 DP xCloud云数据中心解决方案

  迪普科技凭借自身的技术积累以及对于应用的理解,推出了DP xCloud云数据中心解决方案。DP xCloud云数据中心解决方案立足于云数据中心的建设目标和建设需求,结合迪普科技领先的“应用即网络”技术理念和技术实现,为用户提供简单、智能、可靠的云数据中心建设方案。

  DP xCloud云数据中心解决方案框架如下图所示:

DP xCloud云数据中心解决方案

  DP xCloud云数据中心解决方案框架

  DP xCloud云数据中心解决方案提供一个扁平化的简单组网,通过虚机感知和大二层技术为用户提供基本的网络互联,并进一步实现租户间的隔离和租户自组网。通过融合于网络之中的安全与应用交付的资源池,一方面实现云基础架构的安全防护与等保合规,另一方面可以为租户提供虚拟安全和应用交付设备,允许租户自行定制并部署自己的安全与应用交付策略。

  方案要点如下:

  ■ 虚拟化组网

  如前文所述,虚拟化环境下需要通过新的网络协议,将虚拟主机之间的流量牵引至物理交换机,实现虚拟网络到物理网络的映射。这方面,业界已有 802.1BR和802.1Qbg为代表的标准技术,但是目前主流的虚拟化软件(如VMWare、KVM等)暂时尚不支持802.1BR和802.1Qbg等标准。基于这种现状,迪普科技在支持业界标准的同时,还提出了基于PVLAN/VLAN的非常好的实践,保障了在以虚拟化软件内置的vSwitch为主的虚拟网络环境下,将虚拟主机之间的流量牵引至物理交换机,实现了物理交换机对虚拟网络内流量的管控。

  如前文所述,为保证虚机迁移时业务不中断,云数据中心要求采用大二层组网,同时还需要解决由STP带来的带宽浪费和STP引发重收敛引发的网络震荡问题。在这方面,迪普科技的VSM(Virtual Switching Matrix虚拟交换矩阵)多合一虚拟化技术,可以将多台核心设备虚拟成为一台逻辑设备,实现二、三层控制平面的统一,进而在保证高可靠的前提下,实现接入交换机上行链路的跨设备链路聚合,从而消除环路,提高二层组网的性能,消除由生成树重计算造成的网络震荡。

  如果进行多数据中心建设,则有虚机在多个数据中心之间进行迁移的需求,因此多数据中心的二层互联就成为云数据中心建设的另外一个重点。

  对于多数据中心二层互联,最简单的解决方案是采用裸光纤,此时多数据中心与单数据中心在组网方面基本没有区别,但裸光纤价格较为昂贵,并且距离较为有限(一般说来两中心间最远不能大于70公里)。另外一种二层互联的方案是采用二层VPN技术,如VLL或者VPLS,但二层VPN配置复杂,并且二层VPN没有处理广播报文,这会极大的浪费中心间的宝贵带宽。为解决二层VPN存在的问题,DP xCloud云数据中心解决方案采用了VE-DCI(Virtual Ethernet – Data Center Interconnect)技术。VE-DCI技术是一种以太网的扩展技术,可以将多个数据中心进行二层互联,实现了虚机跨数据中心的迁移,并通过任播技术,实现了三层网关的优选和自动切换。

  除二层互联问题外,多数据中心还要解决外部用户访问路径优化的问题。DP xCloud云数据中心解决方案采用“全局负载均衡+本地负载均衡”的方式解决这一问题。其中,全局负载均衡负责对外发布服务地址。而本地负载均衡上则配置有应用对外发布的地址,再通过NAT,将用户的流量转发至应用所在的虚机。具体过程如下图所示:

DP xCloud云数据中心解决方案

  1. 当应用存在于DC-A时,GLB对外发布应用的地址为IP-A,此地址配置于DC-A的LLB-A之上,虚机配置地址为IP-VM。用户通过IP-A发起访问,LLB-A将访问转发至虚机。

  2. 当虚机发生迁移时,未完成的访问依然通过IP-A进行,由于在迁移过程中IP-VM并没有发生变化,LLB-A依然能够将访问流量跨数据中心转发至虚机。

  3. 虚机发生迁移后,GLB感知到这一迁移,将应用对外发布的地址改为IP-B,此地址配置于位于DC-B中的LLB-B之上。用户新发起的访问通过IP-B直接发送至LLB-B,LLB-B再通过NAT将流量转发至IP-VM,也即转发至虚机之上。

  ■ 多租户环境

  如上所述,通过802.1BR、802.1Qbg、PVLAN等技术可以把虚机间的流量牵引到物理网络中来。再结合VLAN技术,可以实现对不同的租户的应用加以标记和识别。但是多租户环境中的一些特殊问题,如前面提到的租户IP地址重叠问题,租户自组网需求等,并不能通过VLAN技术得到彻底的解决和满足。DP xCloud云数据中心解决方案引入了OVC(OS-Level Virtual Context)虚拟化技术。OVC可以创建具有独立网管的虚拟系统,虚拟系统之间进行严格的资源隔离。因此,每个OVC虚拟系统就可以对应一个虚拟租户网,满足租户隔离与自组网的需求。同时,OVC虚拟系统本身相当于一个虚拟的路由器,可以实现与租户自有网络之间的跨广域网互联。

  ■ 安全防护与等保合规

  如前所述,云计算模糊了安全的边界,使得传统的信息安全防护手段不再适用。面对这种情况,云数据中心的安全防护要立足于逻辑安全边界而非物理安全边界。因此,云计算技术不仅仅对计算和存储资源提出了虚拟化的要求,也对网络安全资源提出了虚拟化的要求。

  云数据中心的安全防护包括云基础架构的安全防护和租户自身的安全防护。

  对于云基础架构的安全防护,DP xCloud云数据中心解决方案主要通过集成式的融合安全网关实现。融合安全网关具有多种高性能的业务板卡,在保证性能的前提下,能够满足访问控制、攻击防范、恶意代码访问、流量识别与控制、网络行为管理等多种安全需求,满足等保三级对于网络安全的各种要求。

  对于租户自身安全防护,DP xCloud云数据中心解决方案通过L2~7的N:M虚拟化技术,建立安全资源池,可以为租户提供虚拟业务设备(Virtual Services Appliance——VSA)。VSA是虚拟防火墙、虚拟IPS、虚拟UAG等虚拟设备的统称。VSA允许租户自行配置管理,租户可根据自身的需要租用特定的种类的虚拟设备(如一个虚拟防火墙加一个虚拟IPS),在此基础上自行部署安全策略实现自身的安全防护。同时,也可以作为虚拟路由器,与租户自有网络设备建立隧道,实现跨广域互联。

  除VSA以外,DP xCloud云数据中心解决方案还可以通过安全网关集成的流量清洗、WAF板卡以及漏洞扫描设备,为租户提供有价值的增值安全业务,包括抗DoS/DDoS,Web应用安全防护和定期安全检查服务。

  四、 云数据中心方案设计

  ■ 单数据中心方案设计

  单数据中心的方案设计较为简单,采用“核心-接入”的扁平化组网模式,并通过VSM虚拟化实现数据中心大二层组网。通过在核心部署各种类型的安全和应用交付业务板卡实现安全防护所需的功能。方案拓扑如下图所示:

云数据中心方案设计

  单数据中心方案设计

  单数据中心方案的设计要点如下:

  ? 虚机感知:支持业界标准的同时,可实现现有条件下的虚机流量牵引。

  ? 租户隔离:为租户建立虚拟租户网,并实现租户间隔离。

  ? 安全虚拟化:建立安全资源池,为租户提供可自定义的安全防护。

  ■ 多数据中心方案设计

  多数据中心方案设计是在单数据中心设计的基础之上,通过VE-DCI实现数据中心间的二层互联、虚机迁移和网关优选与自动切换,并通过“全局负载均衡+本地负载均衡”的方式,实现外部用户访问路径优化。方案拓扑如下图所示:

云数据中心方案设计

  多数据中心方案设计

  多数据中心方案的设计要点如下:

  ? VE-DCI:跨广域的二层互联、网关优选与自动切换。

  ? 路径优化:虚机迁移时的路径优化。

  ■ 数据中心出口方案设计

  数据中心出口担负着网络互联、安全防护、链路负载均衡等多重任务,采用一般的盒式设备部署方案会使得组网变得复杂低效,维护管理困难。因此,DP xCloud云数据中心解决方案在数据中心出口采用了融合式安全网关,通过在网关上部署多种类型的业务板卡,在满足性能和组网能力的前提下,实现数据中心所需的各种安全与链路负载均衡的需求。数据中心出口方案的拓扑如下:

云数据中心方案设计

  数据中心出口方案设计

  数据中心出口的设计要点如下:

  ? 链路带宽优化:根据租户需要,灵活分配出口链路带宽

  ? 链路资源优化:出口智能选路,降低访问延迟,提升用户体验

  ? 智能安全接入:依据不同用户采用不同的接入和访问控制策略

  ? 智能攻击防范:针对各种攻击进行防范,可识别隧道内的攻击

  总之,DP xCloud云数据中心解决方案不但能够满足云数据中心所需要的资源优化、弹性应用等需求,而且能够提供网络安全融合的部署方案,以及灵活的租户自组网能力。DP xCloud云数据中心解决方案能够给客户提供不可替代的价值。

0
相关文章