張強(qiáng)

摘要：隨著計(jì)算機(jī)水平的發(fā)展，互聯(lián)網(wǎng)時(shí)代給社會(huì)經(jīng)濟(jì)文化等產(chǎn)生巨大的沖擊，云時(shí)代已經(jīng)進(jìn)入我們的生活，隨著業(yè)務(wù)應(yīng)用對(duì)于轉(zhuǎn)發(fā)速度、端口密度、擴(kuò)展性、安全性、穩(wěn)定性的要求越來(lái)越高，陳舊的三層架構(gòu)設(shè)計(jì)已經(jīng)無(wú)法滿足當(dāng)今云時(shí)代。該文從提升運(yùn)維的靈活度、提升數(shù)據(jù)中心的擴(kuò)展性、應(yīng)用流量模式出發(fā)提出一種云時(shí)代新的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)。

關(guān)鍵詞：云平臺(tái);架構(gòu)設(shè)計(jì)

中圖分類號(hào)：TP393.02 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）34-0214-02

1 概述

隨著業(yè)務(wù)應(yīng)用對(duì)于轉(zhuǎn)發(fā)速度、端口密度、擴(kuò)展性、安全性、穩(wěn)定性的要求越來(lái)越高，傳統(tǒng)的基于過(guò)載比的層次化標(biāo)準(zhǔn)的三層（服務(wù)器接入層、匯聚層、核心層）架構(gòu)設(shè)計(jì)已經(jīng)無(wú)法滿足當(dāng)前云數(shù)據(jù)中心的需求。如今，云計(jì)算采用虛擬化技術(shù)，實(shí)現(xiàn)計(jì)算機(jī)操作，有效減少成本投放，滿足人們?nèi)粘?yīng)用需求[1]，云數(shù)據(jù)中心網(wǎng)絡(luò)正在不斷發(fā)展，隨著新技術(shù)的出現(xiàn)，新產(chǎn)品的使用，新的公司的參與，正在轉(zhuǎn)化為了一種新的架構(gòu)。

2 云平臺(tái)架構(gòu)設(shè)計(jì)

架構(gòu)的新特點(diǎn)應(yīng)該簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維的復(fù)雜度，提升運(yùn)維的靈活度，網(wǎng)絡(luò)要與業(yè)務(wù)流程和數(shù)據(jù)中心統(tǒng)一管理更加緊密的結(jié)合;提升數(shù)據(jù)中心的擴(kuò)展性，基礎(chǔ)架構(gòu)可以隨著業(yè)務(wù)的變化而變化規(guī)模大小;應(yīng)用流量模式轉(zhuǎn)換。

2.1 新架構(gòu)達(dá)到的目標(biāo)

2.1.1 提高云數(shù)據(jù)中心安全防護(hù)能力

利用云數(shù)據(jù)中心安全防護(hù)技術(shù)構(gòu)建具備高安全特性的網(wǎng)絡(luò)平臺(tái)，針對(duì)租戶業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)細(xì)粒度網(wǎng)絡(luò)訪問(wèn)控制，包括任意虛擬機(jī)之間、任意隔離網(wǎng)絡(luò)之間、任意租戶之間、任意集群之間和任意資源池之間的安全防護(hù)，避免關(guān)鍵業(yè)務(wù)系統(tǒng)受攻擊和數(shù)據(jù)泄漏[2]。

2.1.2 實(shí)現(xiàn)安全隔離網(wǎng)絡(luò)

具備多個(gè)網(wǎng)絡(luò)交叉點(diǎn)，在應(yīng)用中不能保證公有云的隱蔽性和安全性利用[3]，虛擬化網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)租戶重點(diǎn)業(yè)務(wù)系統(tǒng)和普通業(yè)務(wù)系統(tǒng)的安全隔離，在不調(diào)整物理架構(gòu)的情況下，保證每個(gè)租戶業(yè)務(wù)系統(tǒng)使用獨(dú)立隔離網(wǎng)絡(luò)，互補(bǔ)干擾。

2.1.3 實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)控

利用網(wǎng)絡(luò)虛擬化和服務(wù)器虛擬化集成特性，實(shí)現(xiàn)深度網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)控，包括網(wǎng)絡(luò)訪問(wèn)日志記錄，實(shí)時(shí)流量監(jiān)控，歷史流量分析等。

2.1.4 解決網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的問(wèn)題

建立信息系統(tǒng)安全標(biāo)準(zhǔn)化體系，統(tǒng)一規(guī)劃和部署防病毒、防火墻等安全組件，實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制策略，提高信息系統(tǒng)安全防護(hù)能力。利用網(wǎng)絡(luò)虛擬化技術(shù)構(gòu)建具備靈活性、安全性和易管理性的云數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)，通過(guò)該平臺(tái)可輕松實(shí)現(xiàn)云數(shù)據(jù)中心的網(wǎng)絡(luò)服務(wù)提供。

2.1.5 提高業(yè)務(wù)系統(tǒng)冗余負(fù)載能力

利用網(wǎng)絡(luò)虛擬化提供的負(fù)載均衡組件，加上應(yīng)用多實(shí)例部署架構(gòu)，實(shí)現(xiàn)租戶業(yè)務(wù)系統(tǒng)高并發(fā)訪問(wèn)和高可靠性。

2.1.6 實(shí)現(xiàn)統(tǒng)一數(shù)據(jù)中心安全管理

利用統(tǒng)一的網(wǎng)絡(luò)虛擬化平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)集中、統(tǒng)一管理。

綜上所述，本文在云平臺(tái)網(wǎng)絡(luò)設(shè)計(jì)中主要包含以下7方面內(nèi)容見(jiàn)圖1所示。

3 云平臺(tái)網(wǎng)絡(luò)設(shè)計(jì)

3.1 云平臺(tái)網(wǎng)絡(luò)拓?fù)?/p>

圖2為云平臺(tái)網(wǎng)絡(luò)拓?fù)洹?/p>

多元業(yè)務(wù)區(qū)網(wǎng)絡(luò)分為互聯(lián)網(wǎng)出口區(qū)、多元業(yè)務(wù)區(qū)兩大區(qū)域，互聯(lián)網(wǎng)出口區(qū)為整個(gè)云數(shù)據(jù)中心提供互聯(lián)網(wǎng)接人服務(wù)，作為多元業(yè)務(wù)區(qū)的互聯(lián)網(wǎng)出入口，為多元業(yè)務(wù)區(qū)提供南北向網(wǎng)絡(luò)上的安全防護(hù)，初期復(fù)用云數(shù)據(jù)中心互聯(lián)網(wǎng)出口區(qū)，遠(yuǎn)期獨(dú)立建設(shè);互聯(lián)網(wǎng)出口區(qū)由承載網(wǎng)負(fù)責(zé)建設(shè);多元業(yè)務(wù)區(qū)環(huán)境整體采用Spine-Leaf網(wǎng)絡(luò)架構(gòu)，解決云數(shù)據(jù)中心內(nèi)部橫向網(wǎng)絡(luò)連接的傳輸瓶頸，提供高度的擴(kuò)展性，Leaf網(wǎng)絡(luò)下行作為服務(wù)器接入，上行連接Spine網(wǎng)絡(luò)，Spine交換機(jī)與互聯(lián)網(wǎng)出口區(qū)相連，承載南北向流量。

云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)拓?fù)浒凑站W(wǎng)絡(luò)功能具備分為三大類：云管理網(wǎng)絡(luò)，帶外管理網(wǎng)絡(luò)，生產(chǎn)業(yè)務(wù)、存儲(chǔ)和集群網(wǎng)絡(luò)，三種網(wǎng)絡(luò)分別承載云數(shù)據(jù)中心不同類型的業(yè)務(wù)流量。

在多元業(yè)務(wù)區(qū)內(nèi)部又分為多元業(yè)務(wù)區(qū)管理區(qū)、網(wǎng)絡(luò)和安全資源區(qū)、多元業(yè)務(wù)區(qū)計(jì)算區(qū)和存儲(chǔ)區(qū)、多元業(yè)務(wù)區(qū)運(yùn)維管理區(qū)等幾部分。

針對(duì)資源需求量大的客戶提供專用的裸金屬機(jī)架和專線網(wǎng)絡(luò)接入，該部分為客戶定制化需求，需針對(duì)具體客戶需求提供裸金屬機(jī)架和專線網(wǎng)絡(luò)資源。

針對(duì)資源需求量小的客戶提供基于共享云資源池的服務(wù)。

3.2 物理網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

物理網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)包含云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)和云數(shù)據(jù)中心邊緣網(wǎng)絡(luò)兩個(gè)部分，為整體云數(shù)據(jù)中心提供基礎(chǔ)物理網(wǎng)絡(luò)支撐，云數(shù)據(jù)中心對(duì)于網(wǎng)絡(luò)架構(gòu)的要求不斷提升，東西向流量成為云數(shù)據(jù)中心內(nèi)部的主流方式。

3.3 邏輯交換設(shè)計(jì)

在云數(shù)據(jù)中心環(huán)境中，網(wǎng)絡(luò)虛擬化的邏輯交換功能可以為用戶啟用獨(dú)立的邏輯二層網(wǎng)絡(luò)，提供網(wǎng)絡(luò)的靈活性和敏捷性。無(wú)論是虛擬端點(diǎn)還是物理端點(diǎn).都可以連接到這些邏輯分段，并從其在云數(shù)據(jù)中心網(wǎng)絡(luò)中的特定部署位置單獨(dú)建立連接。因?yàn)榫W(wǎng)絡(luò)虛擬化實(shí)現(xiàn)了網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和邏輯網(wǎng)絡(luò)之間的解耦。

在傳統(tǒng)網(wǎng)絡(luò)模式下，所有同一個(gè)網(wǎng)段的虛機(jī)，其主機(jī)所處的物理網(wǎng)絡(luò)必須為同一個(gè)二層廣播域，但在網(wǎng)絡(luò)虛擬化的邏輯交換機(jī)里，業(yè)務(wù)虛擬機(jī)的主機(jī)可以處于不同的二層廣播域。這樣，當(dāng)設(shè)置一個(gè)邏輯交換網(wǎng)絡(luò)時(shí)，該網(wǎng)絡(luò)可以橫跨整個(gè)云數(shù)據(jù)中心。圖3為網(wǎng)絡(luò)虛擬化部署邏輯交換示意圖。

3.4 邏輯路由設(shè)計(jì)

在云數(shù)據(jù)中心內(nèi)通過(guò)虛擬網(wǎng)絡(luò)管理器部署邏輯路由控制器，進(jìn)行路由和轉(zhuǎn)發(fā)的控制。在數(shù)據(jù)層面，分布式路由功能被集成到每臺(tái)服務(wù)器的虛擬化層，因此每臺(tái)服務(wù)器均具有分布式邏輯路由功能，對(duì)不同邏輯交換機(jī)上部署的節(jié)點(diǎn)通訊進(jìn)行分布式路由轉(zhuǎn)發(fā)。

3.5 邊界網(wǎng)關(guān)設(shè)計(jì)

當(dāng)云數(shù)據(jù)中心虛擬網(wǎng)絡(luò)中的虛機(jī)與物理網(wǎng)絡(luò)進(jìn)行通訊時(shí)，稱之為南北向流量，對(duì)于這種類型的流量，需經(jīng)過(guò)邊界網(wǎng)關(guān)服務(wù)器。源和目標(biāo)分別位于計(jì)算集群和邊界集群服務(wù)器，在經(jīng)過(guò)邊界集群中的邊界網(wǎng)關(guān)轉(zhuǎn)化成物理網(wǎng)絡(luò)IP數(shù)據(jù)包傳送。

當(dāng)云數(shù)據(jù)中心環(huán)境中的虛擬機(jī)需要和物理網(wǎng)絡(luò)通訊時(shí)，虛擬機(jī)的流量經(jīng)過(guò)分布式路由，將下一跳傳送給邊界網(wǎng)關(guān)，邊界網(wǎng)關(guān)可采用路由或地址翻譯模式，將虛擬網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)為物理網(wǎng)絡(luò)的IP數(shù)據(jù)包，傳送至物理網(wǎng)絡(luò)中。

3.6 網(wǎng)絡(luò)防火墻設(shè)計(jì)

利用網(wǎng)絡(luò)虛擬化軟件的分布式防火墻功能為云數(shù)據(jù)中心提供最高級(jí)別的安全防護(hù)，分布式防火墻組件嵌入到服務(wù)器虛擬化軟件內(nèi)核，所以只要運(yùn)行在虛擬化平臺(tái)上的虛擬機(jī)，就可以獲得安全防護(hù)。

分布式防火墻所提供的防火墻除了具有源自網(wǎng)絡(luò)虛擬化的其他網(wǎng)絡(luò)安全功能之外，還具有接近線速的性能、虛擬化和身份感知以及活動(dòng)監(jiān)控功能，并能夠?qū)θ我鈨膳_(tái)虛擬機(jī)之間的流量進(jìn)行安全控制，提升了租戶安全域內(nèi)部的安全性。

3.7 租戶網(wǎng)絡(luò)隔離與分段

在云數(shù)據(jù)中心環(huán)境中，我們即希望能夠充分利用服務(wù)器資源，又要求滿足不同租戶安全隔離需求，同時(shí)為保證大量租戶的高并發(fā)需求，應(yīng)避免租戶虛擬機(jī)之間產(chǎn)生發(fā)夾流量。

在本次云數(shù)據(jù)中心設(shè)計(jì)中，利用網(wǎng)絡(luò)虛擬化軟件重新設(shè)計(jì)虛擬機(jī)網(wǎng)絡(luò)，在原有的物理VLAN網(wǎng)絡(luò)之上構(gòu)建全新的Overlay網(wǎng)絡(luò)，為每個(gè)租戶創(chuàng)建獨(dú)立隔離網(wǎng)絡(luò)，如租戶內(nèi)部有多個(gè)應(yīng)用，每個(gè)應(yīng)用也具備獨(dú)立網(wǎng)絡(luò)，同時(shí)利用網(wǎng)絡(luò)虛擬化平臺(tái)的分布式路由功能，實(shí)現(xiàn)流量的最短路徑，提高訪問(wèn)效率;最后再結(jié)合邊界網(wǎng)關(guān)服務(wù)實(shí)現(xiàn)客戶端到服務(wù)器端的網(wǎng)絡(luò)訪問(wèn)控制;再結(jié)合分布式防火墻實(shí)現(xiàn)單業(yè)務(wù)系統(tǒng)內(nèi)部之間的訪問(wèn)控制。

4 結(jié)束語(yǔ)

在互聯(lián)網(wǎng)的沖擊下，云時(shí)代網(wǎng)絡(luò)設(shè)計(jì)也隨著發(fā)生變化，綜合考慮網(wǎng)絡(luò)運(yùn)維的復(fù)雜度、提升數(shù)據(jù)中心的擴(kuò)展性、應(yīng)用流量模式轉(zhuǎn)換三方面，提出一種新的云網(wǎng)絡(luò)設(shè)計(jì)思路。

參考文獻(xiàn)：

[1]譚倩芳，張四平.云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)分析[J].電腦知識(shí)與技術(shù)，2019，15（19）：48-49+58.

[2]劉運(yùn)德.云計(jì)算網(wǎng)絡(luò)安全問(wèn)題和對(duì)策的探討[J].電腦知識(shí)與技術(shù)，2019，15（09）：38-40.

[3]萬(wàn)波，龍全圣.“云計(jì)算”環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)安全及保障對(duì)策[J].無(wú)線互聯(lián)科技，2018，15（17）：24-25.

【通聯(lián)編輯：代影】