信文｜翁葉峰

從云數(shù)據(jù)中心的云網(wǎng)絡(luò)架構(gòu)設(shè)計、南北向流量控制、東西向流量控制等三個維度出發(fā)進(jìn)行云架構(gòu)安全的總體規(guī)劃，保證數(shù)據(jù)中心在網(wǎng)絡(luò)架構(gòu)上彈性可擴(kuò)展、業(yè)務(wù)流量上按需可隔離

網(wǎng)絡(luò)架構(gòu)安全是云數(shù)據(jù)中心的基石，只有云網(wǎng)絡(luò)架構(gòu)設(shè)計合理，南北向、東西向流量控制得當(dāng)，才能按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019），繼續(xù)深化上層的安全防護(hù)設(shè)計，保證數(shù)據(jù)中心在網(wǎng)絡(luò)架構(gòu)上具備彈性可擴(kuò)展、業(yè)務(wù)流量上具備按需可隔離的能力。

云網(wǎng)絡(luò)架構(gòu)設(shè)計

傳統(tǒng)數(shù)據(jù)中心建設(shè)中，云主機(jī)基于虛擬化運(yùn)行于實體服務(wù)器，基礎(chǔ)網(wǎng)絡(luò)為適配云主機(jī)產(chǎn)生的業(yè)務(wù)通訊流量，需要一線運(yùn)維人員手工介入調(diào)整云主機(jī)所在VLAN、VPN實例和相應(yīng)的通信控制策略，存在配置流程繁瑣、業(yè)務(wù)切換時間長、響應(yīng)延遲度高、擴(kuò)容性差等問題。因此，建議基于Overlay技術(shù)對現(xiàn)有數(shù)據(jù)中心進(jìn)行改造升級。所謂Overlay網(wǎng)絡(luò)是指基于現(xiàn)有物理網(wǎng)絡(luò)虛擬化出來的一套專為業(yè)務(wù)服務(wù)的層疊網(wǎng)絡(luò)，該網(wǎng)絡(luò)具有獨立的控制和轉(zhuǎn)發(fā)平面，對于云主機(jī)來說其產(chǎn)生的業(yè)務(wù)流量僅承載在該虛擬網(wǎng)絡(luò)中，物理網(wǎng)絡(luò)是透明不可見的；可以說Overlay網(wǎng)絡(luò)是物理實體網(wǎng)絡(luò)向云和虛擬化的深度延伸，使云資源池不僅可以調(diào)度虛擬化的CPU、內(nèi)存、存儲資源，也可以對虛擬化的網(wǎng)絡(luò)資源進(jìn)行調(diào)度，是實現(xiàn)云網(wǎng)融合的關(guān)鍵。

目前實現(xiàn)Overlay網(wǎng)絡(luò)可基于三種方式：VXLAN、NVGRE和STT。這三種技術(shù)中又以VXLAN的使用效果最佳，其優(yōu)勢有四：一是基于報文重封裝技術(shù)保證業(yè)務(wù)可部署于網(wǎng)絡(luò)任意位置；二是VXLAN采用組播技術(shù)進(jìn)行泛洪流量的轉(zhuǎn)發(fā)，通過二層優(yōu)化技術(shù)極大地增加了網(wǎng)絡(luò)規(guī)模的可擴(kuò)展性；三是Overlay網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)拓?fù)浼瓤梢曰诼酚煽刂茀f(xié)議如IS—IS或BGP自學(xué)習(xí)完成，也可以通過SDN控制器統(tǒng)一調(diào)度、下發(fā)完成，適用于集中部署；四是基于VXLAN技術(shù)有效解決傳統(tǒng)VLAN的4K數(shù)量限制，通過擴(kuò)展的隔離標(biāo)識位可支持高達(dá)16M的用戶，輕松實現(xiàn)千萬級別租戶隔離需求，為數(shù)據(jù)中心的大規(guī)模云業(yè)務(wù)部署奠定扎實基礎(chǔ)。

南北向流量控制設(shè)計

由于租戶的業(yè)務(wù)流量都承載在VXLAN虛擬承載網(wǎng)中，不具備直接對外通信能力，云數(shù)據(jù)中心南北向流量主要用于提供互聯(lián)網(wǎng)訪問。因此需要部署VXLAN三層網(wǎng)關(guān)設(shè)備以便將VXLAN報文轉(zhuǎn)換成常規(guī)的IP數(shù)據(jù)包傳送至互聯(lián)網(wǎng)；而來自互聯(lián)網(wǎng)的訪問報文經(jīng)由VXLAN三層網(wǎng)關(guān)重新封裝后在VXLAN虛擬承載網(wǎng)中傳輸至目標(biāo)服務(wù)器。

南北向通訊流量設(shè)計可采用以下思路：一是出口處部署集群式防火墻設(shè)備實現(xiàn)端口按需對外開放；二是針對來自已授權(quán)開放端口的業(yè)務(wù)通訊流量，可以通過策略路由技術(shù)將流量牽引至云數(shù)據(jù)中心的安全區(qū)域，利用各類安全設(shè)備如Web安全監(jiān)測設(shè)備、入侵防御設(shè)備、惡意威脅偵測設(shè)備等進(jìn)行安全檢測，在確定業(yè)務(wù)流量的安全性后轉(zhuǎn)發(fā)至負(fù)載均衡設(shè)備，最后將流量傳送至目標(biāo)業(yè)務(wù)應(yīng)用服務(wù)器，實現(xiàn)業(yè)務(wù)訪問。

在進(jìn)行南北向流量規(guī)劃時一定要采用集群化部署方式實現(xiàn)高吞吐量、高可靠性和高冗余性，切忌采用單掛或串聯(lián)部署的方式。

東西向流量控制設(shè)計

云數(shù)據(jù)中心東西向流量控制主要包括三個方面：不同租戶間的通訊流量控制；同一租戶內(nèi)部不同子網(wǎng)間的通訊流量控制；同一租戶同一子網(wǎng)內(nèi)的通訊流量控制。針對第一種情況，租戶間隔離是云數(shù)據(jù)中心基本要求，建議采用各廠商的VPC方案實現(xiàn)租戶間的安全隔離；針對第二種情況，由于同一租戶的不同子網(wǎng)都在VXLAN虛擬承載網(wǎng)中，可以通過配置VXLAN三層網(wǎng)關(guān)的方式實現(xiàn)相互之間的業(yè)務(wù)按需訪問；針對第三種情況，同一子網(wǎng)內(nèi)的通訊流量控制可基于各廠商的虛擬網(wǎng)絡(luò)設(shè)備技術(shù)實現(xiàn)。

該技術(shù)通過將交換機(jī)或防火墻虛擬化后內(nèi)嵌于服務(wù)器虛擬化平臺如ESXI/XEN/KVM/H3C_CAS中，在流量尚未徹底進(jìn)入VXLAN虛擬承載網(wǎng)前，從服務(wù)器虛擬化底層即可進(jìn)行同一子網(wǎng)內(nèi)主機(jī)間的通訊訪問控制。