张强
摘要:随着计算机水平的发展,互联网时代给社会经济文化等产生巨大的冲击,云时代已经进入我们的生活,随着业务应用对于转发速度、端口密度、扩展性、安全性、稳定性的要求越来越高,陈旧的三层架构设计已经无法满足当今云时代。该文从提升运维的灵活度、提升数据中心的扩展性、应用流量模式出发提出一种云时代新的网络系统结构。
关键词:云平台;架构设计
中图分类号:TP393.02 文献标识码:A
文章编号:1009-3044(2019)34-0214-02
1 概述
随着业务应用对于转发速度、端口密度、扩展性、安全性、稳定性的要求越来越高,传统的基于过载比的层次化标准的三层(服务器接入层、汇聚层、核心层)架构设计已经无法满足当前云数据中心的需求。如今,云计算采用虚拟化技术,实现计算机操作,有效减少成本投放,满足人们日常应用需求[1],云数据中心网络正在不断发展,随着新技术的出现,新产品的使用,新的公司的参与,正在转化为了一种新的架构。
2 云平台架构设计
架构的新特点应该简化网络运维的复杂度,提升运维的灵活度,网络要与业务流程和数据中心统一管理更加紧密的结合;提升数据中心的扩展性,基础架构可以随着业务的变化而变化规模大小;应用流量模式转换。
2.1 新架构达到的目标
2.1.1 提高云数据中心安全防护能力
利用云数据中心安全防护技术构建具备高安全特性的网络平台,针对租户业务系统实现细粒度网络访问控制,包括任意虚拟机之间、任意隔离网络之间、任意租户之间、任意集群之间和任意资源池之间的安全防护,避免关键业务系统受攻击和数据泄漏[2]。
2.1.2 实现安全隔离网络
具备多个网络交叉点,在应用中不能保证公有云的隐蔽性和安全性利用[3],虚拟化网络技术实现租户重点业务系统和普通业务系统的安全隔离,在不调整物理架构的情况下,保证每个租户业务系统使用独立隔离网络,互补干扰。
2.1.3 实现网络安全监控
利用网络虚拟化和服务器虚拟化集成特性,实现深度网络数据包监控,包括网络访问日志记录,实时流量监控,历史流量分析等。
2.1.4 解决网络结構复杂的问题
建立信息系统安全标准化体系,统一规划和部署防病毒、防火墙等安全组件,实现细粒度访问控制策略,提高信息系统安全防护能力。利用网络虚拟化技术构建具备灵活性、安全性和易管理性的云数据中心网络平台,通过该平台可轻松实现云数据中心的网络服务提供。
2.1.5 提高业务系统冗余负载能力
利用网络虚拟化提供的负载均衡组件,加上应用多实例部署架构,实现租户业务系统高并发访问和高可靠性。
2.1.6 实现统一数据中心安全管理
利用统一的网络虚拟化平台,实现数据中心网络集中、统一管理。
综上所述,本文在云平台网络设计中主要包含以下7方面内容见图1所示。
3 云平台网络设计
3.1 云平台网络拓扑
图2为云平台网络拓扑。
多元业务区网络分为互联网出口区、多元业务区两大区域,互联网出口区为整个云数据中心提供互联网接人服务,作为多元业务区的互联网出入口,为多元业务区提供南北向网络上的安全防护,初期复用云数据中心互联网出口区,远期独立建设;互联网出口区由承载网负责建设;多元业务区环境整体采用Spine-Leaf网络架构,解决云数据中心内部横向网络连接的传输瓶颈,提供高度的扩展性,Leaf网络下行作为服务器接入,上行连接Spine网络,Spine交换机与互联网出口区相连,承载南北向流量。
云数据中心内部网络拓扑按照网络功能具备分为三大类:云管理网络,带外管理网络,生产业务、存储和集群网络,三种网络分别承载云数据中心不同类型的业务流量。
在多元业务区内部又分为多元业务区管理区、网络和安全资源区、多元业务区计算区和存储区、多元业务区运维管理区等几部分。
针对资源需求量大的客户提供专用的裸金属机架和专线网络接入,该部分为客户定制化需求,需针对具体客户需求提供裸金属机架和专线网络资源。
针对资源需求量小的客户提供基于共享云资源池的服务。
3.2 物理网络架构设计
物理网络架构设计包含云数据中心内部网络和云数据中心边缘网络两个部分,为整体云数据中心提供基础物理网络支撑,云数据中心对于网络架构的要求不断提升,东西向流量成为云数据中心内部的主流方式。
3.3 逻辑交换设计
在云数据中心环境中,网络虚拟化的逻辑交换功能可以为用户启用独立的逻辑二层网络,提供网络的灵活性和敏捷性。无论是虚拟端点还是物理端点.都可以连接到这些逻辑分段,并从其在云数据中心网络中的特定部署位置单独建立连接。因为网络虚拟化实现了网络基础架构和逻辑网络之间的解耦。
在传统网络模式下,所有同一个网段的虚机,其主机所处的物理网络必须为同一个二层广播域,但在网络虚拟化的逻辑交换机里,业务虚拟机的主机可以处于不同的二层广播域。这样,当设置一个逻辑交换网络时,该网络可以横跨整个云数据中心。图3为网络虚拟化部署逻辑交换示意图。
3.4 逻辑路由设计
在云数据中心内通过虚拟网络管理器部署逻辑路由控制器,进行路由和转发的控制。在数据层面,分布式路由功能被集成到每台服务器的虚拟化层,因此每台服务器均具有分布式逻辑路由功能,对不同逻辑交换机上部署的节点通讯进行分布式路由转发。
3.5 边界网关设计
当云数据中心虚拟网络中的虚机与物理网络进行通讯时,称之为南北向流量,对于这种类型的流量,需经过边界网关服务器。源和目标分别位于计算集群和边界集群服务器,在经过边界集群中的边界网关转化成物理网络IP数据包传送。
当云数据中心环境中的虚拟机需要和物理网络通讯时,虚拟机的流量经过分布式路由,将下一跳传送给边界网关,边界网关可采用路由或地址翻译模式,将虚拟网络数据包转为物理网络的IP数据包,传送至物理网络中。
3.6 网络防火墙设计
利用网络虚拟化软件的分布式防火墙功能为云数据中心提供最高级别的安全防护,分布式防火墙组件嵌入到服务器虚拟化软件内核,所以只要运行在虚拟化平台上的虚拟机,就可以获得安全防护。
分布式防火墙所提供的防火墙除了具有源自网络虚拟化的其他网络安全功能之外,还具有接近线速的性能、虚拟化和身份感知以及活动监控功能,并能够对任意两台虚拟机之间的流量进行安全控制,提升了租户安全域内部的安全性。
3.7 租户网络隔离与分段
在云数据中心环境中,我们即希望能够充分利用服务器资源,又要求满足不同租户安全隔离需求,同时为保证大量租户的高并发需求,应避免租户虚拟机之间产生发夹流量。
在本次云数据中心设计中,利用网络虚拟化软件重新设计虚拟机网络,在原有的物理VLAN网络之上构建全新的Overlay网络,为每个租户创建独立隔离网络,如租户内部有多个应用,每个应用也具备独立网络,同时利用网络虚拟化平台的分布式路由功能,实现流量的最短路径,提高访问效率;最后再结合边界网关服务实现客户端到服务器端的网络访问控制;再结合分布式防火墙实现单业务系统内部之间的访问控制。
4 结束语
在互联网的冲击下,云时代网络设计也随着发生变化,综合考虑网络运维的复杂度、提升数据中心的扩展性、应用流量模式转换三方面,提出一种新的云网络设计思路。
参考文献:
[1]谭倩芳,张四平.云计算环境中计算机网络安全技术分析[J].电脑知识与技术,2019,15(19):48-49+58.
[2]刘运德.云计算网络安全问题和对策的探讨[J].电脑知识与技术,2019,15(09):38-40.
[3]万波,龙全圣.“云计算”环境中的计算机网络安全及保障对策[J].无线互联科技,2018,15(17):24-25.
【通联编辑:代影】