◆夏邱慧子
基于分布式服务对网络改造问题的探讨
◆夏邱慧子
(中国民用航空西南地区空中交通管理局通信网络中心 四川 610200)
笔者于工作中发现,NSX Edge网关自带的路由功能在报文传输时会发生绕转,防火墙功能也无法满足系统安全性的需求。笔者利用数据层提供的分布式服务改进当前的网络结构,通过部署路由器和分布式防火墙分别替代NSX Edge网关的路由和防火墙功能。通过对比分析,分布式服务确实能够优化传输路径、提高系统安全性。
分布式服务;NSX Edge网关;网络安全
笔者所在的空管行业中,利用网络虚拟化技术提高系统服务器的资源利用率[1],通过部署NSX Edge网关来管理集群中的虚拟机,并控制不同系统间的访问和流量交互。但NSX Edge网关的路由和防火墙功能在现有网络结构中具有局限性,例如:NSX Edge网关处理容量有限、数据包转发路径绕转、系统的安全性不足等问题。
为满足空管业务飞速发展的需求,笔者认为可以通过部署分布式服务来弥补NSX Edge网关的短板。与NSX Edge网关的路由功能相比,分布式路由器可以在转发数据包时创建最短的传输路径;而分布式防火墙在扩大处理容量、提高系统安全性方面,相较NSX Edge网关自带的防火墙功能具有更好的效果。
相关概念
(1)网络虚拟化
网络虚拟化技术就是在一个物理网络上模拟出多个逻辑网络来满足不同业务的需求,它的逻辑架构主要由四层组成:数据层、控制层、管理层和消费层[2]。
(2)NSX Edge网关
NSX Edge网关通常以虚拟机的形式存在,它的作用是连接孤立的网络,并在不同网络间分享上连的网络接口,可以实现二层桥接、三层路由、防火墙等功能[3]。
(3)分布式路由器
分布式路由器通常以虚拟机的形式存在,作为分布式路由的控制单元,主要处理从虚拟机到虚拟机的三层流量。
(4)分布式防火墙
分布式防火墙通常扮演边界防火墙的角色,阻止未授权的用户访问受保护的网络,主要用来处理东西向流量。与传统防火墙相比,它还可以扩充东西向防火墙的容量,提供更加精细颗粒度的访问控制。
分布式服务和NSX Edge网关服务主要运行于数据层,通常分布式服务主要用于控制虚拟机之间东西向流量的交互,而NSX Edge网关服务作为物理网络和虚拟网络的接口,用于处理南北向流量的交互。
在实际生产业务中,利用NSX Edge网关的路由功能和防火墙功能管理各系统集群下的虚拟机及各系统之间的流量交互。以双流机场为例,图1所示为双流机场系统网络连接拓扑图。A系统服务器和B系统服务器各自管理服务器上的虚拟机,而系统服务器上连服务器汇聚交换机和核心交换机,并通过服务器汇聚交换机互联、核心交换机互联实现冗余备份,数据包通过核心交换机到达系统外部防火墙,经外部防火墙策略过滤后最终与外部用户实现交互。
对于A系统和B系统之间的流量交互,主要是通过NSX Edge网关来实现的,A系统虚拟机将数据发往A系统NSX Edge网关,经过NSX Edge网关的路由选择和防火墙策略控制到达B系统NSX Edge网关,最后发往B系统虚拟机。从服务器到服务器的访问,都是数据中心内部的东西向流量,这与部署在数据中心边界的防火墙设备无关,需要通过NSX Edge网关配置防火墙策略来实现控制[4]。
在实际运用中,为了实现弹性和高可用性,通过网络虚拟化平台将NSX Edge网关配置为双台,即Active/Standby(A/S)冗余部署模式,如图1中红色虚线方框内所示。当其中一台NSX Edge网关处于Active状态时,作为主用Edge网关承载网络中的流量;而另一台NSX Edge网关则处于Standby状态,作为备用Edge网关,不承载网络中的流量和服务,但在主用Edge网关失效后接管其工作。对于信息同步,NSX Manager会将主用Edge网关的配置复制到备用Edge网关,并在生命周期内一直管理设备的配置和策略同步。而对于心跳和数据的同步,主备NSX Edge网关可以通过内部高可用性(HA)端口组来实现[5]。
图1 成都双流机场系统网络连接拓扑图
目前系统服务器管理的虚拟机数目并不太多,有特殊需求的外部用户也在少数,因此现有网络结构的确能满足当前生产业务的需求。但随着空管业务的快速发展,各系统集群下所管理的虚拟机数目也会随之增多,NSX Edge网关功能的局限性便会暴露出来。
NSX Edge网关本身就是一台多功能虚拟机,在当前网络中利用路由功能既可以处理南北向流量,也可以处理东西向流量。NSX Edge网关在网络层提供逻辑路由功能时所使用的模式为集中路由,允许数据中心内部处于不同网段的虚拟机之间进行通信。
如图2所示,当两个不同网段的虚拟机发生流量交互时,虚拟机1先将数据包发送给Esxi主机1,Esxi主机1再将数据包发送给NSX Edge网关所在的Esxi主机3,数据包经NSX Edge网关进行路由处理后再发还给目的虚拟机所在的Esxi主机,传输过程如图2中红色路径所示。
若目的虚拟机与发送数据包的虚拟机位于相同的Esxi主机上,则由Esxi主机1发送给目的虚拟机2,传输过程如图2中蓝色路径所示;若目的虚拟机与发送数据包的虚拟机位于不同的Esxi主机上,则由Esxi主机2发送给目的虚拟机2,传输过程如图2中黄色路径所示。
图2 NSX Edge网关集中路由传输数据包路径图
若不同网段的虚拟机相互访问时,数据包在转发过程中可以直接经路由选择到达目标虚拟机,则此路径将更为简捷。由此可以看出当NSX Edge网关提供集中路由功能时,数据包在不同网段虚拟机之间转发所经过的路径可能不是最优路径。
空管业务事关航班的飞行安全,各生产系统的正常运行都至关重要。但在实际生产业务中,各系统的重要等级和所需的安全级别却不尽相同,不同系统故障所造成的影响也略有不同。
当NSX Edge网关下挂系统虚拟机增加时,不同系统可能会连接到相同的逻辑网络,例如A系统和B系统所承载的空管业务重要等级不同,但当它们连接到相同的逻辑网络时,A系统和B系统就会获得相同的安全等级,造成系统的安全级别与自身实际需求不相匹配的情况[6]。
且NSX Edge网关自带防火墙功能有限,无法为同一系统位于不同层的虚拟机之间提供更加精细颗粒度的访问控制。
在第2章节中详细叙述了NSX Edge网关在数据传输和系统安全性方面的短板。通过研究分布式服务,笔者提出利用分布式服务替代NSX Edge网关的路由和防火墙功能,以此弥补NSX Edge网关缺陷。
如图3所示为分布式服务网络规划拓扑图。NSX Edge网关仅作为南北向流量的出口,与外部用户进行流量交互。路由功能由分布式路由器实现,在分布式防火墙中,不再根据虚拟机所属系统来划分逻辑结构,而是分别将A系统和B系统中相同层级的虚拟机连接到同一个逻辑交换机上,如图4中黑色虚线方框所示,将web层、App层、数据库层(DB层)分别连接一台逻辑交换机[7]。
图3 所示为分布式服务网络规划拓扑图
如图3中所示,通过部署分布式路由器来替代NSX Edge网关的路由功能,在分布式路由中数据包传输过程如图4所示:
(1)分布式路由器上定义了所有网段IP地址的网关,当Esxi主机1上的虚拟机1发送的数据包到达默认网关后,默认网关会根据目的虚拟机的地址确认目的网段和目的MAC地址。
(2)若目的虚拟机和虚拟机1位于相同主机上(如虚拟机2),默认网关就会直接将数据包发送给虚拟机2,整个传输过程如图4中蓝色路径所示。
(3)若目的虚拟机和虚拟机1位于不同主机上,分布式路由器会根据查询的目的MAC地址将数据包发往目的虚拟机所在的Esxi主机,再由Esxi主机发给目的虚拟机,整个传输过程如图4中黄色路径所示。
图4 分布式路由传输数据包路径图
因此无论是同一主机内的通信,还是不同主机内的三层连接,分布式路由器都可以创建一条直连的路径在主机中实现流量交互,因此分布式路由可以大大减小数据包在转发过程中的时延,实现数据的快速传输。
实现业务与系统自身重要等级相匹配的安全防护是保障飞行安全的重要措施,可以利用基于微分段技术的分布式防火墙来提高系统的安全性[8]。分布式防火墙策略是面向整个数据中心的,因此在实际运维过程中只需要集中化统一管理一台分布式防火墙,减轻了一线工作人员的运维压力。
分布式防火墙策略具体规划如下:
(1)在同一层虚拟机内部,根据系统划分安全组,将角色类似的一组虚拟机划分到同一组织下,如图3中绿色实线所示。
(2)根据实际需求和各层级结构来添加安全策略,例如同一安全组内的虚拟机可以互ping,不同安全组内的虚拟机阻断交互,如图3中黄色实线所示。
(3)若想实现更加精细颗粒度的流量控制和安全保护,可以部署不同层虚拟机之间的流量类型,例如从Web层到App的访问,只通过SSH的流量;从App层到数据库层的访问,只通过Mysql的流量,如图3中红色实线所示。
表1 分布式防火墙策略表
(注:Web-A表示Web层的A系统虚拟机,其余命名方式类似)
完整的策略规划如表1所示,这样当不同系统的工作负载连接到不同的逻辑网络上时,可以获得对应的安全级别。而在同一逻辑网络中,不同系统虚拟机之间的东西向流量,也可以得到保护。
同时,分布式防火墙是分布在整个网络中的,因此它具有无限制的扩展能力,随着网络结构的扩展,它的处理能力也会在网络中进一步分布,可以维持高效的安全防护性能。
从3.1章节和3.2章节的对比分析可以看出,在优化传输路径、提高系统安全性方面,分布式服务的确比NSX Edge网关自带的路由和防火墙功能具有更好的效果。
利用分布式服务替代NSX Edge网关的路由和防火墙功能,确实能够优化数据传输路径,提高传输效率,提升系统安全性。后续笔者将继续研究NSX Edge网关的其他功能,例如:DHCP、DNS、NAT、负载均衡器等,用来优化生产网络,维持生产系统高性能、高效率的运转。
[1]蔡建轩,李梅.基于VMwarev Sphere的集群虚拟机安全问题研究[J].电脑知识与技术,2019.
[2]钟敦远.关于机场数据中心部署NSX虚拟化网络的探讨[J].现代信息科技,2020.
[3]苟洁.基于VMware vSphere技术的虚拟云平台的研究与设计[D].成都理工大学,2016.
[4]范恂毅,张晓和.新一代SDN VMware NSX网络原理与实践[M].人民邮电出版社,2016.
[5]侯星帅.虚拟化技术在数据中心服务器资源整合中的应用研究[D].长安大学,2013.
[6]宫月,李超,吴薇.虚拟化安全技术研究[J].信息网络安全,2016.
[7]陈春玲,雷世荣,陈丹伟.分布式防火墙的原理、实现及应用[J].南京邮电学院学报,2002.
[8]王秉琰.分布式防火墙策略的分析与设计[D].南京理工大学,2006.