摘要: 由于数据中心在云计算的核心地位,针对云数据中心涌现出了非常多的新技术,网络结构也将发生巨大的变化。以IaaS的数据中心为例,IaaS主要向用户提供虚拟机的服务,在很多情况下,比如当用户需求出现变化(比如需要提高虚拟机的性能)时,或者物理设备出现故障时,必须将用...
由于数据中心在云计算的核心地位,针对云数据中心涌现出了非常多的新技术,网络结构也将发生巨大的变化。以IaaS的数据中心为例,IaaS主要向用户提供虚拟机的服务,在很多情况下,比如当用户需求出现变化(比如需要提高虚拟机的性能)时,或者物理设备出现故障时,必须将用户的虚拟机从一台物理设备迁移到另外一台物理设备上,随之而来的则是网络基本配置(如VLAN、IP等)的变化。显然,虚拟机的迁移会是经常性的和无规律的,因此通过管理员手工修改网络配置以满足虚拟机的迁移是不可行的,这就要求网络必须能够感知并且自适应虚拟机的迁移。
针对上述需求,数据中心在网络方面将发生巨大的变化。
一是从传统的三层组网(核心、汇聚采用路由组网,接入采用以太网。)转变为大二层扁平化组网,从核心到汇聚再到接入全部采用二层以太网,甚至取消汇聚层,采用多核心(四台以上核心设备)直连接入层的方式进行组网。
由于以太网不能成环的特性决定,采用大二层组网会带来了链路使用率的极大降低,因此传统STP技术将被抛弃,取而代之技术主要有两大类,一种是在中小型数据采用的多合一虚拟化技术,如Cisco的VSS技术和HP/H3C的IRF技术,通过将多个交换机虚拟成为一台逻辑交换机,提供了跨设备的链路捆绑能力,从而消除环路;另外一种是在大型/超大型数据中Trill(IETF主导)或者SPB(IEEE主导)技术,主要思路是通过路由技术来替代生成树技术,通过等价路由将多条链路的带宽充分利用起来。
大二层组网带来的另外一个问题是三层网关必然需要集中部署,而这对网关的性能和可靠性都带来了极大的挑战。
另外,为了感知虚拟机的迁移,需要引入能够让网络感知到虚拟机的方法。这方面目前主要有两个标准在竞争——VEPA和VN-TAG。
上述变化只是管中窥豹,云计算对数据中心带来的变化将是革命性的,从流量模型到基本协议,乃至网络配置和管理的方法都将发生天翻地覆的变化。可以说,云计算将成为网络技术发展的分水岭。
有一点需要特别指出,云计算虽然属于革命性的变革,但是IT应用本身并不会因此也发生革命性的变革。云计算的革命性更多的是体现在应用的基础架构和运维模式上。也正是这个原因,云计算环境下的基本安全需求相对现在而言,也不会有根本性的变化,依然体现在对现有安全威胁的防护上面。当然,技术架构的变化势必会影响安全的设计,这种影响主要体现在以下几个方面。
在安全设计方面,主要体现在传统安全分区分域的方法不再适用。传统的设计方法是通过防火墙隔离不同的安全分区,各个安全分区基本上都是静态的,防火墙是数据中心逻辑上的核心,所有的防护手段都部署在安全分区的边界。显然这不能满足云计算环境下虚拟机迁移等业务的要求,需要采用新的思路。
在流量模型方面,云数据中心内部流量激增,原本清晰的访问路径变的模糊和不确定。例如同一业务的流量将呈现分散性,由于业务所需的资源(计算、存储和网络资源)是在资源池中动态分配的,因此同一业务的流量将不定向的分散到不同的物理设备上。与此相对应,不同业务的流量由于可能用同一设备来实现,因此会出现一定的聚合性。这就给数据中心内部的流量管理带来了更高的要求。
在部署模式方面,由于流量模型的变化,传统的“VLAN+ACL”的数据中心内部隔离策略将不再适用。不同业务流量的聚合性,使得同一物理端口上的流量可能属于多个互不相关的业务,这使得传统的基于端口的VLAN部署模式将不再使用,必须采用进一步的基于虚拟化的VLAN部署策略,并进一步要求所有虚拟系统之间的相互访问必须采用白名单方式,这又使得传统的ACL策略由于缺少直观性和适应动态变化的原因而难以适用。在部署模式方面另外一个变化是,由于数据中心内部访问控制要求的增加,传统的将防火墙、IPS等安全设备部署在数据中心出口位置上的形式,将不能满足数据中心的需求。
