引言
數據中心是通過對大量計算機、存儲設備、網絡設備、系統應用等資源進行整合、監控、管理,從而為多用戶提供集中的平臺、計算、存儲、網絡、應用等服務的一整套設施,可以是企業專有,也可以是多租戶共享。作為各種關鍵信息保存、處理的樞紐,數據中心的安全必須得到確保,其中網絡安全是一個重要的方面。
近年來,隨著數據中心規模的不斷擴大,為了提高資源利用率、降低成本、便于管理和增強安全可用性,越來越多的企業在數據中心構建中采用虛擬化技術,包括服務器虛擬化、存儲虛擬化和網絡虛擬化等。數據中心虛擬化給網絡架構帶來的改變包括網絡規模擴大、更高的網絡帶寬需求、網絡設備利用率提高、傳統網絡邊界的消失、系統管理員與網絡管理員職責模糊等等。上述變化對于傳統的邊界網絡安全設備而言,意味著成本的提高和監管力度的降低。為了更清楚地感知虛擬機網絡流量、把握虛擬化后的網絡邊界、進行安全管控,業界和學術界均有技術和解決方案提出。本文將上述技術分為虛機態網絡安全設備技術、物理設備處理虛機流量技術(VN Tag和VEPA)和軟件定義網絡技術(基于OpenFlow)三個方面,并對這些技術進行了深入的研究和探討。
1 數據中心網絡虛擬化技術現狀
傳統的數據中心網絡以單臺主機設備為最小單位進行構建,架構可以抽象為接入層、匯聚層和核心層三個層次。網絡安全的確保主要采取安全域劃分、邊界防護的方式,網絡安全設備主要部署在匯聚層,如圖1所示。服務器虛擬化技術使得單臺宿主服務器上能夠運行多臺虛擬機。近年來,基于x86架構的服務器虛擬化技術不斷發展,應用不斷深入。市場研究公司Gartner的報告表明2008年,18%的服務器工作負載已經虛擬化,到2012年,這個數字將達到50%,到2016年,80%的x86架構服務器工作負載會運行在虛擬機上。
數據中心網絡虛擬化需求是伴隨著服務器虛擬化的發展、應用而產生的,主要原因有:
(1)單臺宿主服務器上部署幾十臺虛擬機,這些虛擬機間有一定的網絡拓撲,并且通常都需要對外部網絡進行訪問。
(2)數據中心服務器規模多以千、萬臺計算,并且多數流量發生在數據中心內部(據Gartner預測,到2014年,數據中心網絡流量的80%是東西向的),因此需要更高的網絡帶寬和更多的網絡接口。
(3)將虛擬機從一臺宿主服務器向另一臺宿主服務器進行動態遷移時,需要保持IP地址、會話狀態以保證業務不中斷,因此虛擬機遷移要在二層網絡中進行。
圖1 傳統數據中心網絡及安全
上述原因推動著數據中心網絡虛擬化技術的發展:(1)為了滿足虛擬機連網的需求,網絡功能已經由服務器外圍滲透到宿主服務器內部,可以在宿主服務器上運行軟件形態的虛擬交換機,相關技術有VMware的vSwitch、分布式vSwitch和Cisco的Nexus1000v等;也可以將所有的虛擬機的網絡流量送至宿主服務器之外,由外部的物理交換機進行處理,相關技術包括Cisco的VNTag和HP的VEPA。這些技術部署在虛擬平臺層或接入層。(2)傳統的三層網絡架構配置復雜、轉發延遲較高、百兆接入層帶寬已經不能滿足多臺虛擬機同時聯網的需求,因而數據中心網絡架構開始向由千兆/萬兆接入層和萬兆/十萬兆核心層組成的二層網絡架構發展,如圖2所示。(3)虛擬機的動態遷移可能是跨數據中心的不同宿主服務器,也可能是跨不同的數據中心,因此為了正確、靈活地實現虛擬機動態遷移,需要在數據中心以及跨數據中心實現二層網絡的部署。單一數據中心內的二層網絡實現技術主要包括上述的分布式vSwitch,將多臺交換機集成為一臺交換機的VSS(虛擬交換系統,Cisco的專有技術)和IRF(智能彈性架構,H3C的專有技術),以及實現二層多路徑轉發的TRILL(多鏈路透明互聯,IETF提出)和SPB(最短路徑橋接,IEEE提出,802.1aq標準),這些技術部署在接入層或核心層;跨數據中心的二層網絡實現技術主要包括在IP網絡上建立隧道的OTV(覆蓋傳輸虛擬化,Cisco的專有技術)和VLLoGRE/VPLSoGRE(H3C的開放標準),以及MPLS網絡上的VLL/VPLS技術,這些技術部署在核心層。
圖2 數據中心網絡虛擬化及實現技術架構
2 數據中心網絡虛擬化影響分析
數據中心網絡虛擬化技術一方面滿足了數據中心虛擬化大趨勢下各種資源互聯、虛擬機動態遷移、服務器集群構建等的需求,另一方面也給一些傳統的數據中心業務(特別是安全)帶來了一定的影響,這些影響進一步推動著網絡虛擬化技術和其他相關技術的發展,簡要分析如下:
(1)為了實現虛擬機聯網,通常在服務器虛擬化平臺的VMM(虛擬機監控器)上運行軟件形態的網橋或交換機,例如VMware的vSwitch、分布式vSwitch、Xen的網橋等,這種方法被稱為VEB(虛擬以太網橋)。軟件形態的虛擬交換機的下行端口與虛擬機的虛擬網卡相連,上行端口與宿主服務器的物理網卡相連,轉發功能與物理的二層交換機基本相同,即同一虛擬交換機端口組的虛擬機間的網絡流量由虛擬交換機轉發,不流出宿主服務器,而其他網絡流量發往宿主服務器外部的物理交換機轉發。軟件交換機的優點是實現簡單、使用靈活、節約物理設備成本、宿主機內轉發速度快,但同時也存在不足,包括消耗宿主服務器資源,缺少對流量統計、端口安全、ACL、QoS支持,因此不能很好地實現網絡監管。
(2)網絡虛擬化技術使得網絡邊緣向宿主服務器內部延伸,部分虛擬機間的流量可以由虛擬交換機轉發而不流經外部的網絡設備,傳統的邊界網絡安全設備,例如防火墻、IPS、UTM等不能全面了解宿主服務器內部的網絡拓撲,無法對宿主服務器內部轉發的網絡流量進行有效地監管。
(3)虛擬交換機屬于網絡的范疇,然而由于其管理工具與服務器虛擬化工具集成,多由系統管理員來設置,造成系統管理員與網絡管理員職責模糊,容易出問題,并且出問題后難于追責。
總的來說,上述影響產生的原因在于傳統的邊界網絡(安全)設備無法深入到宿主服務器內部對延伸的網絡邊界進行深度掌控,造成監管力度降低。為了解決這一問題,業界和學術界均提出了技術和解決方案,本文稱之為邊界感知安全技術,并分為三類進行深入探討。
3 網絡虛擬化邊界感知安全技術
3.1 虛機態網絡安全設備技術
虛機態網絡安全設備是指傳統的硬件網絡安全設備(防火墻、IPS、UTM、防病毒網關等)由運行在服務器虛擬化平臺上的虛擬機實現,用于監控其他虛擬機間的網絡流量。虛機態安全設備的功能與硬件設備完全一致,部署方式采用透明模式、路由模式或混合模式。虛機態網絡安全設備適用于公共數據中心多租戶的情況,用戶需要采用私有設備來保護自己的網絡,可以隨需獲取、自主配置。基于軟件實現的靈活性,虛機態網絡安全設備可以支持任意的網絡拓撲,對任意虛擬機間的網絡流量進行深度監控。
現有的虛機態網絡安全設備產品有美國Fortinet公司的虛擬系列(FortiGateVM、FortiManagerVM、FortiAnalyzerVM、FortiMailVM)和國內網御星云的虛擬安全網關系列(LeadsecvFW、LeadsecvUTM、LeadsecvIPS、LeadsecvAVG、LeadsecvVPN)。圖3以網御星云的LeadsecvUTM產品為例,給出了一種在VMwareESXi平臺上部署的示意圖,圖中的部署方式使得LeadsecvUTM能夠對應用服務器1/2與應用服務器3/4間的網絡流量進行深入監控,監控對象需要跨端口組。
圖3 一種Leadsec vUTM在VMwareESXi上部署的示意圖
3.2 物理設備處理虛機流量技術
與上述將網絡安全向宿主服務器內滲透的思路不同,物理設備處理虛機流量技術則是要把所有的虛擬機網絡流量都發送到宿主服務器相連的物理交換機上進行轉發處理,使用外部交換機上的流量統計、端口安全、ACL、QoS等功能對虛擬機的網絡流量進行有力的監控,代表技術包括Cisco的VNTag和HP的VEPA。
VN Tag是Cisco的專有技術,核心是通過在標準以太網幀上添加VNTag標簽來標識虛擬機流量,作為外部物理交換機尋址轉發的依據,如圖4所示,其中DVIF_ID、SVIF_ID分別代表目的、源虛擬接口,虛擬接口通常與虛擬機的虛擬網卡相關聯。
VN Tag對傳統以太網幀的結構進行了擴展,不與現有網絡協議沖突,但是也不被傳統網絡設備所支持。目前Cisco支持VNTag技術的網絡設備有服務器物理網卡(Palo網卡,封裝VNTag標簽)、服務器外接入層交換機Nexus5000+Nexus2000。
圖4 VN Tag標簽示意圖
VEPA(虛擬以太網端口匯聚器)是HP提出的技術,通過在服務器虛擬化平臺的VMM上的VEPA模塊將虛擬機產生的流量全部發送到相連的物理交換機上進行處理,用MAC地址關聯虛擬機的流量。基于上述模式,VEPA需要解決的一個問題是當相互通信的虛擬機屬于同一臺宿主服務器時,物理交換機必須支持數據包從入口返回的功能,由于會影響生成樹協議的運行,在傳統交換機中該功能通常是被禁止的,因此需要對傳統交換機進行軟件升級。
作為對VEPA技術的加強,HP又提出了多通道技術。多通道技術支持VEB、VEPA和虛擬機直接輸入輸出三種流量轉發通道,如圖5所示。為了對三種通道進行區分,需要給數據包添加標簽。多通道技術使用了QinQ(802.1ad中定義),也就是在VLAN Tag標簽上(802.1q標準)上添加了STag標簽,達到對通道進行區分的目的。如果相關的網絡設備不支持QinQ處理,也需要進行硬件升級。
圖5 多通道VEPA技術示意圖
通過VNTag和VEPA技術,外圍物理交換機的流量監管、訪問控制等安全功能可以應用到虛擬機上,還可以基于該交換機旁路部署其他的網絡安全設備作進一步的管控。
3.3 軟件定義網絡技術(基于OpenFlow)
基于OpenFlow的軟件定義網絡(SDN)技術是斯坦福大學的CLEAN Slate項目的研究成果之一,近年來獲得學術界與工業界的廣泛關注,成為一個數據中心網絡虛擬化發展方向。SDN技術打破了傳統數據中心的設備串聯、層次復雜、分散管理、協議專有、協議眾多的網絡部署模式,將網絡架構抽象為三個層次:應用層、控制層和基礎設施層,如圖6所示。SDN技術將數據中心網絡設備作為資源池,通過中央控制器統一協調,將應用層的網絡功能快速部署到網絡資源池中,并且相互隔離、按需分配。OpenFlow是SDN架構的控制層和基礎設施層間的第一個標準通信接口。OpenFlow控制器集中管理網絡,通過OpenFlow協議對OpenFlow交換機進行策略下發、狀態監控。OpenFlow協議支持根據數據包的源/目的以太網地址、VLAN標識、VLAN優先級、MPLS標簽、MPLS流量類型、源/目的IPv4地址等信息進行轉發策略制定,實現2-4層細粒度管控。
圖6 基于OpenFlow的SDN技術架構
目前OpenFlow交換機包括軟件形態的開源OpenvSwitch以及HP等各廠商的硬件產品,前者運行在服務器虛擬化平臺上,在服務器內部處理虛擬機的流量。
從安全角度來講,基于OpenFlow的SDN技術不僅能在虛擬交換機層面對虛擬機流量進行細粒度管控,而且能夠通過交換機策略配置隨時隨地部署網絡安全設備,并且通過全局管理能力把握網絡拓撲,是一種綜合的網絡虛擬化邊界感知安全技術。清華大學的LiveSec架構是OpenFlow技術在安全方面的一個應用,圖7給出了其交互式訪問控制功能的示意圖。
圖7 LiveSec架構交互式訪問控制功能示意圖
3.4 總結分析
以上介紹了三類網絡虛擬化邊界感知安全技術,表1給出了對這些技術的總結分析。從本質上講,這三類技術分署新形態安全設備、新形態網絡設備、新形態網絡架構三個不同的層面,因此不是互相替代的關系,而是一種互補的關系,隨著數據中心網絡虛擬化的不斷深入,必將進一步融合、成熟。
表1 數據中心網絡虛擬化邊界感知安全技術總結分析
4 數據中心網絡虛擬化技術及邊界感知安全技術發展趨勢
作為數據中心虛擬化的一個方面,網絡虛擬化技術起步較晚,還處于快速發展階段。由于網絡安全技術建立在網絡技術之上,網絡虛擬化技術的不成熟,造成了網絡安全部署方案的模糊。在今后的發展中,數據中心網絡虛擬化及安全會呈現如下發展趨勢:
(1)協議進一步簡化 目前的數據中心虛擬化技術更多的是在傳統網絡的基礎上進行擴展,因此需要提出很多保證兼容性的協議。隨著網絡架構的簡化、網絡設備的更新,對這類協議的需求會逐步減少。
(2)協議標準化 目前,各大廠商為了搶占話語權,紛紛提出各種技術和解決方案,往往采用專有協議,互不兼容,造成用戶難于選擇,網絡難于擴展。數據中心的網絡規模是不斷擴大的,在數據中心網絡的擴建中,各廠商產品互通的需求增強,促進協議標準化、開放化。
(3)網絡安全獨立化 隨著數據中心網絡虛擬化協議的不斷成熟、開放,網絡安全(包括物理網絡安全和虛擬網絡安全)部署也就有了立足之本。數據中心網絡安全業務與網絡虛擬化、服務器虛擬化等業務不再是緊耦合關系,可以獨立開展。
(4)邊界感知安全技術融合、發展 隨著數據中心網絡虛擬化的廣泛應用,邊界感知安全技術將成為數據中心網絡安全的關鍵。不同層面的邊界感知安全技術將通過標準化協議接口融合為一個整體,成為一種全方位的數據中心網絡虛擬化邊界感知機制。
5 應用簡介
上海市政務網的公共服務虛擬共享平臺采用了思科統一計算的解決方案,服務器部分由思科UCS系列的刀片服務器組成,并由UCSManager對刀片服務器硬件進行統一管理;虛擬化軟件使用vmwarevSphere,由vCenter對所有系統和虛擬機進行集中管理;網絡部分配置思科Nexus5000系列交換機和Nexus1000V分布式虛擬交換機。系統結構圖如圖8、圖9所示。
圖8
圖9
上海市政務網的上述平臺上,同時使用了物理設備處理虛機流量技術和軟件定義網絡技術。即通過使用VNTAG技術,為虛機分配獨立的網卡,將流量引入到外部物理交換設備進行統一交換;利用Nexus1000V分布式交換機技術,實現網絡虛擬化邊界感知,保證所有虛擬機在進行動態遷移時,虛機端口的策略可以一起進行遷移,管理員還可以制定自動化策略,使虛擬機在流量高時自動遷徙到網絡資源更豐富的服務器上。
6 結語
近年來,數據中心網絡虛擬化技術快速發展,該技術使得網絡邊界向宿主服務器內部延伸,為了實現全面的網絡監管,網絡虛擬化邊界感知安全技術應運而生。本文將現有的邊界感知安全技術分為虛機態網絡安全設備技術、物理設備處理虛機流量技術(VN Tag和VEPA)和軟件定義網絡技術(基于OpenFlow)三類,分別探討了它們原理、所屬的層面、優勢、不足和應用。在未來的數據中心網絡虛擬化發展中,不同層面的邊界感知安全技術必將優勢互補,相互融合。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文轉自:e-works制造業信息化門戶網
本文來源于互聯網,拓步ERP資訊網本著傳播知識、有益學習和研究的目的進行的轉載,為網友免費提供,并盡力標明作者與出處,如有著作權人或出版方提出異議,本站將立即刪除。如果您對文章轉載有任何疑問請告之我們,以便我們及時糾正。聯系方式:QQ:10877846 Tel:0755-26405298。
相關文章
