云時代數(shù)據(jù)網(wǎng)絡系統(tǒng)設計

張強

摘要：隨著計算機水平的發(fā)展，互聯(lián)網(wǎng)時代給社會經(jīng)濟文化等產(chǎn)生巨大的沖擊，云時代已經(jīng)進入我們的生活，隨著業(yè)務應用對于轉發(fā)速度、端口密度、擴展性、安全性、穩(wěn)定性的要求越來越高，陳舊的三層架構設計已經(jīng)無法滿足當今云時代。該文從提升運維的靈活度、提升數(shù)據(jù)中心的擴展性、應用流量模式出發(fā)提出一種云時代新的網(wǎng)絡系統(tǒng)結構。

關鍵詞：云平臺;架構設計

中圖分類號：TP393.02 文獻標識碼：A

文章編號：1009-3044（2019）34-0214-02

1 概述

隨著業(yè)務應用對于轉發(fā)速度、端口密度、擴展性、安全性、穩(wěn)定性的要求越來越高，傳統(tǒng)的基于過載比的層次化標準的三層（服務器接入層、匯聚層、核心層）架構設計已經(jīng)無法滿足當前云數(shù)據(jù)中心的需求。如今，云計算采用虛擬化技術，實現(xiàn)計算機操作，有效減少成本投放，滿足人們?nèi)粘眯枨骩1]，云數(shù)據(jù)中心網(wǎng)絡正在不斷發(fā)展，隨著新技術的出現(xiàn)，新產(chǎn)品的使用，新的公司的參與，正在轉化為了一種新的架構。

2 云平臺架構設計

架構的新特點應該簡化網(wǎng)絡運維的復雜度，提升運維的靈活度，網(wǎng)絡要與業(yè)務流程和數(shù)據(jù)中心統(tǒng)一管理更加緊密的結合;提升數(shù)據(jù)中心的擴展性，基礎架構可以隨著業(yè)務的變化而變化規(guī)模大小;應用流量模式轉換。

2.1 新架構達到的目標

2.1.1 提高云數(shù)據(jù)中心安全防護能力

利用云數(shù)據(jù)中心安全防護技術構建具備高安全特性的網(wǎng)絡平臺，針對租戶業(yè)務系統(tǒng)實現(xiàn)細粒度網(wǎng)絡訪問控制，包括任意虛擬機之間、任意隔離網(wǎng)絡之間、任意租戶之間、任意集群之間和任意資源池之間的安全防護，避免關鍵業(yè)務系統(tǒng)受攻擊和數(shù)據(jù)泄漏[2]。

2.1.2 實現(xiàn)安全隔離網(wǎng)絡

具備多個網(wǎng)絡交叉點，在應用中不能保證公有云的隱蔽性和安全性利用[3]，虛擬化網(wǎng)絡技術實現(xiàn)租戶重點業(yè)務系統(tǒng)和普通業(yè)務系統(tǒng)的安全隔離，在不調(diào)整物理架構的情況下，保證每個租戶業(yè)務系統(tǒng)使用獨立隔離網(wǎng)絡，互補干擾。

2.1.3 實現(xiàn)網(wǎng)絡安全監(jiān)控

利用網(wǎng)絡虛擬化和服務器虛擬化集成特性，實現(xiàn)深度網(wǎng)絡數(shù)據(jù)包監(jiān)控，包括網(wǎng)絡訪問日志記錄，實時流量監(jiān)控，歷史流量分析等。

2.1.4 解決網(wǎng)絡結構復雜的問題

建立信息系統(tǒng)安全標準化體系，統(tǒng)一規(guī)劃和部署防病毒、防火墻等安全組件，實現(xiàn)細粒度訪問控制策略，提高信息系統(tǒng)安全防護能力。利用網(wǎng)絡虛擬化技術構建具備靈活性、安全性和易管理性的云數(shù)據(jù)中心網(wǎng)絡平臺，通過該平臺可輕松實現(xiàn)云數(shù)據(jù)中心的網(wǎng)絡服務提供。

2.1.5 提高業(yè)務系統(tǒng)冗余負載能力

利用網(wǎng)絡虛擬化提供的負載均衡組件，加上應用多實例部署架構，實現(xiàn)租戶業(yè)務系統(tǒng)高并發(fā)訪問和高可靠性。

2.1.6 實現(xiàn)統(tǒng)一數(shù)據(jù)中心安全管理

利用統(tǒng)一的網(wǎng)絡虛擬化平臺，實現(xiàn)數(shù)據(jù)中心網(wǎng)絡集中、統(tǒng)一管理。

綜上所述，本文在云平臺網(wǎng)絡設計中主要包含以下7方面內(nèi)容見圖1所示。

3 云平臺網(wǎng)絡設計

3.1 云平臺網(wǎng)絡拓撲

圖2為云平臺網(wǎng)絡拓撲。

多元業(yè)務區(qū)網(wǎng)絡分為互聯(lián)網(wǎng)出口區(qū)、多元業(yè)務區(qū)兩大區(qū)域，互聯(lián)網(wǎng)出口區(qū)為整個云數(shù)據(jù)中心提供互聯(lián)網(wǎng)接人服務，作為多元業(yè)務區(qū)的互聯(lián)網(wǎng)出入口，為多元業(yè)務區(qū)提供南北向網(wǎng)絡上的安全防護，初期復用云數(shù)據(jù)中心互聯(lián)網(wǎng)出口區(qū)，遠期獨立建設;互聯(lián)網(wǎng)出口區(qū)由承載網(wǎng)負責建設;多元業(yè)務區(qū)環(huán)境整體采用Spine-Leaf網(wǎng)絡架構，解決云數(shù)據(jù)中心內(nèi)部橫向網(wǎng)絡連接的傳輸瓶頸，提供高度的擴展性，Leaf網(wǎng)絡下行作為服務器接入，上行連接Spine網(wǎng)絡，Spine交換機與互聯(lián)網(wǎng)出口區(qū)相連，承載南北向流量。

云數(shù)據(jù)中心內(nèi)部網(wǎng)絡拓撲按照網(wǎng)絡功能具備分為三大類：云管理網(wǎng)絡，帶外管理網(wǎng)絡，生產(chǎn)業(yè)務、存儲和集群網(wǎng)絡，三種網(wǎng)絡分別承載云數(shù)據(jù)中心不同類型的業(yè)務流量。

在多元業(yè)務區(qū)內(nèi)部又分為多元業(yè)務區(qū)管理區(qū)、網(wǎng)絡和安全資源區(qū)、多元業(yè)務區(qū)計算區(qū)和存儲區(qū)、多元業(yè)務區(qū)運維管理區(qū)等幾部分。

針對資源需求量大的客戶提供專用的裸金屬機架和專線網(wǎng)絡接入，該部分為客戶定制化需求，需針對具體客戶需求提供裸金屬機架和專線網(wǎng)絡資源。

針對資源需求量小的客戶提供基于共享云資源池的服務。

3.2 物理網(wǎng)絡架構設計

物理網(wǎng)絡架構設計包含云數(shù)據(jù)中心內(nèi)部網(wǎng)絡和云數(shù)據(jù)中心邊緣網(wǎng)絡兩個部分，為整體云數(shù)據(jù)中心提供基礎物理網(wǎng)絡支撐，云數(shù)據(jù)中心對于網(wǎng)絡架構的要求不斷提升，東西向流量成為云數(shù)據(jù)中心內(nèi)部的主流方式。

3.3 邏輯交換設計

在云數(shù)據(jù)中心環(huán)境中，網(wǎng)絡虛擬化的邏輯交換功能可以為用戶啟用獨立的邏輯二層網(wǎng)絡，提供網(wǎng)絡的靈活性和敏捷性。無論是虛擬端點還是物理端點.都可以連接到這些邏輯分段，并從其在云數(shù)據(jù)中心網(wǎng)絡中的特定部署位置單獨建立連接。因為網(wǎng)絡虛擬化實現(xiàn)了網(wǎng)絡基礎架構和邏輯網(wǎng)絡之間的解耦。

在傳統(tǒng)網(wǎng)絡模式下，所有同一個網(wǎng)段的虛機，其主機所處的物理網(wǎng)絡必須為同一個二層廣播域，但在網(wǎng)絡虛擬化的邏輯交換機里，業(yè)務虛擬機的主機可以處于不同的二層廣播域。這樣，當設置一個邏輯交換網(wǎng)絡時，該網(wǎng)絡可以橫跨整個云數(shù)據(jù)中心。圖3為網(wǎng)絡虛擬化部署邏輯交換示意圖。

3.4 邏輯路由設計

在云數(shù)據(jù)中心內(nèi)通過虛擬網(wǎng)絡管理器部署邏輯路由控制器，進行路由和轉發(fā)的控制。在數(shù)據(jù)層面，分布式路由功能被集成到每臺服務器的虛擬化層，因此每臺服務器均具有分布式邏輯路由功能，對不同邏輯交換機上部署的節(jié)點通訊進行分布式路由轉發(fā)。

3.5 邊界網(wǎng)關設計

當云數(shù)據(jù)中心虛擬網(wǎng)絡中的虛機與物理網(wǎng)絡進行通訊時，稱之為南北向流量，對于這種類型的流量，需經(jīng)過邊界網(wǎng)關服務器。源和目標分別位于計算集群和邊界集群服務器，在經(jīng)過邊界集群中的邊界網(wǎng)關轉化成物理網(wǎng)絡IP數(shù)據(jù)包傳送。

當云數(shù)據(jù)中心環(huán)境中的虛擬機需要和物理網(wǎng)絡通訊時，虛擬機的流量經(jīng)過分布式路由，將下一跳傳送給邊界網(wǎng)關，邊界網(wǎng)關可采用路由或地址翻譯模式，將虛擬網(wǎng)絡數(shù)據(jù)包轉為物理網(wǎng)絡的IP數(shù)據(jù)包，傳送至物理網(wǎng)絡中。

3.6 網(wǎng)絡防火墻設計

利用網(wǎng)絡虛擬化軟件的分布式防火墻功能為云數(shù)據(jù)中心提供最高級別的安全防護，分布式防火墻組件嵌入到服務器虛擬化軟件內(nèi)核，所以只要運行在虛擬化平臺上的虛擬機，就可以獲得安全防護。

分布式防火墻所提供的防火墻除了具有源自網(wǎng)絡虛擬化的其他網(wǎng)絡安全功能之外，還具有接近線速的性能、虛擬化和身份感知以及活動監(jiān)控功能，并能夠對任意兩臺虛擬機之間的流量進行安全控制，提升了租戶安全域內(nèi)部的安全性。

3.7 租戶網(wǎng)絡隔離與分段

在云數(shù)據(jù)中心環(huán)境中，我們即希望能夠充分利用服務器資源，又要求滿足不同租戶安全隔離需求，同時為保證大量租戶的高并發(fā)需求，應避免租戶虛擬機之間產(chǎn)生發(fā)夾流量。

在本次云數(shù)據(jù)中心設計中，利用網(wǎng)絡虛擬化軟件重新設計虛擬機網(wǎng)絡，在原有的物理VLAN網(wǎng)絡之上構建全新的Overlay網(wǎng)絡，為每個租戶創(chuàng)建獨立隔離網(wǎng)絡，如租戶內(nèi)部有多個應用，每個應用也具備獨立網(wǎng)絡，同時利用網(wǎng)絡虛擬化平臺的分布式路由功能，實現(xiàn)流量的最短路徑，提高訪問效率;最后再結合邊界網(wǎng)關服務實現(xiàn)客戶端到服務器端的網(wǎng)絡訪問控制;再結合分布式防火墻實現(xiàn)單業(yè)務系統(tǒng)內(nèi)部之間的訪問控制。

4 結束語

在互聯(lián)網(wǎng)的沖擊下，云時代網(wǎng)絡設計也隨著發(fā)生變化，綜合考慮網(wǎng)絡運維的復雜度、提升數(shù)據(jù)中心的擴展性、應用流量模式轉換三方面，提出一種新的云網(wǎng)絡設計思路。

參考文獻：

[1]譚倩芳，張四平.云計算環(huán)境中計算機網(wǎng)絡安全技術分析[J].電腦知識與技術，2019，15（19）：48-49+58.

[2]劉運德.云計算網(wǎng)絡安全問題和對策的探討[J].電腦知識與技術，2019，15（09）：38-40.

[3]萬波，龍全圣.“云計算”環(huán)境中的計算機網(wǎng)絡安全及保障對策[J].無線互聯(lián)科技，2018，15（17）：24-25.

【通聯(lián)編輯：代影】