云數據中心網絡架構安全設計建議

信文｜翁葉峰

從云數據中心的云網絡架構設計、南北向流量控制、東西向流量控制等三個維度出發進行云架構安全的總體規劃，保證數據中心在網絡架構上彈性可擴展、業務流量上按需可隔離

網絡架構安全是云數據中心的基石，只有云網絡架構設計合理，南北向、東西向流量控制得當，才能按照《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019），繼續深化上層的安全防護設計，保證數據中心在網絡架構上具備彈性可擴展、業務流量上具備按需可隔離的能力。

云網絡架構設計

傳統數據中心建設中，云主機基于虛擬化運行于實體服務器，基礎網絡為適配云主機產生的業務通訊流量，需要一線運維人員手工介入調整云主機所在VLAN、VPN實例和相應的通信控制策略，存在配置流程繁瑣、業務切換時間長、響應延遲度高、擴容性差等問題。因此，建議基于Overlay技術對現有數據中心進行改造升級。所謂Overlay網絡是指基于現有物理網絡虛擬化出來的一套專為業務服務的層疊網絡，該網絡具有獨立的控制和轉發平面，對于云主機來說其產生的業務流量僅承載在該虛擬網絡中，物理網絡是透明不可見的；可以說Overlay網絡是物理實體網絡向云和虛擬化的深度延伸，使云資源池不僅可以調度虛擬化的CPU、內存、存儲資源，也可以對虛擬化的網絡資源進行調度，是實現云網融合的關鍵。

目前實現Overlay網絡可基于三種方式：VXLAN、NVGRE和STT。這三種技術中又以VXLAN的使用效果最佳，其優勢有四：一是基于報文重封裝技術保證業務可部署于網絡任意位置；二是VXLAN采用組播技術進行泛洪流量的轉發，通過二層優化技術極大地增加了網絡規模的可擴展性；三是Overlay網絡流量轉發拓撲既可以基于路由控制協議如IS—IS或BGP自學習完成，也可以通過SDN控制器統一調度、下發完成，適用于集中部署；四是基于VXLAN技術有效解決傳統VLAN的4K數量限制，通過擴展的隔離標識位可支持高達16M的用戶，輕松實現千萬級別租戶隔離需求，為數據中心的大規模云業務部署奠定扎實基礎。

南北向流量控制設計

由于租戶的業務流量都承載在VXLAN虛擬承載網中，不具備直接對外通信能力，云數據中心南北向流量主要用于提供互聯網訪問。因此需要部署VXLAN三層網關設備以便將VXLAN報文轉換成常規的IP數據包傳送至互聯網；而來自互聯網的訪問報文經由VXLAN三層網關重新封裝后在VXLAN虛擬承載網中傳輸至目標服務器。

南北向通訊流量設計可采用以下思路：一是出口處部署集群式防火墻設備實現端口按需對外開放；二是針對來自已授權開放端口的業務通訊流量，可以通過策略路由技術將流量牽引至云數據中心的安全區域，利用各類安全設備如Web安全監測設備、入侵防御設備、惡意威脅偵測設備等進行安全檢測，在確定業務流量的安全性后轉發至負載均衡設備，最后將流量傳送至目標業務應用服務器，實現業務訪問。

在進行南北向流量規劃時一定要采用集群化部署方式實現高吞吐量、高可靠性和高冗余性，切忌采用單掛或串聯部署的方式。

東西向流量控制設計

云數據中心東西向流量控制主要包括三個方面：不同租戶間的通訊流量控制；同一租戶內部不同子網間的通訊流量控制；同一租戶同一子網內的通訊流量控制。針對第一種情況，租戶間隔離是云數據中心基本要求，建議采用各廠商的VPC方案實現租戶間的安全隔離；針對第二種情況，由于同一租戶的不同子網都在VXLAN虛擬承載網中，可以通過配置VXLAN三層網關的方式實現相互之間的業務按需訪問；針對第三種情況，同一子網內的通訊流量控制可基于各廠商的虛擬網絡設備技術實現。

該技術通過將交換機或防火墻虛擬化后內嵌于服務器虛擬化平臺如ESXI/XEN/KVM/H3C_CAS中，在流量尚未徹底進入VXLAN虛擬承載網前，從服務器虛擬化底層即可進行同一子網內主機間的通訊訪問控制。