引言
数据中心是通过对大量计算机、存储设备、网络设备、系统应用等资源进行整合、监控、管理,从而为多用户提供集中的平台、计算、存储、网络、应用等服务的一整套设施,可以是企业专有,也可以是多租户共享。作为各种关键信息保存、处理的枢纽,数据中心的安全必须得到确保,其中网络安全是一个重要的方面。
近年来,随着数据中心规模的不断扩大,为了提高资源利用率、降低成本、便于管理和增强安全可用性,越来越多的企业在数据中心构建中采用虚拟化技术,包括服务器虚拟化、存储虚拟化和网络虚拟化等。数据中心虚拟化给网络架构带来的改变包括网络规模扩大、更高的网络带宽需求、网络设备利用率提高、传统网络边界的消失、系统管理员与网络管理员职责模糊等等。上述变化对于传统的边界网络安全设备而言,意味着成本的提高和监管力度的降低。为了更清楚地感知虚拟机网络流量、把握虚拟化后的网络边界、进行安全管控,业界和学术界均有技术和解决方案提出。本文将上述技术分为虚机态网络安全设备技术、物理设备处理虚机流量技术(VN Tag和VEPA)和软件定义网络技术(基于OpenFlow)三个方面,并对这些技术进行了深入的研究和探讨。
1 数据中心网络虚拟化技术现状
传统的数据中心网络以单台主机设备为最小单位进行构建,架构可以抽象为接入层、汇聚层和核心层三个层次。网络安全的确保主要采取安全域划分、边界防护的方式,网络安全设备主要部署在汇聚层,如图1所示。服务器虚拟化技术使得单台宿主服务器上能够运行多台虚拟机。近年来,基于x86架构的服务器虚拟化技术不断发展,应用不断深入。市场研究公司Gartner的报告表明2008年,18%的服务器工作负载已经虚拟化,到2012年,这个数字将达到50%,到2016年,80%的x86架构服务器工作负载会运行在虚拟机上。
数据中心网络虚拟化需求是伴随着服务器虚拟化的发展、应用而产生的,主要原因有:
(1)单台宿主服务器上部署几十台虚拟机,这些虚拟机间有一定的网络拓扑,并且通常都需要对外部网络进行访问。
(2)数据中心服务器规模多以千、万台计算,并且多数流量发生在数据中心内部(据Gartner预测,到2014年,数据中心网络流量的80%是东西向的),因此需要更高的网络带宽和更多的网络接口。
(3)将虚拟机从一台宿主服务器向另一台宿主服务器进行动态迁移时,需要保持IP地址、会话状态以保证业务不中断,因此虚拟机迁移要在二层网络中进行。
图1 传统数据中心网络及安全
上述原因推动着数据中心网络虚拟化技术的发展:(1)为了满足虚拟机连网的需求,网络功能已经由服务器外围渗透到宿主服务器内部,可以在宿主服务器上运行软件形态的虚拟交换机,相关技术有VMware的vSwitch、分布式vSwitch和Cisco的Nexus1000v等;也可以将所有的虚拟机的网络流量送至宿主服务器之外,由外部的物理交换机进行处理,相关技术包括Cisco的VNTag和HP的VEPA。这些技术部署在虚拟平台层或接入层。(2)传统的三层网络架构配置复杂、转发延迟较高、百兆接入层带宽已经不能满足多台虚拟机同时联网的需求,因而数据中心网络架构开始向由千兆/万兆接入层和万兆/十万兆核心层组成的二层网络架构发展,如图2所示。(3)虚拟机的动态迁移可能是跨数据中心的不同宿主服务器,也可能是跨不同的数据中心,因此为了正确、灵活地实现虚拟机动态迁移,需要在数据中心以及跨数据中心实现二层网络的部署。单一数据中心内的二层网络实现技术主要包括上述的分布式vSwitch,将多台交换机集成为一台交换机的VSS(虚拟交换系统,Cisco的专有技术)和IRF(智能弹性架构,H3C的专有技术),以及实现二层多路径转发的TRILL(多链路透明互联,IETF提出)和SPB(最短路径桥接,IEEE提出,802.1aq标准),这些技术部署在接入层或核心层;跨数据中心的二层网络实现技术主要包括在IP网络上建立隧道的OTV(覆盖传输虚拟化,Cisco的专有技术)和VLLoGRE/VPLSoGRE(H3C的开放标准),以及MPLS网络上的VLL/VPLS技术,这些技术部署在核心层。
图2 数据中心网络虚拟化及实现技术架构
2 数据中心网络虚拟化影响分析
数据中心网络虚拟化技术一方面满足了数据中心虚拟化大趋势下各种资源互联、虚拟机动态迁移、服务器集群构建等的需求,另一方面也给一些传统的数据中心业务(特别是安全)带来了一定的影响,这些影响进一步推动着网络虚拟化技术和其他相关技术的发展,简要分析如下:
(1)为了实现虚拟机联网,通常在服务器虚拟化平台的VMM(虚拟机监控器)上运行软件形态的网桥或交换机,例如VMware的vSwitch、分布式vSwitch、Xen的网桥等,这种方法被称为VEB(虚拟以太网桥)。软件形态的虚拟交换机的下行端口与虚拟机的虚拟网卡相连,上行端口与宿主服务器的物理网卡相连,转发功能与物理的二层交换机基本相同,即同一虚拟交换机端口组的虚拟机间的网络流量由虚拟交换机转发,不流出宿主服务器,而其他网络流量发往宿主服务器外部的物理交换机转发。软件交换机的优点是实现简单、使用灵活、节约物理设备成本、宿主机内转发速度快,但同时也存在不足,包括消耗宿主服务器资源,缺少对流量统计、端口安全、ACL、QoS支持,因此不能很好地实现网络监管。
(2)网络虚拟化技术使得网络边缘向宿主服务器内部延伸,部分虚拟机间的流量可以由虚拟交换机转发而不流经外部的网络设备,传统的边界网络安全设备,例如防火墙、IPS、UTM等不能全面了解宿主服务器内部的网络拓扑,无法对宿主服务器内部转发的网络流量进行有效地监管。
(3)虚拟交换机属于网络的范畴,然而由于其管理工具与服务器虚拟化工具集成,多由系统管理员来设置,造成系统管理员与网络管理员职责模糊,容易出问题,并且出问题后难于追责。
总的来说,上述影响产生的原因在于传统的边界网络(安全)设备无法深入到宿主服务器内部对延伸的网络边界进行深度掌控,造成监管力度降低。为了解决这一问题,业界和学术界均提出了技术和解决方案,本文称之为边界感知安全技术,并分为三类进行深入探讨。
3 网络虚拟化边界感知安全技术
3.1 虚机态网络安全设备技术
虚机态网络安全设备是指传统的硬件网络安全设备(防火墙、IPS、UTM、防病毒网关等)由运行在服务器虚拟化平台上的虚拟机实现,用于监控其他虚拟机间的网络流量。虚机态安全设备的功能与硬件设备完全一致,部署方式采用透明模式、路由模式或混合模式。虚机态网络安全设备适用于公共数据中心多租户的情况,用户需要采用私有设备来保护自己的网络,可以随需获取、自主配置。基于软件实现的灵活性,虚机态网络安全设备可以支持任意的网络拓扑,对任意虚拟机间的网络流量进行深度监控。
现有的虚机态网络安全设备产品有美国Fortinet公司的虚拟系列(FortiGateVM、FortiManagerVM、FortiAnalyzerVM、FortiMailVM)和国内网御星云的虚拟安全网关系列(LeadsecvFW、LeadsecvUTM、LeadsecvIPS、LeadsecvAVG、LeadsecvVPN)。图3以网御星云的LeadsecvUTM产品为例,给出了一种在VMwareESXi平台上部署的示意图,图中的部署方式使得LeadsecvUTM能够对应用服务器1/2与应用服务器3/4间的网络流量进行深入监控,监控对象需要跨端口组。
图3 一种Leadsec vUTM在VMwareESXi上部署的示意图
3.2 物理设备处理虚机流量技术
与上述将网络安全向宿主服务器内渗透的思路不同,物理设备处理虚机流量技术则是要把所有的虚拟机网络流量都发送到宿主服务器相连的物理交换机上进行转发处理,使用外部交换机上的流量统计、端口安全、ACL、QoS等功能对虚拟机的网络流量进行有力的监控,代表技术包括Cisco的VNTag和HP的VEPA。
VN Tag是Cisco的专有技术,核心是通过在标准以太网帧上添加VNTag标签来标识虚拟机流量,作为外部物理交换机寻址转发的依据,如图4所示,其中DVIF_ID、SVIF_ID分别代表目的、源虚拟接口,虚拟接口通常与虚拟机的虚拟网卡相关联。
VN Tag对传统以太网帧的结构进行了扩展,不与现有网络协议冲突,但是也不被传统网络设备所支持。目前Cisco支持VNTag技术的网络设备有服务器物理网卡(Palo网卡,封装VNTag标签)、服务器外接入层交换机Nexus5000+Nexus2000。
图4 VN Tag标签示意图
VEPA(虚拟以太网端口汇聚器)是HP提出的技术,通过在服务器虚拟化平台的VMM上的VEPA模块将虚拟机产生的流量全部发送到相连的物理交换机上进行处理,用MAC地址关联虚拟机的流量。基于上述模式,VEPA需要解决的一个问题是当相互通信的虚拟机属于同一台宿主服务器时,物理交换机必须支持数据包从入口返回的功能,由于会影响生成树协议的运行,在传统交换机中该功能通常是被禁止的,因此需要对传统交换机进行软件升级。
作为对VEPA技术的加强,HP又提出了多通道技术。多通道技术支持VEB、VEPA和虚拟机直接输入输出三种流量转发通道,如图5所示。为了对三种通道进行区分,需要给数据包添加标签。多通道技术使用了QinQ(802.1ad中定义),也就是在VLAN Tag标签上(802.1q标准)上添加了STag标签,达到对通道进行区分的目的。如果相关的网络设备不支持QinQ处理,也需要进行硬件升级。
图5 多通道VEPA技术示意图
通过VNTag和VEPA技术,外围物理交换机的流量监管、访问控制等安全功能可以应用到虚拟机上,还可以基于该交换机旁路部署其他的网络安全设备作进一步的管控。
3.3 软件定义网络技术(基于OpenFlow)
基于OpenFlow的软件定义网络(SDN)技术是斯坦福大学的CLEAN Slate项目的研究成果之一,近年来获得学术界与工业界的广泛关注,成为一个数据中心网络虚拟化发展方向。SDN技术打破了传统数据中心的设备串联、层次复杂、分散管理、协议专有、协议众多的网络部署模式,将网络架构抽象为三个层次:应用层、控制层和基础设施层,如图6所示。SDN技术将数据中心网络设备作为资源池,通过中央控制器统一协调,将应用层的网络功能快速部署到网络资源池中,并且相互隔离、按需分配。OpenFlow是SDN架构的控制层和基础设施层间的第一个标准通信接口。OpenFlow控制器集中管理网络,通过OpenFlow协议对OpenFlow交换机进行策略下发、状态监控。OpenFlow协议支持根据数据包的源/目的以太网地址、VLAN标识、VLAN优先级、MPLS标签、MPLS流量类型、源/目的IPv4地址等信息进行转发策略制定,实现2-4层细粒度管控。
图6 基于OpenFlow的SDN技术架构
目前OpenFlow交换机包括软件形态的开源OpenvSwitch以及HP等各厂商的硬件产品,前者运行在服务器虚拟化平台上,在服务器内部处理虚拟机的流量。
从安全角度来讲,基于OpenFlow的SDN技术不仅能在虚拟交换机层面对虚拟机流量进行细粒度管控,而且能够通过交换机策略配置随时随地部署网络安全设备,并且通过全局管理能力把握网络拓扑,是一种综合的网络虚拟化边界感知安全技术。清华大学的LiveSec架构是OpenFlow技术在安全方面的一个应用,图7给出了其交互式访问控制功能的示意图。
图7 LiveSec架构交互式访问控制功能示意图
3.4 总结分析
以上介绍了三类网络虚拟化边界感知安全技术,表1给出了对这些技术的总结分析。从本质上讲,这三类技术分署新形态安全设备、新形态网络设备、新形态网络架构三个不同的层面,因此不是互相替代的关系,而是一种互补的关系,随着数据中心网络虚拟化的不断深入,必将进一步融合、成熟。
表1 数据中心网络虚拟化边界感知安全技术总结分析
4 数据中心网络虚拟化技术及边界感知安全技术发展趋势
作为数据中心虚拟化的一个方面,网络虚拟化技术起步较晚,还处于快速发展阶段。由于网络安全技术建立在网络技术之上,网络虚拟化技术的不成熟,造成了网络安全部署方案的模糊。在今后的发展中,数据中心网络虚拟化及安全会呈现如下发展趋势:
(1)协议进一步简化 目前的数据中心虚拟化技术更多的是在传统网络的基础上进行扩展,因此需要提出很多保证兼容性的协议。随着网络架构的简化、网络设备的更新,对这类协议的需求会逐步减少。
(2)协议标准化 目前,各大厂商为了抢占话语权,纷纷提出各种技术和解决方案,往往采用专有协议,互不兼容,造成用户难于选择,网络难于扩展。数据中心的网络规模是不断扩大的,在数据中心网络的扩建中,各厂商产品互通的需求增强,促进协议标准化、开放化。
(3)网络安全独立化 随着数据中心网络虚拟化协议的不断成熟、开放,网络安全(包括物理网络安全和虚拟网络安全)部署也就有了立足之本。数据中心网络安全业务与网络虚拟化、服务器虚拟化等业务不再是紧耦合关系,可以独立开展。
(4)边界感知安全技术融合、发展 随着数据中心网络虚拟化的广泛应用,边界感知安全技术将成为数据中心网络安全的关键。不同层面的边界感知安全技术将通过标准化协议接口融合为一个整体,成为一种全方位的数据中心网络虚拟化边界感知机制。
5 应用简介
上海市政务网的公共服务虚拟共享平台采用了思科统一计算的解决方案,服务器部分由思科UCS系列的刀片服务器组成,并由UCSManager对刀片服务器硬件进行统一管理;虚拟化软件使用vmwarevSphere,由vCenter对所有系统和虚拟机进行集中管理;网络部分配置思科Nexus5000系列交换机和Nexus1000V分布式虚拟交换机。系统结构图如图8、图9所示。
图8
图9
上海市政务网的上述平台上,同时使用了物理设备处理虚机流量技术和软件定义网络技术。即通过使用VNTAG技术,为虚机分配独立的网卡,将流量引入到外部物理交换设备进行统一交换;利用Nexus1000V分布式交换机技术,实现网络虚拟化边界感知,保证所有虚拟机在进行动态迁移时,虚机端口的策略可以一起进行迁移,管理员还可以制定自动化策略,使虚拟机在流量高时自动迁徙到网络资源更丰富的服务器上。
6 结语
近年来,数据中心网络虚拟化技术快速发展,该技术使得网络边界向宿主服务器内部延伸,为了实现全面的网络监管,网络虚拟化边界感知安全技术应运而生。本文将现有的边界感知安全技术分为虚机态网络安全设备技术、物理设备处理虚机流量技术(VN Tag和VEPA)和软件定义网络技术(基于OpenFlow)三类,分别探讨了它们原理、所属的层面、优势、不足和应用。在未来的数据中心网络虚拟化发展中,不同层面的边界感知安全技术必将优势互补,相互融合。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文转自:e-works制造业信息化门户网
本文来源于互联网,拓步ERP资讯网本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供,并尽力标明作者与出处,如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。联系方式:QQ:10877846 Tel:0755-26405298。
相关文章
