我要想虛機(jī)動(dòng)態(tài)遷移，網(wǎng)絡(luò)架構(gòu)就要發(fā)生變化，網(wǎng)絡(luò)架構(gòu)是目前最流行的大二層架構(gòu)，所有的虛機(jī)遷移過去，地址不變，在同樣一個(gè)二層結(jié)構(gòu)里?；A(chǔ)設(shè)施及服務(wù)，基礎(chǔ)設(shè)施變成了服務(wù)，安全也需要把它變成服務(wù)。我們把安全再進(jìn)行一下歸類，這種情況下，遷移策略帶來了問題，虛擬化的情況下原來一臺物理機(jī)和另一臺物理機(jī)之間架一臺防火墻進(jìn)行隔離，現(xiàn)在虛機(jī)之間怎么進(jìn)行隔離，云計(jì)算的情況下所有的資源都在一個(gè)平臺里，如何來進(jìn)行隔離？我們認(rèn)為安全邊界已經(jīng)模糊了，傳統(tǒng)的安全設(shè)備沒地方部署了。

大量的租戶，云計(jì)算的特點(diǎn)，尤其是政務(wù)云原來各個(gè)省、各個(gè)地市、各個(gè)委辦局有自己的網(wǎng)絡(luò)、自己的數(shù)據(jù)中心，他的業(yè)務(wù)都可以單獨(dú)進(jìn)行防護(hù)，單獨(dú)地部署安全防火墻措施，現(xiàn)在政府要建一個(gè)大型的省級政務(wù)云，所有委辦局的業(yè)務(wù)都要遷過來，遷過來也可以，數(shù)據(jù)集中，集中完了以后。旅游局過來說這個(gè)業(yè)務(wù)是對外發(fā)布的，必須要允許公眾訪問，二級就可以了，每個(gè)不同的租戶的安全需求不一樣，我要防范的措施就不一樣，可是在同一個(gè)平臺里針對不同的租戶、不同的安全需求提供不同的安全服務(wù)，這給云安全帶來了很大的難點(diǎn)。你要提供服務(wù)，眾口難調(diào)，怎么做？

三個(gè)解決方案，從幾方面來做。第一，安全資源虛擬化，兩個(gè)不同的租戶，把它標(biāo)進(jìn)兩個(gè)區(qū)域，我們認(rèn)為針對不同的租戶要有不同的安全防范策略，如果用一臺設(shè)備來實(shí)現(xiàn)的話，我們要求基于不同的CPU、不同的內(nèi)存，安全的策略和部署不影響其他的租戶，策略可以隨時(shí)調(diào)整，每個(gè)租戶可以單獨(dú)部署。再看怎么來應(yīng)對。這是一臺設(shè)備，分布式的高性能的高可靠的安全網(wǎng)關(guān)，選這么一臺設(shè)備，部署在你的云資源池里，放在出口位置也好，放在計(jì)算資源池旁邊也好，我有多個(gè)接口，支持各種各樣的虛擬化接入的技術(shù)。我把它變成多個(gè)防火墻，變成多個(gè)負(fù)載均衡，變成多IPS，實(shí)現(xiàn)高性能。

硬件的安全設(shè)備變成多個(gè)邏輯的安全設(shè)備，就這一臺硬件設(shè)備變成多個(gè)不同品類的安全設(shè)備。一臺高性能的網(wǎng)關(guān)變成了多個(gè)邏輯的防火墻，每個(gè)防火墻可以分給每個(gè)租戶自己自行管理，也可以統(tǒng)一下發(fā)策略。我們實(shí)現(xiàn)了真正的虛擬化，有的企業(yè)做這塊的時(shí)候做了半調(diào)子。我們有實(shí)力實(shí)現(xiàn)不同租戶不同安全需求的基礎(chǔ)。這個(gè)也不夠，在云的情況下我們要求安全資源動(dòng)態(tài)隨需調(diào)度，總感覺影響不是那么自主、自由，一個(gè)網(wǎng)絡(luò)里最不缺的就是X86的服務(wù)器，一次采購采購500臺服務(wù)器，但上業(yè)務(wù)只上了20臺，剩下的80臺怎么辦，這些都是資源。我們安全的操作系統(tǒng)把它做成軟件化，基于X86平臺，這叫NMV網(wǎng)絡(luò)功能虛擬化。

華三是做網(wǎng)絡(luò)的公司，做無線設(shè)備，WiFi接入，我們可以做安全、做路由器。這些都是基于同樣的操作系統(tǒng)，Comware。這個(gè)操作系統(tǒng)集成了各種各樣的功能，有安全防火墻功能、AC控制器功能，把這個(gè)操作系統(tǒng)做成軟件形式的產(chǎn)品，就像我們在虛擬化平臺里的虛機(jī)一樣，利用X86的平臺實(shí)現(xiàn)安全功能。這樣部署起來就很方便了。紫色的框代表物理服務(wù)器，物理服務(wù)器兩臺虛機(jī)，這兩臺虛機(jī)需要安全隔離，把放火墻作為軟件的形式直接部署在里面，從邏輯來看跟原來兩臺服務(wù)器的隔離是一樣的，這種方式非常靈活，利用現(xiàn)有的計(jì)算資源就可以實(shí)現(xiàn)安全的部署，而且軟件的形式大家通常理解是調(diào)度管理起來很方便。

我把資源流量調(diào)度到安全資源池里進(jìn)行清洗，如何調(diào)度？要利用網(wǎng)絡(luò)架構(gòu)的改變。在云里一般是大二層的技術(shù)，大二層的技術(shù)里存在問題，多個(gè)數(shù)據(jù)中心要想實(shí)現(xiàn)資源的統(tǒng)一管理，虛機(jī)的動(dòng)態(tài)遷移，必然要用大二層技術(shù)，大二層技術(shù)使整個(gè)網(wǎng)絡(luò)互聯(lián)互通了，我們的業(yè)務(wù)非常多了，有了VLAN。overlay，中文叫疊加網(wǎng)絡(luò)，傳統(tǒng)物理網(wǎng)絡(luò)上疊加出一個(gè)邏輯的網(wǎng)絡(luò)，這個(gè)邏輯的網(wǎng)絡(luò)能夠保證從一個(gè)客戶端到服務(wù)器的訪問更簡便，能夠做到直通。第二，云網(wǎng)絡(luò)的改變，數(shù)據(jù)中心網(wǎng)絡(luò)的改變非常簡單，overlay和underlay。我們用幾種技術(shù)方式可以實(shí)現(xiàn)，IP地址靈活分配、虛機(jī)任意遷移、多租戶，消除大二層網(wǎng)絡(luò)各種各樣的問題。大層網(wǎng)絡(luò)里有各種各樣的問題，網(wǎng)絡(luò)風(fēng)暴，在overlay的網(wǎng)絡(luò)里天然地就解決了。

有了網(wǎng)絡(luò)的改造，我們重點(diǎn)改造幾個(gè)點(diǎn)。一是核心設(shè)備，核心設(shè)備用于網(wǎng)絡(luò)的overlay和underlay轉(zhuǎn)換的核心節(jié)點(diǎn)，核心設(shè)備要改，但是也不一定非得改，可以加一些旁掛設(shè)備來實(shí)現(xiàn)它的簡單改造。二是接入設(shè)備得改，我們可以直接把接入交換機(jī)改了，改成支持overlay的設(shè)備。整個(gè)改動(dòng)有幾個(gè)點(diǎn)，技術(shù)有點(diǎn)復(fù)雜，我們只需要記住安全流量的調(diào)度，而且非常簡便。

 2/3   首頁 上一頁 1 2 3 下一頁 尾頁