你知道吗?传统云网络存在了这么久,但是你了解它的基本架构吗?你知道吗?传统云网络下两种隔离方式Vlan和Vxlan,却各有利弊;你知道吗?云网络把网络的边界变模糊了,那么网络安全是否有保障呢?本文就带你了解这一切。
1传统云网络的架构分析
传统云网络结构
上图中这些蓝色大框是服务器,其中上面两个服务器:NC(计算节点)和CC(网络节点),它类似于整个云网络的一个核心路由器。实例一出来会经过一个网桥,网桥上有防火墙功能。当数据出了计算节点以后会引流到网络节点进行下一步的处理。网络节点负责数据的路由、NAT地址转换、流量控制器还包括一些DHCP Server、网关等功能。传统云网络大量引用了Linux网络协议栈中提供的网络组件。这么做有什么好处呢?好处是减少开发周期,单独功能稳定。但是Linux的网络组件存在大量的捆绑,当用一个功能时就必须强迫使用其他捆绑捆绑功能。然而这些捆绑功能是不需要的。这样云网络的复杂度会越来越高,并且性能优化难度很大。
在这个网络里面,网络节点它的压力是非常巨大的,两个不同子网的虚拟机之间的访问需要经过网络节点,外部网络访问虚拟机需要经过网络节点,虚拟机访问外部网络需要经过网络节点,这样东西南北各方向的流量都要经过这个网络节点。整个云网络性能瓶颈就是网络节点的处理性能。万一它出现单点故障的话,后果会很严重。
2租户隔离
传统的云网络隔离有两种方法,一种是vlan,另一种叫做Vxlan。vlan隔离简单快速,但是它数量只有4000多个,网络规模难以扩展。Vxlan可以解决vlan数量不足的问题,Vxlan的数目能达到16M。16M绝对可以满足大规模云网络组网需求。但是Vxlan有几个问题,第一个,它需要在这个数据包的前面叠加一个三层的包头,这样带宽质量会受影响。另外vxlan的部署比较困难,因为vxlan的设计初衷处理解决vlan不足的问题之外,它还需要解决大二层网络跨机房的问题。另一个比较严重的问题就是,大部分的数据中心都是使用vlan做网络隔离的。如果云内部使用vxlan,我们就需要额外造一个vxlan网关专门负责与数据中心的互联互通。如果云内部有的用户使用vlan,有的用户使用vxlan,那就更复杂了。传统网络的发展往往都是解决一个问题又会引入其他新的问题。
3云网络的功能实现
一个云它的网络不是简简单单说做了100台虚拟机,100台虚拟机都能上网,这就是云,这绝对不是云。云是一个让所有人都能够在里面独立生存的一个生态空间,也就是说每一个云内的租户都需要独立自定义的网络空间。另外在同一个云实例的私有地址是可以重复的。网关不能像刚才我们讲的用一个物理服务器堆在中间来代替,这个不可靠,网关是需要独立的,需要每个子网都需要一个独立的网关。网关应该分布式虚拟化。
4网络安全
如果黑客入侵了虚拟机。从虚拟机这一端开始发起攻击,这个东西到底有多危险呢,可以来想象一下,第一个它可以攻击其他的虚拟机、攻击网关、攻击数据中心。云网络把网络的边界变模糊了,从而很容易造成网络安全能力的下降。如果让做云的厂家,负责网络安全,很显然这不是他们的强项。所以云网络安全需要借助第三方的专业安全厂家,让他们把自身优秀的网络安全产品虚拟化并且集成到云中。这也符合云是一个生态空间的概念。而传统云网络的在架构本身,就很难实现这样深入的整合。原因很简单,传统云网络本身的IO路径非常复杂,如果要把流量引入第三方的虚拟化安全产品洗清,并且回到正常的网络逻辑,对于传统云网络来说,实在很难实现。
本文转自d1net(转载)
