傳統(tǒng)云網(wǎng)絡(luò)面臨的這些問(wèn)題

責(zé)任編輯:jackye

2016-06-20 18:00:04

摘自:品高云計(jì)算

在這個(gè)網(wǎng)絡(luò)里面,網(wǎng)絡(luò)節(jié)點(diǎn)它的壓力是非常巨大的,兩個(gè)不同子網(wǎng)的虛擬機(jī)之間的訪(fǎng)問(wèn)需要經(jīng)過(guò)網(wǎng)絡(luò)節(jié)點(diǎn),外部網(wǎng)絡(luò)訪(fǎng)問(wèn)虛擬機(jī)需要經(jīng)過(guò)網(wǎng)絡(luò)節(jié)點(diǎn),虛擬機(jī)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)需要經(jīng)過(guò)網(wǎng)絡(luò)節(jié)點(diǎn),這樣?xùn)|西南北各方向的流量都要經(jīng)過(guò)這個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)。

摘要:你知道嗎?傳統(tǒng)云網(wǎng)絡(luò)存在了這么久,但是你了解它的基本架構(gòu)嗎?你知道嗎?傳統(tǒng)云網(wǎng)絡(luò)下兩種隔離方式Vlan和Vxlan,卻各有利弊;你知道嗎?云網(wǎng)絡(luò)把網(wǎng)絡(luò)的邊界變模糊了,那么網(wǎng)絡(luò)安全是否有保障呢?本文就帶你了解這一切。

1傳統(tǒng)云網(wǎng)絡(luò)的架構(gòu)分析

  傳統(tǒng)云網(wǎng)絡(luò)結(jié)構(gòu)

上圖中這些藍(lán)色大框是服務(wù)器,其中上面兩個(gè)服務(wù)器:NC(計(jì)算節(jié)點(diǎn))和CC(網(wǎng)絡(luò)節(jié)點(diǎn)),它類(lèi)似于整個(gè)云網(wǎng)絡(luò)的一個(gè)核心路由器。實(shí)例一出來(lái)會(huì)經(jīng)過(guò)一個(gè)網(wǎng)橋,網(wǎng)橋上有防火墻功能。當(dāng)數(shù)據(jù)出了計(jì)算節(jié)點(diǎn)以后會(huì)引流到網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行下一步的處理。網(wǎng)絡(luò)節(jié)點(diǎn)負(fù)責(zé)數(shù)據(jù)的路由、NAT地址轉(zhuǎn)換、流量控制器還包括一些DHCP Server、網(wǎng)關(guān)等功能。傳統(tǒng)云網(wǎng)絡(luò)大量引用了Linux網(wǎng)絡(luò)協(xié)議棧中提供的網(wǎng)絡(luò)組件。這么做有什么好處呢?好處是減少開(kāi)發(fā)周期,單獨(dú)功能穩(wěn)定。但是Linux的網(wǎng)絡(luò)組件存在大量的捆綁,當(dāng)用一個(gè)功能時(shí)就必須強(qiáng)迫使用其他捆綁捆綁功能。然而這些捆綁功能是不需要的。這樣云網(wǎng)絡(luò)的復(fù)雜度會(huì)越來(lái)越高,并且性能優(yōu)化難度很大。

在這個(gè)網(wǎng)絡(luò)里面,網(wǎng)絡(luò)節(jié)點(diǎn)它的壓力是非常巨大的,兩個(gè)不同子網(wǎng)的虛擬機(jī)之間的訪(fǎng)問(wèn)需要經(jīng)過(guò)網(wǎng)絡(luò)節(jié)點(diǎn),外部網(wǎng)絡(luò)訪(fǎng)問(wèn)虛擬機(jī)需要經(jīng)過(guò)網(wǎng)絡(luò)節(jié)點(diǎn),虛擬機(jī)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)需要經(jīng)過(guò)網(wǎng)絡(luò)節(jié)點(diǎn),這樣?xùn)|西南北各方向的流量都要經(jīng)過(guò)這個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)。整個(gè)云網(wǎng)絡(luò)性能瓶頸就是網(wǎng)絡(luò)節(jié)點(diǎn)的處理性能。萬(wàn)一它出現(xiàn)單點(diǎn)故障的話(huà),后果會(huì)很?chē)?yán)重。

2租戶(hù)隔離

傳統(tǒng)的云網(wǎng)絡(luò)隔離有兩種方法,一種是vlan,另一種叫做Vxlan。vlan隔離簡(jiǎn)單快速,但是它數(shù)量只有4000多個(gè),網(wǎng)絡(luò)規(guī)模難以擴(kuò)展。Vxlan可以解決vlan數(shù)量不足的問(wèn)題,Vxlan的數(shù)目能達(dá)到16M。16M絕對(duì)可以滿(mǎn)足大規(guī)模云網(wǎng)絡(luò)組網(wǎng)需求。但是Vxlan有幾個(gè)問(wèn)題,第一個(gè),它需要在這個(gè)數(shù)據(jù)包的前面疊加一個(gè)三層的包頭,這樣帶寬質(zhì)量會(huì)受影響。另外vxlan的部署比較困難,因?yàn)関xlan的設(shè)計(jì)初衷處理解決vlan不足的問(wèn)題之外,它還需要解決大二層網(wǎng)絡(luò)跨機(jī)房的問(wèn)題。另一個(gè)比較嚴(yán)重的問(wèn)題就是,大部分的數(shù)據(jù)中心都是使用vlan做網(wǎng)絡(luò)隔離的。如果云內(nèi)部使用vxlan,我們就需要額外造一個(gè)vxlan網(wǎng)關(guān)專(zhuān)門(mén)負(fù)責(zé)與數(shù)據(jù)中心的互聯(lián)互通。如果云內(nèi)部有的用戶(hù)使用vlan,有的用戶(hù)使用vxlan,那就更復(fù)雜了。傳統(tǒng)網(wǎng)絡(luò)的發(fā)展往往都是解決一個(gè)問(wèn)題又會(huì)引入其他新的問(wèn)題。

3云網(wǎng)絡(luò)的功能實(shí)現(xiàn)

一個(gè)云它的網(wǎng)絡(luò)不是簡(jiǎn)簡(jiǎn)單單說(shuō)做了100臺(tái)虛擬機(jī),100臺(tái)虛擬機(jī)都能上網(wǎng),這就是云,這絕對(duì)不是云。云是一個(gè)讓所有人都能夠在里面獨(dú)立生存的一個(gè)生態(tài)空間,也就是說(shuō)每一個(gè)云內(nèi)的租戶(hù)都需要獨(dú)立自定義的網(wǎng)絡(luò)空間。另外在同一個(gè)云實(shí)例的私有地址是可以重復(fù)的。網(wǎng)關(guān)不能像剛才我們講的用一個(gè)物理服務(wù)器堆在中間來(lái)代替,這個(gè)不可靠,網(wǎng)關(guān)是需要獨(dú)立的,需要每個(gè)子網(wǎng)都需要一個(gè)獨(dú)立的網(wǎng)關(guān)。網(wǎng)關(guān)應(yīng)該分布式虛擬化。

4網(wǎng)絡(luò)安全

如果黑客入侵了虛擬機(jī)。從虛擬機(jī)這一端開(kāi)始發(fā)起攻擊,這個(gè)東西到底有多危險(xiǎn)呢,可以來(lái)想象一下,第一個(gè)它可以攻擊其他的虛擬機(jī)、攻擊網(wǎng)關(guān)、攻擊數(shù)據(jù)中心。云網(wǎng)絡(luò)把網(wǎng)絡(luò)的邊界變模糊了,從而很容易造成網(wǎng)絡(luò)安全能力的下降。如果讓做云的廠(chǎng)家,負(fù)責(zé)網(wǎng)絡(luò)安全,很顯然這不是他們的強(qiáng)項(xiàng)。所以云網(wǎng)絡(luò)安全需要借助第三方的專(zhuān)業(yè)安全廠(chǎng)家,讓他們把自身優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品虛擬化并且集成到云中。這也符合云是一個(gè)生態(tài)空間的概念。而傳統(tǒng)云網(wǎng)絡(luò)的在架構(gòu)本身,就很難實(shí)現(xiàn)這樣深入的整合。原因很簡(jiǎn)單,傳統(tǒng)云網(wǎng)絡(luò)本身的IO路徑非常復(fù)雜,如果要把流量引入第三方的虛擬化安全產(chǎn)品洗清,并且回到正常的網(wǎng)絡(luò)邏輯,對(duì)于傳統(tǒng)云網(wǎng)絡(luò)來(lái)說(shuō),實(shí)在很難實(shí)現(xiàn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)