资源描述
/*客户公司项目名*/
SDDC之软件定义的网络与安全
2025/3/29
文档信息与变更记录
文档名称
SDDC之软件定义的网络与安全
作者
周晶
邮箱
jingz@
版本
V1.3
变更记录
2013.09.10, V1.0
2013/11/12 V1.1 修改格式
2013/11/14 V1.3 统一格式、封面,增加缩略语解释
目 录
1 传统的网络与安全体系对虚拟数据中心的束缚 2
1.1 传统的网络与安全体系结构的不足 2
1.2 传统的网络与安全体系结构阻碍了虚拟数据中心的发展 2
2 VMware软件定义的网络与安全解决方案 5
2.1 方案概述 5
2.2 解决方案框架 7
2.3 解决方案设计 7
2.4 软件定义的网络与安全之主要价值 7
2.5 软件定义的网络与安全之工作原理 8
2.6 软件定义的网络与安全之主要应用场景 10
2.7 软件定义的网络与安全之主要功能 11
2.7.1 虚拟网络VXLAN 11
2.7.2 网关服务 15
2.7.3 分布式防火墙 24
2.7.4 无代理终端安全防护 25
2.7.5 高级特性 30
3 方案总结 39
3.1 方案要点 39
3.2 方案优势 39
4 配置清单及说明 40
4.1 硬件配置需求 40
4.2 虚拟化软件配置需求 40
5 专业服务 41
6 支持服务概述 42
7 缩略语解释 43
1 传统的网络与安全体系对虚拟数据中心的束缚
1.1 传统的网络与安全体系结构的不足
服务器虚拟化在经过多年的发展后已经越来越成熟,被应用的领域也越来越广泛。它有效降低了成本,提高了资源利用率和可用性,同时使运维效率也得到了较大提升,进而缓解了信息化建设所面对的诸多压力。
虽然服务器虚拟化的普及彻底改变了应用的调配和管理,但是,这些动态工作负载所连接的网络却未能跟上它的发展步伐。网络调配仍然极其缓慢,甚至一个简单的拓扑结构的创建也需要数天或数周时间。下图给出了一个典型的示例。
图:服务器虚拟化后部署一台服务器所需的时间
从上面这张图可以看出,在服务器虚拟化之前,管理员部署一台服务器需要大概十周并花费一万美金。有了服务器虚拟化后,虽然部署一台虚拟机只需要两分钟且仅花费三百美金,但是,在该虚拟机“周边”布置所需的各种网络和安全服务仍需五天的时间,同时耗费一千多美金。这主要是因为当前的网络和安全操作仍然依赖 VLAN 的手动调配并使用管理界面分散的专用物理设备。
可见,虽然服务器虚拟化可以加快虚拟机的部署,但是与之相连接的网络与安全组件并没有跟上服务器虚拟化的步伐,它们严重影响了虚拟数据中心的部署效率。
1.2 传统的网络与安全体系结构阻碍了虚拟数据中心的发展
传统的网络与安全体系结构除了会降低虚拟数据中心的部署效率,在虚拟化环境下,它们还存在很多其他方面的不足。
下图给出了现有的网络架构在虚拟化环境下存在的一些缺陷。
图:现有的网络架构对虚拟数据中心的束缚
现有的网络体系结构对底层物理硬件有很大的依赖,他们依赖于专用物理设备,因此灵活性很差。另外,由于各种网络服务的管理界面杂乱无章,非常分散,无法进行统一的集中管理,因此,相应的运维管理工作非常复杂且容易出错。
除此之外,这种不灵活的体系结构对工作负载和应用的扩展与迁移都产生了很大的限制。
在安全方面,传统的安全防护手段价格昂贵,对虚拟化平台不具感知能力,使用不够灵活,管理难度大,不能很好地满足新架构的需要 。
总的来讲,现有的网络与安全体系结构对虚拟数据中心的束缚主要体现在如下三个方面。
Ø 高成本
· 呆板的网络与安全拓扑结构(例如VLAN silos)阻碍了用户对计算资源跨集群进行池化和负载平衡,因而,降低了计算的资源利用率。
· 高级别的服务,例如,负载平衡,防火墙,VPN等是通过专有设备来完成的,因此,这些服务不得不被分开来管理和部署。在这种情况下,管理和维护的成本非常高昂。
Ø 复杂
· 配置更改需要人为手动完成,自动化程度不高,这就需要提前做计划并且跨团队协作。这种工作方式非常复杂,耗时,且效率低下。
· 网络与安全的部署与管理没有与应用和虚拟数据中心的部署与管理相集成,因此降低了操作效率。
· 需要维护大量的专有设备,管理工作繁杂且容易出错。
Ø 不灵活
· 与物理硬件的绑定使得用户无法灵活的创建跨物理边界的网络。因此,现有的网络无法移动和扩展应用程序。
· 工作负载安置和移动性受制于物理网络,平台服务能力受限于硬件设备的功能。
· 使用具体厂商所提供接口的VLAN部署起来非常困难,在一些组织里,部署一个VLAN往往会花费好几天的时间。
· 现有的体系结构会把用户绑定到具体的网络厂商上,在这种情况下,新技术很难被引入。
由此可以看出,现有网络与安全体系结构的限制将日益池化的动态虚拟世界重新束缚到缺乏灵活性的专用硬件上,人为地阻碍了虚拟数据中心的发展。为了解决上述问题,VMware提出了软件定义的网络与安全解决方案。
2 VMware软件定义的网络与安全解决方案
2.1 方案概述
VMware vCloud Networking and Security (vCNS) 是领先的软件定义的网络连接和安全解决方案,它可以提高运营效率,发挥敏捷性并可实现能够快速响应业务需求的延展性。 它可在单一解决方案中提供大量不同的服务,包括虚拟防火墙、VPN、负载平衡和 VXLAN 扩展网络。
vCNS可实现网络和安全保护虚拟化,从而创建高效、敏捷且可延展的逻辑结构,并满足虚拟数据中心的性能和可扩展性要求。vCNS 采用虚拟安全设备架构。 虚拟工作负载网络流量会流经这些设备,并且在此应用了防火墙和负载平衡等一系列服务。 集成合作伙伴的第 3 方服务也可通过这些设备访问网络流量。 使用 vCloud Networking and Security,企业可以自信地虚拟化关键业务应用,构建安全敏捷的私有云,并保护虚拟桌面解决方案的安全。
VMware软件定义的网络与安全解决方案能够以编程的方式将虚拟网络调配、添加到工作负载,以及在当前数据中心乃至多个数据中心内根据需要在任何地方放置、移动或扩展。 此外,网络和安全服务的调配和操作提供了一个开放式框架以集成第三方硬件或软件服务。 这样,通过一个集成式可延展平台即可大幅简化操作、实现资源的高效利用和提高敏捷性,从而根据业务需要进行扩展。
VMware软件定义的网络与安全解决方案在整体软件定义的计算中心解决方案中的位置如下图所示。
图:SDDC模块组件
就像服务器虚拟化将虚拟机从底层X86服务器硬件分离出来以改变计算运营模式一样,vCNS将基于软件的虚拟网络从底层网络硬件分离出来,以便支持新的网络运营模式。在这种情况下,部署虚拟机周边的网络和安全组件会便捷的多,下图显示了这一过程。
图:软件定义的网络与安全解决方案加速了虚拟数据中心的部署
通过使用VMware软件定义的网络与安全解决方案,部署一个虚拟数据中心的时间由五天两分钟变成了三分钟!可见,vCNS实现了软件定义的快速部署,大大提高了数据中心的部署效率。除了这一明显的改变,vCNS对前面提到的传统网络与安全体系结构在虚拟化环境下的缺陷进行了彻底的颠覆,具体内容如下图所示。
图:软件定义的网络与安全在虚拟化环境下的优势
vCNS通过创建软件驱动型抽象层将网络连接与安全组件与底层物理网络基础架构完全分离,因此它可以确保硬件独立性,使得网络连接与安全服务摆脱与硬件绑定的限制。
vCNS将网络和安全服务绑定到每一个虚拟机,并随虚拟机迁移,这样无需人工干预即可大量添加或转移工作负载,因此可扩展性和移动性都得到了增强。
在运维管理方面,vCNS提供了统一的集中控制点,它可以进行快速的编程式调配和无中断部署,这使得从网络调配到部署和维护,所有的一切都实现了高度的自动化。
除此之外,vCNS还可以在任何通用IP网络硬件上同时支持旧版应用和新应用。它可以从终端主机的角度忠实地再现物理网络模型:工作负载感觉不到任何差异,因此,软件定义的网络与安全对上层应用是透明的,上面的业务可以不做任何修改而继续使用。
2.2 解决方案框架
2.3 解决方案设计
2.4 软件定义的网络与安全之主要价值
VMware软件定义的网络与安全解决方案的主要价值体现在下面四个方面。
1) 使用软件定义的网络和安全获得效率和敏捷性
摆脱极不灵活的网络和安全体系结构,这种体系结构基于手动调配的 VLAN 并使用分立管理界面的专用设备。 使用软件主导型网络和安全服务,获得云计算基础架构的全面敏捷性。 通过创建能够适应工作负载并随工作负载移动的网络和安全结构,根据业务需要快速部署、移动、扩展和保护应用及数据。 vCloud Networking and Security 可使软件主导型网络和安全与紧密集成到虚拟数据中心管理中的基于策略的调配机制结合在一起。
2) 通过提高效率和利用率降低运营、采购成本,实现资源的按需增长
vCNS无需重新配置物理网络,即可跨集群和单元弹性分配计算资源,用户可以在初始阶段,仅投入项目所必需的最少资源,在后续的生产实践中,根据实际需要,可以再追加所需的资源,从而实现真正的随需应变与动态增长,并最终提高资源利用率。此外,vCNS提供了高度可扩展的虚拟网络,可简化调配,降低运营成本,同时减少对专用设备的需求。
· 能够跨集群和单元管理和分配计算资源
· 能够减少对专用设备的需求
· 能够受益于与 vCenter 或 vCloud Director 集成的优势
3) 利用虚拟工作负载的敏捷性,适应动态业务需求
可创建随应用扩展的网络并在需要的位置应用安全服务,而无需升级硬件。 vCloud Networking and Security 可提高应用可用性并增强网络性能。
· 无需重新配置物理网络,即可部署、移动或扩展虚拟工作负载
· 可自动调配和横向扩展网络连接和安全服务
· 能够更全面地了解虚拟通信流量
4) 在基础架构中全面使用高度集成并完整的网络与安全解决方案
可以让用户在充分利用现有的网络连接和安全投资的同时,能够受益于最新的第三方创新技术。 通过 REST API,用户可以在虚拟网卡和虚拟边缘插入服务,同时支持硬件和软件解决方案。
由于vCNS提供了一整套高度集成且完整的网络与安全解决方案,因此,用户不再需要四处寻找各种零散且相互独立的网络与安全方案,vCNS集成了常用的各种与网络和安全相关的服务,部署一个vCNS就相当于一次性地使用了用户所需要的多种网络与安全解决方案。
· 可充分利用开放式体系结构和行业标准 API
· 为基于硬件和软件的解决方案提供一致的支持
· 可保护现有网络连接和安全投资
2.5 软件定义的网络与安全之工作原理
正如vSphere对服务器硬件的计算容量进行抽象化以创建能够用作服务的虚拟资源池一样,vCNS可将网络连接和安全服务抽象成一个广义的容量池,并使这些服务的使用与底层物理基础架构分离。
该统一网络容量池可通过最佳方式分割成多个逻辑网络,以支持特定的应用。当网络与应用关联时,它可以随应用一起移动、扩展或收缩。VXLAN网络可以跨越物理边界,从而跨不连续的集群和单元来优化计算资源利用率。因为逻辑网络与物理拓扑相互分离,所以无需重新配置底层物理硬件即可扩展VXLAN网络。正因如此,也就无需再花费大量时间来规划如何调配VLAN及管理VLAN数量剧增问题。
随着网络实现虚拟化,安全性、负载平衡及其他网关服务会与新模式完全一致并与之完全集成,用户可以跨集群和单元实现负载平衡。通信流量的可见性增强,安全保护功能也更加高效。当应用移动或扩展时,它可以保持有效的内部隔离和边界安全。
vCNS将网络和安全调配及运营与虚拟数据中心管理集成在一起,从而降低了运营费用和复杂性。用户可以通过一个中心控制点来管理、部署、报告、记录并集成第三方服务。此外,用户可以继续使用现有基础架构来构建虚拟网络和安全服务。这样可大幅简化运营、提高资源利用率和改进根据业务需要进行扩展时的敏捷性,所有这一切均通过一个集成式可扩展平台来实现。
如下图所示,VMware软件定义的网络与安全解决方案的工作原理可以分为如下四大部分。
图:软件定义的网络与安全之架构
1) 抽象化和池化
创建虚拟网络并确保安全的第一步是抽象化和池化资源。 正如 vSphere 通过对服务器硬件的计算容量进行抽象化,创建了能够用作服务的虚拟资源池一样,vCloud Networking and Security 可将网络连接和安全服务抽象成一个一般意义上的容量池,从而使用户能够脱离底层物理基础架构使用这些服务。 此池可以跨越物理边界,从而跨集群和单元实现最佳的计算资源利用率。
2) 创建逻辑网络并提供网关服务
在创建网络和安全资源池之后,用户可以将其细分成多个逻辑网络,并将这些网络与特定的应用相连。 由于此类网络现已连接至应用,因此它们可以随应用移动或者是伸缩。 而且,由于逻辑网络从物理网络拓扑中脱离出来,因此无需重新配置底层物理硬件就可以扩展这些网络。 这解决了规划 VLAN 调配的周期以及管理数量剧增的 VLAN 都非常耗时的问题。 简化了操作并极大地加快了应用调配。
· 通过部署虚拟工作负载加快应用调配,而无需重新配置物理网络
· 根据需要扩展应用,而不会造成 VLAN 数量剧增
· 通过跨子网边界和不相邻的集群高效地管理计算资源,从而降低成本和复杂性
此逻辑网络不但可以连接任意网络元素,而且还是一个可连接更高级别服务的框架,如防火墙、VPN 和负载平衡器。 现在,应用将连同其逻辑网络和安全网关服务一起移动或扩展。,客户则受益于只需一个窗口即可管理所有这些服务,从而降低了数据中心的运营成本和复杂性。
· 从单个窗口管理服务
· 提供针对您的需求优化的网关服务
· 不再依赖于难以管理且无法随数据中心的增长而扩展的设备
3) 利用Ecosystem Framework引入第三方网络与安全服务
逻辑网络既可以提供 VMware的服务,也可以集成第三方基于硬件或软件的解决方案。 开放式体系结构和标准 API 使平台能够引入第三方创新技术,从而实现延展。这其中一个典型的例子就是无代理终端安全防护,Endpoint。通过Ecosystem Framework,系统可以引入第三方的安全服务,同时将病毒扫描活动从各个虚拟机卸载到安全虚拟设备来提高性能。安全虚拟设备能够持续更新防病毒特征码,为主机上的虚拟机提供无中断保护。
4) 实现基于策略的自动化
vCNS 还可以实现增值,因为它可以基于策略自动实施和动态扩展网络连接和安全服务,从而充分发挥虚拟数据中心蕴藏的效益和敏捷性。vCNS可以与vCloud Director集成来完成多种网络与安全服务的调配与交付。
u 根据应用程序元数据调配服务
u 不再需要执行手动配置流程和重复管理任务
u 自动调配和横向扩展网络连接和安全服务
2.6 软件定义的网络与安全之主要应用场景
VMware软件定义的网络与安全解决方案主要应用在如下三个方面。
1) 高效、可靠地虚拟化关键业务应用并为整个软件定义的数据中心提供网络与安全服务
· 使用支持虚拟化的防火墙和自适应信任区域保护和隔离关键应用
· 加强对内部虚拟机通信的了解和控制
· 跨不相邻的集群和单元优化资源利用率
· 识别并保护敏感的业务信息
· 利用高度集成的一整完整的网络与安全解决方案,为整个软件定义的数据中心提供可靠的网络与安全服务
2) 构建敏捷、可信赖的私有云基础架构
· 通过消除 VLAN 减少手动网络连接调配并简化部署
· 跨物理网络边界优化计算资源的管理和使用
· 通过集成式防火墙和网关服务保护虚拟数据中心的边缘安全
· 利用 Web 负载平衡功能跨虚拟机集群管理入站 Web 流量
3) 保护虚拟桌面部署的安全
· 限制远程第三方用户对授权应用进行网络访问
· 保护敏感数据以免未经授权的员工或黑客访问
· 简化安全管理流程并消除性能瓶颈
2.7 软件定义的网络与安全之主要功能
软件定义的网络与安全的主要功能有:
虚拟网络VXLAN,网关服务,分布式防火墙,无代理终端安全防护和高级特性,其中高级特性又包括如下特性:高可用High Availability,流量监控与统计,数据安全保护,管理与报告,Ecosystem Framework。
2.7.1 虚拟网络VXLAN
VXLAN 是创建弹性可移动虚拟数据中心的基础。 使用 VXLAN 技术可以跨不连续的集群或单元池化计算资源,然后将该资源池划分到与应用连接的逻辑网络。 与 VLAN 不同,VXLAN 虚拟网络可以跨虚拟资源池和物理边界扩展,因此具有更高效率、可扩展性、弹性和可管理性。
2.7.1.1 概览
随着 IT 组织向聚合基础架构和面向服务的模式转移,很多人逐渐发现目前的数据中心网络连接体系结构是一个限制因素。 基于 VLAN 的交换模式由来已久,但它们在数据中心内遭遇了以下难题:
1) 缺乏灵活性
VLAN和相应的网络服务既不灵活,也不易延展。随着需求的增减,计算和存储资源需要在无重大运行开销的情况下进行分配。
2) 容错操作效率低
动态资源调整、高可用性技术(例如 VMware Fault Tolerance,vMotion)在大二层网络上最容易实现,但是创建和管理该二层网络在运维操作上却十分困难,尤其是在大规模操作时更是如此。
3) VLAN 和 IP 地址管理的局限性
IP 地址的维护和 VLAN 限制成为数据中心扩展的难题,特别是在要求强有力的隔离或处于服务提供商环境的时候。
为了解决此难题,VMware 与领先的网络连接和电子设备供应商(包括Cisco Systems)合作,创建了 VXLAN 技术。 VXLAN 是一种在常用的网络上通过Overlay技术建立虚拟网络的方法。 通过利用行业标准的以太网技术,在现有网络之上可以创建大量虚拟网络,并且它们彼此之间以及与底层物理网络之间完全隔离。
图:软件定义的网络与安全是解决之道
VXLAN 的工作方式是创建第 2 层逻辑网络,并将其封装在标准第 3 层 IP 数据包中。 无需任何 VLAN 标记,每个框架中的“分段 ID”即可将 VXLAN 逻辑网络相互区分开来。 这样,大量相互隔离的第 2 层 VXLAN 网络可以在通用第 3 层基础架构中共存,而且在相互之间以及与底层网络之间实现完全隔离。
· 通过支持跨物理边界的“扩展集群”优化数据中心计算资源利用率
· 通过在标准第 3 层 IP 网络上运行 VXLAN 来优化网络操作,从而不再需要构建和管理宠大的第 2 层基础传输层
· 在标准交换硬件上运行 VXLAN,交换机上无需进行软件升级,也无需具备特殊代码版本。
2.7.1.2 VXLAN的技术优势:
1) 灵活性
通过支持跨交换机和单元边界的“扩展集群”,数据中心服务器与存储的利用率和灵活性可实现最大化。
2) 优化的网络操作
VXLAN 在标准第 3 层 IP 网络上运行,不再需要构建和管理庞大的第 2 层基础传输层。
3) 投资保护
VXLAN 在标准交换机硬件上运行,交换机上无需进行软件升级,也不必采用特殊的代码版本。
随着 VMware 和其他供应商推出基于 VXLAN 的解决方案,企业可以充分利用更高的数据中心自动化程度、敏捷性和效率所带来的优势。
2.7.1.3 VXLAN工作原理
VXLAN是一个网络封装机制,利用VXLAN可以部署虚机在任意物理主机上,而部署过程不牵涉到任何物理网络,它从两个方面解决了移动性和扩展性:
· 它是MAC in UDP的封装,允许VM间通信通过一个Overlay网络,这个Overlay网络可以横跨多个物理(二层)网络。他是虚拟机的逻辑网络独立于底层的物理网络从而VM跨网络迁移不再需要更改物理网络配置
· VXLAN用24-bit的标识符,表示一个物理网络可以支持1600万个逻辑网段。数量级大大超过数据中心VLAN的限制(4094)
在 vSphere 体系结构中,封装工作在客户虚拟机的虚拟网卡和虚拟交换机上的逻辑端口间执行。 这样,VXLAN 对客户虚拟机和底层第 3 层网络来说都是透明的。 VXLAN 和 非 VXLAN 主机(例如,物理服务器或 Internet 路由器)之间的网关服务由 VMware 的 vCNS Edge 网关设备执行。 Edge 网关将 VXLAN 网段 ID 转换为 VLAN ID,因此非 VXLAN 主机可以与 VXLAN 虚拟服务器通信。
图:VXLAN的实现方式
2.7.1.4 利用 VXLAN构建逻辑网络
VXLAN 提供跨数据中心结构创建隔离式多租户广播域的功能,并且使客户能够创建可跨越物理网络边界的弹性逻辑网络。
创建逻辑网络的第一步是抽象和池化网络资源。 正如 vSphere 将计算容量从服务器硬件中抽象出来以创建能够作为服务使用的虚拟资源池一样,虚拟分布式交换机 (VDS) 和 VXLAN 将网络抽象成一般化的网络容量池,并使这些服务的使用从底层物理基础架构中分离出来。 此池可以跨越物理边界,从而跨集群和单元优化计算资源利用率。 统一网络容量池随后可通过最佳方式分割成多个逻辑网络,直接连接到特定的应用。
图:利用VXLAN构建逻辑网络
2.7.1.5 VXLAN设计步骤
VMware vCloud Network and Security方案虚拟网络设计有以下几个步骤:
图:VXLAN虚拟网络设计步骤
1) VMware解决方案使用VXLAN技术提供虚拟网络与物理网络抽象隔离,虚拟网络部署与网络安全服务只需在网络边缘(运行在Hypervisor上的VMware的分布式虚拟交换机vDS,vCNS Edge、vCNS APP)上按照分布式且可横向扩展(Scale-out)的方式实现,因此数据中心物理网络架构大大简化,其只需提供IP快速转发功能,当前VXLAN的控制平面需要用到组播(Multicast),所以数据中心物理网络要打开组播功能 (VXLAN所需的IP组播地址应由客户统一规划分配),既二层交换机打开IGMP Snooping,三层路由器打开PIM。VXLAN可以运行在任何IP网络,其底层物理网络架构可以是:
a) 新型的扁平化三层(OSPF)多路径高带宽、低时延IP网络
b) 也可以是传统的核心层、分布层运行三层路由,接入网络运行STP的二层网络架构
c) 或者是大二层网络 (如Cisco Fabric Path,VPC,H3C IRF,Juniper Qfabric)
2) 逻辑上沿用原有的业务逻辑架构,逻辑上遵循原有的数据中心分区
3) 虚拟机所在的逻辑网络上的安全隔离以及网络服务大部分都由vCNS里的Edge以及APP 完成。
4) 依据数据中心分区划分逻辑网络分区(虚拟数据中心、VDC),在vCNS管控平台上通过Network Virtualization功能模块部署VXLAN逻辑网络(LN)
5) VXLAN逻辑网络的划分依据原有的业务网络及如上图,可按照WEB,APP,DB不同的服务器区划分不同的VXLAN网络,vCNS Edge实现VXLAN隔离与三层网关功能,Edge并可以提供NAT、负载均衡等L4-L7功能。vCNS APP实现分布式可Scale-out扩展的基于业务应用划分安全组的2、3层防火墙。
6) 支持主备高可用(HA)vCNS Edge可以实现VXLAN与传统VLAN之间的三层通信与安全隔离,从而可以依照业务与用户的实际需求,定制不同的网络虚拟化方案:
a) 过渡方案: 部分网络试点网络虚拟化,VXLAN,其他业务网络依旧采用传统的VLAN设计与相应的基于硬件的L4-L7网络服务。此时vCNS Edge提供VLAN与VXLAN的网关功能
b) 随着大部分工作负载被虚拟化,网络也需要完全进行虚拟化改造,此时大部分业务网络被划分为虚拟逻辑网络VXLAN,vCNS Edge 主要用于连接外部网络如 WAN 路由器、防火墙。
7) VXLAN设计的其他建议
a) 建议分配专用NICs for VXLAN VTEP
b) 分布式虚机交换机NIC Teaming for VTEP
i. 建议使用LACP
ii. 支持IP-HASH
iii. 支持 static fail-over
c) 端到端MTU建议增加至1600byte
d) 网络中的port-channel LACP建议使用5-tuple hash
e) 建议使用DHCP为VXLAN VTEP的vmknic分配IP地址 静态分配VTEP地址时,Last Hop Router 需打开Proxy-arp
f) 网络中安全设备应该打开VXLAN端口(UDP8472)
2.7.2 网关服务
vCNS网关服务Edge是专为虚拟数据中心提供的边缘网络安全解决方案。它可提供网络安全网关服务和 Web 负载平衡等基本安全功能,以提高性能和可用性。此解决方案可利用容错和高可用性等功能获得无可比拟的恢复能力。
管理员可通过随附的 vCNS Manager 控制台集中管理 vCNS 网关服务,该控制台与 vCenter Server 无缝集成以便对虚拟数据中心进行统一的安全管理。
此外,vCNS 网关服务也可与 VMware vCloud Director 协同使用,以便在多租户云计算基础架构中自动执行和加快虚拟数据中心的安全调配速度。安全管理员和虚拟基础架构管理员的职责分离使他们只能访问有限的授权资源。
它的主要优势有:
· 由于可以省去多种专用设备并可以快速调配网络网关服务,因此可以降低成本和复杂性。
· 利用内置的边缘网络安全解决方案及服务,可以确保策略得到执行。
· 每个组织或租户拥有一个边缘,因而可以提高可扩展性和性能。
· 可通过详细的日志记录简化 IT 遵从性工作。
· 利用与 VMware vCenter Server 及领先的企业安全解决方案集成的全功能界面,可以简化管理流程。
· 不再需要使用集成了防火墙、负载平衡器、VPN 和 DHCP 的专用硬件。
vCNS 网关服务的主要用途
· 整合边缘安全硬件 — 借助 vCNS 网关服务,客户可以使用现有的 vSphere 资源来调配边缘安全服务,因此不需要使用边缘安全硬件在 vSphere 主机之间进行物理隔离。
· 快速安全地调配虚拟数据中心边界 — 借助 vCNS 网关服务,组织可在虚拟数据中心环境周边轻松创建安全、逻辑、独立于硬件的边界(即“边缘” ) ,从而更为便捷地利用多租户 IT 基础架构中的共享网络资源。
· 保护共享网络中的数据机密性 — vCNS 网关服务可对站点间 VPN 提供 256 位加密,以保护在虚拟数据中心边界内传输的所有数据的机密性。
· 确保 Web 服务的性能和可用性 — vCNS 网关服务可跨多个虚拟机集群高效管理入站 Web 流量,并且包含可供客户与边缘安全性功能一起部署或独自部署的多种 Web 负载平衡功能。
· 促进遵从性管理 — vCNS 网关服务可为企业提供证明其遵从公司策略、行业和政府法规所需的事件详细日志记录以及流量统计信息等必要的控制措施。
vCNS网关服务在全球范围内的主要案例如下图所示。
图:vCNS网关服务全球主要案例
vCNS网关服务主要包括:网络地址转换(NAT)、动态主机配置协议(DHCP)、针对网络边缘的防火墙、VPN和负载平衡。
Ø 网络地址转换NAT
vCNS的网络地址转换功能可以为一台或者一组计算机在专有网络环境下指定一个公共的地址,通过这种方法可以限制机构或者公司必须使用的IP地址的数目。通过NAT,管理员可以部署DMZ,而不必手动改变服务器的地址。
虚拟数据中心可以借助NAT功能,通过宿主机器所在的网络来访问公网,即:使用NAT模式可以实现在虚拟系统里访问互联网。 采用NAT模式最大的优势是虚拟数据中心接入互联网非常简单,用户不需要进行任何其他的配置,只需要宿主机器能访问互联网即可。
用户需要创建相关的NAT规则来完成相关的操作,NAT规则如下图所示。
图:NAT规则
NAT的主要功能特性有:
· 以虚拟化环境为转换目标和转换源的 IP 地址转换
· 针对不受信任的地址伪装虚拟数据中心的 IP 地址动态主机配置协议
· 自动为 vSphere 环境中的虚拟机调配 IP 地址
· 管理员可以对参数进行自定义,例如:地址池、租期和专用 IP 地址等
Ø 动态主机配置协议DHCP
vCNS支持 IP 地址池和一对一的静态 IP 地址分配,静态 IP 地址绑定基于请求客户端的由 vCenter 管理的对象 ID 和接口 ID。它可以自动为 vSphere 环境中的虚拟机调配 IP 地址
。
vCNS DHCP 服务遵循以下准则:
· 侦听vCNS内部接口以发现 DHCP
· 将 vCNS上内部接口的 IP 地址作为所有客户端的默认网关地址
· 将内部接口的广播和子网掩码值用于容器网络
· 在下列情形下,用户须在客户端虚拟机上重新启动 DHCP 服务:
· 更改或删除了一个DHCP池、默认网关或DNS服务器
· 更改了 vShield Edge 实例的内部 IP 地址
Ø 针对网络边缘的防火墙
· 外围(第 3 层)防火墙
· 有状态检测防火墙,采用基于以下参数的入站和出站连接控制规则 :
v IP 地址 — 源 / 目标 IP 地址
v 端口 — 源 / 目标端口
v 协议 — 类型(TCP 或 UDP)
Ø VPN
vCNS提供了工业级标准的站点间的IPsec VPN 和远程访问SSL VPN,这两项功能可以安全地对虚拟数据中心进行扩展。
1) 站点间IPSec VPN
vCNS站点间IPsec VPN通过使用广泛支持的标准,例如,使用256位AES的IKE协议,提供了安全的站点间网络连接。这项功能可以使用户将虚拟数据中心安全地连接到来自不同厂商的物理防火墙上。
图:站点间IPSec VPN
它的主要功能特性有:
· 保护虚拟数据中心(或边缘安全虚拟机)之间的通信安全
· 支持证书身份验证,以及基于 Internet 密钥交换 (IKE) 协议的共享密钥
2) 远程访问SSLVPN
vCNS提供了远程访问SSL VPN功能,通过该项功能,管理员可以安全地对虚拟数据中心进行访问。SSL是在虚拟设备上实现的,它可以让管理员进行远程配置,调试以及其他一些常规性管理操作。
图:远程访问SSL VPN
远程访问SSL VPN的主要功能特性有:
· 远程用户可以安全访问数据中心资源
· 管理员通过安全连接管理虚拟数据中心
· 支持多种身份验证方式(AD, RSA Secure ID, Radius, LDAP, Local server)和加密方法(SSL Encrypted AES, SHA)
· 单节点支持多达100个并发用户
· 支持Windows和Mac OS,提供浏览器与客户端两种方式
Ø 负载平衡Load balance
vCNS提供了针对包括 Web 流量 (HTTP) 在内的所有流量的入站负载平衡功能,该功能可以增加关键业务应用的可用性并提高它们的性能,它支持的负载平衡算法有:轮询算法(Round Robin),基于健康检查的算法和会话持久算法。
1) 需求分析
随着业务的不断发展,IT系统所面对的压力也越来越大,新业务上线和旧业务扩容对平台的性能和可用性提出了更高的要求。要满足业务系统的新要求,需要对现有的应用平台进行扩展以提高服务能力。
目前主要的扩展手段有两种:即垂直扩展和水平扩展,垂直扩展所采用的方法是升级原有的服务器及相关硬件,以提高单一节点的处理能力,这种方法的缺点是成本较高,原有的投资可能无法得到保护,且升级过程比较复杂,升级改造所造成的停机时间较长,风险较大;水平扩展所采用的方法是不改变原有节点的构成,通过添加新的计算节点来提高处理能力,相对于垂直扩展,这种扩展方式实现起来简单快捷,原有的资源可以继续使用,是比较流行的扩展方式。
当前企业级应用系统基本上都是标准的三层架构,即前端Web服务器,中间的应用服务器和后端的数据库服务器。为了实现水平扩展,需要在服务器集群的前面增加负载均衡节点,将来自客户端的访问请求分配到适当的服务器,下面将对主流的负载均衡解决方案进行比较分析,以选择最能满足需求的方案。
2) 业界主要方案介绍
信息系统的各个核心部分随着业务量的提高、访问量和数据流量的快速增长,其处理能力和计算强度也相应增大,使得单一设备根本无法承担,必须采用多台服务器协同工作,提高计算机系统的处理能力和计算强度,以满足当前业务量的需求。而如何在完成同样功能的多个计算节点之间实现合理的业务量分配,使之不会出现一个节点过忙、而其他的节点却没有充分发挥处理能力的情况。要实现对服务器访问的调度,目前所采用的主流方法有:DNS解析、服务重定向、地址映射转换和服务访问代理等几种方法。
最早的负载均衡技术是通过DNS来实现的,在DNS中为一个服务器名称配置多个地址,查询这个名字的客户机将得到其中一个地址,从而使得不同的客户访问不同的服务器,达到负载均衡的目的。DNS负载均衡是一种最简单的方法,但是它的缺点也很明显,不能区分服务器的差异,也不能判断服务器的运行状态。只适用于对服务质量要求不高的场合,或者结合其它的可用性技术来共同提供服务以满足用户对服务质量的要求。
服务重定向这种方式是针对特定应用而设计的负载均衡技术,其原理是:接收到客户请求的服务器如果认为自己负载较大,它就不再直接回应客户端请求,而是送回一个重定向指令,让客户端到服务器集群中其它服务器上获得所需要的资源。为了实现这一功能,程序需要特殊的设计,而且发送重定向指令的服务器对重定向目标服务器的可用性和负载也没有判断能力,目标服务器的选择比较随意和盲目。
地址映射转换功能是基于NAT技术实现的负载均衡,工作在TCP/IP的第四层,当外部网络中的计算机访问地址转换网关所拥有的某个外部地址时,地址转换网关会将数据包转发到与之对应的内部地址上。如果与某个外部地址所对应的内部地址属于提供同一服务的一组服务器,且地址转换网关能将会话连接均匀分配到各内部服务器,就达到了负载分担的目的。这种方法实现起来比较简单,通用性强,性能较好,但是缺少对应用的理解,支持的负载均衡算法较少,会话保持机制有限。
使用反向代理服务器可以将来自外部的服务请求转发给内部的应用服务器,最多的应用场景是WEB服务器的负载均衡,特别是HTTPS服务的负载均衡。代理服务器将外部请求均匀地转发到多台内部WEB服务器上,从而达到负载均衡的目的。反向代理的好处是可以将负载均衡和代理服务器的高速缓存技术结合在一起,有益于提高性能,同时具备更好的安全性。这种方式可以更好地支持负载均衡策略,也有更多的会话保持机制,缺点是开销较大,占用资源较多。
综合考虑上述几种方案的优缺点,我们认为,基于地址映射和反向代理方式的负载均衡解决方案是成熟完善的解决方案,建议采用这类方案作为WEB服务器和其它的应用服务器提供负载均衡服务。目前提供负载均衡技术的厂商比较多,如F5、Radware、深信服等,这类厂商的解决方案是基于硬件的,通过专门的负载均衡设备提供服务,这
展开阅读全文