数据中心IRF2虚拟化网络架构与应用
数据中心IRF2虚拟化网络架构与应用
文/刘新民
网络已经成为企业IT运行的基石,随着IT业务的不断发展,企业的基础网络架构也不断调整和演化,以支持上层不断变化的应用要求。
在传统数据中心网络的性能、安全、永续基础上,随着企业IT应用的展开,业务类型快速增长,运行模式不断变化,基础网络需要不断变化结构、不断扩展以适应这些变化,这给运维带来极大压力。传统的网络规划设计依据高可靠思路,形成了冗余复杂的网状网结构,如图1所示。
图1 企业数据中心IT基础架构网状网
结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。这样一种依赖于纯物理冗余拓扑的架构,在实际的运行维护中却同时也承担了极其繁冗的工作量。
多环的二层接入、Full Mesh的路由互联,网络中各种链路状态变化、节点运行故障都会引起预先规划配置状态的变迁,带来运维诊断的复杂性;而应用的扩容、迁移对网络涉及更多的改造,复杂的网络环境下甚至可能影响无关业务系统的正常运行。
因此,传统网络技术在支撑业务发展的同时,对运维人员提出的挑战是越来越严峻的。
随着上层应用不断发展,虚拟化技术、大规模集群技术广泛应用到企业IT中,作为底层基础架构的网络,也进入新一轮技术革新时期。H3C IRF2以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。
1. 数据中心的应用架构与服务器网络
对于上层应用系统而言,当前主流的业务架构主要基于C/S与B/S架构,从部署上,展现为多层架构的方式,如图2所示,常见应用两层、三层、四层的部署方式都有,依赖于服务器处理能力、业务要求和性能、
扩展性等多种因素。
图2 多层应用架构
基础网络的构建是为上层应用服务,因此,针对应用系统的不同要求,数据中心服务器区的网络架构提供了多种适应结构,图3展示了四种H3C提供的常用网络拓扑结构:
图3 多种数据中心ServerFarm结构
根据H3C的数据中心架构理解和产品组合能力,可提供独立的网络、安全、优化设备组网,也可以提供基于框式交换平台集成安全、优化的网络架构。ServerFarm 1和2是一种扁平化架构,多层应用服务器(WEB、APP、DB)群共用同一网关,适用于一般规模服务器群,可扩展性有一定限制,网关层控制策略比较复杂;ServerFarm 3和4是一种展开式架构,与应用的多层访问架构保持了一致性,具有更清晰的数据流路径,更强的业务扩展能力和良好的策略控制能力。
2. 数据中心ServerFarm 交换网络IRF2虚拟化设计方案
对于传统的数据中心服务器区交换网络(如图4所示),针对无环设计和有环设计有多种选择方案。
图4 传统的多种服务器区接入网络拓扑
在数据中心更为通用的是采用环路接入拓扑模式,以生成树协议(MSTP)配合第一跳网关冗余协议(VRRP)提供服务器接入的可靠性。同时,服务器以多网卡连接网络以进一步提供冗余能力。图5为常用的三种接入设计方法,虽然这几种方式已经成为数据中心接入设计的最佳实践,但从网络的拓扑设计、环路规避、冗余备份等角度考虑,设计过程是极其复杂的。如VLAN的规划、生成树实例的拓扑阻塞、网关冗余选择,包括相应技术的参数选择、配置,故障切换的预期判断等,需要一套十分详细的流程,而在后期网络
运行维护过程中面临的压力和复杂度是显而易见的。
图5 生成树+VRRP的设计方式
引入虚拟化设计方式之后,在不改变传统设计的网络物理拓扑、保证现有布线方式的前提下,以IRF2的技术实现网络各层的横向整合,即将交换网络每一层的两台、多台物理设备使用IRF2技术形成一个统一
的交换架构,减少了逻辑的设备数量,如图6所示
图6 IRF2对网络横向虚拟化整合过程
在虚拟化整合过程中,被整合设备的互联电缆成为IRF2的内部互联电缆,对IRF2系统外部就不可见了.
原来两台设备之间的捆绑互联端口归属的VLAN三层接口网段均能被其它设备可达(如ping通),而归属到
IRF2系统内部后,不对互联电缆接口进行IP配置,因此隔离于IRF2外部网络。
虚拟化整合后的IRF2系统,对外表现为单台物理设备,因此,在保持基本网络互联条件下(如图6左图
所示),可将一对IRF2系统之间的多条线缆进行链路捆绑聚合动作(如图6中图所示),从而将不同网络层之间
的网状互联简化成单条逻辑链路(如图6右图所示)。
以IRF2组网后,整个网络的配置管理情况发生了很大变化。原来的多台物理设备组成为一台逻辑设备,
所有IRF2成员可以统一管理配置。因为只有一个管理IP,所以不需要登陆到不同设备各自管理运维,可以直接对所有端口、VLAN等特性进行配置,如图7所示。
图7 IRF2组网的网络配置管理方式
对于接入层设备来说,以Top of Rack接入为例:一般使用两台接入交换机对同类业务系统服务器进行接入,以满足服务器双网卡的上行要求。使用IRF2进行网络简化时,对网络汇聚层或服务器网关层的虚拟化整合是必要的,因为这是消除生成树和VRRP的关键网络层。对接入层网络来说,有如图8所示的两种选择:
图8 接入层不同的IRF2应对方式
第一种,保持原有网络拓扑和设备独立性不变,如图8方式A,通过IRF2将汇聚网关层虚拟化,Top of Rack 交换机双归属上联的两条链路直接进行捆绑,消除了环路,服务器网卡归属到独立的两台交换机。
第二种,在Top of Rack两台交换机之间增加IRF2互联线缆,使得接入层也实现虚拟化整合,如图8方式B,服务器双网卡连接的两台交换机虚拟化成一台,这两台交换机的所有上联线缆可实现跨设备的捆绑,进一步减少逻辑链路数。方式B还可实现更多的接入层设备整合,网络物理设备与逻辑节点的整合比可大大超过2:1。
对于服务器而言,上行到IRF2系统的所有网卡如同接入一台交换机,可满足各种工作模式,特别是服务器的双网卡捆绑方式,如图9所示。除了支持网卡主备模式,对于网卡需要捆绑(LACP功能)的业务要求,由于IRF2本身可支持跨设备的链路聚合,因此服务器多网卡上行到一个IRF2系统的不同交换机均可实现捆绑,实现网卡吞吐带宽增强和提升可靠性。
图9 基于IRF2的服务器多网卡适配
服务器双网卡接入网络有多种模式:网卡的主备、网卡双活。双网卡主备方式下,服务器两个网卡分别接入IRF2的不同交换机成员,实际等同于接在同一台交换机下,因此网卡链路状态发生变化时,IRF2系统能够立刻感知,网卡业务切换后,对交换机IRF2系统只是表现为网卡地址迁移到同一台交换机的不同物理端口。由于IRF2交换系统对上层网络隔离了地址端口迁移(对上层设备来说,服务器地址总是在与接入层IRF2的上行链路对应的网络接口下,并没有漂移),表项变化只在接入层设备处理,因此网络能够快速适应网卡流量切换。网卡双活模式下,两块网卡可以工作在聚合捆绑方式,则可将双网卡分别连接IRF2的不同交换机成员接入端口,并可以基于IRF2将不同交换机上的端口进行聚合捆绑,由于双网卡具有相同的MAC 和IP地址,而IRF2将不同交换机端口聚合捆绑后,聚合组内不同端口下不会存在地址漂移,网卡地址在IRF2上只被作为分布式设备的虚拟聚合链路下的一个地址,优化了双网卡组网方式。
在实施数据中心IRF2架构中,VLAN和IP的设计变得十分简单,在网络各层互联上使用链路捆绑方式在多条物理链路上虚拟出了一个聚合层,也就是捆绑后的逻辑链路,因此聚合组替代了原来的物理端口成为VLAN设计的考虑因素,因为聚合/捆绑后的交换机端口群(可能分布在IRF2不同的成员上)被视为单个逻辑端口使用。
由于网络采用IRF2设计中,已经消除了环路,在不考虑生成树协议条件下,VLAN的设计在满足业务
连通性上已经十分简单。
图10 基于IRF2的VLAN、IP设计
如图10所示,在接入层配置了A-H共8个接入VLAN,用于数据中心8类服务器接入,分属到两个业务网关层。核心层与网关层(汇聚层)均采用IRF2实现每层两台设备的虚拟化整合,接入层分别采用两种方式:左边模块Top of Rack接入不进行IRF2虚拟化;右边模块采用IRF2虚拟化横向整合。
对于VLAN A,服务器上联到两台Top of Rack交换机,每台交换机双上行捆绑到网关,逻辑上形成了一个倒V的拓扑,VLAN A在网关的IRF2系统上只需配置一个IP地址10.1.1.1/24。
对于VLAN H,由于右边模块下的Top of Rack交换机以IRF2形式接入服务器,服务器的双网卡所在的两个端口只表现为一台交换机同一VLAN H的两个端口,上行只有一个逻辑链路,因此VLAN H简单地通过此链路终结在汇聚层网关上,只需配置一个IP地址10.2.4.1/24.
核心层与汇聚层之间的连接也简化为只通过一个VLAN进行三层互联了,将本来full mesh全连接的网状
网变成了简单的单逻辑链路连接。
图11 IRF2网络架构对路由设计的简化
图11左图的网络结构中,三层互联链路成网状,所需网段多,且一般一条物理链路对应一个互联网段,在运行动态路由、使能接入环路生成树条件下,任意物理链路的故障(Up/Down)都会引起网络路由的振荡、VRRP状态变化或生成树的重新计算,同时可能引起应用系统业务流的中断(在协议计算收敛条件下的业务恢复时间可达到数秒甚至分钟级)。
而图11右图采用IRF2的网络结构,网络节点之间以多链路捆绑组模式互联(普通方式下为1~4条物理链路),捆绑组中任意一条物理链路发生故障(引起Up/Down),由于整个捆绑组在逻辑上仍然有效,接口状态正常,整个网络拓扑没有变化,因此不会引发上层路由协议重计算,极大保持了网络稳定运行。同时基于IRF2的网络架构所需互联IP大量减少,减少了网络可管理的IP对象,也消除了潜在隐患。此结构中,动态路由设计面对的网络区域,也因架构横向整合而使得动态路由区域可能变成了简单的链状,参与路由计算
的节点大量减少,设计上更简单和易稳定。
图12 面向server farm多层应用架构的IRF2组网
对于数据中心应用的多层架构,按图5的组网模式,采用IRF2技术进行改良。如图12所示,端到端的IRF2
设计可以将大规模数据中心网状网变成线性/树状辐射网,在网络每一层具有灵活扩展能力、简单配置管理
方式,提升网络的运行管理效率。
对于数据中心已有核心,扩建业务模块的网络设计,可在汇聚/网关层以下的网络层次使用IRF2技术进
行构建。
图13 在现有数据中心采用IRF2架构扩建新业务模块
如图13左图,新建业务模块的网络连接与已有业务模块区可采用相同连接拓扑,新建业务模块通过IRF2消除本模块内的环路设计,网关/汇聚节点创建两个接口分别与核心两台设备连接,如图15右图,出入此新建业务模块的访问流量可通过两条(或多条)等价路由实现连通。
3. 如何通过IRF2网络构建适应VMotion的虚拟化应用
VMware的VMotion是当前服务器虚拟化技术的热点内容,主要好处是解决了业务在运行过程中的动态迁移问题,使得应用可以根据计算容量需求动态调整计算资源。
图14 VMoiton过程示意
如图14所示,在VMotion过程中,选择好目的物理服务器后,启动迁移流程,VMWare虚拟系统将处于工作运行中的虚拟机(VM)的实时状态,包括内存、寄存器状态等信息同步拷贝到目的VM,并激活目的VM 从而完成迁移。
VMotion过程对于网络设计本无特殊要求,但迁移的范围要求网络二层连通,即源VM与目的VM在同一VLAN内,这就要求VM虚拟化应用所在的网络是一个二层网络。如图15所示,VMotion的网络中存在三种VLAN:管理VLAN如VLAN 10,迁移VMotion VLAN如VLAN 20,VM业务VLAN如VLAN 105/106。
图15 VMotion的二层VLAN类型
传统MSTP的二层设计在小范围网络环境也基本满足VMotion的应用要求,但是随着VM 二层域规模的不断扩大,有些企业甚至要建数据中心范围内的二层网络,如果采用MSTP+VRRP构建数据中心网络,不论
是前期规划还是建成后的运营都会极其复杂。
图16 基于IRF2的大规模VMotion网络架构
图16提供了端到端全面构建VMotion网络的方案。由于IRF2消除了环路和冗余网关协议带来的问题,整
个网络可搭建一个大范围的二层互联平台,在此平台上合理部署相应的管理VLAN、VMotion VLAN和VM
业务VLAN即可满足虚拟化业务需求。
在虚拟化环境中遇到的另一个问题是安全策略问题,有外部流量访问VM的安全策略,也有VM之间的
安全策略。对此存在不同的部署意见,有的认为安全策略需要部署到服务器内部的vSwitch上,有的建议由
安全设备如防火墙集中执行。
安全策略部署在服务器内的vsSwitch上,便于做到控制精细,并且在VM的迁移过程中,相应的控制策
略也能跟随虚拟化系统软件的迁移功能随着VM到达相应的vSwitch。但根据思博伦测试专家的观点,策略
在vSwitch上部署过多对于vSwitch性能有一定影响。同时,对大二层网络,策略过于分散,不利于运行维护。并且在当前企业数据中心运维架构中,服务器虚拟化带来的Switch管理归属成为问题。(是网络运营部门?还是应用运营部门?)
另一种集中式的控制策略部署在网络设备上。对IRF2构建的网络,如果对外部访问VM的流量进行策略控制,则可在所有VM的网关层设置入方向的ACL控制策略,如图16所示,控制集中、便于策略维护。
IRF2虚拟化在数据中心建设的实施已经是一种必然趋势,最佳实践的设计是落实IRF2的有效途径。IRF2并没有完全摒弃传统设计方法,而是对数据中心总体网络架构的优化,同时,IRF2的实施结果也是实现数据中心的虚拟化价值。
NIKE 项目数据中心网络架构方案
NIKE 项目数据中心网络架构方案 1.概述 (2) 2.系统需求分析 (2) 3.企业网络信息系统设计思路 (2) 4.企业网络信息系统建设原则 (2) 5.系统技术实现细节 (3) 5.1 网络拓扑图 (3) 5.2 Nike项目服务器技术实现细节 (4) 5.2.1双机备份方案 (4) 5.2.1.1.双机备份方案描述 (4) 5.2.1.2.双机备份方案的原理 (4) 5.2.1.3.双机备份方案的适用范围 (4) 5.2.1.4.双机备份的方式及优缺点 (4) 5.2.1.5双机方案建议 (4) 5.2.1.6磁盘阵列备份模式示意图 (5)
5.2.1.7双机方案网络拓扑图 (5) 5.2.1.8双机热备工作原理 (6) 6.备份 (6) 7.建议配置方案及设备清单..................................................7-8 1.概述 21世纪世界竞争的焦点将是信息的竞争,社会和经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大,信息技术的发展对政治、经济、科技、教育、军事等诸多方面的发展产生了重大的影响,信息化是世界各国发展经济的共同选择,信息化程度已成为衡量一个国家,一个行业现代化的重要标志。 2.系统需求分析 由于此方案是专为NIKE项目数据中心设计,此数据中心是为数据信息提供传递、处理、存储服务的,为了满足企业高效运作对于正常运行时间的要求,因此,此数据中心在通信、电源、冷却、线缆与安全方面都必须要做到非常可靠和安全,并可适应不断的增长与变化的要求。 3.系统设计思路 企业网络信息系统的建设是为企业业务的发展服务,综合考虑公司信息系统当前背景和状况,其建设设计主要应达到如下目标: 1) 系统的设计应能满足公司对公用信息资源的共享需求,满足3PL及客户查询数据的共享需求,并为实现公用信息资源共享提供良好的网络环境,概括而言之就是能让相关人员顺利流畅的访问数据中心的Nike XpDX Server及我司的TMS等相关系统。与此同时,系统的建设还需要考虑到投入和产出两者间的关系,注意强调成本节约,提高效费比的问题。 2) 系统的设计必须充分考虑到建成后系统的管理维护问题。为此设计应强调系统的统一集中管理,尽量减少资源的分散管理,注重提高信息系统平台运营维护的工作效率。 3) 系统的设计还需要考虑建成后资源的合理利用问题,必须保证建成系统资源主要服务于设定需求,保证设计数据流量在网络中流畅通行。因此,必须保证只有设计的数据流量才能优先在网络中传递,对于设计外数据流量(例如互联网网页访问、网络下载、网络视频、网络音频、P2P、IM聊天)应通过技术
数据中心IRF虚拟化网络架构与应用
数据中心IRF虚拟化网络架构与应用
1 概述
网络已经成为企业IT运行的基石,随着IT业务的不断发展,企业的基础网络架构也不断调整和演化, 以支持上层不断变化的应用要求。 在传统数据中心网络的性能、安全、永续基础上,随着企业IT应用的展开,业务类型快速增长、运行 模式不断变化,给基础网络带来极大运维压力:需要不断变化结构、不断扩展。而传统的网络规划设计依 据高可靠思路,形成了冗余复杂的网状网结构,如图1所示。
图1 企业数据中心IT基础架构网状网 结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。 这样一种依赖于纯物理冗余拓扑的架构,在实际的运行维护中却同时也承担了极其繁冗的工作量。 多环的二层接入、full mesh的路由互联,网络中各种链路状态变化、节点运行故障都会引起预先规划配 置状态的变迁,带来运维诊断的复杂性;而应用的扩容、迁移对网络涉及更多的改造,复杂的网络环境下 甚至可能影响无关业务系统的正常运行。 因此,传统网络技术在支撑业务发展的同时,对运维人员提出的挑战是越来越严峻的。 随着上层应用不断发展,虚拟化技术、大规模集群技术广泛应用到企业IT中,作为底层基础架构的网 络,也进入新一轮技术革新时期。H3C提供的网络虚拟化技术IRF2,以极大简化网络逻辑架构、整合物理 节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。
2
2.1
基于 IRF 虚拟化的数据中心 server farm 网络设计
数据中心的应用架构与服务器网络
对于上层应用系统而言,当前主流的业务架构主要基于C/S与B/S架构,从部署上,展现为多层架构的 方式,如图2所示,常见应用两层、三层、四层的部署方式都有,依赖于服务器处理能力、业务要求和性能、 扩展性等多种因素。
图2 多层应用架构 基础网络的构建是为上层应用服务,因此,针对应用系统的不同要求,数据中心服务器区的网络架构 提供了多种适应结构,如图3展示了4种H3C提供的常用网络拓扑结构:
图3 多种数据中心server farm结构 根据H3C的数据中心架构理解和产品组合能力,可提供独立的网络、安全、优化设备组网,也可以提 供基于框式交换平台集成安全、优化的网络架构。Server farm 1&2是一种扁平化架构,多层应用服务器
数据中心安全建设方案
数据中心安全建设方案
数据中心安全解决方案
目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP准入控制系统 (4) 1.3.2 防泄密技术的选择 (6) 1.3.3 主机账号生命周期管理系统 (6) 1.3.4 数据库账号生命周期管理系统.. 7 1.3.5 令牌认证系统 (7) 1.3.6 数据库审计系统 (8) 1.3.7 数据脱敏系统 (8) 1.3.8 应用内嵌账号管理系统 (9) 1.3.9 云计算平台 (12) 1.3.10 防火墙 (13) 1.3.11 统一安全运营平台 (13) 1.3.12 安全运维服务 (15) 1.4实施效果 (15) 1.4.1 针对终端接入的管理 (15) 1.4.2 针对敏感数据的使用管理 (16) 1.4.3 针对敏感数据的访问管理 (17) 1.4.4 针对主机设备访问的管理 (17)
1.4.5 针对数据库访问的管理 (18) 1.4.6 针对数据库的审计 (19) 1.4.7 针对应用内嵌账号的管理 (21) 1.4.8 安全运营的规范 (21) 1.4.9 针对管理的优化 (22) 第二章项目预算及项目要求 (23) 2.1项目预算 (23) 2.1.1 项目一期预算 (23) 2.1.2 一期实现目标 (24) 2.2项目要求 (25) 2.2.1 用户环境配合条件 (25)
第一章解决方案 1.1建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.2建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统
数据中心网络系统设计方案范本
数据中心网络系统 设计方案
数据中心高可用网络系统设计 数据中心作为承载企业业务的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据的集中,企业数据中心的建设及运维给信息部门带来了巨大的压力,“数据集中就意味着风险集中、响应集中、复杂度集中……”,数据中心出现故障的情况几乎不可避免。因此,数据中心解决方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。为了实现这一目标,首先应该要了解企业数据中心出现故障的类型以及该类型故障产生的影响。影响数据中心的故障主要分为如下几类: 硬件故障 软件故障 链路故障 电源/环境故障 资源利用问题 网络设计问题 本文针对网络的高可用设计做详细的阐述。 高可用数据中心网络设计思路
数据中心的故障类型众多,但故障所导致的结果却大同小异。即数据中心中的设备、链路或server发生故障,无法对外提供正常服务。缓解这些问题最简单的方式就是冗余设计,能够经过对设备、链路、Server提供备份,从而将故障对用户业务的影响降低到最小。 可是,一味的增加冗余设计是否就能够达到缓解故障影响的目的?有人可能会将网络可用性与冗余性等同起来。事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性有可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会带来一些如下缺点: 网络复杂度增加 网络支撑负担加重 配置和管理难度增加 因此,数据中心的高可用设计是一个综合的概念。在选用高可靠设备组件、提高网络的冗余性的同时,还需要加强网络构架及协议部署的优化,从而实现真正的高可用。设计一个高可用的数据中心网络,可参考类似OSI七层模型,在各个层面保证高可用,最终实现数据中心基础网络系统的高可用,如图1所示。
数据中心虚拟化为何离不开大二层网络技术
数据中心虚拟化为何离不开大二层网络技术? 一.为什么需要大二层? 1. 虚拟化对数据中心提出的挑战 传统的三层数据中心架构结构的设计是为了应付服务客户端-服务器应用程序的纵贯式大流量,同时使网络管理员能够对流量流进行管理。工程师在这些架构中采用生成树协议(STP)来优化客户端到服务器的路径和支持连接冗余。 虚拟化从根本上改变了数据中心网络架构的需求。最重要的一点就是,虚拟化引入了虚拟机动态迁移技术。从而要求网络支持大范围的二层域。从根本上改变了传统三层网络统治数据中心网络的局面。 2. 虚拟机迁移与数据中心二层网络的变化 在传统的数据中心服务器区网络设计中,通常将二层网络的范围限制在网络接入层以下,避免出现大范围的二层广播域。 如图1所示,由于传统的数据中心服务器利用率太低,平均只有10%~15%,浪费了大量的电力能源和机房资源。虚拟化技术能够有效地提高服务器的利用率,降低能源消耗,降低客户的运维成本,所以虚拟化技术得到了极大的发展。但是,虚拟化给数据中心带来的不仅是服务器利用率的提高,还有网络架构的变化。具体的来说,虚拟化技术的一项伴生技术—虚拟机动态迁移(如VMware的VMotion)在数据中心得到了广泛的应用。简单来说,虚拟机迁移技术可以使数据中心的计算资源得到灵活的调配,进一步提高虚拟机资源的利用率。但是虚拟机迁移要求虚拟机迁移前后的IP和MAC地址不变,这就需要虚拟机迁移前后的网络处于同一个二层域内部。由于客户要求虚拟机迁移的范围越来越大,甚至是跨越不同地域、不同机房之间的迁移,所以使得数据中心二层网络的范围越来越大,甚至出现了专业的大二层网络这一新领域专题。 3. 传统网络的二层为什么大不起来? 在数据中心网络中,“区域”对应VLAN的划分。相同VLAN内的终端属于同一广播域,具有一致的VLAN-ID,二层连通;不同VLAN内的终端需要通过网关互相访问,二层隔离,三层连通。传统的数据中心设计,区域和VLAN的划分粒度是比较细的,这主要取决于“需求”和“网络规模”。 传统的数据中心主要是依据功能进行区域划分,例如WEB、APP、DB,办公区、业务区、内联区、外联区等等。不同区域之间通过网关和安全设备互访,保证不同区域的可靠性、安全性。同时,不同区域由于具有不同的功能,因此需要相互访问数据时,只要终端之间能够通信即可,并不一定要求通信双方处于同一VLAN或二层网络。 传统的数据中心网络技术, STP是二层网络中非常重要的一种协议。用户构建网络时,为了保证可靠性,通常会采用冗余设备和冗余链路,这样就不可避免的形成环路。而二层网
数据中心信息安全解决方案模板
数据中心信息安全 解决方案
数据中心解决方案 (安全)
目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。
数据中心IRF2虚拟化网络架构与应用
数据中心IRF2虚拟化网络架构与应用 文/刘新民 网络已经成为企业IT运行的基石,随着IT业务的不断发展,企业的基础网络架构也不断调整和演化,以支持上层不断变化的应用要求。 在传统数据中心网络的性能、安全、永续基础上,随着企业IT应用的展开,业务类型快速增长,运行模式不断变化,基础网络需要不断变化结构、不断扩展以适应这些变化,这给运维带来极大压力。传统的网络规划设计依据高可靠思路,形成了冗余复杂的网状网结构,如图1所示。 图1 企业数据中心IT基础架构网状网 结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。这样一种依赖于纯物理冗余拓扑的架构,在实际的运行维护中却同时也承担了极其繁冗的工作量。 多环的二层接入、Full Mesh的路由互联,网络中各种链路状态变化、节点运行故障都会引起预先规划配置状态的变迁,带来运维诊断的复杂性;而应用的扩容、迁移对网络涉及更多的改造,复杂的网络环境下甚至可能影响无关业务系统的正常运行。 因此,传统网络技术在支撑业务发展的同时,对运维人员提出的挑战是越来越严峻的。 随着上层应用不断发展,虚拟化技术、大规模集群技术广泛应用到企业IT中,作为底层基础架构的网络,也进入新一轮技术革新时期。H3C IRF2以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。 1. 数据中心的应用架构与服务器网络 对于上层应用系统而言,当前主流的业务架构主要基于C/S与B/S架构,从部署上,展现为多层架构的方式,如图2所示,常见应用两层、三层、四层的部署方式都有,依赖于服务器处理能力、业务要求和性能、
数据中心、网络安全
一、数据中心的作用: 用来在internet网络基础设施上传递、加速、展示、计算、存储数据信息。 二、数据中心的组成 1、基础环境: 主要指数据中心机房及建筑物布线等设施,包括电力、制冷、消防、门禁、监控、装修等; 2、硬件设备: 主要包括核心网络设备(华为、新华三(H3C)、锐捷网络、D-Link)、 网络安全设备包含防火墙、utm、vpn、防毒邮件过滤、IPS防入侵系统物理安全隔离、监管(华为、深信服、新华三、360、天融信、启明星辰) 服务器(戴尔、联想、华为) 存储(惠普、希捷、联想、群辉) 灾备设备、机柜及配套设施; 3、基础软件: 服务器操作系统软件、虚拟化软件、IaaS服务管理软件、数据库软件、防病毒软件等;4、应用支撑平台: 一般来讲是具有行业特点的统一软件平台,整合异构系统,互通数据资源;剩下的是具体应用软件了,多数应该做成与硬件无关的。最最重要的是,光靠软件硬件的罗列是无法构成一个好的数据中心,关键是如何设计、如何 三、网络安全的作用 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断 四、网络安全的组成 1、防火墙: 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 2、IPS(防入侵系统) 监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 3、防毒墙 查杀病毒保护网络安全 4、抗DDOS 主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务 5、堡垒机 保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 6、WAF网络防火墙 Web应用防护系统(也称为:网站应用级入侵防御系统 7、网闸 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
数据中心安全规划方案
XX数据中心信息系统安全建设项目 技术方案
目录1.项目概述4 1.1.目标与范围4 1.2.参照标准4 1.3.系统描述4 2.安全风险分析5 2.1.系统脆弱性分析5 2.2.安全威胁分析5 2.2.1.被动攻击产生的威胁5 2.2.2.主动攻击产生的威胁5 3.安全需求分析7 3.1.等级保护要求分析7 3.1.1.网络安全7 3.1.2.主机安全8 3.1.3.应用安全9 3.2.安全需求总结9 4.整体安全设计10 4.1.安全域10 4.1.1.安全域划分原则10 4.1.2.安全域划分设计11 4.2.安全设备部署12 5.详细安全设计13 5.1.网络安全设计13 5.1.1.抗DOS设备13 5.1.2.防火墙14 5.1.3.WEB应用安全网关15 5.1.4.入侵防御16
5.1.5.入侵检测17 5.1. 6.安全审计18 5.1.7.防病毒18 5.2.安全运维管理19 5.2.1.漏洞扫描19 5.2.2.安全管理平台19 5.2.3.堡垒机21 6.产品列表21
1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分,从网络安全,主机安全,应用安全,来对网络与服务器进行设计。根据用户需求,在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络,所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统:能源应用,环保应用,市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX 数据中心的数据库中,数据库对这些企业数据进行汇总与分析,同时企业节点也可以通过VPN去访问XX数据中心的相关应用。
数据中心网络安全设计与实施
摘要 随着信息技术的普及,生产、生活、工作、学习,到处可以看到计算机和网络,几乎互联网已经成为我们人类生存中不可缺少的一个重要组成部分。政府机关、事业单位,甚至我们的军队中,也出现了计算机网络。 如今,国内外黑客技术不断发展壮大,已经远远超过我们现有的防卫力量,网络安全威胁已经成为一个不可忽视的问题。大国之间的军备竞赛也涉及到网络,纷纷成立网络军队,使得互联网技术也成为了一把锋利的双刃剑。 IT行业不断发展,互联网应用将会越来越广泛,如今已经成为我们生产、生活不可分割的一部分,信息安全却成为我们迫在眉睫的问题。为了使我们使用网络更加方便,为了更好的进行管理,运营商和大型公司,都在纷纷建立数据中心,保障数据中心的网络安全,便成为我们工作的重中之重。 本次模拟试验是根据目前黑客拥有并掌握的攻防技术,以及Cisco公司指出的相关网络安全技术,通过网络安全方案实施,能够应对一般的网络安全攻击的威胁。
Abstract With the spread of information technology, production, living, working, learning, computers and networks can be seen everywhere, the Internet has become almost indispensable to human existence is an important part. Government agencies, institutions, and even our armed forces, there have been computer networks. Today, technology continues to grow and develop domestic and international hackers have been far more than our existing defense forces, the network has become a security threat can not be ignored. The arms race between the major powers involved in the network, have set up the network army, making Internet technology has also become a sharp double-edged sword. The continuous development of IT industry, Internet applications will become increasingly widespread, and now has become our production, an integral part of life, information security has become our immediate problem. To make our network more convenient to use, in order to better manage, operators and large companies, have set up in data centers, security.
数据中心建设架构设计
数据中心架构建设计方案建议书 1、数据中心网络功能区分区说明 功能区说明 图1:数据中心网络拓扑图 数据中心网络通过防火墙和交换机等网络安全设备分隔为个功能区:互联网区、应用服务器区、核心数据区、存储数据区、管理区和测试区。可通过在防火墙上设置策略来灵活控制各功能区之间的访问。各功能区拓扑结构应保持基本一致,并可根据需要新增功能区。 在安全级别的设定上,互联网区最低,应用区次之,测试区等,核心数据区和存储数据区最高。 数据中心网络采用冗余设计,实现网络设备、线路的冗余备份以保证较高的可靠性。 互联网区网络 外联区位于第一道防火墙之外,是数据中心网络的Internet接口,提供与Internet高速、可靠的连接,保证客户通过Internet访问支付中心。 根据中国南电信、北联通的网络分割现状,数据中心同时申请中国电信、中国联通各1条Internet线路。实现自动为来访用户选择最优的网络线路,保证优质的网络访问服务。当1条线路出现故障时,所有访问自动切换到另1条线路,即实现线路的冗余备份。
但随着移动互联网的迅猛发展,将来一定会有中国移动接入的需求,互联区网络为未来增加中国移动(铁通)链路接入提供了硬件准备,无需增加硬件便可以接入更多互联网接入链路。 外联区网络设备主要有:2台高性能链路负载均衡设备F5 LC1600,此交换机不断能够支持链路负载,通过DNS智能选择最佳线路给接入用户,同时确保其中一条链路发生故障后,另外一条链路能够迅速接管。互联网区使用交换机可以利用现有二层交换机,也可以通过VLAN方式从核心交换机上借用端口。 交换机具有端口镜像功能,并且每台交换机至少保留4个未使用端口,以便未来网络入侵检测器、网络流量分析仪等设备等接入。 建议未来在此处部署应用防火墙产品,以防止黑客在应用层上对应用系统的攻击。 应用服务器区网络 应用服务器区位于防火墙内,主要用于放置WEB服务器、应用服务器等。所有应用服务器和web服务器可以通过F5 BigIP1600实现服务器负载均衡。 外网防火墙均应采用千兆高性能防火墙。防火墙采用模块式设计,具有端口扩展能力,以满足未来扩展功能区的需要。 在此区部署服务器负载均衡交换机,实现服务器的负载均衡。也可以采用F5虚拟化版本,即无需硬件,只需要使用软件就可以象一台虚拟服务器一样,运行在vmware ESXi上。 数据库区
华为数据中心虚拟化解决方案
1项目技术方案 对于XXX项目中众多应用系统,采用华为FusionSphere虚拟化技术,将上述部分应用服务部署到虚拟化化的高性能物理服务器上,达到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池(集群),保障虚拟化平台的业务在出现计划外和计划内停机的情况下能够持续运行。本项目采用华为FusionSphere虚拟化计算技术实现, 通过云平台HA、热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT,单点故障导致的业务不可用。 易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。 便于业务的快速发放, 缩短业务上线周期,高度灵活性与可扩充性、提高管理维护效率。 利用云计算技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据应用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使IT 资源与业务 优先事务能够更好地协调。 在数据存储方面,通过共享的SAN存储架构,可以最大化的发挥虚拟架构的优势; 提供虚拟机的HA、虚拟机热迁移、存储热迁移技术提高系统的可靠性;提供虚拟 机快照备份技术(HyperDP)等,而且为以后的数据备份容灾提供扩展性和打下基础。 云平台:采用华为FusionSphere云平台,提供高可用性的弹性虚拟机,保障业务系统的连续性与虚拟机的安全隔离。 备份系统:采用华为FusionSphere HyperDP备份节点建立完整的数据保护系统。整个备份云可实现集中管理,负载均衡。 数据中心包含云管理、计算资源池、存储资源池,备份系统为可选。 Figure图1 单数据中心方案拓扑
XXX 应用系统集群 Exchange Sharepoint 终端终端 业务网络 管理网络 存储网络 网络连线防火墙 防火墙 XXX 项目数据中心架构分为: 接入控制:用于对终端的接入访问进行有效控制,包括接入网关,防火墙等设备。接入控制设备不是解决方案所必须的组成部分,可以根据客户的实际需求进行裁减。 虚拟化资源池:通过在计算服务器上安装虚拟化平台软件,然后在其上创建虚拟机。存储用于向虚拟机提供系统盘、数据盘等存储资源。 资源管理:云资源管理及调度,主要是对各种云物理资源和虚拟资源进行管理。创建虚拟机时,为虚拟机分配相应的虚拟资源。包括云管理服务器、集群管理服务器、安装服务器
数据中心安全建设方案
数据中心安全解决方案
1 目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP 准入控制系统 (5) 1.3.2防泄密技术的选择 (6) 1.3.3主机账号生命周期管理系统 (6) 1.3.4数据库账号生命周期管理系统 (7) 1.3.5令牌认证系统 (8) 1.3.6数据库审计系统 (8) 1.3.7数据脱敏系统 (9) 1.3.8应用内嵌账号管理系统 (10) 1.3.9云计算平台 (13) 1.3.10防火墙 (13) 1.3.11统一安全运营平台 (14) 1.3.12安全运维服务 (16) 1.4实施效果 (16) 1.4.1针对终端接入的管理 (16) 1.4.2针对敏感数据的使用管理 (17) 1.4.3针对敏感数据的访问管理 (18) 1.4.4针对主机设备访问的管理 (18) 1.4.5针对数据库访问的管理 (19) 1.4.6针对数据库的审计 (20) 1.4.7针对应用内嵌账号的管理 (22) 1.4.8安全运营的规范 (22) 1.4.9针对管理的优化 (23) 第二章项目预算及项目要求 .......................................................................错误!未定义书签。 2.1项目预算 ..........................................................................................错误!未定义书签。 2.1.1项目一期预算 .......................................................................错误!未定义书签。 2.1.2一期实现目标 .......................................................................错误!未定义书签。 2.2项目要求 ..........................................................................................错误!未定义书签。 2.2.1用户环境配合条件 ...............................................................错误!未定义书签。
云数据中心基础环境-详细设计方案
云数据中心基础环境详细设计方案
目录 第一章综合布线系统 (11) 1.1 项目需求 (11) 1.2 综合布线系统概述 (11) 1.2.1 综合布线系统发展过程 (11) 1.2.2 综合布线系统的特点 (12) 1.2.3 综合布线系统的结构 (13) 1.3 综合布线系统产品 (14) 1.3.1 选择布线产品的参考因素 (14) 1.3.2 选型标准 (15) 1.3.3 综合布线产品的经济分析 (15) 1.3.4 综合布线产品的选择 (15) 1.3.5 综合布线系统特点 (16) 1.3.6 主要产品及特点 (17) 1.4 综合布线系统设计 (23) 1.4.1 设计原则 (23) 1.4.2 设计标准 (24) 1.4.3 设计任务 (25) 1.4.5 设计目标 (26) 1.4.6 设计要领 (26) 1.4.7 设计内容 (27) 1.5 工作区子系统设计方案 (34) 1.5.1 系统介绍 (34) 1.5.2 系统设计 (35) 1.5.3 主要使用产品 (39) 1.6 水平区子系统设计方案 (40) 1.6.1 系统介绍 (40) 1.6.2 系统设计 (41) 1.6.3 主要使用产品 (46) 1.7 管理子系统设计方案 (46) 1.7.1 系统介绍 (46) 1.7.2 系统设计 (47) 1.7.3 主要使用产品 (51) 1.8 垂直干线子系统设计方案 (52)
1.8.1 系统介绍 (52) 1.8.2 系统设计 (53) 1.8.3 主要使用产品 (56) 1.9 设备室子系统设计方案 (57) 1.9.1 系统介绍 (57) 1.9.2 系统设计 (57) 1.10 综合布线系统防护设计方案 (59) 1.10.1 系统介绍 (59) 1.10.2 系统设计 (60) 1.10.3 主要使用产品 (63) 第二章强电布线系统 (64) 2.1 概述 (64) 2.2 设计原则 (64) 2.3 设计依据 (65) 2.4 需求分析 (66) 2.5 系统设计 (67) 2.6 施工安装 (69) 2.6.1 桥架施工 (69) 2.6.2 管路施工 (69) 2.6.3 电缆敷设及安装 (70) 第三章配电系统 (71) 3.1 概述 (71) 3.2 用户需求 (72) 3.3 系统设计 (72) 3.3.1 UPS输入配电柜设计 (73) 3.3.2 UPS输出配电柜设计 (73) 3.3.3 UPS维修旁路配电柜设计 (74) 3.3.4 精密空调动力配电柜设计 (74) 3.3.5 动力配电柜设计 (75) 3.3.6 机房强电列头配电柜设计 (76) 3.4 施工安装 (83) 3.4.1 桥架管线施工 (83) 3.4.2 配电柜安装 (83) 第四章精密空调系统 (85) 4.1 项目概述 (85) 4.2 设计原则 (86)
云计算数据中心网络虚拟化技术
云计算数据中心网络虚拟化技术 Network1:VM 本地互访网络,边界是Access Switch ,包括物理服务器本机VM 互访和跨Access Switch 的不同物理服务器VM 互访两个层面。 Network2:Ethernet 与FC 融合,就是FCoE ,边界仍然是Access Switch 。 Network3:跨核心层服务器互访网络,边界是Access Switch 与Core Switch 。 Network4:数据中心跨站点二层网络,边界是Core Switch 。 Network5:数据中心外部网络,边界是Core Switch 与ISP IP 网络。 在大规模数据中心部署虚拟化计算和虚拟化存储以后,对网络产生了新的需求。 1) 虚拟机(VM)之间的互通,在DC 内部和DC 间任 意互通、迁移和扩展资源。 2) 更多的接口,更多的带宽,至少按照一万个万兆端口容量构建资源池。 3) 二层网络规模扩大,保证业务与底层硬件的透 明和随需部署。 4) 数据中心站点间二层互联,DC 资源整合,地域 无差别,构建真正的大云。 5) 服务器前后端网络融合,DC 内部网络整合。 李 明 杭州华三通信技术有限公司 杭州 100052 摘 要 云计算带来的超大规模数据中心建设,对数据中心网络提出了新的需求,网络虚拟化技术是解决这些新需求的有效手段,通过系统论述数据中心网络虚拟化技术中涉及的控制平面虚拟化技术和数据平面虚拟化技术,分析了业界主要厂商的技术实现和新的虚拟化标准协议的技术原理,为数据中心网络虚拟化技术的发展提出了一个较为清晰的演进路径。 关键词 云计算;数据中心;网络虚拟化技术 云计算最重要的技术实现就是虚拟化技术,计算虚拟化商用的解决方案得到了较成熟的应用,而存储虚拟化已经在SAN 上实现得很好了,在网络虚拟化技术方面,业界主流厂商都提出了自己的解决方案,本文分析了数据中心中网络虚拟化的实现相关技术和发展思路。 最早的网络虚拟化技术代表是交换机集群Cluster 技术,多以盒式小交换机为主,当前数据中心里面已经很少见了。而新技术则主要分为两个方向,控制平面虚拟化与数据平面虚拟化。在探讨网络虚拟化技术之前,先定义一下云计算数据中心各种网络类型,数据中心网络流量的根本出发点是Server ,结合云计算最适合的核心-接入二层网络结构,各种网络分类如图1所示。 Client Network5 Network4 Network3 Network2Network Core Layer Access Layer Physical Server(PS) VM/PS VM VM VM/PS DC Sitel DC Site2 图1 网络分类
数据中心云安全建设方案
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
虚拟化数据中心的网络安全设计
虚拟化数据中心给网络安全带来了一些挑战,尤其是虚拟机的迁移,计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术,如VLAN扩展,安全策略上移,网络安全策略跟随虚拟机动态迁移等。 虚拟化数据中心的网络安全设计 数据中心虚拟化是指采用虚拟化技术构建基础设施池,主要包括计算、存储、网络三种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路,而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。 数据中心虚拟化,从主机等计算资源的角度看,包含多合一与一分多两个方向(如图1所示),都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。前者出现较早,主要包括集群计算等技术,以提升计算性能为主;而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术,以缩短业务部署时间,提高资源使用效率为主要目的。 图1 计算虚拟化的两种表现形式
虚拟化后数据中心面临的安全问题 传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略(如图2所示),网络安全策略能够满足主机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。。 图2 数据中心虚拟化安全模型 虚拟化数据中心对网络安全提出三点需求: 1、在保证不同用户或不同业务之间流量访问控制,还要支持多租户能力; 2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移; 3、网络安全策略可跟随虚拟机自动迁移。 在上述三个需求中,第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现,这给当前网络安全策略带来了挑战。 应对之道 VLAN扩展 虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机(虚拟机或者物理机)的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。 要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前看开,VLAN是最好的选择,但由于VLAN数最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。如图3所示,VLAN扩展的有以下两个