數(shù)據(jù)中心在虛擬化與云計(jì)算以及軟件定義網(wǎng)絡(luò)（SDN）這樣的新技術(shù)驅(qū)動(dòng)下迅速發(fā)展。與此同時(shí)也顛覆了數(shù)據(jù)中心的網(wǎng)絡(luò)安全的設(shè)計(jì)與部署。

軟件定義網(wǎng)絡(luò)（SDN：Software-Defined Networking）

虛擬化與云計(jì)算方興未艾，另一項(xiàng)技術(shù)模式軟件定義網(wǎng)絡(luò)（Software-Defined Networking）（或外沿更為寬泛為軟件定義數(shù)據(jù)中心）的提出已然同樣帶來諸多的改變。SDN，SDDC、網(wǎng)絡(luò)虛擬化以及網(wǎng)絡(luò)功能虛擬化（NFV：network function virtualization）— 這些意味著，于安全又有怎樣的影響？

網(wǎng)絡(luò)虛擬化

要談網(wǎng)絡(luò)虛擬化應(yīng)該從服務(wù)器虛擬化的歷史談起。服務(wù)器虛擬化或更確切的是x86虛擬化、物理計(jì)算硬件的抽象化，也就是x86 CPU、芯片與RAM；以及管理程序?qū)用娴膹腛S與應(yīng)用都等同于虛擬，例如vCPU以及vRAM等。把這些虛擬的集合封裝到一個(gè)VM的容器中，且與其他容器相隔離，從而實(shí)現(xiàn)了相比硬件組合更經(jīng)濟(jì)的方式。基于此，虛擬化網(wǎng)絡(luò)中便有了虛擬化的交換機(jī)，也就是一種如何讓多個(gè)vNIC共享一個(gè)物理接口卡的一種邏輯上的機(jī)制。但這并不是x86服務(wù)器的虛擬化，畢竟，一個(gè)板載的x86網(wǎng)絡(luò)硬件是NIC或以太網(wǎng)適配器，并不是一個(gè)交換機(jī)，作為最早的虛擬化產(chǎn)品，例如VMware虛擬機(jī)是沒有虛擬交換的（且現(xiàn)在也沒有）。

廠商與用戶都快速的發(fā)現(xiàn)虛擬化網(wǎng)絡(luò)可以提供除了硬件合并以外的其他網(wǎng)絡(luò)方面的優(yōu)勢(shì)，例如帶寬資源池、冗余、NIC冗余等，且虛擬化網(wǎng)絡(luò)的功能快速擴(kuò)展。但是虛擬化網(wǎng)絡(luò)仍然是服務(wù)器虛擬化的副產(chǎn)品，虛擬化交換機(jī)如果獨(dú)立于管理程序vmkernel外仍然不是一個(gè)真正的軟件交換。虛擬網(wǎng)絡(luò)實(shí)際上仍然要依靠物理網(wǎng)絡(luò)，而不能反向行之（例如，依賴物理網(wǎng)絡(luò)去定義802.1Q VLAN）。

網(wǎng)絡(luò)虛擬化將虛擬化網(wǎng)絡(luò)提升到一般的部署層面且集中在物理網(wǎng)絡(luò)層，例如交換機(jī)與路由。類似，如同x86服務(wù)器，網(wǎng)絡(luò)端口抽象化為虛擬端口，可邏輯上與虛擬交換相結(jié)合。網(wǎng)絡(luò)層hypervisor也可以甚至獨(dú)立于x86的hypervisor平臺(tái)而存在，或甚至可以在沒有服務(wù)器虛擬化的環(huán)境下，雖然現(xiàn)如今采用網(wǎng)絡(luò)虛擬化的任何的數(shù)據(jù)中心同樣會(huì)使用虛擬化服務(wù)器。

網(wǎng)絡(luò)虛擬化中兩個(gè)關(guān)鍵的話題是OpenFlow與overlay networks

OpenFlow — 將控制與數(shù)據(jù)層虛擬化

OpenFlow模式下，對(duì)管理層面解耦合的邏輯抽象或通過網(wǎng)絡(luò)層hypervisor或SDN控制器抽象化控制層。OpenFlow是被推薦的通信標(biāo)準(zhǔn)之一，也就是通過在SDN控制器之間定義各個(gè)廠商層面需要的客戶端服務(wù)器API接口，這樣便會(huì)在固定的物理交換機(jī)/接口之間定義或控制數(shù)據(jù)流。 大多數(shù)網(wǎng)絡(luò)硬件廠商都接受了OpenFlow，但是并不是全部的廠商都使用公開的標(biāo)準(zhǔn)為驅(qū)動(dòng)產(chǎn)出價(jià)值。

數(shù)據(jù)流控制提供了一種集成安全設(shè)備的方式，例如網(wǎng)絡(luò)監(jiān)控或邏輯網(wǎng)絡(luò)內(nèi)部的在線的防火墻設(shè)備；但是，安全產(chǎn)品應(yīng)不能使用Openflow協(xié)議（或南向接口）直接去在網(wǎng)絡(luò)接口對(duì)流量進(jìn)行修改，也就是說，根本上作為一個(gè)OpenFlow客戶端應(yīng)只有一個(gè)“指揮控制中心”或SDN控制器。 為了與控制器協(xié)調(diào)工作，安全產(chǎn)品應(yīng)使用其他控制器中可用的北向接口或編排相關(guān)的架構(gòu)以與其他網(wǎng)絡(luò)協(xié)議以及其自身的核心網(wǎng)絡(luò)數(shù)據(jù)流相協(xié)調(diào)。

但是，SDN帶來的挑戰(zhàn)，例如VMware NSX或甚至是開源的Floodlight，都沒有標(biāo)準(zhǔn)的北向接口。一個(gè)潛在的解決方案是如同Openstack Quantum這樣的開源項(xiàng)目，提供包括北向API等一套的東西，但是作為一個(gè)SDN控制器進(jìn)行服務(wù)，而是作為支持控制器的接口。即便這樣，不斷重新定義數(shù)據(jù)流且能夠?qū)崟r(shí)進(jìn)行也不是一種理想的方式利用SDN進(jìn)行安全策略的執(zhí)行，且會(huì)帶來復(fù)雜與冗余。

河南億恩科技股份有限公司(www.allwellnessguide.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900