返回移动版中国电信浙江公司为解决业务云资源池中网络资源管理遇到的困境，试点引入VxLAN技术，以此为基础构建与物理网络松耦合的网络虚拟化资源池，进一步探索私有云网络资源开放的可行性。本文从VxLAN技术的实际部署设计方案出发，解析云资源池引入VxLAN的设计要点，并结合资源池的实际情况，进一步分析引入VxLAN如何为云资源池在网络资源管理效率方面带来提升。主要问题中国电信浙江公司自2011年开始研究部署云计算技术，建设了业务云计算资源池。经过几年的发展和优化，现已基本形成安全、可靠的云计算资源池体系。目前在资源池上已经承载了包括企业信息化系统在内的近300个应用平台。自2013年开始，伴随着资源池规模的增大、部署应用系统的增多、业务需求的不断叠加，网络能力逐渐成为了资源池演进的瓶颈：网络集中配置导致业务开通时间越来越长、不同应用的网络个性需求不断叠加到基础网络上、网络资源的SLA粒度与资源池其他资源的分配管理互不匹配等。究其原因，我们认为主要存在以下两点。● 资源池网络相关设备均是由传统的IP设备组成，维护人员直接管理、配置和维护物理设备，但是物理设备无法实现高效的动态化。已经可以动态按需分配的计算资源会因物理网络设备的限制而无法高效地实现自动化供给与调配；不同类型资源的统一快速配置与编排组合还难以做到，快速的自动协同更是不可能；无法满足多租户环境下不同客户对各类资源的统一快速供给需求。● 资源池内共享的网络资源导致物理设备上配置复杂，各配置信息集中在某些核心设备上，缺乏隔离手段，会出现某一配置出错，进而导致整个资源池网络出现故障，并引发业务大面积的中断，配置压力也很大。复杂的配置决定网络的配置必须集中在1~2名对资源池网络环境非常熟悉并且对各租户网络需求充分理解的维护人员上，这不仅需要维护人员的技术水平极高，而且也形成了资源池的配置瓶颈。因此，我们尝试了“网络资源池化”：将网络资源封装为类似计算、存储的池化资源进行多租户管理，并通过SDN网络管理能力开放的方法，解决上述问题。软件定义网络软件定义网络（Software-Defined-Network，SDN）技术广义上是解决云资源池网络瓶颈的理想方案，其具体的实现方案主要包括以下3种类型。（1）基于专用接口的方案：该类方案的实现思路是不改变传统网络的实现机制和工作方式，通过对现有网络设备的操作系统进行升级改造，使之能够支持专用的可编程接口供网络管理系统调用，实现网络设备的统一配置管理和策略下发，改变原先需要逐台设备进行登录配置的手工操作方式；同时这些接口也可用于开发网络应用，实现网络设备的软件编程。其中，最典型的技术产品是思科的onePK（Open Network Environment Platform Kit）。（2）基于叠加网络的方案：该类方案的实现思路是以现行的IP网络为基础，在其上建立叠加的逻辑网络（Overlay Logical Network）用于屏蔽掉底层物理网络的差异，实现网络资源的虚拟化，使得多个逻辑上彼此隔离的网络分区以及多种异构的虚拟网络可以在同一共享网络基础设施上共存，支持网络资源的多租户共享并突破传统网络技术对租户网络的限制。其中，最典型的技术产品包括VMware NSX及其主导推出的VxLAN、微软支持的NVGRE、IBM的DOVE等，其中VXLAN利用了现有通用的UDP传输，成熟性极高。总体比较，VxLAN技术相对具有优势。VxLAN网络设备主要有3种角色，分别是VTEP（VXLAN Tunnel End Point）、VxLAN GW（VxLAN Gateway）、VxLAN IP GW（VxLAN IP Gateway），均是物理网络的边缘设备，而由3种边缘设备构成了VxLAN Overlay网络，对于应用系统来说，只与这3种设备相关，与底层物理网络无关。（3）基于开放协议的方案：这是当前最流行的SDN实现方案，它引入了开放的网络协议标准，强调网络中控制与转发的分离，支持南向网络设备的集中控制，并提供丰富的北向应用编程接口，能够有效降低网络架构复杂度，支持业务驱动的网络资源灵活调配。其中，最典型的技术成果是由ONF（Open Networking Foundation，开放网络基金会）提出的基于OpenFlow南向控制协议的SDN架构。基于中国电信浙江公司云资源池的现状和需求，我们选择了对现网影响最小的叠加网络方案，同时以VxLAN作为项目实施的核心技术，其主要原因在于：● 大规模云计算资源池对VLAN的需求远不止4096；● 资源池大量的物理及虚拟服务器的存在，物理交换机上的MAC表项资源面临耗尽；● 多租户需要隔离、自主的网络环境；● 弱化运营商传统建设采购模式造成的底层物理设备差异性；● VxLAN协议的引入，不会对现有网络造成大规模的改造工作，改造风险最小。实施方案引入中国电信浙江公司云资源池希望在VMware vSphere虚拟化平台基础之上 ，借助VxLAN技术实现网络的虚拟化，使网络资源成为一种可以按需动态分配的资源，期望能在确保系统安全的前提下通过平滑、稳定升级，实现资源池网络能力的多租户开放、自配置、自管理、构建灵活、高效、扩展性强的网络环境。云资源池网络现状中国电信浙江公司云资源池是一个部署在绍兴和金华2个物理节点的“双活统一”资源池，两物理节点以DWDM互接，节点核心交换机通过跨节点2层虚拟化堆叠实现资源池的逻辑统一，拓扑如图1。云资源池网络采用扁平化的网络架构（核心－接入）。● 核心层采用H3C 12518交换机，负责高速的3层交换。● 接入层主要采用H3C 交换机。接入交换机安装在每个服务器机柜的机架顶，实现服务器网络接入，但只开启2层转发，所有3层网关设置在核心层。核心层和接入层均采用了H3C的IRF2技术，构建了天然无环网络结构，因此没有启用STP (生成树协议)，所有机架内服务器之间的3层流量需要上行至核心层进行交换。● 所有的部件和线路都采用双节点、双线路的部署方式，保证业务的高可靠性。网络收敛比约为1:5。核心层－接入层的连接采用万兆以太网连接，并通过多链路捆绑提供性能扩展和高可用保护。接入层通过多条千兆连接捆绑的方式，连接服务器。网络管理上区分为资源管理网、业务数据网。实施方案设计方案设计整体思路从更好地融合计算资源和网络资源的角度考虑，本次方案选择了资源池虚拟化平台同平台的NSX for vSphere（以下简称NSX）作为SDN的解决方案。方案总体思路是一种将虚拟网络从传统物理网络中解放出来的叠加网络解决方案。以VxLAN为基础，NSX通过建立虚拟网络提供一种抽象的、运行在物理和逻辑网络之间的虚拟网络层。根据平台不同的角色定义和硬件能力需求，总体上将环境分为不同的功能域：计算（Computing）、管理（Management）、边界（Edge）、桥接（Bridge）、网络的逻辑架构如图2所示。物理网络设计网络虚拟化的一个关键目标就是提供虚拟到物理网络的抽象化，因此物理网络必须提供一种健壮的IP传输并具有下列特性：● 简易性● 可扩展性● 容错性● 服务质量等级（QoS）保证为了达到以上几种特性，且便于网络虚拟化后的运维便利，我们对原有的网络功能拓扑进行了重新设计。● 核心交换机仍为管理网段的网关, 在此为各个管理网段配置网关IP地址。● 将原本只是作为纯粹L2通道交换的接入交换机改造为架顶式TOR（top-of-rack）交换设计，在此为各VxLAN的VTEP配置网关地址，并开启3层路由功能。● TOR 核心路由器为3层路由OSPF（Open Shortest Path First）交换, 资源可平行扩展, 能支持大量机架及TOR 建设。同时缩小了TOR及核心交换机管理MAC地址的数量，缩小了2层网络范围。● 计算域（Computing）内的VNI建立以每个业务的各种服务型态为单位, 如典型业务有Web/APP/DB3种服务型态，即开设3个VNI用于该业务，便于实现服务的“东西向”传输效率及提高安全性。● 边界域（Edge）部署在VxLAN和VLAN网关之间，其数量等于外联VLAN的数量。该设计使得每个Edge虚拟网关负载较小，但数量增加，可以选择使用户集群中的服务器进行负载均衡，且Edge虚拟网关与服务VLAN 1:1对应, 有利于问题的查找。● 通过VxLAN流量的网络设备，需将MTU值置为&1600。整体物理网络设计架构如图3（注：因边界集群中的TOR 6248交换机并无3层路由功能，因此边界集群的VTEP网关落在核心交换机）。物理网络流量设计如图4。虚拟网络设计网络虚拟化包含3个主要的方面：解耦合、再组成和自动化。所有3方面对于达到预期的效果都是重要的。解耦合，它是使物理网络变简单与可扩展的关键。当建立一个新的环境时，选择一个允许未来扩展的架构是必须要考虑的。此类部署的指导思路是使用一个简单的集群式架构而非通过VLAN的扩展实现。尽管这是一个简单的需求，但却对物理交换架构如何建立和扩展有深远的影响。我们还是以3种集群的视角来设计讨论：计算集群、边界集群、管理集群（如图5）。● 计算集群计算集群用以为业务平台提供虚拟计算资源，计算集群需要具有如下设计属性：&与现有网络可交互&对于新部署或重新设计&对于虚拟机接入不需要考虑VLAN划分&对于计算集群的网络扩展不应该考虑VLAN方式。&提供一种可重复利用的架构设计虚拟化后的主机通常会发起3种的流量：VxLAN流量、管理流量、vSphere vMotion流量。VxLAN可看作网络虚拟化后新引入的流量，通过UDP封装，用以承载所有虚拟机通信的流量。不同的流量类型可以被VLAN隔离，从IP地址段的层面加以明确区分。VLAN在TOR交换机汇聚，设定如下:&VTEP的VLAN提供一个3层的网络端口；&vMotion的VLAN并不提供任何网关，不论2或3层都无法上行出去；&管理VLAN上行至另一独立的管理接入交换机以2层连接至核心交换机。● 边界集群边界集群作为连接虚拟与物理网络之间的桥梁，会有大量的数据交互，其主要功能：&提供“进站 / 出站”式的物理网络连接&通过VLAN与物理网络建立连接&主机式集中物理服务边界是所有逻辑网络的终点，并且在物理和逻辑网络间提供3层跳转。设计思路的重点是区分VxLAN（叠加）流量和未封装（原始）流量。物理上这两种网络流量会有重叠，可能都汇聚在相同的边界集群接入交换机上，需要使用两个不同的VLAN加以区分。边界节点（Edge）可以使用两种方式提供服务，根据实际情况选择适合的方案：内部地址仅在Edge内部使用，对外使用NAT的方式进行通信。外部VLAN在Edge上联口终止。外部网关设备无需额外路由配置。内部地址通过默认路由方式对外建立连接。网关使用静态路由将需要访问内部的流量向Edge传输，后者通过OSPF获得路由进行数据包分发。Edge上联口仅需配置点对点传输接口即可。● 管理集群集群内安装了管理组件，包括资源池虚拟化管理平台、资源池网络管理组件，管理集群内的配置不包含任何业务平台相关的地址。实施效果通过部署SDN将VxLAN引入云计算资源池，网络能力可以成为一种资源进行按需配置，同时将各租户的网络配置进行隔离，提高了网络安全性并简化了网络配置，很多配置可以由租户自行完成，结合在2014年底部署的分布式块存储（SVR-SAN）实现软件定义存储(SDS)，基本消除了网络和存储的供给瓶颈，将资源池变成一个基础设施能力超市。目前已经部署“天翼阅读”等业务进行商用，基本达到引入预期，概括起来主要体现在4方面。1.通过VxLAN 可以自由定义2层网络，实现了可扩展的多租户网络，可以由租户自管理和自配置，目前VxLAN技术已经基本成熟，且业内已经基本形成产业标准，对未来企业资源池资源的全面云化、资源自助管理有着深刻的意义。2.以业务平台（租户）为单位实现路由、负载均衡、NAT和防火墙功能，是未来资源池设计必须实现的目标，由此达到网络资源池的2次隔离和封装的目的，用以实现任何一个业务平台的网络变更、割接都不会对其他业务和大网造成影响。3.分布式路由功能有必要在资源池网络虚拟化工作中引入，其可以大大减轻资源池核心交换机的流量压力和配置的复杂性，也为以业务为单位的QoS及SLA定义提供了便捷。4.资源池多层次的安全控制必须被考虑，包括资源池“东西向”流量安全和“南北向”进出流量安全，可以通过软、硬结合的防火墙实现。VxLAN作为Overlay网络技术的一种代表，引入云计算资源池的代价是相对较低的，也在一定程度上帮助实现了网络资源的虚拟化。但是，作为一项底层基础技术，距离云计算资源池对网络的终极目标还有一段距离。后续随着虚拟网络组件功能的不断完善，在实现网络资源创建、更改、释放更快捷；加速新业务开发和网络资源控制更精细；控制能力与业务的结合更密切等方面还需要做积极的尝试。 转载自：C114中国通信网
专注网络创新技术的先锋媒体和实践平台，涵盖SDN、NFV、CCN、软件定义安全、软件定义数据中心等相关领域，提供新闻资讯、技术交流、在线实验、行业分析、求职招聘、教育培训、方案咨询、创业融资等多元服务。
关注互联网架构及高可用、可扩展及高性能领域的知识传播
分享存储资讯、存储技术、存储产品、存储人物等资料的门户站
技术社区媒体：最新的技术新闻，最快的技术咨询，最有趣的技术人分享交流平台。
Golang Develop
灯塔大数据自媒体独家发布大数据行业报告、最新译文及撰写文章。
(C) 2016 今日头条
违法和不良信息举报电话：010-
公司名称：北京字节跳动科技有限公司/北京字节跳动网络技术有限公司云网络安全技术研究现状综述--《信息安全与技术》2015年08期
云网络安全技术研究现状综述
【摘要】：目前云网络面临的安全挑战是持续的和不断深化的。针对云安全数据保护、虚拟化云安全、云网络身份认证与用户信任关系、云网络安全风险态势等主要安全领域开展研究,总结现有云网络安全的不足,提出下一步的研究发展方向。
【作者单位】：
【关键词】：
【基金】：
【分类号】：TP393.08【正文快照】：
1引言随着云计算模式被广泛认可,云计算平台安全问题也成为云计算领域中亟待突破的重要问题:如2011年谷歌Gmail电子邮箱发生故障导致15万用户数据丢失;2012年中国云安全调查结果显示,88.2%的受访者认为目前没有服务商可以解决其安全问题;2013年亚马逊因漏洞和设计缺陷,导致了
欢迎：、、)
支持CAJ、PDF文件格式，仅支持PDF格式
【参考文献】
中国期刊全文数据库
赵文涛;殷建平;龙军;;[J];计算机工程与科学;2007年11期
林闯;汪洋;李泉林;;[J];计算机学报;2005年12期
陈亚睿;田立勤;杨扬;;[J];系统仿真学报;2011年11期
中国博士学位论文全文数据库
刘谦;[D];上海交通大学;2012年
【共引文献】
中国期刊全文数据库
梁颖;王慧强;刘磊;;[J];北京交通大学学报;2009年02期
李宝珺;陈伟;李宝龙;;[J];兵工学报;2010年S2期
陈天平;乔向东;郑连清;罗骞;;[J];北京邮电大学学报;2009年01期
崔中杰;姚淑萍;胡昌振;;[J];Journal of Beijing Institute of T2008年01期
范体贵;;[J];赤峰学院学报(自然科学版);2007年05期
苟光磊;成卫;倪伟;;[J];重庆工学院学报(自然科学版);2007年09期
李建平;王慧强;卢爱平;郝洪亮;冯光升;;[J];传感器与微系统;2010年10期
吴飞;;[J];长江大学学报(自然科学版)理工卷;2008年01期
彭凌西;陈月峰;刘才铭;曾金全;刘孙俊;赵辉;;[J];电子科技大学学报;2007年06期
杨宏宇;谢丽霞;朱丹;;[J];电子科技大学学报;2010年05期
中国博士学位论文全文数据库
李建平;[D];哈尔滨工程大学;2010年
刘效武;[D];哈尔滨工程大学;2009年
朱丽娜;[D];哈尔滨工程大学;2010年
马杰;[D];华中科技大学;2010年
卓莹;[D];国防科学技术大学;2010年
程文聪;[D];国防科学技术大学;2010年
占济舟;[D];南京大学;2011年
刘雪娇;[D];华中师范大学;2011年
杨天路;[D];北京邮电大学;2010年
赵金辉;[D];中国矿业大学（北京）;2011年
【二级参考文献】
中国期刊全文数据库
周建峰;马玉祥;欧阳雄;;[J];电子科技;2006年04期
肖道举,杨素娟,周开锋,陈晓苏;[J];华中科技大学学报(自然科学版);2002年04期
,梁洪亮;[J];计算机研究与发展;2001年11期
刘威鹏;胡俊;方艳湘;沈昌祥;;[J];计算机科学;2007年10期
林闯,彭雪海;[J];计算机学报;2005年05期
田立勤;林闯;;[J];计算机学报;2007年11期
汪小林;王振林;孙逸峰;刘毅;张彬彬;罗英伟;;[J];计算机学报;2010年03期
【相似文献】
中国期刊全文数据库
;[J];瞭望新闻周刊;2000年20期
邱燕燕;[J];情报杂志;2000年01期
马婷婷;[J];人民长江;2000年01期
;[J];计算机系统应用;2000年09期
邱晓威,冯丽伟;[J];中国档案;2000年01期
;[J];工商行政管理;2000年05期
刘文放;[J];计算机辅助设计与制造;2000年05期
武兵,林健;[J];机械管理开发;2000年02期
熊钰;[J];江西通信科技;2000年02期
郭翠英,刘元明;[J];科技情报开发与经济;2000年02期
中国重要会议论文全文数据库
金星;贾焰;李爱平;郑黎明;;[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年
刘学斌;;[A];第十九次全国计算机安全学术交流会论文集[C];2004年
秦仲学;;[A];第十三届全国计算机安全技术交流会论文集[C];1998年
李书旺;;[A];第三次全国计算机安全技术交流会论文集[C];1988年
张震;;[A];中国通信学会第六届学术年会论文集（上）[C];2009年
陈成;岳志伟;;[A];中国航海学会航标专业委员会沿海航标学组、无线电导航学组、内河航标学组年会暨学术交流会论文集[C];2009年
曹志宇;;[A];数字博物馆研究与实践（2009）[C];2010年
李惠泉;;[A];创新·融合·发展——创新型煤炭企业发展与信息化高峰论坛论文集[C];2010年
肖勇;;[A];四川省通信学会2010年学术年会论文集[C];2010年
刘小跃;;[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年
中国重要报纸全文数据库
闫俊平;[N];中国电子报;2001年
;[N];中国电子报;2001年
孙爱民;[N];中国电子报;2001年
信息产业部电子科学技术情报研究所研究部 黄鹏 由鲜举 崔德勋等;[N];中国电子报;2002年
本报记者 闫俊平;[N];中国电子报;2002年
乾坤;[N];中国工商报;2000年
;[N];中国旅游报;2002年
;[N];中国教师报;2003年
勤誉;[N];电子资讯时报;2005年
吴敏;[N];福建日报;2001年
中国博士学位论文全文数据库
李伟明;[D];华中科技大学;2006年
张建锋;[D];国防科学技术大学;2013年
司加全;[D];哈尔滨工程大学;2009年
田大新;[D];吉林大学;2007年
Kittichote Rojanakul（开心）;[D];吉林大学;2011年
甘亮;[D];国防科学技术大学;2011年
牛赟;[D];清华大学;2014年
万国根;[D];电子科技大学;2005年
张树壮;[D];哈尔滨工业大学;2011年
李志东;[D];哈尔滨工程大学;2012年
中国硕士学位论文全文数据库
杨文豪;[D];上海外国语大学;2009年
张民;[D];电子科技大学;2008年
李静;[D];重庆大学;2009年
王鹏;[D];内蒙古大学;2009年
井维亮;[D];哈尔滨工程大学;2008年
张晨龙;[D];吉林大学;2009年
王蔚苹;[D];电子科技大学;2010年
李晓莉;[D];郑州大学;2002年
范长英;[D];山东师范大学;2007年
陈鑫;[D];重庆大学;2007年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊（光盘版）》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址：北京清华大学 84-48信箱 知识超市公司
出版物经营许可证 新出发京批字第直0595号
订购热线：400-819-82499
服务热线：010--
在线咨询：
传真：010-
京公网安备75号