1 基本概念
1.1云計算
云計算是網格計算、分布式計算、并行計算、效用計算、網絡存儲、虛擬、負載均衡等傳統計算機技術和網絡技術發展融合的產物。它旨在通過網絡把多個成本相對較低的計算實體整合成一個具強大計算能力的完美系統,并借助SaaS、PaaS、IaaS、MSP等先進的商業模式把這強大的計算能力分布到終端用戶手中。
1.2云服務
云服務提供商通過自己的基礎設置直接向外部用戶提供服務。提供的服務主要分為2種,一種是將軟件或者應用部署到自己的服務器集群上,通過Internet提供給用戶訪問。還有一種是將自己的設備以租用形式提供給用戶,給用戶提供獨立的機房和相對獨立的局域網絡。
1.3 VLAN
VLAN(Virtual Local Area Network)的中文名為“虛擬局域網”。VLAN是一種將局域網設備從邏輯上劃分成一個個網段,從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用于交換機和路由器中,但主流應用還是在交換機之中。但又不是所有交換機都具有此功能,只有VLAN協議的第三層以上交換機才具有此功能,這一點可以查看相應交換機的說明書即可得知。
1.4 VSX
VSX(Virtual System Extension)是一種網絡安全和VPN的解決方案,基于大規模的場景下保證網絡的安全。VSX為多重網絡或者混合的基礎架構中的VLAN提供全面的保護。VSX技術將它們安全地連接起來并共享資源給互聯網和/或DMZ區,并允許它們彼此安全的交互。
2網絡實現原理
2.1傳統數據中心的網絡拓撲
在圖1中我們可以看到,傳統的網絡環境中,數據中心需要為每個用戶分配一個單獨的網絡,每個網絡需要有單獨的網絡安全設備,防火墻和交換機等。同一個用戶的所有的服務器都部署在單獨的物理網絡中,以達到數據安全隔離的效果。
圖1傳統數據中心的網絡拓撲圖
2.2云服務數據中心的網絡拓撲
在圖2中我們可以看到,新的數據中心架構使用了VSX Gateway取代的傳統的VPN和網絡安全設備,并且核心交換機和二級交換機全部啟用的VLAN,二級交換機與核心交換機通過Trunk口連接。
2.3 VSX系統的通信流
VSX系統網關是通過以下幾個步驟來執行的:
(1)ContextID的定義。每個Virtual System都通過定義一個Context ID作為唯一標識符。
(2)安全策略實施。每一個虛擬系統可作為一個獨立的安全網關的功能,它能夠通過其自己獨特的安全政策來保護整個網絡。可指定虛擬系統允許或阻止所有交通等,其基本規則都包含在自己獨立的安全政策里。
(3)轉發到目的地。每臺虛擬系統保持其獨特的結構處理和轉發通信規則使其到達最終的目的地。這個配置規則還包括定義NAT,VPN,還有其他高級特性。
圖2安全網關
圖3 VSX Gateway內部拓撲圖
圖3是VSX Gateway的內部拓撲圖,在這幅圖中,我們不難發現,VSX系統是由Virtual Switch、Virtual Firewall和Virtual Route等虛擬設備組成。對于數據中心中的每一個VLAN都可以通過一個獨立的Virtual firewall與外網進行通信。
3 安全分析
3.1與傳統的網絡結構作比較
在傳統的數據中心網絡結構中,每一臺服務器根據機柜的物理位置,來決定其所在的網絡。比如,一個客戶需要組建自己的企業局域網,于是訂購了一批服務器,訂單中包括服務器的型號,配置,使用開始日期和結束日期等信息。那么傳統的數據中心的工作人員拿到訂單后,需要將該型號服務器放置到一個特定的機房和機柜,然后給用戶安裝網絡安全設備,配置網絡和安全策略之后用戶才能正常使用。這些工作需要到機房移動設備,耗費工作人員大量的時間。如果不移動機器,可能會帶來3種問題。①由于服務器可能在不同的機房或機柜,可能接入了不同的網絡中,無法互相訪問;②不同用戶之間的設備如果都在一個機房或者機柜,可能在同一網絡,可以互相訪問,帶來了安全隱患;③防火墻如果沒有給每個用戶獨立出來,會導致規則混亂,難以維護,并無法將防火墻的管理權限直接提供給用戶使用。而由上述的VSX和VLAN構成的網絡結構,用戶需要使用的服務器與該設備所處的物理位置沒有關系,無論這臺服務器放在哪個機房或者或機柜,只要將與這臺服務器所連接的Switch端口劃分到這個用戶的VLAN中,這個機器可以為這個用戶服務,如果用戶退訂這臺服務器,只需將與這臺設備所連接的Switch口劃分到預備的VLAN中即可。這一切工作只需要通過云計算中心的自動化部署程序自動實時完成,不需要人工干預。
3.2網絡結構的優勢
3.2.1數據安全
對于每一個用戶來說,自己的網絡都是安全的。從商業角度來講,每個用戶需要預先訂購VLAN,然后再訂購網絡設備,在網絡設備的配置中,可以指定該設備運行在哪一個VLAN中,當然,用戶只能指定該設備劃分到自己預定的VLAN中。而對于每一個VLAN,有獨立的Secu—rity Gateway為其提供網絡安全保障,其中包括NAT、ACL、VPN、入侵檢測流量控制和日志監控等。這就相當于為這個用戶單獨建立了一個機房。然后將用戶訂購的設備放置到這個機房來為用戶提供服務一樣。而用戶不需要這些資源時候,可以通過自動化部署程序將它立即從當前VLAN中移除。
3.2.2提高了服務質量
具有彈性,能靈活的根據用戶的需求增減設備。響應速度快,幾分鐘之內設備即可到位,并且可以自動化部署操作系統,軟件和應用程序,立刻為用戶提供服務。如果用戶不需要再使用該設備,退訂后,可以立刻對設備進行初始化,放回資源池待分配給下一個申請該資源的用戶使用。
4結束語
云計算始終是發展的趨勢,越來越多的傳統硬件設備生產商都在利用自己的硬件資源優勢向著云計算的服務商進行轉換。在企業接受云計算,云服務的過程中,安全問題一直被多數的企業和用戶質疑,本篇文章概括地介紹了云計算數據中心是如何進行網絡安全隔離,并響應用戶實時的設備訂購服務。隨著IT行業高速發展,相信還有更好的安全架構來支持云服務數據中心。設備的集中化管理和自動化部署將會是未來的大趨勢。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:云計算數據中心網絡安全的實現原理
本文網址:http://www.guhuozai8.cn/html/consultation/1083977740.html