我要想虚机动态迁移,网络架构就要发生变化,网络架构是目前最流行的大二层架构,所有的虚机迁移过去,地址不变,在同样一个二层结构里。基础设施及服务,基础设施变成了服务,安全也需要把它变成服务。我们把安全再进行一下归类,这种情况下,迁移策略带来了问题,虚拟化的情况下原来一台物理机和另一台物理机之间架一台防火墙进行隔离,现在虚机之间怎么进行隔离,云计算的情况下所有的资源都在一个平台里,如何来进行隔离?我们认为安全边界已经模糊了,传统的安全设备没地方部署了。
大量的租户,云计算的特点,尤其是政务云原来各个省、各个地市、各个委办局有自己的网络、自己的数据中心,他的业务都可以单独进行防护,单独地部署安全防火墙措施,现在政府要建一个大型的省级政务云,所有委办局的业务都要迁过来,迁过来也可以,数据集中,集中完了以后。旅游局过来说这个业务是对外发布的,必须要允许公众访问,二级就可以了,每个不同的租户的安全需求不一样,我要防范的措施就不一样,可是在同一个平台里针对不同的租户、不同的安全需求提供不同的安全服务,这给云安全带来了很大的难点。你要提供服务,众口难调,怎么做?
三个解决方案,从几方面来做。第一,安全资源虚拟化,两个不同的租户,把它标进两个区域,我们认为针对不同的租户要有不同的安全防范策略,如果用一台设备来实现的话,我们要求基于不同的CPU、不同的内存,安全的策略和部署不影响其他的租户,策略可以随时调整,每个租户可以单独部署。再看怎么来应对。这是一台设备,分布式的高性能的高可靠的安全网关,选这么一台设备,部署在你的云资源池里,放在出口位置也好,放在计算资源池旁边也好,我有多个接口,支持各种各样的虚拟化接入的技术。我把它变成多个防火墙,变成多个负载均衡,变成多IPS,实现高性能。
硬件的安全设备变成多个逻辑的安全设备,就这一台硬件设备变成多个不同品类的安全设备。一台高性能的网关变成了多个逻辑的防火墙,每个防火墙可以分给每个租户自己自行管理,也可以统一下发策略。我们实现了真正的虚拟化,有的企业做这块的时候做了半调子。我们有实力实现不同租户不同安全需求的基础。这个也不够,在云的情况下我们要求安全资源动态随需调度,总感觉影响不是那么自主、自由,一个网络里最不缺的就是X86的服务器,一次采购采购500台服务器,但上业务只上了20台,剩下的80台怎么办,这些都是资源。我们安全的操作系统把它做成软件化,基于X86平台,这叫NMV网络功能虚拟化。
华三是做网络的公司,做无线设备,WiFi接入,我们可以做安全、做路由器。这些都是基于同样的操作系统,Comware。这个操作系统集成了各种各样的功能,有安全防火墙功能、AC控制器功能,把这个操作系统做成软件形式的产品,就像我们在虚拟化平台里的虚机一样,利用X86的平台实现安全功能。这样部署起来就很方便了。紫色的框代表物理服务器,物理服务器两台虚机,这两台虚机需要安全隔离,把放火墙作为软件的形式直接部署在里面,从逻辑来看跟原来两台服务器的隔离是一样的,这种方式非常灵活,利用现有的计算资源就可以实现安全的部署,而且软件的形式大家通常理解是调度管理起来很方便。
我把资源流量调度到安全资源池里进行清洗,如何调度?要利用网络架构的改变。在云里一般是大二层的技术,大二层的技术里存在问题,多个数据中心要想实现资源的统一管理,虚机的动态迁移,必然要用大二层技术,大二层技术使整个网络互联互通了,我们的业务非常多了,有了VLAN。overlay,中文叫叠加网络,传统物理网络上叠加出一个逻辑的网络,这个逻辑的网络能够保证从一个客户端到服务器的访问更简便,能够做到直通。第二,云网络的改变,数据中心网络的改变非常简单,overlay和underlay。我们用几种技术方式可以实现,IP地址灵活分配、虚机任意迁移、多租户,消除大二层网络各种各样的问题。大层网络里有各种各样的问题,网络风暴,在overlay的网络里天然地就解决了。
有了网络的改造,我们重点改造几个点。一是核心设备,核心设备用于网络的overlay和underlay转换的核心节点,核心设备要改,但是也不一定非得改,可以加一些旁挂设备来实现它的简单改造。二是接入设备得改,我们可以直接把接入交换机改了,改成支持overlay的设备。整个改动有几个点,技术有点复杂,我们只需要记住安全流量的调度,而且非常简便。