如何保障数据中心虚拟化的网络安全
需积分: 9 125 浏览量
2014-04-25
17:16:01
上传
评论
收藏 29KB DOC 举报
如何保障数据中心虚拟化的网络安全
虚拟化数据中心给网络安全带来了一些挑战,尤其是虚拟机的迁移,计算集群主机的
加入与离开等都是传统数据中心所没有的。
为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术,如 VLAN 扩展,
安全策略上移,网络安全策略跟随虚拟机动态迁移等。
数据中心虚拟化是指采用虚拟化技术构建基础设施池,主要包括计算、存储、网络三
种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路,
而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。
数 据中心虚拟化,从主机等计算资源的角度看,包含多合一与一分多两个方向(如图
1 所示),都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、 存储、
网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策
略与之匹配,否则一切都无从谈起。前者出现较早,主要包括集群计 算等技术,以提升计
算性能为主;而后者主要是近几年出现的在一台物理 X86 系统上的多操作系统同时并存的
技术,以缩短业务部署时间,提高资源使用效率为主 要目的。
虚拟化后数据中心面临的安全问题
传 统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数
据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考 虑因素。
而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策
略(如图 2 所示),网络安全策略能够满足主机顺畅的加入、离开 集群,或者是动态迁移
到其它物理服务器,并且实现海量用户、多业务的隔离……
虚拟化数据中心对网络安全提出三点需求:
1、在保证不同用户或不同业务之间流量访问控制,还要支持多租户能力;
2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移;
3、网络安全策略可跟随虚拟机自动迁移。
在上述三个需求中,第一个需求是对现有网络安全策略的增强。后两个需求则需要一
些新的规划准则或技术来实现,这给当前网络安全策略带来了挑战。
应对之道
VLAN 扩展
虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海
量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机(虚拟机
或者物理机)的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。
要 实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个租户提供一个唯
一的标识。目前看开,VLAN 是最好的选择,但由于 VLAN 数最多只能达到 4096,无法
满足虚拟化数据中心业务开展,因此需要对 VLAN 进行扩展。如图 3 所示,VLAN 扩展的
有以下两个实现途径。
QinQ:采用 VLAN 嵌套的方式将 VLAN 的数量扩展到 160 万个。内层标签称为用户
VLAN 即 C-VLAN,外层标签成为运营 VLAN,即 S-VLAN,例如 100 个 C-VLAN 不同的
同一类用户可以封装同一个相同 S-VLAN,极大的扩展 VLAN 的数量。该方法配置简单,
易维护。但其缺点 是接入的用户规模较小。
VPLS:用户 VLAN 封装在不同 VPLAS 通道内,不同的用户封装不同的 VPLS 通道即
可实现海量用户之间良好 的安全控制。其优点是接入规模大, 可伸缩性强,易于跨地域
数据中心之间平滑扩展。不足之处是 VPLS 会导致数据中心内配置较复杂,使数据中心之
间扩展复杂度变大。
资源评论
安安网
- 粉丝: 0
- 资源: 35
最新资源
- 第十四届中北大学ACM程序设计竞赛.zip
- UIGF_200852355_202404242026.json
- 基于深度学习的对话系统、语音识别、机器翻译和语音合成等
- 基于STM32单片机的智能停车场设计源码+全部资料.zip
- 534springboot + vue 实验室管理系统.zip(可运行源码+数据库文件+文档)
- 基于Python+Opencv+keras的实时手势识别系统+源码+文档(期末大作业&课程设计&项目开发)
- 基于Python+joint-spider爬虫数据的成都二手房数据分析源码+详细使用说明.zip
- 基于YOLOv7-plate和CRNN的车牌号检测识别项目,使用PyQt构建了UI界面
- 基于LabView+MATLAB的说话人识别系统.zip
- 基于树莓派+OpenCV+Python语言的人脸识别+源码+开发文档(毕业设计&课程设计&项目开发)
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
