下载掌阅APP,畅读海量书库
立即打开
在传统数据网络系统中心,随着业务的迅速增长,数据中心各系统中的网络设备种类增多且零散分布,这种集成度低的网络架构已经无法提供高度的稳定性和可靠性。由于系统种类的多样化,网络设备的零散分布,也使得整体网络缺乏统一的建设和管理,而且缺乏有效的控制手段,同样给维护人员加大了工作量及工作难度。同时由于系统、网络设备的繁多,也对机房能耗、环境要求、配套要求、设备及线路安装等提出了更高的要求。
在新一代数据中心,所有的服务器、存储器、网络等基础设施资源全部通过虚拟化技术实现,形成三大共享基础设施资源池:处理池、存储池以及网络池。共享资源池中的资源可按照每一应用系统的需求被初始化分配与快速部署。
经过多年的技术演变和业务发展,当前数据中心的网络基础架构通常采用树状结构,分为接入层、聚合层和核心层。在大多数情况下,数据流从接入层到聚合层再到核心层,然后再返回,层次越多不仅使用的设备越多,延迟也会增加。网络中每一跳的代价都很高,而且会增加复杂性。由于这些操作的重复和重叠,无法得到想要的性能,也导致了安全性难以保障。在传统网络中,一直以来是依靠不断添加机器来提升网络性能的,但是这种方法增加了数据中心的成本和复杂性。
在大规模采用服务器虚拟化技术的新一代数据中心,数据流量将主要集中在本地服务器之间进行通信,通过路由器和万兆以太网交换机扁平化和简化现有数据中心网络,既可动态地同时支持更多的用户、服务以及带宽,提高性能,也可以帮助用户节省运营时间。虚拟化技术能够通过资源共享与合并资源来提高效率,降低成本,减少数据中心的网络资本性支出。
基于虚拟化的数据中心网络架构与传统网络设计相比,有以下几个特点。
(1)运营管理简化:数据中心全局网络虚拟化能够提高运营效率,虚拟化的每一层交换机组被逻辑化为单一管理点,包括配置文件和单一网关IP地址。
(2)整体无环设计:跨设备的链路聚合创建了简单的无环路拓扑结构,不再依靠生成树协议(STP)。虚拟交换组内部经由多个万兆网互联,在总体设计方面提供了灵活部署的能力。
(3)进一步提高了可靠性:虚拟化能够优化不间断通信,在一个虚拟交换机成员发生故障时,不再需要进行L2/L3重收敛,能快速实现确定性虚拟交换机的恢复。
(4)安全整合:安全虚拟化在于将多个高性能安全节点虚拟化为一个逻辑安全通道,安全节点之间实时同步状态化信息,从而在一个物理安全节点发生故障时另一个节点能够接管任务。
采用虚拟化技术构建的数据中心具有传统数据中心不具备的优势,包括以下几点。
(1)快速业务开通的能力。
由于对业务开通所需要的各类资源实现了虚拟化,实现了系统运行所依赖的虚拟资源与实际物理资源的采购与管理相互隔离,只要现有资源池中的资源能够满足业务系统的运行要求,就可以通过虚拟化手段为业务系统提供相对独立的虚拟化运行平台,缩短了业务开通时间,降低了业务开通对物理设备的依赖性,避免了设备采购周期对业务开通的不利影响。
(2)更低的整体拥有成本(Total Cost of Ownership,TCO)。
资源的虚拟化通常伴随着系统的整合,从而提高了系统的利用率,如CPU利用率可以从15%~20%提高到60%以上,同样的硬件资源可以承载更多的应用系统,降低了在设备采购、管理、电力供应、制冷等多方面的成本,从而降低了数据中心的整体拥有成本。
(3)更精细的服务质量控制。
在传统的数据中心中,一旦专用应用系统的硬件平台搭建完成,其服务质量就基本确定,对服务质量的调整(提升与降低)相对困难。但是在数据中心中,可以随时调整为应用系统分配的资源以提升或降低其性能、安全性、可用性等指标,从而实现对服务质量的精细管理。
(4)更细粒度的管理体系。
资源的虚拟化必定带来对系统监控与管理要求的提升,系统的监管不再只局限于硬件系统层,而是拓展到了虚拟化层和平台构建层。由此可以更准确地根据应用系统的要求分配资源。而且资源的分配也不是一成不变的,在资源分配的过程中可以考虑更多的因素,如时间段和应用量等。
虚拟化数据中心的建设为企业带来利益的同时,也对数据安全和基础架构提出了新的要求。目前虚拟化数据中心存在以下几个风险点。
(1)高资源利用率带来的风险集中。
通过虚拟化技术,提高了服务器的利用率和灵活性,也导致服务器负载过重,运行性能下降。虚拟化后多个应用集中在一台服务器上,当物理服务器出现重大硬件故障时会导致严重的风险集中问题。虚拟化的本质是应用只与虚拟层交互,而与真正的硬件隔离,这将导致安全管理人员看不到设备背后的安全风险,服务器变得更加不固定和不稳定。
(2)网络架构改变带来的风险。
虚拟化技术改变了网络结构,引发了新的安全风险。在部署虚拟化技术之前,可在防火墙上建立多个隔离区,对不同的物理服务器采用不同的访问控制规则,可有效保证攻击限制在一个隔离区内,在部署虚拟化技术后,一台虚拟机失效,可能通过网络将安全问题扩散到其他虚拟机。
(3)虚拟机脱离物理安全监管的风险。
一台物理机上可以创建多个虚拟机,且可以随时创建,也可被下载到桌面系统上,可以常驻内存,可以脱离物理安全监管的范畴。很多安全标准是依赖物理环境发挥作用,外部的防火墙和异常行为监测等都需要物理服务器的网络流量,有时虚拟化会绕过安全措施。存在异构存储平台无法统一安全监控和无法有效资源隔离的风险。
(4)虚拟环境的安全风险。
· 黑客攻击:控制了管理层的黑客会控制物理服务器上的所有虚拟机,而管理程序上运行的任何操作系统都很难侦测到流氓软件等的威胁。
· 虚拟机溢出:虚拟机溢出的漏洞会导致黑客威胁到特定的虚拟机,将黑客攻击从虚拟服务器升级到控制底层的管理程序。
· 虚拟机跳跃:虚拟机跳跃会允许攻击从一个虚拟机跳转到同一个物理硬件上运行的其他虚拟服务器上。
· 补丁安全风险:物理服务器上安装多个虚拟机后,每个虚拟服务器都需要定期进行补丁更新、维护,大量的打补丁工作会导致不能及时修复漏洞而产生安全威胁。安全研究人员在虚拟化软件发现了严重的安全漏洞,即可通过虚拟机在主机上执行恶意代码。黑客还可以利用虚拟化技术隐藏病毒和恶意软件的踪迹。
正是由于虚拟化数据中心存在一定的安全风险,所以数据中心的安全建设尤为重要,那应该如何增强这方面的安全呢?笔者认为应该从以下几点着手。
(1)数据中心网络架构高可用性设计。
在新一代数据中心虚拟化网络架构中,通过IRF(Intelligent Resilient Framework)技术将多台网络设备虚拟化成一台设备统一管理和使用,整体无环设计并提高可用性。在此架构下,基本原则就是服务器双网卡接在不同交换机上,汇聚交换机堆叠后,将两层交换机用多条链路进行捆绑连接,实现基于物理端口的负载均衡和冗余备份。
数据中心架构规划设计时,需要按照模块化、层次化原则进行。从可靠性的角度看,三层架构和二层架构均可以实现数据中心网络的高可用,而二层扁平化网络架构更适合大规模服务器虚拟化集群和虚拟机的迁移。在内部网中根据应用系统的重要性、流量特征和用户特征的不同,可大致划分为几个区域,以数据中心核心区为中心,其他功能区与核心区相连,成为数据中心网络的边缘区域。
(2)网络安全的部署设计。
虚拟化数据中心关注的重点是实现整体资源的灵活调配,因此在考虑访问控制时,要优先考虑对计算资源灵活性调配的程度。网络安全的控制点尽量上移,服务器网关尽量不设在防火墙,避免灵活性的降低。
(3)安全策略的动态迁移。
数据中心需针对不同类型的应用系统制定不同级别的防护策略。虚拟化环境下,应用系统和服务器是自由匹配和随需迁移的,每一次虚拟机迁移都对应安全策略的改变和调整,因此发生虚拟机创建或迁移时,需要利用虚拟机软件保证虚拟机在服务器上的快速迁移,同时要保证网络配置的实时迁移,以确保虚拟机业务的连续性。目前业界最优的解决方法,即在服务器邻接的物理交换机采用虚拟端口(VPORT)。一个虚拟机绑定一个或几个VPORT,虚拟机迁移时,只需在邻接的物理交换机上将虚拟机对应的网络配置(profile)绑定到VPORT上,而不会对其他虚拟机的VPORT产生影响。
(4)存储虚拟化的安全设计。
在应用存储虚拟化后,虚拟化管理软件应能全面管理IP SAN、FC SAN、NAS等不同虚拟对象,通过上层应用封装对用户提供一致的管理界面,屏蔽底层对象的差异性。通过基于主机的授权、用户认证和授权来实现存储资源隔离和访问控制。采用基于虚拟机技术的行为监控技术,获得上层操作系统真实的硬件访问行为,避免恶意代码通过修改操作系统造成信息隐瞒。应部署与主机独立的、基于存储的入侵检测系统,对存储设备所有读写操作进行抓取和分析,以检测存储设备中文件/属性的改变、检测文件模式的非正常修改、监控文件结构的完整性;扫描检测可疑文件等。
(5)制定相关管理策略。
对整个数据中心来说需要制定相关制度,明确责任管理;制定专门的虚拟机审核、追踪流程,防止虚拟机蔓延导致的管理受控;利用虚拟化监控工具,检测出未授权的拷贝和“克隆”虚拟机的行为,确保敏感信息在正确的管控中。
数据中心的发展正在经历从整合和虚拟化到自动化的演变,基于云计算的数据中心则是未来的目标。在现阶段和未来的数据中心,虚拟化技术都将扮演非常重要的角色。