1、數(shù)據(jù)中心網(wǎng)絡(luò)分級(jí)分域
?應(yīng)用系統(tǒng)視角
?
按照業(yè)務(wù)重要程度劃分網(wǎng)絡(luò)分區(qū),不同網(wǎng)絡(luò)分區(qū)對(duì)應(yīng)不同級(jí)別的應(yīng)用,邊界部署不同顆粒度的安全策略。
?
根據(jù)業(yè)務(wù)系統(tǒng)的層次模式,通常兩種模式分別為“按應(yīng)用分類分區(qū)”和“按應(yīng)用層次分區(qū)” 。
?
根據(jù)業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)程度,規(guī)劃網(wǎng)絡(luò)分區(qū)和部署位置。
?
需要考慮應(yīng)用系統(tǒng)云化資源池的靈活調(diào)度,以及容量擴(kuò)展能力。
?網(wǎng)絡(luò)運(yùn)維視角
?
網(wǎng)絡(luò)分區(qū)設(shè)計(jì),需要考慮便于故障快速隔離和業(yè)務(wù)恢復(fù)。
?
網(wǎng)絡(luò)分區(qū)設(shè)計(jì),需要考慮盡量簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維的復(fù)雜程度。
?網(wǎng)絡(luò)安全視角
?
風(fēng)險(xiǎn)等級(jí)不同的系統(tǒng)應(yīng)部署在不同的物理區(qū)域,從風(fēng)險(xiǎn)等級(jí)高的區(qū)域訪問(wèn)風(fēng)險(xiǎn)等級(jí)低的區(qū)域需經(jīng)過(guò)防火墻進(jìn)行安全隔離;
?
不同安全級(jí)別的網(wǎng)絡(luò)劃分不同的網(wǎng)絡(luò)分區(qū),內(nèi)網(wǎng)與外網(wǎng)分離。
?
風(fēng)險(xiǎn)等級(jí)相同的服務(wù)器區(qū)域之間,需考慮進(jìn)行安全隔離,控制非授權(quán)訪問(wèn),同時(shí)避免局部安全問(wèn)題影響至多個(gè)應(yīng)用系統(tǒng)。
2、硬件SDN 解決方案
2.1 典型組網(wǎng)
主機(jī)Overlay主要利用泛洪或廣播機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)構(gòu)建和擴(kuò)展,它將虛擬設(shè)備作為Overlay網(wǎng)絡(luò)的邊緣設(shè)備和網(wǎng)關(guān)設(shè)備,它的典型組網(wǎng)如下圖所示:
該組網(wǎng)方案:
?
使用物理服務(wù)器的vSwitch實(shí)現(xiàn)VXLAN網(wǎng)絡(luò)VTEP。
?
部署VCF Controller后可以集中控制VXLAN VTEP/GW。
?
VCF Controller配合Hypervisor平臺(tái)管理多形態(tài)Gateway。
該組網(wǎng)方案有以下優(yōu)點(diǎn):
?
適用于服務(wù)器虛擬化的場(chǎng)景,成本較低,VXLAN物理GW既可以用在核心位置,也可以在現(xiàn)有核心旁掛,保護(hù)已有投資。
?
控制面實(shí)現(xiàn)可以由高可靠的SDN Controller集群實(shí)現(xiàn),提高了可靠性和可擴(kuò)展性,避免了大規(guī)模的復(fù)雜部署。
?
網(wǎng)關(guān)組部署可以實(shí)現(xiàn)流量的負(fù)載分擔(dān)和高可靠性傳輸。
支持分布式網(wǎng)關(guān)功能,使虛機(jī)遷移后不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參數(shù),部署簡(jiǎn)單、靈活。
2.2網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
Overlay網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)如下圖所示:
Overlay網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)
?VM(Virtual Machine,虛擬機(jī))
?VTEP(VXLAN Tunnel End Point,VXLAN隧道端點(diǎn))
?VNI(VXLAN Network Identifier,VXLAN網(wǎng)絡(luò)標(biāo)識(shí)符)
?VXLAN隧道
?VSI(Virtual Switching Instance,虛擬交換實(shí)例)
?
3、軟件SDN解決方案
3.1 總體邏輯架構(gòu)
? 管理面
管理面是超融合平臺(tái)對(duì)外提供網(wǎng)絡(luò)RESTful API接口的唯一出口,由中央管理面和本地管理面組成,支持第三方編排。采用無(wú)狀態(tài)分布式設(shè)計(jì),可以支持橫向擴(kuò)展、高并發(fā)、高可用以及負(fù)載均衡。
? 控制面:
采用中央控制器和本地控制面組成整個(gè)控制面。中央控制器運(yùn)行在控制節(jié)點(diǎn)上,負(fù)責(zé)下發(fā)由管理面轉(zhuǎn)化的配置,并將配置同步到不同節(jié)點(diǎn)中的本地控制面。
? 數(shù)據(jù)面:
負(fù)責(zé)執(zhí)行數(shù)據(jù)轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)功能支持分布式虛擬交換機(jī)、邊界虛擬路由器、分布式防火墻、邊界虛擬交換機(jī)。
? 運(yùn)維監(jiān)控:
負(fù)責(zé)虛擬網(wǎng)絡(luò)的狀態(tài)監(jiān)控,提供數(shù)據(jù)包跟蹤、網(wǎng)口監(jiān)控、流量監(jiān)控等功能,為虛擬網(wǎng)絡(luò)提供所畫(huà)及所得的運(yùn)維能力。
3.2經(jīng)典網(wǎng)絡(luò)設(shè)計(jì)模式
3.3 VPC網(wǎng)絡(luò)設(shè)計(jì)模式
1.
用戶可以創(chuàng)建多個(gè)租戶VPC網(wǎng)絡(luò)
2.
每個(gè)租戶VPC,可以創(chuàng)建多個(gè)subnet子網(wǎng)
3.
子網(wǎng)之間通過(guò)vRouter三層互通
4.
子網(wǎng)之間可以配置ACL策略,實(shí)現(xiàn)網(wǎng)絡(luò)隔離
5.
虛擬機(jī)可以配置安全組策略,通過(guò)增加企業(yè)專線,實(shí)現(xiàn)跨子網(wǎng)二層互通
首頁(yè)
