精华内容
下载资源
问答
  • 8.1 云数据中心面临的安全挑战 因为云化和SDN化的网络特点(网元出现的位置随意性更大,出现和消失的时间不定): 首先会导致安全业务开通周期长; 其次SDN的自动化能力是现在安全业务所不能达到的,很多安全业务...

    8.1 云数据中心面临的安全挑战

    因为云化和SDN化的网络特点(网元出现的位置随意性更大,出现和消失的时间不定):
    首先会导致安全业务开通周期长;
    其次SDN的自动化能力是现在安全业务所不能达到的,很多安全业务需要手动配置;
    最后,为了应对突发流量,数据中心部署了大量冗余的安全设备,造成资源浪费。
    安全边界变得模糊:
    基于边界的安全防护无法有效工作
    可能会出现数据中心内部虚拟机被劫持后发动的攻击
    无法防范APT(高级持续性威胁)
    安全管理和安全运维复杂化
    无法感知应用
    安全策略数量庞大,且执行分区域,无法宏观防护
    日志格式不统一,安全威胁调查响应速度慢

    8.2 云数据中心的安全架构

    8.2.1 安全架构全景

    云数据中心对安全的新要求:

    • 对安全隔离提出了更高的要求
    • 云内外访问资源需要更严格的控制访问
    • 更加宏观的安全防护体系
    • 以服务形式交付,满足按需部署和弹性扩缩

    在架构中我们着重讲解一下红框中的内容,包括:
    虚拟化安全中的安全组( Security Group)
    网络安全
    高级威胁检测防御
    安全管理
    在这里插入图片描述

    8.2.2 安全组件架构

    在这里插入图片描述
    应用层
    安全应用统一编排,按需动态发放安全服务,安全应用再将该服务发送给控制器,最终由控制器下发给网络设备。
    安全应用可以利用遥测数据,结合大数据和人工智能进行高级威胁检测,达到了全网防御和主动防御
    控制层
    即SDN控制器。可能采用网络控制器和安全控制器分开部署的方式。
    网络控制器:除了提供网络业务编排和发放之外,还可以提供微分段和业务链的编排和发放,用户可以利用业务链将流量引导到安全设备,协同安全业务发放
    安全控制器:提供IPSec,安全策略,Anti-DDoS,安全内容检测,地址转换等安全业务的编排,同时还可以和网络控制器协同全面感知威胁
    转发层
    网络设备提供诸如ACL,安全组,微分段等网络安全功能,结合安全设备,两者可以实现数据中心边界安全防护,租户边界和租户内的安全防护

    8.3 云数据中心的安全方案价值

    1.安全资源池化,配置全面自动化

    创建东西向业务的防火墙资源池
    创建南北向业务的防火墙资源池
    防火墙资源池可以弹性伸缩,高效可靠部署
    租户间的安全业务可以相互隔离,并实现自动化配置

    2.丰富安全能力,按层次联防

    **各类防火墙安全能力:**安全策略,IPSec VPN加密,NAT策略,IPS,AV,URL过滤,DDoS攻防,ASPF(Application Specific Packet Filter,针对应用层的包过滤)
    微分段:东西向流量安全管控
    业务链:引流到多个安全业务功能节点,并安排引流的先后顺序
    虚拟化层面的虚拟机隔离(利用安全组)
    网络层面

    • 边界部署专业Anti-DDos,针对应用层
    • 边界部署IPS/IDS,APT攻击检测
    • 多引擎虚拟检测技术,Hypervisor行为捕获。检测位置威胁
    • 利用大数据和AI实现安全威胁的自学习检测

    安全检测闭环:网络是安全分析的数据采集器,也是安全策略的执行器。
    该闭环实现了全网协防,响应并隔离内部威胁,防止威胁扩散

    3.防御智能化,安全可视化,安全运维精简化

    智能化
    利用人工智能检测威胁,主动防御
    可视化
    全网安全态势感知:对各种安全信息进行汇总,然后分析决策
    攻击路径可视:大数据分析关联威胁信息,便于攻击回溯和调查
    统一化,简单化
    多厂商统一,多类安全设备统一
    传统精细化管理和基于业务场景的安全策略分层管理,拥有统一的入口
    安全控制器可进行安全策略调优,简化安全策略运维

    8.4 云数据中心的安全方案

    具体的技术细节

    • 虚拟化安全
    • 网络安全
    • 高级威胁检测防御
    • 边界安全
    • 安全管理

    8.4.1 虚拟化安全

    虚拟机之间通过安全组实现安全控制和隔离

    1.安全组

    实现虚拟机之间的互访控制和隔离,可进行自定义安全隔离
    通过对报文五元组的匹配来进行访问控制和隔离
    安全规则支持随虚拟机动态迁移
    在这里插入图片描述
    从上面的模型来看,安全组具有以下几个特点:

    • 安全组是具有相同安全属性的VM/BM的抽象集合,以及它们的安全策略集合
    • 每个安全组都包含出入方向的动作定义,类似于ACL的控制模型
    • 同一个安全组内的成员默认互通
    • 组内成员主动发起的南北向访问,默认允许互通
    • 组外的主动访问需要白名单匹配

    2.方案实现

    实现分为两种,一种是Network Overlay,另外一种是Hybrid Overlay,
    两种组网的含义请参考我的博客:
    《云数据中心网络架构与技术》读书笔记第六章构建数据中心的逻辑网络(Overlay网络)
    6.3章节

    Network Overlay组网中

    • VM接入场景中,由云平台编排并向OVS发放有状态的IPtable,从而实现安全组
    • BareMetal接入场景中,由云平台编排BM的安全组再通过SDN控制器转换为ACL策略下发到接入交换机上
      在这里插入图片描述

    Hybrid Overlay组网中

    由虚拟交换机替代了OVS

    • VM接入场景中,由云平台接入安全组,再通过SDN向虚拟交换机发放安全组业务
    • BareMetal接入场景中,与Network Overlay相同

    在这里插入图片描述

    8.4.2 网络安全

    8.4.3 高级威胁检测防御

    8.4.4 边界安全

    8.4.5 安全管理

    展开全文
  • SDN在云数据中心架构

    万次阅读 2017-05-19 00:35:05
    前言 SDN概念一直如火如荼,若是要谈到概念落地及大规模应用,一定离不开SDN在云计算数据中心的实践应用...本文站在云数据中心网络维护工程师的角度,给大家分享SDN与云数据中心结合的前世今生。 一、云数据中心


    前言

    SDN概念一直如火如荼,若是要谈到概念落地及大规模应用,一定离不开SDN在云计算数据中心的实践应用。云数据中心对网络提出了灵活、按需、动态和隔离的需求,SDN的集中控制、控制与转发分离、应用可编程这三个特点正巧能够较好的匹配以上需求。SDN,可以看为是软件开发和网络技术的混合领域。本文站在云数据中心网络维护工程师的角度,给大家分享SDN与云数据中心结合的前世今生。


    一、云数据中心为什么要引入SDN

    云计算近十年来受到互联网、IT和电信业共同的关注,云计算技术的快速发展和广泛应用使得数据中心的业务形态产生了很大的变化。目前数据中心业务聚焦在Iaas层,即云计算数据中心利用自身所拥有的计算、存储、网络、软件平台等资源向租户提供Iaas虚拟资源出租。典型的IaaS资源包含云主机(虚拟机)、对象存储、块存储、VPC专用网络(VPC,Virtual Private Network虚拟私有云)、公网IP、带宽、防火墙、负载均衡等产品。

    在网络层面,假设暂不考虑公网IP、带宽等衍生网络产品,仅是云主机,网络上最基本的技术要求就是可迁移性和隔离性。可迁移性,通常是指云主机在数据中心具备自动恢复能力。当云主机所在宿主机(物理服务器)出现宕机时,云主机能够自动迁移至另一台正常运行的物理服务器上且IP保持不变。隔离性通常可以分为两个层面,一是不同租户间的网络隔离,鉴于安全考虑,不同租户间内部网络不可达;二是同一租户内部不同子网(vlan)间的隔离,为业务规模较大的租户提供的多层组网能力。

    因云主机迁移IP不能变,进而要求网络需处于二层环境中,早期云数据中心在组网上通常是采用大二层技术。大二层技术,简单理解就是整个数据中心是一个大二层环境,云主机网关都位于核心设备上。一想到二层环境,肯定离不开广播风暴,也离不开遏制广播风暴的生成树协议。全网都用生成树协议,势必会阻塞较多的网络链路,导致网络链路利用率不足。为了解决利用率不足的问题,思科VPC(这个跟上文的VPC不一样,virtual port channel虚拟端口转发)技术和华为华三的IRF堆叠技术应运而出。简单的理解,上面两种技术都是对生成树协议的欺骗,最终使被生成树协议阻塞链路转变为可使用状态,提升链路使用率。结合大二层技术使用的租户隔离方式有两种常用的,一个是vlan隔离,一个是VRF(Virtual Routing Forwarding虚拟路由转发)隔离。若是采用vlan隔离,通常需要把云主机网关终结在防火墙上,这样才能满足租户间安全隔离的需求。这种模式下,一般是一个租户对应一个vlan;针对同一租户有多子网的需求,则需要在网关设备防火墙上通过较为复杂策略来实现。若是采用VRF隔离的方式,通常是把云主机网关终结在高端交换机或者路由器上,一个租户对应一个VRF。针对同租户有多子网的需求,则是一个VRF+多个vlan的模式。

    受限于vlan/VRF规模,无论是“大二层+vlan”还是“大二层+VRF”,都存在云数据中心租户数量不超过4096个的限制,同时也不允许租户间的IP地址段冲突。在加上传统IP网络架构在虚拟化、灵活配置和可编程方面能力不足,在云数据中心网络服务业务链编排上也有所制约。为了解决上述问题,出现了在云数据中心网络中引入了SDN的技术潮。

    二、SDN在云数据中心的系统架构

    SDN的3+2架构模型,从上到下分为应用层、控制层和转发层。以控制层为基准点定义了两个外部接口,其中,向上为应用提供自定义业务功能的API称为北向接口,向下控制使用底层网络资源的API称为南向接口。常用的北向接口标准是Restful,常用的南向接口标准是Openflow。

    SDN的3+2架构模型相信大家都不陌生。SDN在云数据中心跟云管理平台(以Openstack为例)整体融合考虑时,比较常见的系统架构如下所示。针对下图进行几个说明,说说为什么常用这种模式:


    1、关于系统层级的划分

    推荐的SDN系统层次划分中,云数据中心运营管理平台和Openstak统一被定义为应用层,独立的SDN控制器设备构成控制层,底层网络设备构成了转发层。在业界关于Openstack数据中心系统层级,除了图中所示,还有另外一种划分方式。在另一种划分方式中,是把Openstack的Neutorn当成是控制层,由neutron直接对接底层网络设备。在服务器规模较大的云数据中心,尤其是采用虚拟交换机时,控制器跟网络设备(虚拟交换机)之间的交互流量是比较大的。在实际部署中,通常会引用商业版的SDN控制器。商业版的SDN控制器与Neutron的对接,主要体现在于Neutron插件上。

    Neutron是Openstack的网络管理模块。Neutron主要由Neutron server、插件代理(Plugin Agent)构成。Neutron Server包含守护进程Neutron-server和各种插件Neutron-*-plugin。守护进程Neutron-server对外暴露API接口,配置管理网络插件,并把来自API的调用请求传给已经配置好的插件进行后续处理;插件Plugin分为core和additional两类,需要访问数据库来维护各种配置数据和对应关系。插件代理(Plugin Agent)通常位于计算服务器上,与Neutron上的插件进行通信,名字为Neutron-*-agent,通常与Neutron上的各种插件Neutron-*-plugin相对应。Neutron默认的core plugin是ML2。若是引入商业版的SDN控制器,需要安装对应的core plugin用来取代ML2,同时也需要安装对应的插件代理。在这种情况下,SDN控制器通过Neutron core plugin与neutron server进行通信连接,通过控制器南向接口纳管底层网络设备,例如通过openflow下发流表。

    2、关于管理流量和业务流量的区分:

    为保障云数据中心的网络信息安全和流量走向有序,基于数据类型将系统架构划分管理和业务两个平面。管理流量(云平台、控制器及网络设备之间控制流量)跑在管理域交换设备构建物理的通道上,业务流量(所有租户的业务流量)跑在业务域交换设备构建物理的通道上。两个数据通道完全隔离,物理独立。上图中的虚线为系统管理流量,实线为用户业务流量。管理平面并无特殊的组网需求,依旧采用传统组网。业务平面承载数据中心全部用户数据流量,需要考虑前面提到的虚拟机迁移大二层、租户隔离以及IP允许冲突等组网需求。云数据中心在业务平面通常采用vxlan的组网模式。需要澄清一点的是,Openstack的Neutron支持多种业务平面的组网模式,如flat, VLAN, GRE 和VXLAN。在云数据中心选择XVLAN的组网,主要是为了满足前面提到的三个组网需求。

    Vxlan,简单理解就是隧道报文封装。原始以太网数据包,包括原始IP/MAC地址和vlan等报头信息,均成为vlxan的报文内容。Vxlan包头,包含vxlan隧道两端VTEP(进行vxlan封装的网络设备)的IP/MAC地址和vxlan设备对应的vlan,与原始以太网报文无关。在这里,有三个网络标识要拎出来。

    • 第一个是外层802.1Q,位于vxlan报文封装的包头,是vxlan设备对应的vlan,也叫做underlay网络的vlan,为全局vlan。
    • 第二个是内层802 .1Q,位于原始以太报文内部,是原始用户数据对应的vlan,也成为本地vlan,仅在用户的虚拟机上联的vxlan设备内部有效。
    • 第三个是vxlan的隧道标识,也叫做VNI,是区分vxlan隧道的关键。Vxlan标识位有24位,即最多可支持2^24个,数量上远远胜出vlan/VRF。



    业务平面引入vxlan组网,vxlan和租户/租户网络之间的关系是云数据中心的组网模型重点。以一个云数据中心的典型租户VPC为例,分别分析vlan、VRF和vxlan组网的隔离模型。假设租户有2个子网,分别是子网A(192.168.100.0/24)和子网B(10.100.1.0/24),同子网二层互通,跨子网三层互通。

    • 若是在vlan组网中,子网A和子网B分别对应为两个vlan,vlan的网关终结在防火墙上,通过防火墙策略实现跨子网互通。
    • 若是在VRF+vlan的组网中,租户对应为一个VRF,子网A和B分别对应两个vlan,VRF关联两个vlan实现三层互通。
    • 若是在vxlan的组网中,需要理解前面提到的本地vlan和vxlan VNI和全局vlan这三个概念。Vxlan设备是封装和解封vxlan的边缘设备,因此以vxlan设备为界面,形成了全局vlan域和本地vlan隔离域。全局vlan域是vxlan设备和业务域传统网络设备构建的区域,此vlan是在数据中心业务域全局生效的。以下图为例,全局vlan标识为10,是vxlan设备与传统网络互连的二层标识,一般是在组网初始化时就确定了,后续不会更改。Vm至vxlan设备之间是本地隔离域,vlan仅在本地生效。在不同的本地隔离域中,用户每一个子网分别对应一个vlan,同一个子网的本地vlan标识可以相同也可以不同。如图所示,子网A在vxlan设备1构建的隔离域中对应为vlan100,在vxlan设备2构建的隔离域中对应为vlan200。在vxlan组网环境中,尤为关键的是vxlan的VNI标识。VNI标识也是在业务域全局生效的。业界常用方式是,用户的每个子网对应一个vlxan隧道,即一个VNI标识。跨子网通信也对应一个vlxan隧道。如图所示,子网A内部通信的vlxan VNI是10003,子网B内部通信的vlxan VNI是10002,子网A和子网B之间通信的vlxan VNI是10001。SDN控制器需要分配并存储云数据中心用户的vpc网络和底层网络设备本地vlan/vxlan的正确映射关系,设计并下发合适的流表至vxlan,确保业务流量的正常访问。


    3、关于物理交换机和虚拟交换机的选择:

    在SDN云数据中心,进行vxlan封装的可以是物理交换机也可以是虚拟交换机。通常把基于虚拟交换机实现vxlan封装的称为软件解决方案,基于物理交换机实现封装的称为硬件解决方案。这两种方案各有优劣,云数据中心可以基于自身业务模型和规模进行适配选择。

    在软件解决方案中,每台硬件服务器上都有虚拟交换机来承载vxlan的封装/解封装。以开源OVS为例,虚拟交换机有br-int和br-tun两个网桥,br-tun承载vlxan功能。也有其他的商用解决方案,仅有一个网桥来实现全部通信功能。控制器跟大量的虚拟交换机的控制流量交互,是方案的难点。尤其是虚拟交换机有首包请求机制时,控制器的压力比较大。

    在硬件解决方案中,通常由接入交换机来承载vlxan的封装/解封装。接入交换机通常是下挂24/48的硬件服务器,在同规模数据中心的软件方案相比,大大减少了vxlan设备数量。一些商业解决方案中,接入交换机通常会跑bgp evpn,用来在控制平面交互主机路由等关键信息。在硬件解决方案中,通常也会采用上面提到的本地vlan/全局vxlan/全局vlan这三个隔离概念。因为vxlan设备的本地隔离域很大,用户间隔离及用户内部互通流量模型极为复杂。为了区分不同用户,通常会在vxlan设备引入VRF,即一个用户对应一个VRF(VRF是全局生效的),简化控制复杂度。

    展开全文
  • 7.1 多数据中心的业务诉求场景 7.1.1 多数据中心的业务场景分析 7.1.2 多数据中心的网络需求分析 7.1.3 Multi-DC Fabric方案整体架构和场景分类示例 7.2 Multi-Site场景和设计 7.2.1 Multi-Site方案的应用场景 7.2.2...

    7.1 多数据中心的业务诉求场景

    7.1.1 多数据中心的业务场景分析

    主流需求:虚拟化和资源池化,形成多活,可就近提供服务

    1. 业务跨数据中心部署

    在这里插入图片描述

    2. 两地三中心

    是指在同城双活的数据中心基础上,增加一个异地灾备数据中心,与同城双活实现数据同步
    不同数据中心的子系统间需要二三层互通,相同组系统的安全策略需要一致,对外提供相同的服务,形成双活
    在这里插入图片描述

    3. 网络级容灾

    如果将数据中心的服务器部署于不同的数据中心,当某个数据中心发生故障时,集群内的其他数据中心的服务器仍可提供服务,可实现跨数据中心的应用系统容灾。
    服务器跨数据中心部署需要网络提供跨数据中心的大二层能力
    在这里插入图片描述

    4. 分布式云化

    站点之间可以提供多活,随时可以实现故障切换,并且边缘DC就近提供服务,时延小,用户体验好。
    在此场景下,数据中心之间需要进行二三层互通。
    在这里插入图片描述

    7.1.2 多数据中心的网络需求分析

    在这里插入图片描述

    1. 业务跨数据中心部署

    某些VPC(可以理解为一个逻辑上的服务,一个APP)可能跨越多个Fabric,同时需要安全的路由隔离和防火墙隔离

    2. 不同业务(VPC)之间互通

    VPC之间通常为三层互通,如果需要二层互通,则建议将互通的VM划分到同一个VPC中

    3. 通过SDN实现自动化部署

    自动化部署分两步,首先需要将跨数据中心的虚拟化网络编排出来;其次编排出虚拟化网络后需要在各数据中心进行实例化

    4. 跨数据中心的业务容灾多活

    在多个数据中心部署相同的业务,但是IP地址不同,通过GSLB实现多活
    另外,为了满足某些业务迁移到容灾数据中心后IP地址不能改变,则需要跨数据中心的二层互通,同时需要主备或多活的访问外网的网关

    小结:

    其实多数据中心网络最需要的诉求就是跨数据中心的网络二三层互联。而不同的层面有不同的互联需求,多个数据中心之间互联需要解决以下几个问题:

    • 数据同步和数据备份,需要存储互联。解决方案:存储互联一般通过波分或者裸光纤
    • 跨数据中心部署HA内部的心跳或者虚拟机迁移需要大二层互通。解决方案:应用集群或者虚拟机迁移,需要大二层网络,首选VXLAN
    • 业务之间互访需要跨数据中心三层互通。解决方案:VXLAN提供的L3VPN
    • 不同数据中心前端网络,即数据中心外联出口,通过IP技术实现互联。解决方案:通过动态路由或者静态路由实现互联

    7.1.3 Multi-DC Fabric方案整体架构和场景分类示例

    1. 方案整体架构

    架构分为下图中的三个层次,可以等同于控制层,Underlay和Overlay
    在这里插入图片描述

    2. 方案场景细分

    主要分为Multi-Site和Multi-PoD两种场景
    下面解释几个关键的概念:
    PoD:强调的是一组相对独立的物理资源
    Multi-PoD:一套SDN控制器管理的多个PoD,是由端到端VXLAN隧道构成的一个VXLAN域,PoD之间的距离不会太远,通常位于同城近距
    Site:由SDN控制器管理的资源池,是一个或多个PoD,也是由端到端VXLAN隧道构成的一个VXLAN域
    Multi-Site:多个AC(控制器层面的一个Site)管理域之间互通,即多个Multi-PoD之间的互通,是多个VXLAN域,对距离不敏感,可异地部署
    方案对比
    在这里插入图片描述
    层次化Multi-DC Fabric
    Multi-Site和Multi-PoD的一种组合场景
    在这里插入图片描述
    典型案例就是两地三中心,即一个Multi-PoD的Site和一个单PoD的Site组成的一个大数据中心

    两种组网方案的详细讲解

    Multi-Site

    《云数据中心网络架构与技术》读书笔记 第七章 构建多数据中心网络(2/3)

    Multi-PoD

    《云数据中心网络架构与技术》读书笔记 第七章 构建多数据中心网络(3/3)

    展开全文
  • 7.2 Multi-Site场景和设计 7.2.1 Multi-Site方案的应用场景 Multi-Site大VPC 通过一个编排起统一地对两个数据中心内部和数据中心间的网络进行编排,编排完成后将指令下发给对应的SDN控制器进行VPC实例和数据中心间...

    7.2 Multi-Site场景和设计

    7.2.1 Multi-Site方案的应用场景

    Multi-Site大VPC
    通过一个编排起统一地对两个数据中心内部和数据中心间的网络进行编排,编排完成后将指令下发给对应的SDN控制器进行VPC实例和数据中心间互通实例的发放,对外体现为一个大VPC整体
    几个重要特点:

    • 每个数据中心都部署独立VXLAN域,分别由一套SDN控制器单独管理
    • 数据中心之间通过三段式VXLAN进行互通,也可以通过Underlay方式互通
    • 隔离了两个数据中心的故障域
    • 方便客户分批模块化部署数据中心

    在这里插入图片描述
    Multi-Site VPC互通
    不同业务之间需要互通,即VPC的互通。
    编排器需要与多个SDN控制器协同,打通VPC之间的逻辑网络
    在这里插入图片描述

    7.2.2 Multi-Site方案的具体设计

    7.2.2.1 Multi-Site场景业务部署过程

    说明一下图中的几个重要概念
    在这里插入图片描述

    • 业务层和资源层:业务层是客户看到的视角,是业务逻辑;资源层即物理设备实体
    • 物理量网络资源
    • 逻辑网络资源:SDN控制的一个主要任务就是将Domain和Fabric以及Fabric里的各种组件与一台台具体物理设备对应起来,最终将配置下发
    • 业务资源:让客户的业务在发放时范围可控;将编排器逻辑和SDN控制器逻辑对应起来
    • Region:一个业务VPC范围控制在一个Region内部
    • AZ:一个Subnet控制在一个AZ内。Subnet为VPC中的子网

    7.2.2.2 VMM对接设计

    在Multi-Site方案里,一个Site即为一个Fabric,由一套SDN控制器管理,一套SDN控制器可以对接多个VMM,每个VMM只管理本Site的虚拟机,并且只与本Site的SDN控制器对接

    7.2.2.3 部署方案设计

    部署分为两种:

    • (推荐)通过三段式VXLAN实现DC间的二三层互通
    • 数据中心互联设备之间部署IGP/BGP

    在这里插入图片描述
    DCI网络互联有一下三种方案

    • 同城汇聚,适用于同城站点较多的场景
    • 裸管线/DWDM直连,适用于站点较少的场景
    • 异地,通过WAN互联,适用于异地站点较多的场景

    7.2.2.4 转发面方案设计

    通过三段式VXLAN实现DC间三层互通

    在这里插入图片描述
    1.控制平面
    由于是三段式,因此路由发布过程中下一跳信息会逐跳改变
    在这里插入图片描述

    2.数据平面
    这里需要关注外层MAC的频繁改变
    在这里插入图片描述

    通过三段式VXLAN实现DC间二层互通

    不同数据中心都有各自独立的VNI空间,因此数据中心之间部署的VXLAN很可能采用了不同的VNI
    在这里插入图片描述
    1.控制平面
    在这里插入图片描述
    需要说明一下控制面中的重点过程

    • Transit Leaf1进行BGP EVPN路由重生成。其中,在修改VNI信息时,需要根据BD ID和本地VNI查询映射表,找到对应的映射VNI, 然后将重生成路由中的VNI修改为映射VNI。
    • Transit Leaf2进行BGP EVPN路由重生成。 其中,在修改VNI 信息时, 需要根据BD ID和映射VNI查询映射表, 找到对应的本地VNI, 然后将重生成路由中的VNI修改为本地VNI。

    2.转发平面
    在这里插入图片描述

    7.2.2.5 Multi-Site方案–External Network多活

    当一个数据中心内部的服务器发生局部故障时,尽量将流量切换至同一中心SLB集群内的其他服务器,将故障限制在本中心;当一个中心内的应用服务器全部发生故障时,才将流量切换到另一中心

    7.2.3 推荐的部署方案

    Multi-Site方案–按安全等级划分VPC业务模型

    该方案主要在业务模型层面针对VPC进行安全级别的划分,而不是按照租户划分,所有用户共用这些安全划分后的VPC
    在这里插入图片描述

    业务VPC通过安全等级区分,VPC之间有互通需求,相同安全等级的VPC互访不经过防火墙,不同安全级别的VPC之间互访需要经过防火墙
    在这里插入图片描述

    Multi-Site方案–多租户VPC模型分析

    该方案划分VPC的方式是基于租户,每个租户相互隔离,且可能有相同的资源配置,各自形成较为完整的体系
    在这里插入图片描述

    不同业务的私网地址可以重叠,所以PoD之间互联需要通过VXLAN方式,只需要打通VXLAN的Underlay部分路由,通过VNI去隔离,不关心业务IP
    在这里插入图片描述

    展开全文
  • 数据中心网络架构的问题与演进 — 传统路由交换技术与三层网络架构》 《数据中心网络架构的问题与演进 — 网络虚拟化》 《数据中心网络架构的问题与演进 — CLOS 网络与 Fat-Tree、Spine-Leaf 架构》 《数据中心...
  • 云数据中心安全设计要点

    千次阅读 2017-05-18 19:33:28
    安全综述 ...1. 隔离性,云数据中心的各个组成部分都有各自的安全防护措施,当某一个部分出现故障时应尽可能减少对其他部分的影响。 2. 完整性,安全设计必须为整个系统提供全方位的安全防护,云数据中
  • 云数据中心的电力基础架构及其关键技术 引言 信息集成是消除企业内信息孤岛、实现信息共享、提供决策支持的核心技术,而数据中心是信息集成系统的基础,具有重要的学术和应用价值,一直是近年来的研究热点,也是...
  • 数据中心的BGP 说明: 这是最近在学习《BGP in the datacenter》。由于原文是全英文。所以在学习过程中,利用谷歌翻译和网易翻译,再把翻译不通的地方,加上自己理解稍微改了改。在此共享出来,需要的人可以参考...
  • 文章目录目录前文列表云网融合SD-WANSD-WAN 的应用场景企业组网互联 SD-EN数据中心互联 SD-DCI组网互联 SD-CX企业接入场景数据中心场景多云互联场景SD-WAN 的技术架构参考文章 前文列表 《数据中心网络架构...
  • 华为SD-DC²架构, 聚焦数据中心云

    千次阅读 2016-02-24 14:14:11
    华为云数据中心解决方案聚焦于云时代IT架构下的数据中心云化,提供整合、端到端、全层级的数据中心架构,通过持续创新、合作共赢,帮助客户创造更高价值。
  • 数据中心网络架构演进 — 云网融合

    千次阅读 2020-03-01 19:09:59
    数据中心网络架构的问题与演进 — 传统路由交换技术与三层网络架构》 《数据中心网络架构的问题与演进 — 网络虚拟化》 《数据中心网络架构的问题与演进 — CLOS 网络与 Fat-Tree、Spine-Leaf 架构》 《数据中心...
  • 数据中心存储架构 文/刘新民 存储系统是数据中心IT环境的核心基础架构,是数据中心数据访问的最终承载体。存储在云计算、虚拟化、大数据等相关技术进入后已经发生了巨大的改变,块存储、文件存储、对象存储支撑起...
  • 云数据中心基础

    万次阅读 2018-05-17 13:19:54
    数据中心概述: DC (Data Center) 企业IT系统的核心 海量数据运算、交换、存储的中心 关键信息业务应用的计算环境 集中管控各种数据、应用程序、物理或虚拟化设备的环境 数据中心四大焦点:可靠、灵活、绿色、...
  • 目录 文章目录目录前文列表Clos Networking 前文列表 《数据中心网络架构的问题与演进 — 传统路由交换技术与三层网络架构》 《数据中心网络架构的问题与演进 — 网络虚拟化》 Clos Networking ...
  • 数据安全架构设计与实战》一书融入作者十余年安全架构实践经验,系统性地介绍数据安全架构设计与治理实践,主要包括:产品安全架构(从源头开始保障数据/隐私安全)、安全技术体系架构(构建统一的安全能力中心)...
  • 云数据中心概述与趋势

    千次阅读 2019-04-12 17:04:14
    数据中心概念 数据中心(Data Center)是企业IT系统的核心,海量数据...主机时代——分散化:局域网架构,大、小型机构建,小型数据中心 互联网时代——集中化:www网架构,X86服务器参与共建,各种大型数据中心涌...
  • 面向数据中心(IDC)的OS架构见解

    千次阅读 2012-04-30 10:42:05
    面向数据中心(IDC)的OS架构见解  本文不久前发表于《网络世界》,个人见解,姑且听之。 摘要:  面对当前急速膨胀的数据存储和处理需求,即便再强的单机(如小型机)也无法满足,所以我们不得不借助于规模...
  • 云数据中心解决方案

    2017-03-24 17:49:07
    云数据中心当前迎来了空前的发展机遇,数据中心的走向软件定义数据中心(SDDC)要求具备简化并自动化的运维管理,并支持应用和基础架构交付自动化。云数据中心当前面临的主要挑战包括: 1、混合架构云给出数据...
  • 文章目录目录前言传统路由交换技术路由和交换交换技术传统的 2 层交换技术具有路由功能的 3 层交换技术具有网络服务功能的 7 层交换技术路由技术三层网络架构核心层(Core Layer)汇聚层(Aggregation Layer)接入层...
  • IaaS私有云数据中心将逐步替代原有形态的企业数据中心,为企业日常IT等业务运营环境提供更加强有力的支持。 IaaS私有云数据中心系统设计 文/罗逸秀 当前云计算产业正在如火如荼的发展,大型互联网运营商如阿里、...
  • 云数据中心备份容灾设计方案

    万次阅读 2018-09-20 15:06:25
    导读:云计算中心 涵盖系统多、类型复杂、关键性...云数据中心备份容灾设计方案   本文主要内容: 数据中心业务分析 灾备技术实现 未来两地三中心规划 灾备方案实施步骤   数据中心业务分析   业务恢...
  • 分布式云数据中心

    千次阅读 2019-10-25 06:48:48
    传统的大型企业数据中心是一个物理分层的架构,采用烟囱式构建基础架构的方式,存在建设与运营成本高、资源利用率低、服务SLA保证困难、管理复杂等诸多挑战 数据中心发展趋势 随着云服务业务的发展,运营商和企业...
  • 01.混合云架构下的安全风险分析1. 混合云架构下的安全风险分析企业混合环境,一般包括一个或多个公有厂商以及自建的私有平台,从信息安全风险管理角度来看,实施混合涉及到IT基础架构...
  • 如何构建业务驱动的云数据中心

    千次阅读 2016-02-15 10:17:07
    云数据中心和传统数据中心存在很大差异,运营商在建设云数据中心时将面临诸多挑战,需要一个战略合作伙伴,能够帮助其规划云数据中心的顶层设计,对建设质量和进度负责,同时还可以帮助运营商将现有业务割接、迁移到...
  • 云计算时代,数据中心架构三层到大二层的演变 author:pasca time:2018/1/16 文章目录一、数据中心是什么二、传统数据中心网络架构三、云计算的发展对数据中心的影响四、数据中心流量丰富化带来的挑战五、总结 一、...
  • 云计算时代需要怎样的数据中心架构? 字号:小大2012-07-13 09:35 来源:51CTO 我要评论(0) 云计算要求基础设施具有良好的弹性、扩展性、自动化、数据移动、多租户、空间效率和对虚拟化的支持。那么,...
  • 003云数据中心基础原理笔记

    千次阅读 2017-04-05 22:22:15
    云数据中心
  • xx大学云数据中心建设方案

    万次阅读 多人点赞 2017-05-20 06:25:26
    xxxxx大学云数据中心建设方案                                 2015/11     目录 第1章 云数据中心总体方案 3 1.1 设计原则 3 1.2 系统...
  • 维基百科对数据中心的定义为:“数据中心是一整套复杂的设施,它不仅仅包括计算机、系统和其他与之配套的设备(例如通信和存储系统),还包含冗余的数据通信连接、环境控制设 备、监控设备以及各种安全装置。” 数据...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 63,049
精华内容 25,219
关键字:

云数据中心安全架构