在數據中心內 SDN 應如何定位?
Data Center在虛擬化與雲端運算以及軟件定義網絡(SDN)這樣的新技術驅動下迅速發展。與此同時也顛覆了Data Center網絡安全的設計與部署。
軟件定義網絡(SDN:Software-Defined Networking)
虛擬化與雲端運算蓬勃發展,另一項技術模式軟件定義網絡(Software-Defined Networking)的提出已然同樣帶來許多的改變。SDN,SDDC、網絡虛擬化以及網絡功能虛擬化。這些意味著對於安全又有怎樣的影響?
網絡虛擬化
要談網絡虛擬化應該從伺服器虛擬化的歷史說起。伺服器虛擬化可以說是x86的虛擬化、Abstract運算硬件,也就是CPU x86、晶片與RAM;以及管理程式中的OS與應用程式都等同於虛擬,例如vCPU以及vRAM等。把這些虛擬配件裝到一個VM Pool中,並與其他Pool隔離,從而實行比硬件組合更經濟的方式。基於此,虛擬化網絡中便有了虛擬化的交換器,也就是如何讓多個vNIC共用一個Physical Interface的邏輯機制。但這並不是x86伺服器的虛擬化,畢竟,x86網絡硬件是一個NIC或Ethernet Adapter,並不是交換器,作為最早的虛擬化產品,例如VMware虛擬機是沒有Virtual Switching的。
廠商與使用者都發現虛擬化網絡可以提供除了硬件合併以外的其他網絡優勢,例如Bandwidth Storage Pool、Redundant、NIC Redundancy,而且網絡虛擬化的功能快速擴展。但是網絡虛擬化仍然是伺服器的副產品,虛擬化交換器如果獨立於管理程式vm kernel 外仍然不是一個真正的軟件交換。虛擬網絡實際上仍然要依靠實際網絡(例如,依賴實際網絡定義 802.1Q VLAN)。
網絡虛擬化將虛擬化網絡提升到一般的部署層面以及集中在Physical Layer中,例如交換器與路由器。類似如x86伺服器,網絡埠轉為虛擬埠,邏輯上Virtual Switching互相結合。網絡層Hypervisor也可以甚至獨立於x86的Hypervisor平台而存在,或甚至可以在沒有伺服器虛擬化的環境下,雖然現今採用虛擬化的任何Data Center都會使用虛擬化伺服器。
以下是網絡虛擬化中兩個關鍵的話題是OpenFlow與overlay networks
OpenFlow – 將控制與資料層虛擬化
OpenFlow模式下,管理層面對的問題或通過網絡層的Hypervisor,甚至是SDN Controller的控制層。OpenFlow是被受推薦的通信標準之一,也就是通過在SDN Controller之間伺服器用戶方的API介面,這樣便會在固定的交換器/介面之間定義或控制資料流程。大多數網絡硬件廠商都接受了OpenFlow,但是並不是全部的廠商都使用公開的標準保留價值。
資料流程控制提供了安全設備的方式,例如網絡監控或邏輯網絡內部的線上防火牆設備;但是,安全產品不能使用Openflow協定,應直接在網絡介面中修改流量,也就是說,作為一個OpenFlow用戶端應只有一個“指揮中心”或SDN Controller。為了與Controller協調工作,安全產品應使用其他Controller中可用的介面或編排相關的架構以及與其他網絡通訊協定和自身的核心網絡資料流程相協調。
但是,SDN帶來的挑戰,例如VMware NSX或甚至是開源碼的Floodlight,都沒有標準的介面。一個潛在的解決方案是Openstack Quantum這樣的開源碼項目,提供包括API等一套的東西,但是作為一個SDN Controller,負責支援Controller的介面。 即便這樣,不斷重新定義資料流程,也不是一種利用SDN的理想方式,而且更會帶來複雜與Redundancy。
VXLAN與Overlay網絡
SDN的另一個不同的地方就是Network overlay(以及underlay),包括所提出的標準,如VXLAN與 NVGRE.VXLAN可以使兩層子網作為隧道穿過三層網絡與WAN/互聯網,再次在實際的網絡之上建立邏輯網絡。VXLAN也可以越過之前的4096 可定址 ID的VLAN界限,擴展到超過1600萬。
在SDDC層面定義安全
對於進行評估物理與虛擬安全公司機構的幾點考慮:
固定 VS 可變的網絡容量
網絡Bandwidth是持續在增加的,但是並不意味這是一成不變。有多少Data Center網絡流量是穩定或可預測?如員工的網絡使用率?有多少是可變的?例如用戶的需求?是否呈現季節性增長模式或是完全不可預測,例如在新的線上交易活動或者市場活動期間?在現今的性能價值水準上,採取硬件的方式可以以絕對最低的成本提供固定的容量,然而虛擬裝置提供幾乎無限制與高彈性的流量,這是無可比擬的,而且潛在的沒有任何現實的局限。
網絡拓撲
整理網絡拓撲結構是用什麼方式?答案是否關係到目前的架構或未來的SDN與網絡虛擬化的應用?有多少在Data Center內的網絡Bandwidth應用流量之間是可以不變的?還有多少是外部到互聯網或只是在企業內部的?
輸送量 VS 延遲
怎樣才是一個平衡?高性能的設備可在最小化延遲內提供經濟向流量。同時虛擬裝置可以實現東西的流量,但是在網絡使用較高的時段,會造成vCPU/vRAM的樽頸位。
合規情況
使用者在使用某項技術進行網絡部署方面,一些政府規定或行業規範?即使不需要,額外的資訊審計是否會將某項新技術的應用拖成代價昂貴又不實用的結果?企業在定義SDDC安全架構之前應評估其Data Center方案,既符合目前情況而又適應不久將來。在用戶與供應商層面的採用還是尚早,就網絡安全層面而論,沒有一個一勞永逸的答案。