由于混合云和container（容器）技術的出現，數據中心網絡架構比以往任何時候都更加難以被攻破。

當然，這個技術再好，還是有法可循，如果我們遵循一種簡單的方法，還是可以破解的。

在不太遠的過去，數據中心內的流量轉發很簡單。 一個IP地址與另一個IP地址通話。 這些地址屬于端點 - 裸機主機或虛擬機與其他裸機主機或虛擬機通話。 這些IP地址之間的路徑是數據中心交換機已知的路由和橋接表中的條目。

如果工程師需要排除兩個IP端點之間性能不佳或奇怪的行為，一個好的起點就是通過查看這些表來構建兩者之間的路徑。 同等成本的多路徑和多機架鏈路聚合增加了此過程的復雜性，但總的來說，運營商可以確定任何給定的數據中心會話遍歷的路徑。

在端點之間的通信流并沒有什么太復雜的。網絡地址轉換、加密或隧道傳播中很少出現。這些功能往往位于數據中心邊緣，與受信任外圍設備進行通信。

現代數據中心

隨著業務需求的變化，現代數據中心的網絡架構已經和以前的完全不一樣啦。曾經相對簡單的數據中心，通訊簡單，現在的數據中心可以看做是一個統一基礎設施的平臺，在這個平臺上運行各種應用程序。數據中心作為一個整體運行；它是應用程序交付的引擎。

越來越多的基礎設施對開發人員和他們的應用程序是透明的。一個徹底的現代基礎設施是開發人員應用程序的抽象。資源池是按需分配的，而開發人員不必擔心基礎設施。相反，基礎設施是有效的。

現代數據中心還以一種分布式的方式處理安全問題，它與動態站立和拆除工作負載相協調。不再需要通過一個中央的物理防火墻來強制執行安全策略。相反，構建一個中央安全策略，一個安全管理器將該策略的相關部分安裝到受影響的主機、vm或container中。沒有基礎設施的選擇，也沒有晦澀的路由需求來強制執行這樣的政策。

在更高的級別，我們在構建私有云架構。同錯采用這種抽象物理基礎結構的方式，可以與公有云進行更簡單的協作。因此，混合云架構越來越受歡迎，人們期望公共云工作負載與私有云工作負載具有相同的安全性和連接性。

層

隨著混合云架構成為新的標準，重要的是要注意這些趨勢對網絡的影響。數據中心不再像一個IP地址那樣簡單地與另一個IP地址交談，在遇到麻煩時，需要通過路由和橋的聯絡，進行協商。

提供現代數據中心靈活性的基礎設施機制依賴于復雜的網絡。推動這種復雜性的是工作負載隔離、服務策略實施和安全性的需要。因此，與其說數據中心是IP地址的海洋，倒不如更像是一塊有層次的蛋糕。

在這塊“有層次的蛋糕”底部是底層網絡。這個網絡是所有其他網絡服務的基礎。這也是網絡工程師最熟悉的網絡。當他們查看他們的路由和橋接表時，他們看到的是底層網絡——數據中心的基礎。

然而，底層本身并不能提供混合云所需的一切。一個日益增長的需求是隔離，被稱為多租戶。租戶可以是應用程序、業務單元或客戶。

租戶的流量通過虛擬可擴展LAN（VXLAN）封裝技術與其他流量隔離。來自一個段的流量被封裝在一個VXLAN包中，它通過這個包裝器在網絡中傳輸，并在另一端被斬首。VXLAN是另一層——覆蓋層——在我們的基礎底層之上。

它不僅提供了流量隔離，而且VXLAN還可以通過網絡中的特定路徑來路由流量。假設數據中心需要通過特定的防火墻和負載平衡器來進行傳輸。在現代網絡中，防火墻和負載平衡器很可能作為虛擬網絡功能存在，駐留在數據中心的任何位置。為了將流量送到它需要去的設備，VXLAN封裝可以用于隧道從設備到設備的通信流，直到它們遍歷所有需要的設備。

防火墻規則在我們的覆蓋層和底層蛋糕中形成另一層。一個中央策略管理器會在主機上插入防火墻規則。每個主機最終都有自己的一套規則，這些規則控制著設備的進出。這是一種用于確保可伸縮數據中心安全性的實用方法。

一個添加了更多網絡復雜性的通配符是container（容器技術）。container網絡是一種新興的技術，由名稱空間、代理服務器和網絡地址轉換管理，使container能夠相互通信，以及與外部工作連接——這是另一層。

在去年，Docker是最火爆的技術之一（不相信的人可以查一下google trends的引用量），Docker是什么呢？白話點說，就是一個Container的管理工具。那Container是什么呢，華沙機房主機 荷蘭主機，白話點說，就是一個更輕量級的虛擬機，但是這個虛擬機沒有操作系統和設備（操作系統可以共享的）。