由于混合云和container(容器)技術(shù)的出現(xiàn),數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)比以往任何時(shí)候都更加難以被攻破。
當(dāng)然,這個(gè)技術(shù)再好,還是有法可循,如果我們遵循一種簡單的方法,還是可以破解的。
在不太遠(yuǎn)的過去,數(shù)據(jù)中心內(nèi)的流量轉(zhuǎn)發(fā)很簡單。 一個(gè)IP地址與另一個(gè)IP地址通話。 這些地址屬于端點(diǎn) - 裸機(jī)主機(jī)或虛擬機(jī)與其他裸機(jī)主機(jī)或虛擬機(jī)通話。 這些IP地址之間的路徑是數(shù)據(jù)中心交換機(jī)已知的路由和橋接表中的條目。
如果工程師需要排除兩個(gè)IP端點(diǎn)之間性能不佳或奇怪的行為,一個(gè)好的起點(diǎn)就是通過查看這些表來構(gòu)建兩者之間的路徑。 同等成本的多路徑和多機(jī)架鏈路聚合增加了此過程的復(fù)雜性,但總的來說,運(yùn)營商可以確定任何給定的數(shù)據(jù)中心會話遍歷的路徑。
在端點(diǎn)之間的通信流并沒有什么太復(fù)雜的。網(wǎng)絡(luò)地址轉(zhuǎn)換、加密或隧道傳播中很少出現(xiàn)。這些功能往往位于數(shù)據(jù)中心邊緣,與受信任外圍設(shè)備進(jìn)行通信。
現(xiàn)代數(shù)據(jù)中心
隨著業(yè)務(wù)需求的變化,現(xiàn)代數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)已經(jīng)和以前的完全不一樣啦。曾經(jīng)相對簡單的數(shù)據(jù)中心,通訊簡單,現(xiàn)在的數(shù)據(jù)中心可以看做是一個(gè)統(tǒng)一基礎(chǔ)設(shè)施的平臺,在這個(gè)平臺上運(yùn)行各種應(yīng)用程序。數(shù)據(jù)中心作為一個(gè)整體運(yùn)行;它是應(yīng)用程序交付的引擎。
越來越多的基礎(chǔ)設(shè)施對開發(fā)人員和他們的應(yīng)用程序是透明的。一個(gè)徹底的現(xiàn)代基礎(chǔ)設(shè)施是開發(fā)人員應(yīng)用程序的抽象。資源池是按需分配的,而開發(fā)人員不必?fù)?dān)心基礎(chǔ)設(shè)施。相反,基礎(chǔ)設(shè)施是有效的。
現(xiàn)代數(shù)據(jù)中心還以一種分布式的方式處理安全問題,它與動態(tài)站立和拆除工作負(fù)載相協(xié)調(diào)。不再需要通過一個(gè)中央的物理防火墻來強(qiáng)制執(zhí)行安全策略。相反,構(gòu)建一個(gè)中央安全策略,一個(gè)安全管理器將該策略的相關(guān)部分安裝到受影響的主機(jī)、vm或container中。沒有基礎(chǔ)設(shè)施的選擇,也沒有晦澀的路由需求來強(qiáng)制執(zhí)行這樣的政策。
在更高的級別,我們在構(gòu)建私有云架構(gòu)。同錯(cuò)采用這種抽象物理基礎(chǔ)結(jié)構(gòu)的方式,可以與公有云進(jìn)行更簡單的協(xié)作。因此,混合云架構(gòu)越來越受歡迎,人們期望公共云工作負(fù)載與私有云工作負(fù)載具有相同的安全性和連接性。
層
隨著混合云架構(gòu)成為新的標(biāo)準(zhǔn),重要的是要注意這些趨勢對網(wǎng)絡(luò)的影響。數(shù)據(jù)中心不再像一個(gè)IP地址那樣簡單地與另一個(gè)IP地址交談,在遇到麻煩時(shí),需要通過路由和橋的聯(lián)絡(luò),進(jìn)行協(xié)商。
提供現(xiàn)代數(shù)據(jù)中心靈活性的基礎(chǔ)設(shè)施機(jī)制依賴于復(fù)雜的網(wǎng)絡(luò)。推動這種復(fù)雜性的是工作負(fù)載隔離、服務(wù)策略實(shí)施和安全性的需要。因此,與其說數(shù)據(jù)中心是IP地址的海洋,倒不如更像是一塊有層次的蛋糕。
在這塊“有層次的蛋糕”底部是底層網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)是所有其他網(wǎng)絡(luò)服務(wù)的基礎(chǔ)。這也是網(wǎng)絡(luò)工程師最熟悉的網(wǎng)絡(luò)。當(dāng)他們查看他們的路由和橋接表時(shí),他們看到的是底層網(wǎng)絡(luò)——數(shù)據(jù)中心的基礎(chǔ)。
然而,底層本身并不能提供混合云所需的一切。一個(gè)日益增長的需求是隔離,被稱為多租戶。租戶可以是應(yīng)用程序、業(yè)務(wù)單元或客戶。
租戶的流量通過虛擬可擴(kuò)展LAN(VXLAN)封裝技術(shù)與其他流量隔離。來自一個(gè)段的流量被封裝在一個(gè)VXLAN包中,它通過這個(gè)包裝器在網(wǎng)絡(luò)中傳輸,并在另一端被斬首。VXLAN是另一層——覆蓋層——在我們的基礎(chǔ)底層之上。
它不僅提供了流量隔離,而且VXLAN還可以通過網(wǎng)絡(luò)中的特定路徑來路由流量。假設(shè)數(shù)據(jù)中心需要通過特定的防火墻和負(fù)載平衡器來進(jìn)行傳輸。在現(xiàn)代網(wǎng)絡(luò)中,防火墻和負(fù)載平衡器很可能作為虛擬網(wǎng)絡(luò)功能存在,駐留在數(shù)據(jù)中心的任何位置。為了將流量送到它需要去的設(shè)備,VXLAN封裝可以用于隧道從設(shè)備到設(shè)備的通信流,直到它們遍歷所有需要的設(shè)備。
防火墻規(guī)則在我們的覆蓋層和底層蛋糕中形成另一層。一個(gè)中央策略管理器會在主機(jī)上插入防火墻規(guī)則。每個(gè)主機(jī)最終都有自己的一套規(guī)則,這些規(guī)則控制著設(shè)備的進(jìn)出。這是一種用于確保可伸縮數(shù)據(jù)中心安全性的實(shí)用方法。
一個(gè)添加了更多網(wǎng)絡(luò)復(fù)雜性的通配符是container(容器技術(shù))。container網(wǎng)絡(luò)是一種新興的技術(shù),由名稱空間、代理服務(wù)器和網(wǎng)絡(luò)地址轉(zhuǎn)換管理,使container能夠相互通信,以及與外部工作連接——這是另一層。
在去年,Docker是最火爆的技術(shù)之一(不相信的人可以查一下google trends的引用量),Docker是什么呢?白話點(diǎn)說,就是一個(gè)Container的管理工具。那Container是什么呢,華沙機(jī)房主機(jī) 荷蘭主機(jī),白話點(diǎn)說,就是一個(gè)更輕量級的虛擬機(jī),但是這個(gè)虛擬機(jī)沒有操作系統(tǒng)和設(shè)備(操作系統(tǒng)可以共享的)。
