6小时前来源:中国IDC圈
核心提示: 9月1日由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在私有云可信云开源解决方案分论坛上,云途腾高级云解决方案架构师张钦发表了题为“企业私有云环境下的网络架构与安全实践”的演讲。
中国IDC圈2016年9月5日报道,9月1日由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在私有云可信云开源解决方案分论坛上,云途腾高级云解决方案架构师张钦发表了题为“企业私有云环境下的网络架构与安全实践”的演讲。
php?url=0EMPo1nv2W" alt="云途腾高级云解决方案架构师张钦:企业私有云环境下的网络架构与安全实践" />
云途腾高级云解决方案架构师 张钦
以下是演讲全文:
各位嘉宾,各位专家,下午好。
分为两点跟大家介绍一下网络架构和安全实践,网络和安全是紧密相连的两个模块。首先给大家介绍一下我们的网络架构,从这张图上可以清晰看到,这是我们传统的网络架构实践的方式,分为三层,一种是接入层、汇聚层和核心层,传统的网络架构方式是进行三层物流的传递,云化的数据中心之后,包含了计算、存储、安全,这三大组件的模块它上层是依赖于虚拟化层,通过网络的形式将这三大组件进行相互的信息交互。网络是云计算当中关键的一个环节,也是大家不可避免的一个技术因素。这是我们总结云计算环境下面临网络需求的放十,比如要求低延迟的通信机制,还有STP限制,还有二层网络边界,包括Vlan数量,还有多租户安全场景问题这些所有问题都是在云计算环境下网络所面临的瓶颈。
基于T2Cloud-SDN网络解决方案,基于T2Cloud,包含了南北流量、东西流量,在网络控制层面,通常意义上简单地认为,掌控网络的流量才是掌控了真正云计算网络下的一种控制方式。其中可以利用我们的SDN和NFV的方式实现VPN还有我们虚拟路由器的NAT,包括整个平台的安全、流量监控、流量区分和流量隔离。这张架构图是T2Cloud设计的基本的虚拟网络架构图,包含管理网络、内部网络、外部网络还有分布式存储网络。其中整个网络架构兼容传统的存储网络。
基于T2Cloud的网络我们可以实现跨越运营商进行多数据中心的部署,也可以与公有云和其他数据中心进行网络对接。其中包含了vRouter,也就是虚拟路由器,也可以基于传统的安全的防火墙方式,包括vSwitch和vLB,还有整个架构的overlay的叠加网络。对于多数据中心网络,一种是春软件,通过VXLAN的方式我们也可以通过软件和硬件结合的方式,一次建立可以多次连接。
第二个跟大家分享一下我们的安全实践,T2Cloud云安全,我们认为云环境下的基础架构,除了具有传统物理服务器的风险之外,同时也会带来虚拟系统自身的安全问题,新安全威胁出现就需要新的方法应对。这是基于T2Cloud云安全下我们总结的一些安全的问题,比如说虚拟机之间的互相攻击的问题,南北向、东西向一些安全性的问题,包括资源的争夺、管理的复杂性。我们T2Cloud认为安全应该是完全在TOL交换机之下的软件实现的一种方式,这样才是真正的云安全。这张图可以简单看出T2Cloud安全管理的机制则底层是基于T2Cloud的云平台,上层是我们T2Cloud无代理安全组件,可以实现云应用安全、云主机安全、云网络安全,进行统一的安全管理,然后我们可以实现单点登录、多次管理。这是我们安全的四个组件,包括管理中心,在管理中心商我们可以配置我们的安全策略,包括我们东西向流量的监测,还有南北向流量的监测,安全组的设置。主机安全组件可以深度集成在云环境之上,保证虚拟化环境下的安全性保障。虚拟机的消息中心,我们会检测到虚拟机如果受到病毒危害,会提示报警。安全中心是我们一个防病毒库,可以在上面进行病毒库的更新,还有安全体系的更新。
这张图可以看出来基于T2Cloud软件定义安全的方式,最底层是普通的X86服务器,最上层是T2Cloud云平台。有安全组件、管理中心、消息中心和安全中心,有流量监测、病毒防护、应用防火墙、入侵检测、可视化分析,这样可以在软件上实现相当于物理裸金属上的所有功能。
今天的T2Cloud可以逐步完善的五个解决方案,包括稳定的计算、高效的网络、可靠的存储、完善的安全、专业的服务,同时基于我们落地的项目,推进可信云的标准。
我今天的分享就到这里,谢谢大家。