查中泉,陶 偉,葉 楊
(廣州杰賽科技股份有限公司,廣州 510310)
目前,包括浙江移動、廣東移動和多地的移動公司都已經(jīng)啟動了系統(tǒng)云化應(yīng)用項(xiàng)目的改造。在經(jīng)過多年的集中建設(shè)之后,很多運(yùn)營商也基本形成了以B/O/M 系統(tǒng)為基礎(chǔ)的IT 支撐體系,以便更好地承擔(dān)企業(yè)運(yùn)營的任務(wù)。但是這些系統(tǒng)都不能夠在網(wǎng)絡(luò)安全防護(hù)的過程中發(fā)揮更好的作用,所以為了更好地適應(yīng)整體業(yè)務(wù)的發(fā)展需要,尤其需要就業(yè)務(wù)支撐網(wǎng)資源池改造的方案進(jìn)行全面的研究。
以現(xiàn)有的網(wǎng)絡(luò)資源為基礎(chǔ),來充分構(gòu)建某運(yùn)營商核心機(jī)房資源池二層數(shù)據(jù)中心網(wǎng)絡(luò)。在這過程中勢必要新增或替換一些設(shè)備。另外,也可以通過有效地使用虛擬網(wǎng)絡(luò)分組技術(shù)在有限的資源池內(nèi)部劃分獨(dú)立的邏輯領(lǐng)域,并在之后建立一個(gè)安全的資源池。尤其需要注意在互聯(lián)網(wǎng)的接口處增加三個(gè)獨(dú)立的子域,之后才能夠更好地進(jìn)行分類隔離和防護(hù)。另外,還需要另外開發(fā)兩類設(shè)備來測試子域新增敏感數(shù)據(jù)和子域和生產(chǎn)系統(tǒng)之間的關(guān)系。原本整體框架如圖1所示。
圖1 原本框架結(jié)構(gòu)
雖然原有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)架構(gòu)確實(shí)能夠在使用的過程中發(fā)揮相關(guān)的作用,但是卻沒有辦法對虛擬化資源池中的資源、物理資源和他其他基本粒度進(jìn)行有效的控制。因此,在后續(xù)結(jié)構(gòu)的改造過程中,可以通過在八樓資源池內(nèi)部增加兩臺核心交換機(jī),之后在替換掉原有的2臺華為數(shù)據(jù)中心級的交換機(jī),方便其更好地運(yùn)用虛擬化的技術(shù),也給后續(xù)設(shè)備的維護(hù)提供了方便[1]。新增加的交換機(jī)一方面可以支持VxLAN 功能,另外一方面也能夠?qū)崿F(xiàn)不同VxLAN 結(jié)構(gòu)的互通。
在內(nèi)部的框架被改造之后,整個(gè)資源池內(nèi)部將被劃分成若干個(gè)核心的領(lǐng)域,以便更好地接入專業(yè)的子域和安全管理的子域內(nèi)部。另外,可以將現(xiàn)網(wǎng)測試區(qū)域內(nèi)部的內(nèi)容劃分到資源子域內(nèi)部,再將4A 和SMP 的系統(tǒng)更好地劃分到安全管理的領(lǐng)域內(nèi)部。這樣也就能夠更好地實(shí)現(xiàn)各個(gè)子域之間的安全防護(hù)和控制。
在被改造之后,各個(gè)子域內(nèi)部流量的訪問結(jié)果如下:第一,核心和接入資源子域的南北流向都會因此出現(xiàn)在物理防火墻的入口,之后再對其流量進(jìn)行有效地防護(hù)和控制。第二,在被改造之后,所有域名之間的流量都需要通過專業(yè)的子域來更好地實(shí)現(xiàn)全面調(diào)度和訪問,并在之后有效地結(jié)合位于安全資源池內(nèi)部的防火墻來進(jìn)行安全隔離和有效防護(hù)。第三,在改造之后,即便處于同一域名內(nèi)部的VxLAN 業(yè)務(wù)主要可以通過兩種隔離的方式來進(jìn)行。一方面可以借助VxLAN 內(nèi)部的網(wǎng)管來隔離業(yè)務(wù)。另外一方面,也可以通過域名內(nèi)部VxLAN 三層網(wǎng)關(guān)和虛擬防火墻來全面進(jìn)行隔離和防護(hù),并在之后取得更好的效果。
在使用的過程中,可以將整個(gè)網(wǎng)絡(luò)分成underlay 網(wǎng)絡(luò)和overlay 網(wǎng)絡(luò)。這樣兩個(gè)網(wǎng)絡(luò)本身都承載著不同的業(yè)務(wù)。在不同域名間采用不同的域間流量來全面進(jìn)行調(diào)度。并以虛擬網(wǎng)絡(luò)分組技術(shù)來更好地進(jìn)行安全防護(hù),以便讓所有的業(yè)務(wù)能夠更好地被隔離開來。
整個(gè)平臺需要根據(jù)用戶業(yè)務(wù)和虛擬機(jī)的類型在做出最全面的規(guī)劃。一般而言,只針對物理主機(jī)的VxLAN 規(guī)劃相對非常簡單。都可以將相同的角色劃歸到同一個(gè)VxLAN 內(nèi)部。如果10臺祝你內(nèi)部都有WEB 服務(wù)器,那么則需要及時(shí)將這10臺主機(jī)都劃分在VxLAN 的內(nèi)部,這樣才能夠有效地使得業(yè)務(wù)更好地響應(yīng)和循環(huán)。
因?yàn)楝F(xiàn)在虛擬機(jī)內(nèi)部出現(xiàn)的方案都是由虛擬交換機(jī)產(chǎn)生的。只有這樣,相鄰的交換機(jī)就會因此對應(yīng)到不同的虛擬機(jī)內(nèi)部,并產(chǎn)生不同類型的VxLAN 信號。大家在使用的過程中可以通過分析不同類型的VLAN 信號來制定針對性的網(wǎng)絡(luò)策略。如果正好所有的業(yè)務(wù)都位于同一個(gè)中心內(nèi),則需要相同的業(yè)務(wù)和相同的VxLAN 相互聯(lián)系起來,這樣才能夠?qū)⑽挥谕恢行牡姆?wù)器有效地放置入同一個(gè)VxLAN 內(nèi)部。這樣就能夠讓虛擬機(jī)有效地進(jìn)行遷移。
可以將標(biāo)準(zhǔn)的x86平臺和VxLAN 云主控同時(shí)實(shí)現(xiàn)有效地部署,這樣才能夠使得集群設(shè)計(jì)的規(guī)模達(dá)到最大,并使得整個(gè)集合都變得更加可靠和高效。被設(shè)計(jì)好的集群一般能夠同時(shí)管理5個(gè)硬件網(wǎng)關(guān),并結(jié)合包括100個(gè)服務(wù)鏈接點(diǎn),最終就能夠?qū)崿F(xiàn)混合性的部署[2]。vSwitch 軟件能夠在使用的過程中同時(shí)管理64顆CPU,并更好地實(shí)現(xiàn)與虛擬平臺的友好對接。相關(guān)的物理主機(jī)也就能夠和虛擬機(jī)器更好地結(jié)合在一起,并最終融入overlay 網(wǎng)絡(luò)內(nèi)部。
整個(gè)IP 地質(zhì)規(guī)劃主要由以下諸多方面組成,具體分類如下:
(1)地址分配原則。尤其需要有效按照聚合原則來分配地址,這樣才能夠在之后更好地實(shí)現(xiàn)高效地聚合,從而縮小路由表的規(guī)模。
(2)內(nèi)部網(wǎng)絡(luò)的IP 分配原則。在針對內(nèi)部網(wǎng)絡(luò)分配IP 地址時(shí),需要先分析不同的安全等級,之后將其分配到不同類別的資源池內(nèi)部。另外,也需要將不同的資源池分配到不同的IP 地址內(nèi)部。如果需要將同一資源池內(nèi)的IP 地址有效地配合業(yè)務(wù)發(fā)展時(shí),則需要配合使用VSLM 技術(shù)和CIDR 技術(shù),這樣才能夠有效地節(jié)約IP 地址使用的空間。
(3)內(nèi)部私有IP 地址的原則。在內(nèi)部分配私有IP 地址的過程中,尤其需要根據(jù)VLAN 和業(yè)務(wù)內(nèi)容的不同來有效地分配到不同類型的地址段中,并將IP 地址更好地預(yù)留下來,以便在后續(xù)更好地?cái)U(kuò)展IP 地址。必要時(shí)則需要在防火墻內(nèi)部有效地轉(zhuǎn)換IP 地址,這樣才能夠最終形成專一的IP 地址池。
只有通過有效地改造以支撐網(wǎng)為基礎(chǔ)的資源池,才能夠在各個(gè)子域之間來更好地布置獨(dú)立的安全設(shè)備,最終對東西的流向更好地進(jìn)行全方位的防護(hù)。必要時(shí)可以將組織內(nèi)部不必要的虛擬資源得以遷移出去。