单庆元 南 峰

(大连工业大学网络信息中心 辽宁大连 116034)

(shanqy@dlpu.edu.cn)

云平台得到广泛使用之后带来巨大益处的同时，云平台的安全风险问题也不容忽视，尤其是云平台内部虚拟服务器之间的访问控制问题(东西向流量[1-5]的控制问题).为此，网络安全厂商也针对性地给出了多种解决方案，主要分成3类：1)在虚拟机上安装安全代理，该方法对虚拟机的操作系统有较强的依赖性.2)将安全系统部署到虚拟机上，在云平台内进行引流处理[6].该方法的问题是在云平台中虚拟机之间的大量数据来回流动会引发性能问题，尽管INTEL DPDK[7-8]技术可缓解该问题.3)基于Hypervisor的控制方式.另外上述的虚拟服务器的安全控制实现需要一定的资金，这对于费用不足的单位来说是个负担.

1 数据交换点的改变

实体服务器网络中，网络应用服务是由实体服务器提供，网络数据交换功能是由实体交换机实现，如图1所示，服务器的内网互访和外网访问的数据路径都通过服务器接入交换机，所以在实体服务器网络中，服务器接入交换机具有很重要的作用，可以用来实现服务器的访问控制、流量监控等功能.

图1 实体服务器网络中数据交换路径

虚拟化后的数据交换路径如图2所示.

图2 虚拟化之后数据交换路径

由图1和图2的对比发现，虚拟化之后，虚拟服务器之间的数据交换点由服务器接入交换机转移至虚拟化系统中的虚拟交换机上，互访流量不再经过服务器接入交换机，原先在服务器接入交换机上进行的服务器之间的数据隔离、监控功能都无法在服务器接入交换机上实现，只能在虚拟化系统中通过软件的方式来完成，这可能会产生性能问题和额外的费用需求.

2 虚拟服务器网络端口实体化

在利用虚拟化的便利性的同时，可以利用VLAN的隔离特性，将虚拟化当中重要的虚拟服务器网络端口和实体交换机的网络端口一一对应，该虚拟服务器的所有网络流量只能从实体交换机的特定网络端口流入、流出，那么实体交换机的特定端口就等同于虚拟服务器的网络端口，这可称之为虚拟服务网络端口实体化，如图3所示：

图3 虚拟服务器网络端口实体化示意图

在虚拟化平台中，使用VLAN(虚拟局域网)逻辑隔离功能，将虚拟服务器相互隔离开，使得这些虚拟服务器在虚拟化环境中无法相互通信.方法如下：将虚拟服务器A的网络端口指定到VLANA中，虚拟服务器B的网络端口指定到VLANB中，由于虚拟服务器A和虚拟服务器B的网络端口不在同一个VLAN中，在虚拟交换机中它们处于隔离的状态.实体主机和实体交换机使用VLAN TRUNK相连，虚拟服务器A和B的网络访问请求可由虚拟交换机通过TRUNK连接转发至实体交换机，在实体交换机中，端口A设置为ACCESS访问模式，指定VLAN为VLANA，虚拟服务器A的访问请求会转发至端口A，端口B同样为ACCESS访问模式，指定为VLANB，服务器B的访问请求会转发至端口B.这样通过使用VLAN功能和1台实体交换机就可将虚拟服务器A和B的网络端口实体化到实体交换机的端口A和B上，使得服务器A和B在虚拟化环境中相互隔离，在实体交换机上对端口A和B的访问控制就等同于对虚拟服务器A和B的网络端口的控制.此时，虚拟服务器A和B依旧处于隔离状态，如需外网访问或者互相通信，需要将实体交换机端口A和端口B连接至服务器接入交换机上，由服务器接入交换机完成通信转发.

3 虚拟服务器网络端口实体化后的外网访问

如同将实体服务器的网络端口连接到网络中一样，只需将虚拟服务器的实体化网络端口连接到服务器接入交换机上即可.联网之后，虚拟化环境中的虚拟服务器A和B的外网访问路径如图4所示.以虚拟服务器A为例，说明外网访问的数据路径.虚拟服务器A的外网访问请求经过虚拟交换机的转发，通过实体主机和实体交换机之间的TRUNK连接转发至实体交换机，由于实体交换机中，只有端口A和虚拟服务器A的网络端口处于同一个VLAN中，所以访问请求只能从实体交换机的端口A转发至服务器接入交换机，最后经由网络安全设备转发至外网.该请求的响应，会沿原来相反的路径返回给虚拟服务器A.

图4 虚拟服务器网络端口实体化后的外网访问数据路径图

从图4的虚拟服务器的外网访问路径来看，对于外网访问(即虚拟服务器通信的另一方位于本虚拟化平台之外)，虚拟服务器端口实体化前后，整个虚拟化平台的通信负载没有发生变化.

4 发夹弯路由问题

在网络端口实体化之后，由于虚拟服务器A的网络访问只能通过实体交换机的端口A进行，虚拟服务器B的网络访问只能通过实体交换机的端口B进行，那么虚拟服务器A和B的通信必须通过服务器接入交换机才能够实现.虚拟服务器A和B互访的路径如下：首先虚拟服务器A访问请求经由虚拟交换机的转发，到达实体交换机，实体交换机将访问请求通过端口A转发至服务器接入交换机，经过服务器接入交换机的转发，到达实体交换机的端口B，通过实体机交换机的转发，访问请求到达虚拟化平台内部，由虚拟交换机转发至虚拟服务器B，服务器B的响应数据包，会经过相反的路径转发至虚拟服务器A.在端口实体化之后，虚拟服务器A和B的通信路径类似一个发夹，如图5所示，因此称之为发夹弯路由.通过与图2相比较，在网络端口实体化之后，虚拟服务器A和B的通信路径变长，而且在此路径上的设备需要转发双倍的通信数据量，加大了设备负担.

图5 发夹弯路由

为了解决发夹弯路由引起的性能问题，我们需要将服务器之间的通信根据通信数据量进行分类.第1类：服务器之间没有任何通信，例如2台没有关联的Web服务器，它们之间不需要有任何通信.第2类：数据通信量很少，通信频率小，例如服务器为确保时间的准确性，需要和时间提供服务器(NTP服务器)进行通信.第3类：服务器之间关系密切，通信量大，通信频率高.例如Web前台服务器和后台数据库服务器.

第1类通信适合作虚拟服务器网络端口实体化，由于服务器之间没有通信，在2台Web服务器实体化之后，可以利用服务器接入交换机或者网络安全设备进行服务器之间的隔离，避免相互之间的影响.第2类通信由于通信量很小，因此虚拟服务器网络端口实体化之后，对整个系统的通信负担基本没有影响.在服务器网络端口实体化之后，可以利用服务器接入交换机对服务器的通信进行监控和控制.第3类通信由于服务器之间关系紧密，任何1台服务器的安全问题，就会导致整个服务的运行异常，适合于作为一个整体进行控制，因此，需要将整个服务器组作为一个整体进行网络端口实体化，进行统一的网络防护，方法是对虚拟服务器组的网络端口组统一进行实体化.

5 虚拟服务器组的网络端口实体化

如图6所示，虚拟服务器组C中有2台服务器，其中虚拟服务器C1为前台Web，虚拟服务器C2为后台数据库服务器.由于这2台服务器之间通信量大，如果分别进行网络端口实体化，那么由于发夹弯路由的原因，会给虚拟化实体机、实体交换机和服务器接入交换机增加不小的资源开销.现在将虚拟服务器C1和C1的网络端口都设置到VLANC中，在同一个VLAN中，C1和C2之间的通信都会通过虚拟交换机来完成.为了对虚拟服务器组C进行保护，将该组虚拟服务器的网络端口作为一个整体进行实体化，实体化的端口为实体交换机的端口C，这样只需对实体交换机的端口C保护就可以达到对整个虚拟服务器组C的保护.实现方法就是将实体交换机的端口C指定到VLANC中，虚拟服务器组C之外的设备与服务器组C内的任何1台服务器通信都需要通过实体交换机的端口C，可以通过实体交换机的安全功能对虚拟服务器组C进行保护.图6说明了只有2台服务器的服务器组的网络端口实体化方法，有多台服务器的服务器组的网络端口实体化方法与此一致.

图6 虚拟服务器组的网络端口实体化

6 总 结

通过添加1台实体交换机，将该实体交换机和虚拟化主机进行整合，这个整合体可以看作1台高密度的服务器柜，将重要的虚拟服务器网络端口通过实体交换机进行实体化，1台交换机一般可以提供几十个应用服务器或者服务器组的网络端口实体化，另外虚拟化系统中的VLAN资源的数量也很充足.经实践，使用1台交换机已能满足作者所在单位的使用需求.如有更多的虚拟服务器需要隔离控制，可通过添加实体交换的办法来扩充.另外，在原实体服务器环境中，在1台服务器出现安全事件时，拔下服务器的网络电缆通常作为断网隔离的最简单也最直接的方法，任何能进入服务器机房的值班人员都可以做到，在虚拟化环境中，有众多的虚拟服务器共享实体主机的网络连接，如果断开实体主机的网络连接，那么虚拟化环境中的虚拟服务器都会断网.但在虚拟服务器网络端口实体化之后，该方法依然可用.

虚拟服务器网络端口实体化之后，原先的网络安全策略和网络安全设备基本可以不变，这样既利用了虚拟化的易管理优点，又充分利用了原实体网络的安全方案和安全设备，节约了开支.