信文｜翁叶峰

从云数据中心的云网络架构设计、南北向流量控制、东西向流量控制等三个维度出发进行云架构安全的总体规划，保证数据中心在网络架构上弹性可扩展、业务流量上按需可隔离

网络架构安全是云数据中心的基石，只有云网络架构设计合理，南北向、东西向流量控制得当，才能按照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），继续深化上层的安全防护设计，保证数据中心在网络架构上具备弹性可扩展、业务流量上具备按需可隔离的能力。

云网络架构设计

传统数据中心建设中，云主机基于虚拟化运行于实体服务器，基础网络为适配云主机产生的业务通讯流量，需要一线运维人员手工介入调整云主机所在VLAN、VPN实例和相应的通信控制策略，存在配置流程繁琐、业务切换时间长、响应延迟度高、扩容性差等问题。因此，建议基于Overlay技术对现有数据中心进行改造升级。所谓Overlay网络是指基于现有物理网络虚拟化出来的一套专为业务服务的层叠网络，该网络具有独立的控制和转发平面，对于云主机来说其产生的业务流量仅承载在该虚拟网络中，物理网络是透明不可见的；可以说Overlay网络是物理实体网络向云和虚拟化的深度延伸，使云资源池不仅可以调度虚拟化的CPU、内存、存储资源，也可以对虚拟化的网络资源进行调度，是实现云网融合的关键。

目前实现Overlay网络可基于三种方式：VXLAN、NVGRE和STT。这三种技术中又以VXLAN的使用效果最佳，其优势有四：一是基于报文重封装技术保证业务可部署于网络任意位置；二是VXLAN采用组播技术进行泛洪流量的转发，通过二层优化技术极大地增加了网络规模的可扩展性；三是Overlay网络流量转发拓扑既可以基于路由控制协议如IS—IS或BGP自学习完成，也可以通过SDN控制器统一调度、下发完成，适用于集中部署；四是基于VXLAN技术有效解决传统VLAN的4K数量限制，通过扩展的隔离标识位可支持高达16M的用户，轻松实现千万级别租户隔离需求，为数据中心的大规模云业务部署奠定扎实基础。

南北向流量控制设计

由于租户的业务流量都承载在VXLAN虚拟承载网中，不具备直接对外通信能力，云数据中心南北向流量主要用于提供互联网访问。因此需要部署VXLAN三层网关设备以便将VXLAN报文转换成常规的IP数据包传送至互联网；而来自互联网的访问报文经由VXLAN三层网关重新封装后在VXLAN虚拟承载网中传输至目标服务器。

南北向通讯流量设计可采用以下思路：一是出口处部署集群式防火墙设备实现端口按需对外开放；二是针对来自已授权开放端口的业务通讯流量，可以通过策略路由技术将流量牵引至云数据中心的安全区域，利用各类安全设备如Web安全监测设备、入侵防御设备、恶意威胁侦测设备等进行安全检测，在确定业务流量的安全性后转发至负载均衡设备，最后将流量传送至目标业务应用服务器，实现业务访问。

在进行南北向流量规划时一定要采用集群化部署方式实现高吞吐量、高可靠性和高冗余性，切忌采用单挂或串联部署的方式。

东西向流量控制设计

云数据中心东西向流量控制主要包括三个方面：不同租户间的通讯流量控制；同一租户内部不同子网间的通讯流量控制；同一租户同一子网内的通讯流量控制。针对第一种情况，租户间隔离是云数据中心基本要求，建议采用各厂商的VPC方案实现租户间的安全隔离；针对第二种情况，由于同一租户的不同子网都在VXLAN虚拟承载网中，可以通过配置VXLAN三层网关的方式实现相互之间的业务按需访问；针对第三种情况，同一子网内的通讯流量控制可基于各厂商的虚拟网络设备技术实现。

该技术通过将交换机或防火墙虚拟化后内嵌于服务器虚拟化平台如ESXI/XEN/KVM/H3C_CAS中，在流量尚未彻底进入VXLAN虚拟承载网前，从服务器虚拟化底层即可进行同一子网内主机间的通讯访问控制。