基于自主安全的云数据中心网络技术探索与解决方案
2023-04-06曹亚,黄飞
曹 亚,黄 飞
(中国船舶集团有限公司电子信息与对抗研究院,江苏 扬州 225001)
0 引言
在社会发展与经济高速增长的背景之下,网络技术呈现高速发展的状态。大数据、互联网等多种技术手段在事业单位日常工作中具有重要的作用。但是,计算机网络存在的安全问题是直接影响整体安全性的重要因素,因此在实践中要重点分析常见安全问题,根据实际状况探索完善的解决对策与手段。为此,本文主要探讨自主安全基础上云数据中心的构建,分析云数据中心网络特点和架构,分析各项技术在云数据中心构建中的应用。
1 云数据中心网络特点
云数据中心以网络通信可编程为前提,在具有统一性的数据管理平台中按照用户根本需求,对网络资源进行动态分布,促使虚拟机可以大规模动态迁移、调度,为用户进行数据处理创造条件,同时可以根据实际需求,实时性与动态性地转换物理网络成为虚拟通信网络,此方面也与云计算、云服务动态变化提出的需求相符[1]。
对比云数据中心与传统数据静态通信网络,前者是在服务和业务引导下,利用松耦合承载,提供相关网络数据以及业务。对于各项数据的处理,云数据中心也可以提供相应服务,保证用户按照实际需求自主选择服务。基于此,总结云数据中心网络特征,主要体现在网络资源池化、管控集中性、网络虚拟性3个方面。
第一,网络资源池化。网络数据经过池化处理之后在资源管理方面可以获得更加理想的效果,通过云平台实现所有资源的集中调度、分配、管理,为网络资源管理赋予动态性,也真实提高了网络资源利用率。在自主安全基础上,所有云技术可以划分网络资源类型,具体包括逻辑网络资源、物理网络资源。按照用户业务类型,可以直接在云管理平台中调取所需逻辑网络资源,将业务问题解决,无需关注底层网络资源结构便可以达到资源紧耦合的效果,而且物理网络资源、逻辑网络资源之间的耦合,云网络可以按照用户实际需求展开动态调度,网络资源利用率得到提升的同时,也为云数据中心的维护、管理创造便利条件。
第二,管控集中性。采用相关互联网设备构建具有集中性质的云平台控制平面,软件控制功能可以管理网络硬件,加强管控水平,使资源能够得到统一化的管理、调度,将网络统一管理、接口扩展等方面存在的问题予以解决。采取编程的方法集中管理云网络储存资源,对于网络资源进行自动监控和集中管控,这也是推动网络资源调度、部署实现智能化转型的关键性举措,并且能够为网络拓扑结构和网络状态控制等关键性网络数据资源管理赋予可视化特征,还有利于优化网络通信性能,提高数据管理安全性。
第三,网络虚拟性。云数据中心最为明显的特点之一,便是虚拟化处理技术,利用网络虚拟化技术实现若干个虚拟网络的叠加,而且叠加到同一个物理网络,从而使所有逻辑网络达到网络数据处理的目的,业务联动、网络自动部署和网络资源得到整合之后,按照具体的业务需求对资源进行分配。虚拟机平台的联合管理和调度,在实践中能够实现云网络底层物理设备、逻辑资源去耦合的效果,而且网络通信也能够达到动态虚拟迁移。自主安全的云数据中心制定虚拟化处理方法,采用不同的虚拟协议技术,并且搭配封装与隧道等技术手段,还有利于网络资源虚拟化管理目标的达成[2]。
2 基于自主安全的云数据中心网络结构
自主安全的云数据中心网络结构采用架构网络控制器,与云平台积极联动,加强网络业务编排的统一性。云数据中心负责网络设备、虚拟交换机、安全设备等管理,按照云平台发布指令,自动连接网络,在VXLAN的overlay网络基础上实现基础设施的构建。网络控制器和人工智能、网络流量分析等相关技术结合,使网络管理、实时网络流量呈现更具智慧性。
基于自主安全的云数据中心网络结构,是由业务呈现层、网络控制层、网络服务层、计算接入层组成。(1)业务呈现层。业务呈现层主要代表的是云平台,例如第三方云平台、OpenStack开源云平台等,其作用在于资源管理的计算、网络业务编排。并不在云数据中心网络的范畴中,与网络相互对接与互通。(2)网络控制层。网络控制层主要是由SDN网络控制器为代表的控制节点组成,负责网络设备的管理。网络控制层与云平台之间相互联动,云平台发出编排指令及时接收,完成网络设备、vSwitch的配置。(3)网络服务层。交换机和安全设备等网络设备基础上,采用underlay技术和overlay技术,实现网络服务层的搭建,具有转发网络业务等诸多功效。(4)计算接入层。计算接入层是利用相关产品,构建技术接入层,负责用户业务的运行。
3 基于自主安全的云数据中心技术与应用
3.1 智能网卡
大数据、云计算和机器学习等先进技术的广泛应用,增加了云数据中心内部服务器对于性能的要求,智能网卡部署裸金属服务器,或是进行网络卸载和特殊业务卸载,在此方面也表现出比较强烈的诉求。
3.2 SDN技术
软件定义网络技术(Software Defined Network,SDN)的普遍应用,逐渐优化了SDN网络控制器性能。不仅可以和联动云平台实现对接,还具有物理交换机、网络防火墙等网络部件管理的功能,真正实现云网一体化联动,云数据中心网络也可以按照用户需求自动化部署。SDN控制器在应用方面,应支持云平台联动对接,在整网安全策略管理、一网多云技术等方面表现出优势,从而真正实现网络高度自动化。全套SDN组件可安装于国产服务器、国产操作系统,而且要表现出较高的适配度,满足云数据中心自主安全建构的要求。
3.3 云数据中心网络技术
云数据中心网络技术比较多元化,例如网络虚拟化技术、大规模二层网络技术、服务链技术、虚拟机流量导出技术。其中网络虚拟化技术的实践应用中,按照实际需求可以达到1∶N虚拟化、N∶1虚拟化、纵向虚拟化等诸多功能;大规模二层网络技术在云数据中心中应用,可以采用TRILL技术、VXLAN技术、BGP-EVPN技术等,而且各项技术均表现出极高的成熟性。国产交换芯片、国产智能网卡基础上,搭建国产自主端到端网络应用。
3.4 智能网络技术
基于自主安全的云数据中心,其中underlay和overlay网络十分常见,网络设备也在虚拟机、裸金属服务器等的作用下面临一些新要求,即网络应向智能化方向转变,实现与云平台管理网络业务的智能联动,加强网络PFC.ECN水线调节的智能性,网络故障诊断、恢复等操作,不需要人为干预。当前云数据中心网络需要重点解决网络高效运维管理相关问题,建议采用机器学习、AI算法等新兴技术手段,通过赋能数据中心网络的方式加强云数据中心网络管理、运维自动化。
3.5 网络流量透视技术与安全监管技术
自主安全云数据中心的网络流量透视,是网络运维和智能网络等各项管理工作非常必要的数据来源途径,也是云数据中心配置需要参考的标准。通过端口镜像、Sflow和IPFIX等技术,在云数据中心导出整网流量,经过透视分析之后转为图形,用户直观地了解网络流量。基于云数据中心呈现的网络、流量特点,针对overlay流量导出、虚拟机流量导出、TAP数据预处理等进行优化,使用户流量透视、安全监管实际应用等根本需求得到满足。
3.6 RoCE技术与无损以太网技术
云计算在云数据中心建构与运维中应用,比较普遍的是分布式存储这种技术手段,需要用到的服务器并不是专业存储设备,这也是自主安全云数据中心建构看重的一点。面临存储技术飞速发展,在分布式存储当中,网络对于存储性能有比较明显的影响,网络为了规避这种影响,需要不断加强零丢包和低延迟性能。除此之外,越来越多的新业务在云数据中心中得到应用,例如高性能计算和分布式AI训练,这也使得网络丢包、延迟性能面临更高的要求。为了不断加强网络性能,建议采用组合技术组,例如RDMA技术、RoCE技术、PFC技术、ETS技术等,均可以组合应用,一方面实现零丢包的效果,另一方面也可以规避报文导致的确定性延迟问题。以太网存储交换机经过改进,与智能网卡形成联动,不仅可以加强稳定性、降低延迟性,实现整网零丢包,还能够使云数据中心在自主安全建构中具备分布式存储、分布式AI训练等诸多功能。
3.7 安全可信技术
对于云数据中心而言,网络安全主要体现在信息设备、数据、内容、行为4个方面。信息系统硬件结构与操作系统保证安全性,是加强信息系统安全性的重要前提,建议采用密码和网络安全技术。立足于信息系统软硬件底层,提出相应的安全建议,方可为信息系统运行安全提供保证。云计算中心的所有设备均要在国产芯片、国产操作系统的基础上实现运行,可信计算技术、网络通信设备实现结合,可以将识别网络设备身份、网络系统可控接入等环节面临的问题解决,软件系统身份、数据完整性等得到保障,也能够分别立足于设备和网络系统等维度,满足安全可信的基本要求。
4 基于自主安全的云数据中心的网络安全优化解决方案
4.1 优化计算机网络结构
综合事业单位的网络配置环境以及实际的运行需求,对现有的网络拓扑结构进行优化完善;根据不同的部门进行网络区域划分处理,对用户的访问范围进行限制约束,充分提升网络结构的安全性,增强整体的稳定性[3]。
4.2 重视设备日常维护管理
重视硬件设备的巡查以及管理,根据实际需求进行软件更新;通过定期检修、不定期风险评估管理的方式进行全面管控,有效地避免各种损坏问题,充分保障网络通信安全性。为了有效地保障网络环境安全性,在实践中要综合实际需求,制定符合单位工作模式以及效率的管理模式,根据实际状况全面落实执行。根据实际需求制定完善的网络安全管理体系,通过对网络系统的全面认证、加密以及分析、记录等各项工作,有效提升网络监管的综合能力,构建良好的网络环境[4]。制定完善的访问控制系统。构建完善的、规范化的访问控制管理体系,合理设置权限,有效避免网络攻击等问题。
4.3 重视细节管理,优化工作模式
第一,重视攻击监控管理。基于网络安全管理实际需求,构建完善的攻击体系,监控实现对多数攻击数据的实时监测,合理预警分析,在系统受到攻击与影响的时候,可以自动采取措施。例如,可以自动断开网络连接,记录过程,对攻击源进行跟踪以及监控管理等。第二,加密通信。通过加密通信系统,可以有效保障信息数据的完整性,提升数据的安全性。第三,规范认证管理。根据工作需求建立完善的认证固态体系,有效避免冒用用户的问题出现,充分保障网络系统的安全性。第四,备份与恢复。根据工作需求制定完善的备份以及管理机制,做好恢复管理,重点管控重要的信息以及数据文件;在网络受到恶意攻击时,可以最快时间恢复各项信息数据,充分保障系统整体安全性。
5 结语
计算机网络安全管理具有复杂性,在实践中要综合工作的实际状况对其全面分析,通过层层设计防御管理系统,才可以有效地降低各种安全隐患问题。在实践中基于云数据中心的建构,采用多元化技术手段,优化云数据中心内部设备的性能。开展云数据中心运维管理,消除运行期间隐藏的安全隐患,保证数据传输、采集、处理等各个环节的安全性,通过设计安全监控管理中心,对各个方面因素进行全面监控,通过大数据技术对各项信息数据进行科学检测、分析以及诊断处理,才可以有效地降低各种隐患问题的不良影响,构建一个安全的网络环境,保障各项工作有序开展,也为今后云数据中心建构积累经验,从而真正实现自主安全的目的。