许康铭

（广东南方通信建设有限公司，广东 广州 510630）

0 引 言

近年来，我国以及全世界信息技术的发展与革新速度越来越快，云计算及云服务渠道的安全性是重中之重。以云计算网络为核心，云服务提供商作为信息服务主体，需要将原有数据信息运算任务转移至运行能力更强的数据中心和运算资源池，实现业务拓展，再将互联网云服务计算资源租用给相关租户和消费者群体。对于云计算网络时代而言，仍旧存在较多恶意使用者和非法入侵黑客，对此保障数据信息和云服务安全成为了核心要素，本文结合云计算网络基础，探究多租户虚拟网络隔离的分布式实现路径具有重要意义和价值。

1 多租户虚拟网络隔离技术实现背景

现如今，各行业领域广泛应用的云计算及云服务技术，对于提高各类系统运行效率水平，提高数据信息完整性具有重要意义和价值，尤其对于诸多现代企业而言，以云计算技术为核心进行日常管理能够有效减少企业运营过程中产生的管理成本消耗，为远程化控制提供重要平台和基础。虚拟化技术及虚拟化网络环境的快速发展，也在一定程度上象征着相关技术与时代需求之间的契合，例如云服务提供商需要应用虚拟化技术，将物理网络设备组合抽象为虚拟化设备，并将其租给相关租户，不同租户个体可以在现有虚拟网络设备的基础上创建自身虚拟网络，并实现虚拟资源的网络拓扑和管理[1]。从云服务提供商的角度来看，应用虚拟网络需要多租户共存，以多个虚拟网络设备形式共享同一套物理网络，在此期间如何保障虚拟网络的独立性和不同租户传输数据资源的安全性与完整性成为了制约和影响云计算网络发展的重中之重。应用传统物理网络可以在不同网络之间搭建防火墙，或直接以路由器形式进行网络隔离，有效杜绝外来非法访问，但是虚拟网络环境影响下不同网络租户之间的网络边界相对模糊，应用防火墙或路由服务条件相对复杂，直接投射于物理网络拓扑，体现为相对分散的特点。

由此可见，不论是多租户网络之间的边界，还是同一租户下不同子网之间的边界均相对模糊，如果管理不善或当前虚拟网络隔离技术不到位，则会导致当前虚拟网络承受更大风险，甚至会出现外界黑客非法访问、租户数据信息泄露等多种问题。与此同时，如果一味沿用传统云计算网络租户边界构架，则所应用的路由器、防火墙大多处于同一个物理网络设备节点的影响下，相关边界模糊，流量集中，容易引发单点故障，也会造成更大程度上的网络延迟问题。对此，实施多租户虚拟网络隔离迫在眉睫，更加适合当前我国虚拟网络发展的实际情况，从问题出发实现故障排查和虚拟网络防火墙或虚拟路由的分布式建设。

2 云计算网络中多租户集中式虚拟路由应用问题

云计算网络中应用集中式虚拟路由，其网络边界分为多租户网络边界、同租户下不同子网边界、租户网络与外网边界3 种场景，主流开源云平台Open Stack 可以允许虚拟网络中租户在自我虚拟网络中创建路由和防火墙，不同租户的路由器默认没有关联，无法实施互相访问，进而实现隔离的目的；但是在同一租户不同子网和与外网之间边界方面仍旧存在诸多隔离不合理之处，例如应用Open Stack 进行虚拟路由设置时，其网络节点在于云平台的物理服务器节点。不论是哪种虚拟平台，网络租户只要在该云服务提供商下均需要连接此物理服务器节点，并将虚拟路由器架设在网络节点中；如果某一租户需要创建子网，则可在该网络节点下增设计算节点，配置子网，再下设计算节点。在多租户的运行场景下实现虚拟网络隔离，需要依靠单一物理节点，这也会导致对该网络节点造成更大程度的运行流量及负载压力，容易引发单点故障等多层次问题，对此可以在虚拟网络主流云平台基础上分布式构建虚拟网络隔离体系[2]。

3 云计算网络中多租户虚拟网络隔离分布式实现路径

3.1 总体架构分析

通过对云计算网络下多租户虚拟网络隔离应用背景的观察，以及对集中式虚拟路由应用过程中存在问题的分析，可以发现，单一对当前主流的云平台应用虚拟网络隔离的方式已经难以充分满足虚拟云平台的运转需求。基于以上情况，为了达到分布式构建多租户虚拟网络隔离的目的，需要对不同租户应用的虚拟路由器和防火墙进行分设以及隔离，同时优化布设不同计算节点。总体思路在于，将原有需要单一物理节点进行处理的网络边界进行分散，通过多台物理服务器实现网络流量的分流，降低单一物理节点运行期间可能发生的单点故障和运行延迟等风险损失，同时也可以达到分摊计算节点中可能出现的故障的目的，让其对单一网络虚拟服务器以及虚拟机通信产生影响，确保系统下的其他虚拟机均能够正常通信和运转。

如图1 所示，新型多租户虚拟网络隔离分布式实现模式需要将外网及内部数据网进行分散规划，下设不同的计算节点，在计算节点下还需增设不同租户的虚拟路由器或虚拟防火墙，由租户子网以及相关虚拟机设备进行信息流量的互通。该物理架构模式与传统类型的Open Stack 集中式路由模式相比，需要将通过单一网络节点进行集中处理的流量信息进行分散，直接通过计算节点的形式实现，同时可以直接由不同租户虚拟路由器的计算节点向外网或内部数据网进行数据通信。

图1 物理架构示意

虚拟交换机应用Open vSwitch，将其与物理服务器进行连接。将虚拟交换机视作虚拟可扩展的局域网（Virtual eXtensible Local Area Network，VXLAN） 协议处理端点，对不同物理服务器的输出流量实施包装和数据网卡转发。结合虚拟交换机br-ex进行外网连接，确保虚拟机与外网之间能够通信。此外，虚拟路由器由不同子网网关端口构成，使其直接在虚拟交换机上进行端口配置，实现连接。在具体操作中，需结合不同租户虚拟机的分布情况，为其匹配物理机，确保包含该虚拟机的物理机实现分布式虚拟路由器配置，下设子网网关端口[3]。

3.2 虚拟网络安全隔离应用场景

首先，在多租户网络边界方面，对于不同租户而言，通过云服务提供商获得的虚拟网络大多连接同一套物理设备网络体系，但是在应用过程中，该虚拟网络的最大应用需求在于保障网络的隔离性和独立性效果，避免自身的信息数据被窃取或遭受非法访问。应用Open Stack 进行多租户虚拟网络隔离时，大多需要借助集中式路由实现，而本文探讨的多租户虚拟网络隔离侧重于分布式布设方法，即将原有需要集中连接布设于同一个网络节点的多个租户虚拟路由和防火墙转变为直接连接不同计算节点。例如，当租户设置了不同子网、虚拟路由器、防火墙时，均可通过租户专属计算节点实现与外网、内部数据网的连接和交流，租户所产生的数据信息具有更强的独立性和隔离性，且不同租户之间无法互相访问以及通信。不容忽视的是，如果不同网络租户应用同一个IP 地址资源，则容易造成防火墙规则、网络地址转换（Network Address Translation，NAT）等方面的配置冲突与设置冲突问题，对此，可以结合Linux 实现网络命名空间优化，在该操作系统中重新定义多个虚拟空间，不同虚拟网络空间互相独立，信息通信渠道相互隔离。

其次，同一个租户下设不同子网的情况下，如果直接应用传统类型的虚拟局域网（Virtual Local Area Network，VLAN）技术进行网络逻辑划分和处理，则会导致同一租户的计算节点和虚拟路由器、防火墙承受更大的数据流量压力。正因如此，VXLAN协议突破了传统类型VLAN 的规模限制，最多可支持4 094 个子网，彻底打破了以往通信网络数据中心的规模及传输限制，引入了虚拟网络标志符，进而拓展子网，实现多租户支持，由同一个数据中心来对多个租户进行信息托管，不同租户之间实现流量隔离，打造3 层流量虚拟平台网络。结合租户虚拟网络子网设置的具体情况进行专项隔离或搭建VXLAN 隧道，满足多租户和多子网的信息传输需求。除此之外，也可以通过VXLAN 进行交换机和虚拟机的数量控制，直接将虚拟机数据进行封装传输[4]。

本文中所探讨的多租户虚拟网络隔离方案主要基于VXLAN 数据协议，针对不同租户设置计算节点，并建立VXLAN 隧道实现通信数据包封装、传输和虚拟子网的有效划分。同一租户如果下设多个虚拟子网，则不同子网和虚拟机通信时均需经过虚拟路由，但是此种设置方法的通信流程烦琐，有可能增加网络通信延迟和单点故障发生隐患。因此，可以针对同一租户的跨子网通信需求，搭建VXLAN 隧道。例如，当子网1 发出的数据包目标地址在同一租户下设的子网2时，可先将数据包传输至虚拟交换机，然后直接标记子网1 的内部VLAN 标签，传输至虚拟数据网卡，继而通过VXLAN 隧道传输至目标地址子网2 的虚拟交换机和子网中。此种应用模式无需通过网络节点进行处理，只需要结合计算节点进行数据包分装传输即可。在实际应用场景环境中，同一租户有时存在不同虚拟机访问控制等多方面需求，可以额外配置虚拟防火墙，或通过IPTables 进行分布式虚拟路由器设置[5]。

最后，租户虚拟网络与外网边界方面，可直接通过虚拟机计算节点连接外网，实现数据包的发送和传输。在不同租户端口设置分布式路由器，匹配计算节点，增设外网网卡，避免发生类似于以往需要通过计算节点、网络节点至外网传输的烦琐弊端，实现外网的直接访问和有效链接。

3.3 多租户虚拟网络隔离分布式实现效果

为全面验证该分布式实现路径的运行水平，结合具体物理服务器搭设多租户虚拟网络，并按照本文中所探讨的分布式网络隔离实现方式进行内网、外网与子网、虚拟机等不同要素的合理配置，分别建立2个计算节点，并创建租户信息数据，应用分布式虚拟路由器和防火墙形式进行数据包发送，考察子网网关、外网网关的运行情况。网络延迟方面，该设置方法有效降低了虚拟机网络节点出现单点故障的概率，虚拟网络的隔离方案、路径更加简洁，减少了跨网络延迟问题，运行优势明显，大幅度提升了虚拟网络的运转效率。

4 结 论

总而言之，在新时代发展背景下，云计算数据中心和网络虚拟的发展更加契合计算机信息技术的利用与发展趋势，突破了传统计算机和信息通信方式在存储设备等方面的禁锢和限制，综合应用优势更为明显。本文针对“云计算网络中多租户虚拟网络隔离的分布式实现”课题进行了全面研究与分析，首先论述了多租户虚拟网络隔离的实现背景和集中式虚拟路由应用问题，其次重点探讨了多租户虚拟网络隔离实现路径，最后以分布式架构为核心，逐一探讨了不同应用场景和最终实现效果，希望能够为我国网络虚拟化技术的优化发展提供借鉴。