基站通信云数据中心中网络拓扑及网络安全挑战

gzhaiwu

随着云计算的出现，对于数据中心设计人员而言，满足云的当前需求和不断发展的需求变得至关重要。在此模式中，数据中心以物理方式承载交付给用户的所有云服务。反过来，云服务可以按需从底层物理资源中以不同的规模抽象化（通过专用 IP 网络（如私有云）或通过 Internet（如公有云）），可能面向数百万个订阅者。数据中心设计要求因用途、规模和所需功能而异。云模型重新定义了数据中心资产的设计和使用方式。基于云的服务和扩展对数据中心提出了新的要求，从而导致流量多变，I/O 带宽和性能需求显著提高，并引发了新的安全问题。我们介绍了云计算给数据中心带来的一些挑战，并确定了设计以云为中心的数据中心的相关要求。

可伸缩性

使用云计算时，对扩展和高容量的需求不断增长。为此，云数据中心通常围绕虚拟机（或实例）进行设计，而虚拟机是云模式下的计算单元。与企业数据中心相比，云数据中心为潜在的数百万用户提供服务。为了满足用户对云服务日益增长的需求，通常采用虚拟化技术。借助虚拟化，数据中心操作员可以根据需要自动预配和取消预配虚拟机 (VM)，而无需添加或重新配置物理设备。如今，为每台机架装载或刀片服务器预配 20 个或更多 VM 的情况并不少见。显然，这种负载可能会极大地增加服务器资源（例如 CPU、RAM 和网卡）的压力。此外，这可能会显著增加在物理数据中心网络上运行的逻辑服务器的数量。例如，如果一个机架上装有 64 台服务器并且一台服务器上有 20 个 VM，那么云提供商需要多达 1,200 个 IP 子网和 VLAN。（在网络中，LAN 可以划分为不同的广播域，每个广播域称为 VLAN。）而且，对于只有 10 个机架的情况，将需要 12,000 个 IP 子网和 VLAN。这种需求会产生重大问题，因为它超过了由 IEEE 802.1Q 标准指定的可用 VLAN 限制（例如 4,094），更不用说会对物理交换机/路由器造成压力。云数据中心提供商需要找到此类问题的解决方案。

另一方面，即使最大程度地使用虚拟化技术，也需要在某个时间点添加物理容量以支持增长。因此，云数据中心需要基于模块化设计，以便在不中断应用程序和服务的情况下支持轻松添加物理容量。设计人员应指定机箱容量来支持长期增长，以便数据中心操作员可以根据需要将其他组件包含到机箱中。

网络拓扑

图 20：传统的树样式分层数据中心网络拓扑

如今的大多数数据中心网络基于树样式分层设计，由三个主要层组成：访问层、聚合层和核心层。该图显示了传统树样式网络拓扑的示例。首先，访问层由用于连接机架服务器和基于 IP 的存储设备的经济高效的以太网交换机组成（通常为 10/100-Mbps 或 1-GbE 连接）。其次，多个访问交换机通过以太网（通常为 1/10-GbE 连接）连接到单个聚合交换机。第三，一组聚合交换机连接到核心交换机层。由于第 2 层 VLAN 不涉及 IP 路由，因此通常跨访问层和聚合层实现它们。相反，第 3 层路由在核心交换机上实现，这些交换机将聚合交换机之间的流量转发到 Intranet 并转发到 Internet。一个突出概念是两台服务器之间的带宽取决于它们在网络拓扑中的相对位置。例如，与机架之外的节点相比，处于同一机架上的节点之间具有更高的带宽。

事实上，网络是云数据中心的关键组件。如图所示，分层拓扑并不真正适合云，因为它们强制服务器间的流量穿过多个交换机层，而每个层都会增加延迟。此上下文中的延迟是指穿过的交换机数量、所需处理和缓冲导致的延迟。云中的最小延迟可能会使用户感觉到性能不佳，并导致生产力损失。因此，云数据中心通常需要具有层数较少的较扁平网络拓扑，以适应延迟和数量密集的流量。

更高的利用率和复原能力

通常，当代树样式数据中心网络依赖于跨树协议 (STP) 的某种变体来实现复原能力。STP 是一种数据链接管理协议，可确保在交换机/网桥通过多个路径相互连接时实现无循环拓扑。STP 只允许两个交换机间有一个活动路径，其余路径设置为非活动状态（假设有许多路径可用）。在发生活动路径故障时，STP 会自动选择另一个可用的非活动路径来代替故障路径。此选择可能需要 STP 花费几秒钟，这可能不适合于对延迟敏感的云应用程序（例如 Web 会议）。此外，对于云数据中心，设置空闲备份路径并不是最佳选择，尤其是用户需求呈指数级增长时。云数据中心需要更简化且更具弹性的网络设计，这些设计可充分利用网络资源，并在几毫秒内从故障中恢复，以快速满足需求并高效利用资源。

安全的多租户环境

图 21：虚拟化环境中工作负载到工作负载的通信

在现代数据中心，工作负载（例如数据库、用户应用程序、Web 托管）通常部署在不同的物理服务器上，并通过物理连接进行工作负载到工作负的载通信。因此，可以通过常规的基于网络的入侵检测/防护系统来保护用户。另一方面，在云数据中心，可以在单台机架服务器上预配多个 VM，每个 VM 都属于不同的用户。因而，可以采用对现有安全系统完全透明的方法，通过虚拟连接在同一服务器中进行工作负载到工作负载的通信，如图所示。因此，云数据中心需要隔离用户、保护虚拟资源并保护服务器内通信。

虚拟机移动性

云数据中心可以在处于一个机架中的服务器上、处于同一个数据中心内的机架中的服务器上或是在跨数据中心的服务器上托管用户 VM。一个云可包含多个数据中心（例如，Amazon 允许用户跨多个数据中心预配虚拟化实例）。为了执行日常维护、平衡负载以及容忍故障，云需要在物理服务器之间定期且无缝地迁移 VM，而不影响用户服务和应用程序。此迁移不仅需要扩展第 3 层域（在其中需要 IP 路由的域，如 WAN），以便跨数据中心移动 VM。它还需要扩展第 2 层域（在其中不进行路由，只采用广播的域，如 LAN），以便跨越多个数据中心。

快速且高度可用的存储传输

云数据中心内的存储必须支持 VM 移动性且持续可用。迁移的 VM 需要维护与其存储系统的通信。解决此问题的一种方法是将 VM 与相关存储/数据一起移动。显然，这需要高度可用、低延迟且大量占用带宽的云数据中心连接。目前在使用多种存储模型（例如，IP 存储 [SoIP]、以太网光纤通道 [FCoE] 和传统光纤通道），它们会进一步需要高性能且高度可用的云网络。

总而言之，为云定制的数据中心需要以下各项：

• 支持指数级增长并且可轻松添加物理容量而不会出现任何服务中断的模块化设计。
• 较扁平的网络拓扑，其中层数以及设备和布线较少，可适应延迟和数量密集的流量。
• 更高效且更具弹性的网络设计，可充分利用网络资源并在几毫秒内从故障中恢复。
• 能够完全隔离云用户、保护虚拟资源并保护服务器内通信。
• VM 移动性，可无缝且快速地执行日常维护、实现负载均衡并容忍故障。
• 全年全天候服务可用性以及能够使迁移的 VM 保持连接到其存储系统。
  
  

云数据中心的要求

数据中心设计人员可以在基础结构层和/或虚拟化层解决前面讨论的要求。例如，需要同时在这两个层解决可伸缩性要求，而主要在虚拟化层解决安全多租户要求。资源共享和虚拟化会在以后的模块中进行详细介绍。在本模块中，我们关注基础结构层。因此，我们仅展示了一部分有助于满足云数据中心要求的 IT 设备（例如交换机、路由器）、平台和协议。由于这是云计算课程，因此我们不讨论设备、协议和平台的工作方式，而是侧重于它们为云数据中心带来的好处。

首先，数据中心规划人员可以考虑使用多协议标签交换 (MPLS) 来解决云基础结构要求。MPLS 是一种高度可缩放的机制，它基于短路径标签（而不是长网络地址）将数据从一台服务器定向到另一台服务器。具体而言，MPLS 会标记数据包，并在不检查数据包内容的情况下启用数据包转发，这使数据包转发的速度非常快，因为它避免了路由表查找，只依赖于数据包标签。因此，MPLS 允许在任何类型的传输介质上创建端到端线路，这是跨云数据中心进行服务器到服务器的通信的关键要求。

如前所述，在云计算中会施加不同类型的流量，从而导致不同的带宽要求。在不考虑 MPLS 的情况下，可能需要构建单独的第 2 层网络，这显然不是云数据中心中的可缩放解决方案，并且可能会增加资本和运营支出。相比之下，借助 MPLS，可以通过创建名为标签交换路径 (LSP) 的虚拟网络连接来共享网络。此外，可以灵活控制 LSP 上的流量质量。这类流量控制可促进端到端服务质量 (QoS)，并在出现链路故障时提供快速的网络融合（大约 50 毫秒），这是对 STP 的显着改进。因此，可以提高网络故障的透明度，并且可以减少服务中断，这些是增强云数据中心复原能力的其他关键要求。

MPLS 还允许实现虚拟专用 LAN 服务 (VPLS)，以便跨多个数据中心扩展第 2 层连接。VPLS 是一种虚拟专用网 (VPN) 技术。VPN 通常用于实现位于不同站点（如使用公共 Internet 链接的数据中心）的 LAN 之间的安全连接。VPLS 允许不同数据中心的不同 LAN 进行通信，如同它们是一个 LAN 一样，这是简化 VM 移动性的关键要求。VM 移动性还可以受益于 MPLS 提供的上述流量控制功能。

当前开发

现在有多个供应商在营销以云为中心的网络和计算产品，用于实现前面提到的几个设计目标。其中大多数产品都是在传统数据中心可找到的产品的变体，只不过重点转移到密度和并发用户上。想要支持私有云或公有云的数据中心设计人员有越来越多的产品可供选择。

数据中心设计在过去 5 年中发展迅速；此趋势并未放缓。从现在起的 5 年或 10 年后的数据中心很可能看起来与当今的数据中心非常不同。数据中心设计人员需要满足新要求，同时改进效率和 TCO 来提供云服务。随着预先设计的模块化数据中心的出现，这些设施很快将成为可交换的组件（很像 IT 设备本身）。为了满足使用者对基于云的新服务不断增长的需求，并满足现有企业的 IT 基础结构需求，我们将看到越来越多的数据中心，而每一代数据中心的效率都比其上一代更高。