數(shù)據(jù)中心虛擬化是指采用虛擬化技術(shù)構(gòu)建基礎設施池，主要包括計算、存儲、網(wǎng)絡三種資源。虛擬化后的數(shù)據(jù)中心不再象傳統(tǒng)數(shù)據(jù)中心那樣割裂的看待某臺設備或某條鏈路，而是將整個數(shù)據(jù)中心的計算、存儲、網(wǎng)絡等基礎設施當作可按需分割的資源集中調(diào)配。

數(shù)據(jù)中心虛擬化，從主機等計算資源的角度看，包含多合一與一分多兩個方向（如圖1所示），都提供了計算資源被按需調(diào)配的手段。由于虛擬化的數(shù)據(jù)中心是計算、存儲、網(wǎng)絡三種資源深度融合而成，因此主機虛擬化技術(shù)能夠順利實現(xiàn)必須由合適的網(wǎng)絡安全策略與之匹配，否則一切都無從談起。前者出現(xiàn)較早，主要包括集群計算等技術(shù)，以提升計算性能為主；而后者主要是近幾年出現(xiàn)的在一臺物理X86系統(tǒng)上的多操作系統(tǒng)同時并存的技術(shù)，以縮短業(yè)務部署時間，提高資源使用效率為主要目的。

圖1 計算虛擬化的兩種表現(xiàn)形式

虛擬化后數(shù)據(jù)中心面臨的安全問題

傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡安全都只關(guān)注業(yè)務流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數(shù)據(jù)中心的網(wǎng)絡安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即增加網(wǎng)絡安全策略（如圖2所示），網(wǎng)絡安全策略能夠滿足主機順暢的加入、離開集群，或者是動態(tài)遷移到其它物理服務器，并且實現(xiàn)海量用戶、多業(yè)務的隔離……

圖2 數(shù)據(jù)中心虛擬化安全模型

虛擬化數(shù)據(jù)中心對網(wǎng)絡安全提出三點需求：

1、在保證不同用戶或不同業(yè)務之間流量訪問控制，還要支持多租戶能力；

2、網(wǎng)絡安全策略可支撐計算集群中成員靈活的加入、離開或者遷移；

3、網(wǎng)絡安全策略可跟隨虛擬機自動遷移。

在上述三個需求中，第一個需求是對現(xiàn)有網(wǎng)絡安全策略的增強。后兩個需求則需要一些新的規(guī)劃準則或技術(shù)來實現(xiàn)，這給當前網(wǎng)絡安全策略帶來了挑戰(zhàn)。

應對之道

VLAN擴展

虛擬化數(shù)據(jù)中心作為集中資源對外服務，面對的是成倍增長的用戶，承載的服務是海量的，尤其是面向公眾用戶的運營云平臺。數(shù)據(jù)中心管理人員不但要考慮云主機（虛擬機或者物理機）的安全，還需要考慮在云平臺中大量用戶、不同業(yè)務之間的安全識別與隔離。

要實現(xiàn)海量用戶的識別與安全隔離，需要為虛擬化數(shù)據(jù)中心的每一個租戶提供一個唯一的標識。目前看開，VLAN是好的選擇，但由于VLAN數(shù)最多只能達到4096，無法滿足虛擬化數(shù)據(jù)中心業(yè)務開展，因此需要對VLAN進行擴展。如圖3所示，VLAN擴展的有以下兩個實現(xiàn)途徑。

圖3 VLAN擴展兩種思路

QinQ：采用VLAN嵌套的方式將VLAN的數(shù)量擴展到160萬個。內(nèi)層標簽稱為用戶VLAN即C-VLAN，外層標簽成為運營VLAN，即S-VLAN，例如100個C-VLAN不同的同一類用戶可以封裝同一個相同S-VLAN，極大的擴展VLAN的數(shù)量。該方法配置簡單，易維護。但其缺點是接入的用戶規(guī)模較小。

VPLS：用戶VLAN封裝在不同VPLAS通道內(nèi)，不同的用戶封裝不同的VPLS通道即可實現(xiàn)海量用戶之間良好的安全控制。其優(yōu)點是接入規(guī)模大，可伸縮性強，易于跨地域數(shù)據(jù)中心之間平滑擴展。不足之處是VPLS會導致數(shù)據(jù)中心內(nèi)配置較復雜，使數(shù)據(jù)中心之間擴展復雜度變大。

在實際選擇時，可以根據(jù)數(shù)據(jù)中心對外服務的業(yè)務特點，對照上述兩種方式的優(yōu)缺點，選擇合適的實現(xiàn)方式。

隔離手段與網(wǎng)關(guān)選擇

虛擬化數(shù)據(jù)中心關(guān)注的重點是實現(xiàn)整體資源的靈活調(diào)配，因此在考慮網(wǎng)絡安全控制時必須考慮網(wǎng)絡安全能支撐計算資源調(diào)配的靈活性，只有將二者結(jié)合才能實現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡安全的最佳配置。考慮虛擬化數(shù)據(jù)中心的安全部署時，建議按照先關(guān)注靈活性、再關(guān)注安全控制的思路進行。

無論是集群計算還是虛擬機遷移都涉及到主機調(diào)配，當主機資源在同一個二層網(wǎng)絡內(nèi)被調(diào)配時，多數(shù)應用才能保持連續(xù)性，因此為滿足計算資源的靈活調(diào)配，應該構(gòu)建二層網(wǎng)絡，否則一旦跨網(wǎng)段將導致應用中斷或長時間的業(yè)務影響?？梢?，網(wǎng)絡安全控制不能阻斷二層網(wǎng)絡內(nèi)主機的靈活調(diào)配。

基于上述思想，網(wǎng)絡安全控制點盡量上移，并且服務器網(wǎng)關(guān)盡量不設在防火墻上。因為防火墻屬于強控制設施，網(wǎng)關(guān)一旦在防火墻上靈活性將大大的受到限制。

如圖4所示，以數(shù)據(jù)中心主流的B/S服務模式為例，網(wǎng)絡安全策略可按如下規(guī)劃：

圖4 主機網(wǎng)關(guān)地址落點選擇

將二層網(wǎng)絡向上擴大，創(chuàng)造一個適合主機調(diào)配的二層網(wǎng)絡環(huán)境。

選擇網(wǎng)關(guān)IP地址的落點與主機分組隔離方案。

圖4左圖方案中不設置防火墻，主機網(wǎng)關(guān)地址落在匯聚交換機上。承載業(yè)務的WEB、APP、DB主機劃分為同一個VLAN（即VLAN1）內(nèi)。針對VLAN部署安全策略，忽略交換機端口差異性， WEB、APP、DB之間互訪不受限制。承載WEB、APP、DB的主機可以在VLAN1內(nèi)被靈活調(diào)配。該方案極大的滿足了虛擬化數(shù)據(jù)中心主機調(diào)配的靈活性，但完全忽視了網(wǎng)絡安全控制，因此適合封閉的內(nèi)部數(shù)據(jù)中心并且追求性能與高效業(yè)務部署，如互聯(lián)網(wǎng)企業(yè)的大型虛擬化數(shù)據(jù)中心。

圖4右圖為得到普遍應用的虛擬化數(shù)據(jù)中心網(wǎng)絡安全方案。承載業(yè)務的WEB、APP、DB主機劃分為三個VLAN內(nèi)，屬于相同VLAN內(nèi)的主機可在對應的二層網(wǎng)絡內(nèi)靈活調(diào)配。以下重點討論主機網(wǎng)關(guān)設在不同位置時如何實現(xiàn)WEB、APP、DB之間互訪控制。

主機網(wǎng)關(guān)設在防火墻上

服務器群的網(wǎng)關(guān)設在防火墻上，防火墻通過VRRP提供冗余，冗余備份組通過靜態(tài)路由下一跳指向IRF2交換機三層接口，防火墻進行虛擬化，分割成多個防火墻實例提供網(wǎng)絡安全服務，對每塊防火墻劃分三個邏輯實例，每一對虛擬防火墻工作在主備方式；可工作在雙主用模式，防火墻實例分布在兩臺上面，從而達到負載分擔和冗余備份的能力。此時，三組服務器的網(wǎng)關(guān)地址各不相同，各組服務器內(nèi)的虛擬機只能在本VLAN內(nèi)遷移，如WEB、APP、DB三種服務器分別對應在VLAN 2、VLAN3、VLAN4內(nèi)。防火墻做服務器網(wǎng)關(guān)，L2分區(qū)之間互訪必須經(jīng)由防火墻對互訪流量做狀態(tài)檢測，并WEB、APP、DB之間完全由防火墻實現(xiàn)訪問控制，屬于強隔離措施。

此方式適合業(yè)務相對穩(wěn)定，流量模型固定的業(yè)務；并且業(yè)務之間隔離度高的環(huán)境。如銀行的核心信貸、資金管理系統(tǒng)，企業(yè)的ERP系統(tǒng)等。

主機網(wǎng)關(guān)設在匯聚交換機上

采用IRF2后匯聚交換機仍然是L2與L3的分界點，面向服務器一側(cè)工作在三層模式，面向網(wǎng)絡一側(cè)工作在二層模式。匯聚交換機作為WEB/AP/DB服務器的網(wǎng)關(guān)，WEB/AP/DB服務器二層分區(qū)之間互訪經(jīng)由匯聚交換機ACL做訪問控制；防火墻作為邊界安全控制設備。

將防火墻和交換機劃分VRF（虛擬路由轉(zhuǎn)發(fā)表），同一業(yè)務在同一VRF內(nèi)，WEB/APP/DB則分布到同一VRF的不同二層分區(qū)內(nèi)。同一業(yè)務的WEB/APP/DB通過交換機三層轉(zhuǎn)發(fā)訪問，并以ACL進行訪問控制；不同業(yè)務之間的訪問，跨VRF通過防火墻控制。另外，對于某個三層接口（網(wǎng)段），當需要訪問另一個網(wǎng)段并且需要經(jīng)過防火墻時，就配置一條以防火墻為下一跳的“弱策略路由”，當防火墻失效，則該策略路由也失效。在緊急情況，旁路防火墻，即可保證網(wǎng)絡的聯(lián)通狀態(tài)。

此方式適合虛擬化環(huán)境下虛擬機遷移的需求，對業(yè)務調(diào)整頻繁的業(yè)務是一種很好的應對策略，同時，由于不同應用之間的隔離采用交換機ACL實現(xiàn)，因此適合業(yè)務安全隔離要求一般，主機調(diào)配靈活性要求稍高的環(huán)境。如大企業(yè)的業(yè)務開發(fā)中心等。

安全策略動態(tài)遷移

虛擬化數(shù)據(jù)中新帶來的大挑戰(zhàn)就是網(wǎng)絡安全策略要跟隨虛擬機自動遷移。在創(chuàng)建虛擬機或虛擬機遷移時，虛擬機主機需要能夠正常運行，除了在服務器上的資源合理調(diào)度，其網(wǎng)絡連接的合理調(diào)度也是必須的。

圖5 網(wǎng)絡安全配置自動遷移

如圖5所示，虛擬機1從pSrv1上遷移到pSrv2上，其網(wǎng)絡連接從原來的由pSRV1上vSwitchA的某個端口組接入到Edge Switch1，變成由pSRV2上vSwitchB的某個端口組接入到Edge Switch2.若遷移后對應的Edge Switch的網(wǎng)絡安全配置不合適，會造成虛擬機1遷移后不能正常使用。尤其是原先對虛擬機1的訪問設置了安全隔離ACL，以屏蔽非法訪問保障虛擬機1上業(yè)務運行服務質(zhì)量。因此在發(fā)生虛擬機創(chuàng)建或遷移時，需要同步調(diào)整相關(guān)的網(wǎng)絡安全配置。并且，為了保證虛擬機的業(yè)務連續(xù)性，除了虛擬化軟件能保證虛擬機在服務器上的快速遷移，相應的網(wǎng)絡連接配置遷移也需要實時完成。即網(wǎng)絡具有“隨需而動”的自動化能力。

但在VEB vSwtich模式下，通常會出現(xiàn)多個虛擬機的配置都重復下發(fā)到一個物理接口上，很難做到針對每一個虛擬機的精細化網(wǎng)絡安全配置管理。因此只有先精細化區(qū)分流量（比如源IP、源MAC、VLAN等），再進行針對性的網(wǎng)絡安全配置遷移與本地配置自動化去部署。目前業(yè)界最優(yōu)的解決方法就是在主機鄰接物理交換機采用vPort的概念。一個虛擬機幫定一個或幾個特定的vPort，虛擬機遷移時，只需在對應的鄰接物理交換機上將虛擬機對應的網(wǎng)絡配置Profile綁定到vPort上即可，而不會對其它虛擬機的vPort產(chǎn)生影響。

目前正在形成標準的VDP方案對網(wǎng)絡安全配置自動遷移提供了良好的支撐能力。

鄰接交換機使用VDP協(xié)議發(fā)現(xiàn)虛擬機實例，并向網(wǎng)管系統(tǒng)獲取對應的網(wǎng)絡安全配置Profile并部署到相應的vPort接口上。同時，虛擬機遷移前的接入位置物理交換機也會通過VDP解關(guān)聯(lián)通告，去部署相應的profile對應的本地配置。加入VDP后，完全不依賴網(wǎng)管系統(tǒng)對虛擬機接入物理網(wǎng)絡的定位能力，提高網(wǎng)絡配置遷移的準確性和實時性。

虛擬化數(shù)據(jù)中心是當前與未來的發(fā)展方向，而網(wǎng)絡安全作為基礎的承載保障平臺面臨一些新的挑戰(zhàn)，一方面我們對現(xiàn)有技術(shù)進行優(yōu)化改進以適應這種挑戰(zhàn)，另一方面新技術(shù)與方案也在不斷的出現(xiàn)來應對挑戰(zhàn)。只有這樣才能多快好省的構(gòu)造虛擬化數(shù)據(jù)中心的網(wǎng)絡安全。