SDN如何改變多租戶數(shù)據(jù)中心,優(yōu)勢(shì)和挑戰(zhàn)又有哪些

　　近一兩年來,多租戶數(shù)據(jù)中心中如何保持多租戶之間的敏感數(shù)據(jù)的隔離面臨著巨大的挑戰(zhàn)。本文介紹的就是如何利用SDN來改善多租戶數(shù)據(jù)中心的隔離問題。

　　由于典型的多租戶數(shù)據(jù)中心為多個(gè)用戶托管了IT基礎(chǔ)設(shè)施，每個(gè)數(shù)據(jù)中心的資源都是相對(duì)有限的，所以將整個(gè)機(jī)器專為一個(gè)用戶服務(wù)往往效率低下。相反，一臺(tái)裸機(jī)最有可能為多個(gè)用戶托管多個(gè)虛擬機(jī)，即所謂的多租戶網(wǎng)絡(luò)。過去，路由器和交換機(jī)通過子網(wǎng)劃分和虛擬局域網(wǎng)處理網(wǎng)絡(luò)分段，將一個(gè)服務(wù)器機(jī)架專門用于單個(gè)應(yīng)用程序或服務(wù)頗受業(yè)界歡迎。但現(xiàn)在，軟件定義網(wǎng)絡(luò)（SDN）的日益普及首先改變了數(shù)據(jù)中心的架構(gòu)。

　　SDN控制器在邏輯上位于底層交換設(shè)備的北向位置，通過12元組（12-tuple）標(biāo)題字段為網(wǎng)絡(luò)管理員提供對(duì)網(wǎng)絡(luò)流量流量的大量控制：

　　在給定的12-tuple中，網(wǎng)絡(luò)管理員可以配置SDN控制器，以基于包頭來組合路由流量。單個(gè)用戶可以在多租戶數(shù)據(jù)中心托管多個(gè)服務(wù)，網(wǎng)絡(luò)管理員可以通過基于ingress端口、源端口（source port）、目標(biāo)端口（desTInaTIon port）以及專用于該用戶所托管服務(wù)的任何包頭組合來配置流量，從而隔離同一數(shù)據(jù)中心內(nèi)其他用戶的流量。因此，如果數(shù)據(jù)中心內(nèi)的另一個(gè)租戶運(yùn)行類似的服務(wù)或應(yīng)用程序，則網(wǎng)絡(luò)管理員可以指示SDN控制器基于相同的包頭但是通過不同的值來路由流量。因此，每個(gè)租戶的流量成功地彼此隔離，而不會(huì)中斷網(wǎng)絡(luò)的性能。

　　傳統(tǒng)上，將網(wǎng)絡(luò)設(shè)備或新的服務(wù)器添加到現(xiàn)有網(wǎng)絡(luò)需要為網(wǎng)絡(luò)配置預(yù)留大量的時(shí)間，將新的網(wǎng)絡(luò)設(shè)備直接引入到網(wǎng)絡(luò)中將會(huì)產(chǎn)生很大的影響。

　　但使用SDN，控制器可以了解如何將新設(shè)備集成到網(wǎng)絡(luò)中。雖然這對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)敏捷性的組織來說是一個(gè)巨大的優(yōu)勢(shì)，但它也會(huì)帶來可視化的問題。當(dāng)管理員添加或刪除多個(gè)設(shè)備、網(wǎng)絡(luò)時(shí)，可能難以保持對(duì)網(wǎng)絡(luò)的實(shí)時(shí)控制，這可能會(huì)導(dǎo)致嚴(yán)重的安全問題。例如，如果缺乏適當(dāng)?shù)木W(wǎng)絡(luò)監(jiān)控，黑客可能更容易將設(shè)備添加到SDN網(wǎng)絡(luò)中。