SDN如何改變多租戶數(shù)據(jù)中心,優(yōu)勢(shì)和挑戰(zhàn)又有哪些
近一兩年來,多租戶數(shù)據(jù)中心中如何保持多租戶之間的敏感數(shù)據(jù)的隔離面臨著巨大的挑戰(zhàn)。本文介紹的就是如何利用SDN來改善多租戶數(shù)據(jù)中心的隔離問題。
SDN和多租戶數(shù)據(jù)中心由于典型的多租戶數(shù)據(jù)中心為多個(gè)用戶托管了IT基礎(chǔ)設(shè)施,每個(gè)數(shù)據(jù)中心的資源都是相對(duì)有限的,所以將整個(gè)機(jī)器專為一個(gè)用戶服務(wù)往往效率低下。相反,一臺(tái)裸機(jī)最有可能為多個(gè)用戶托管多個(gè)虛擬機(jī),即所謂的多租戶網(wǎng)絡(luò)。過去,路由器和交換機(jī)通過子網(wǎng)劃分和虛擬局域網(wǎng)處理網(wǎng)絡(luò)分段,將一個(gè)服務(wù)器機(jī)架專門用于單個(gè)應(yīng)用程序或服務(wù)頗受業(yè)界歡迎。但現(xiàn)在,軟件定義網(wǎng)絡(luò)(SDN)的日益普及首先改變了數(shù)據(jù)中心的架構(gòu)。
SDN控制器在邏輯上位于底層交換設(shè)備的北向位置,通過12元組(12-tuple)標(biāo)題字段為網(wǎng)絡(luò)管理員提供對(duì)網(wǎng)絡(luò)流量流量的大量控制:
在給定的12-tuple中,網(wǎng)絡(luò)管理員可以配置SDN控制器,以基于包頭來組合路由流量。單個(gè)用戶可以在多租戶數(shù)據(jù)中心托管多個(gè)服務(wù),網(wǎng)絡(luò)管理員可以通過基于ingress端口、源端口(source port)、目標(biāo)端口(desTInaTIon port)以及專用于該用戶所托管服務(wù)的任何包頭組合來配置流量,從而隔離同一數(shù)據(jù)中心內(nèi)其他用戶的流量。因此,如果數(shù)據(jù)中心內(nèi)的另一個(gè)租戶運(yùn)行類似的服務(wù)或應(yīng)用程序,則網(wǎng)絡(luò)管理員可以指示SDN控制器基于相同的包頭但是通過不同的值來路由流量。因此,每個(gè)租戶的流量成功地彼此隔離,而不會(huì)中斷網(wǎng)絡(luò)的性能。
SDN的優(yōu)勢(shì)與挑戰(zhàn)傳統(tǒng)上,將網(wǎng)絡(luò)設(shè)備或新的服務(wù)器添加到現(xiàn)有網(wǎng)絡(luò)需要為網(wǎng)絡(luò)配置預(yù)留大量的時(shí)間,將新的網(wǎng)絡(luò)設(shè)備直接引入到網(wǎng)絡(luò)中將會(huì)產(chǎn)生很大的影響。
但使用SDN,控制器可以了解如何將新設(shè)備集成到網(wǎng)絡(luò)中。雖然這對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)敏捷性的組織來說是一個(gè)巨大的優(yōu)勢(shì),但它也會(huì)帶來可視化的問題。當(dāng)管理員添加或刪除多個(gè)設(shè)備、網(wǎng)絡(luò)時(shí),可能難以保持對(duì)網(wǎng)絡(luò)的實(shí)時(shí)控制,這可能會(huì)導(dǎo)致嚴(yán)重的安全問題。例如,如果缺乏適當(dāng)?shù)木W(wǎng)絡(luò)監(jiān)控,黑客可能更容易將設(shè)備添加到SDN網(wǎng)絡(luò)中。