近一兩年來,很多組織已經發現了将IT基礎設施遷移到第三方平台的優勢。這些第三方平台向最終使用者透明地提供IT服務,但是在多租戶資料中心中如何保持多租戶之間的敏感資料的隔離是這種方式面臨的巨大的挑戰。
SDN和多租戶資料中心
由于典型的多租戶資料中心為多個使用者托管了IT基礎設施,每個資料中心的資源都是相對有限的,是以将整個機器專為一個使用者服務往往效率低下。相反,一台裸機最有可能為多個使用者托管多個虛拟機,即所謂的多租戶網絡。過去,路由器和交換機通過子網劃分和虛拟區域網路處理網絡分段,将一個伺服器機架專門用于單個應用程式或服務頗受業界歡迎。但現在,軟體定義網絡(SDN)的日益普及首先改變了資料中心的架構。
SDN控制器在邏輯上位于底層交換裝置的北向位置,通過12元組(12-tuple)标題字段為網絡管理者提供對網絡流量流量的大量控制:
在給定的12-tuple中,網絡管理者可以配置SDN控制器,以基于標頭來組合路由流量。單個使用者可以在多租戶資料中心托管多個服務,網絡管理者可以通過基于ingress端口、源端口(source port)、目标端口(destination port)以及專用于該使用者所托管服務的任何標頭組合來配置流量,進而隔離同一資料中心内其他使用者的流量。是以,如果資料中心内的另一個租戶運作類似的服務或應用程式,則網絡管理者可以訓示SDN控制器基于相同的標頭但是通過不同的值來路由流量。是以,每個租戶的流量成功地彼此隔離,而不會中斷網絡的性能。
SDN的優勢與挑戰
傳統上,将網絡裝置或新的伺服器添加到現有網絡需要為網絡配置預留大量的時間,将新的網絡裝置直接引入到網絡中将會産生很大的影響。
但使用SDN,控制器可以了解如何将新裝置內建到網絡中。雖然這對于實作網絡靈活性的組織來說是一個巨大的優勢,但它也會帶來可視化的問題。當管理者添加或删除多個裝置、網絡時,可能難以保持對網絡的實時控制,這可能會導緻嚴重的安全問題。例如,如果缺乏适當的網絡監控,黑客可能更容易将裝置添加到SDN網絡中。
原文釋出時間為:2017-10-23
本文作者:佚名
本文來自雲栖社群合作夥伴51CTO,了解相關資訊可以關注51CTO。