如果離開諸如防火牆、slb等網絡服務的支援,資料中心将無法實作soi。在服務彙聚層實作防火牆和負載均衡器的內建非常合适,因為服務彙聚層是資料中心層2和層3自然的分界線,而且這些智能服務裝置還可以在接入層通過多個交換機實作共享。有兩種方式可以實作防火牆和slb的內建:
将單獨的服務彙聚層交換機當做外部服務機箱使用,以容納防火牆及slb子產品。
使用獨立輔助裝置。
本書隻讨論前一種方法。
一種部署服務機箱的方法是按照如圖3-1所示的主/從機模式,一台作為活動服務機箱,其他服務機箱備用,活動機箱提供所有服務資料流的主要路徑,當活動機箱不可用時則由備機提供備份路徑。圖3-1中彙聚1和彙聚2采用了增強以太網擴充,将服務機箱背部連接配接至第2章中提到的統一dc光纖上。
說明:cisco catalyst 6500 系列交換機可以看成服務機箱的樣例,它所包含的防火牆服務子產品(firewall services module,fwsm)相當于防火牆,應用控制引擎服務子產品(application control engine service module,acesm)則類似slb。cisco nexus 7000系列交換機可以看成彙聚1和彙聚2的樣例。
當我們談到裝置虛拟化,服務機箱模式和獨立輔助裝置方法基本相似,隻是服務機箱采用了服務子產品插槽法,而獨立裝置模式則主要依靠外部實體裝置實作管理。為什麼防火牆和slb的虛拟化很重要?因為單獨的防火牆或者slb無法實作資源、配置以及應用之間的互相隔離。可以将這些裝置部署在工作區内來減緩我們之前所提及的限制。當然,采用這類方法也會引起其他的問題,例如,實體裝置雜亂無章、裝置和資源的使用效率下降等,這時虛拟化就顯得非常重要,可以通過虛拟化技術滿足并減少各種限制。服務裝置實作虛拟分區和虛拟上下文有助于:
資源、配置及應用互相間的隔離
防止實體裝置混亂
通過更好地利用裝置資源增強資源管理
為實作雲iaas提供基于多租戶形式的網絡服務
詳細的防火牆及slb内部工作機制已經超出本書讨論範圍,本書主要探讨通過虛拟環境(虛拟裝置上下文),使這些裝置能夠以多租戶形式支援雲iaas。
為了與伺服器虛拟化保持一緻,實體防火牆應該具備可虛拟化的能力,或者能夠被劃分至不同的(裝置)上下文中,這樣虛拟防火牆數量就能夠随vm數量的增長而增長。從雲安全角度來說,vm就像是實體伺服器,而防火牆必須能夠為vm提供足夠的安全防護,如同保護普通ip主機一樣。虛拟防火牆之間需共享實體防火牆實體的同一組資源,并且要能夠像實際實體防火牆一樣工作,是以從根本上需要進行一些适當的資源管理。資源管理給不同的上下文評定等級以限制在不同上下文中資源的使用,每一個上下文則根據自己的等級使用相應的資源。
圖3-2展示了一個虛拟伺服器叢集(實際為一台esx伺服器主機),該伺服器叢集連接配接到一個防火牆,由防火牆上下文為不同vm提供各種各樣的虛拟防火牆保護。雖然不同的防火牆環境彼此之間并沒有完全分隔,但仍需依據相應的規則和顧客特點,例如多租戶環境的特殊要求,保持一定的隔離性。
防火牆模式
如圖3-3所示,按配置方式不同,防火牆可分成路由模式和透明模式兩類。在路由模式下,防火牆被當做網絡第3層的裝置,它能夠支援來自不同子網的接口并完成網際網路絡間的位址轉換(network address translation,nat)。
在透明模式下,防火牆相當于網絡第2層而非第3層的裝置,也不再有路由跳數,是以透明模式下,防火牆不需要重新設定位址,就可以很容易地被安裝到一個現成網絡中。由于沒有複雜的路由模式,也降低了故障發生的機率,使得防火牆的維護也變得相對簡單。
每一個虛拟上下文中,防火牆内部連接配接的是同一個網絡,外部則連接配接不同的端口,這樣的連接配接對使用者而言是透明的。防火牆可以同時支援多對這樣的内外接口,就像一個橋的集合,每一橋組連至不同的網絡。每一橋組需要一個指定的ip位址,透明防火牆将此位址當成從橋組發出來的包的源位址。指定位址必須屬于所連接配接網絡的子網範圍内,有時透明模式也被稱為“線纜中的塊”( bump in the wire)模式。
說明:一個fwsm模式既可以支援橋模式也可以支援路由模式,但不能同時支援兩種,橋所同時支援的接口對數最大不超過8。在透明模式下,不同虛拟上下文中的接口不能互享,是以在配置成透明模式時,不同的虛拟上下文要分别使用不同的接口。
slb最重要的功能是将來自不同用戶端的服務請求配置設定給目前的活動主機。slb為每一個服務提供一個虛拟ip(virtual ip,vip)位址作為用戶端的通路目标。當應答傳回至slb時,真實伺服器的原始ip位址就被轉換成vip位址,給用戶端的感覺則似乎所有請求都是在同一伺服器上完成的。
基于負載和配置準則,slb可以智能地将網絡請求連接配接到真實伺服器(也可以是vm)組成的伺服器池中,過重的負載能被分散到多個實際的伺服器上,slb同時還負責監控實際伺服器的運作狀态和效率,這樣當某台伺服器需要離線維護,就可以直接從資源池中移出來,而slb也能夠利用剩下的活動伺服器提供同樣的支援。同理,當有需要時,也可以将新的服務資源擴充到資源池中。這些功能特性增強了dc和應用的可用性,也優化了它們的可擴充性,使slb成為了dc中重要的內建元件。
但是,随着新的企業應用數量的增加,對slb的需求也不斷上升,是以數十台slb組合所帶來的“蛛網”現象在所難免,這些slb上跑的可能是少數大型應用,也有可能是上百個小應用程式。如果一台實體裝置上同時運作了上百個小應用,那麼slb的配置工作量會變得非常龐大也難以維護,這時在slb上建構虛拟環境的優勢就變得非常明顯。圖3-4證明了與其同時使用五台slb實體裝置(例如1号slb一直到5号slb)來分别管理dc中五個不同的應用(例如1号應用一直到5号應用),不如使用兩台slb就足夠搭建5個虛拟環境(2個在slb11上,另外3個在slb12上)來管理這五個應用了。這樣的整合可以顯著降低機箱數量以及相應開銷。
在slb上建構虛拟環境後,同一台slb可以處理來自不同的組(租客)或業務單元的應用,而不需要增加額外裝置。虛拟化效應使得slb的部署變得靈活而易擴充,同時又降低了單一配置的規模,進而相應地減小了故障處理和維護的難度。在通常情況下,slb可以實作所有基于ip的裝置間的負載均衡,包括防火牆、記憶體、wan優化器等,虛拟slb更使得這些工作的實施變得更加簡單。
slb橋接模式和路由模式
slb串聯橋接模式的工作方式與防火牆透明模式類似,所起的作用有些類似“線纜中的塊”(bump in the wire),或者連接配接伺服器群至上行第3層裝置(例如路由、第3層交換器、防火牆等)的資料流間的透明橋梁。圖3-5上部是對slb橋接模式的說明。在這種模式下,上行的vlan和下行伺服器群vlan都位于同一ip的子網範圍内,伺服器叢集中的實際伺服器都屬于同一個可路由的ip子網,伺服器的虛拟ip位址則被處理成相同或不同的子網範圍。每一個伺服器叢集需要一個不同的ip位址,slb使用一個ip解析協定(address resolution protocal,arp)表來跟蹤真實伺服器的mac位址。普通虛拟ip的mac位址被轉換成實際伺服器的特定mac位址,能夠将資料流指向正确的實際伺服器。在橋接模式中,實際伺服器的預設網關将被配置成使用上行路由接口的ip位址。
圖3-5的下半部分是對路由模式的說明。slb路由連接配接了内外子網,上行(外部)vlan 80和伺服器群90(内部)屬于不同的子網。通常,服務的虛拟ip位址屬于一個可路由的公開子網範圍,而實際伺服器則使用私有ip子網。這種模式使得每個伺服器組都可以連接配接多個子網。slb将來自外部子網的包按内部子網的mac位址轉發,實際伺服器的預設網關則被配置成采用slb内部接口的位址。
說明:在一個單獨的acesm環境中,沒有對橋接或路由接口數量的限制,一個acesm可以使用橋接模式連接配接兩個接口,而同時使用路由模式連接配接其他接口。
slb的單臂模式
圖3-6是對slb單臂模式的說明。slb單臂模式并不是直接比對到傳輸路徑上,這樣的帶外資料方式能夠支援擴充,而帶内客戶請求則通過路由通路slb的虛拟ip位址。slb可以通過計算得出應該将請求包發送給哪一個實際的伺服器ip位址。
使用單臂模式最需注意的問題就是傳回流量也需要經過“離線”slb,以下是一些用來確定傳回流量能夠通過slb的方法:
源(或客戶)網絡位址轉換(nat):采用這種方式,用戶端源位址将被slb位址取代,伺服器将它的傳回結果送至slb,由slb重新将目标位址還原成用戶端位址後轉發資料包。
政策路由(policy-based routing,pbr):将一些适合的對外伺服器流量以下一跳方式重新定向到slb上。
如果原始客戶ip位址需要應用于客戶使用跟蹤、安全審計或者類似情況時,則不宜采用源nat方式。pbr方式可以避免這些問題但也會有其他弊端,例如複雜路由或者異步路由等非負載均衡網絡流量,而且基于虛拟路由轉發vrf的接口也不支援pbr。如果是vrf聯合單臂模式,則隻能使用源nat模式将資料流重新發至slb。另一方面,單臂模式可以不用處理來自slb的非負載均衡流量,因為這些流量不需要經過“離線”slb而可以被直接抛棄,反而提高了單臂模式的效率。
說明:另外一種可以確定在單臂模式下資料也可以傳回通過slb的方法是将預設網關指向slb而非路由器,不過這樣一來slb的虛拟ip和實際伺服器(伺服器叢集)的位址就必須在同一個vlan或者子網内才行。