傳統雲網路面臨的這些問題

你知道嗎？傳統雲網路存在了這麼久，但是你瞭解它的基本架構嗎？你知道嗎？傳統雲網路下兩種隔離方式Vlan和Vxlan，卻各有利弊；你知道嗎？雲網路把網路的邊界變模糊了，那麼網路安全是否有保障呢？本文就帶你瞭解這一切。

1傳統雲網路的架構分析

　　傳統雲網路結構

上圖中這些藍色大框是伺服器，其中上面兩個伺服器：NC(計算節點)和CC(網路節點)，它類似於整個雲網路的一個核心路由器。例項一出來會經過一個網橋，網橋上有防火牆功能。當資料出了計算節點以後會引流到網路節點進行下一步的處理。網路節點負責資料的路由、NAT地址轉換、流量控制器還包括一些DHCP Server、閘道器等功能。傳統雲網路大量引用了Linux網路協議棧中提供的網路元件。這麼做有什麼好處呢？好處是減少開發週期，單獨功能穩定。但是Linux的網路元件存在大量的捆綁，當用一個功能時就必須強迫使用其他捆綁捆綁功能。然而這些捆綁功能是不需要的。這樣雲網路的複雜度會越來越高，並且效能優化難度很大。

在這個網路裡面，網路節點它的壓力是非常巨大的，兩個不同子網的虛擬機器之間的訪問需要經過網路節點，外部網路訪問虛擬機器需要經過網路節點，虛擬機器訪問外部網路需要經過網路節點，這樣東西南北各方向的流量都要經過這個網路節點。整個雲網路效能瓶頸就是網路節點的處理效能。萬一它出現單點故障的話，後果會很嚴重。

2租戶隔離

傳統的雲網路隔離有兩種方法，一種是vlan，另一種叫做Vxlan。vlan隔離簡單快速，但是它數量只有4000多個，網路規模難以擴充套件。Vxlan可以解決vlan數量不足的問題，Vxlan的數目能達到16M。16M絕對可以滿足大規模雲網路組網需求。但是Vxlan有幾個問題，第一個，它需要在這個資料包的前面疊加一個三層的包頭，這樣頻寬質量會受影響。另外vxlan的部署比較困難，因為vxlan的設計初衷處理解決vlan不足的問題之外，它還需要解決大二層網路跨機房的問題。另一個比較嚴重的問題就是，大部分的資料中心都是使用vlan做網路隔離的。如果雲內部使用vxlan,我們就需要額外造一個vxlan閘道器專門負責與資料中心的互聯互通。如果雲內部有的使用者使用vlan，有的使用者使用vxlan，那就更復雜了。傳統網路的發展往往都是解決一個問題又會引入其他新的問題。

3雲網路的功能實現

一個雲它的網路不是簡簡單單說做了100臺虛擬機器，100臺虛擬機器都能上網，這就是雲，這絕對不是雲。雲是一個讓所有人都能夠在裡面獨立生存的一個生態空間，也就是說每一個雲內的租戶都需要獨立自定義的網路空間。另外在同一個雲例項的私有地址是可以重複的。閘道器不能像剛才我們講的用一個物理伺服器堆在中間來代替，這個不可靠，閘道器是需要獨立的，需要每個子網都需要一個獨立的閘道器。閘道器應該分散式虛擬化。

4網路安全

如果黑客入侵了虛擬機器。從虛擬機器這一端開始發起攻擊，這個東西到底有多危險呢，可以來想象一下，第一個它可以攻擊其他的虛擬機器、攻擊閘道器、攻擊資料中心。雲網路把網路的邊界變模糊了，從而很容易造成網路安全能力的下降。如果讓做雲的廠家，負責網路安全，很顯然這不是他們的強項。所以雲網路安全需要藉助第三方的專業安全廠家，讓他們把自身優秀的網路安全產品虛擬化並且整合到雲中。這也符合雲是一個生態空間的概念。而傳統雲網路的在架構本身，就很難實現這樣深入的整合。原因很簡單，傳統雲網路本身的IO路徑非常複雜，如果要把流量引入第三方的虛擬化安全產品洗清，並且回到正常的網路邏輯，對於傳統雲網路來說，實在很難實現。

本文轉自d1net（轉載）