2019年國內雲建設產業規模有望超過小龍蝦的產業規模

雲來了，也帶來了一大波新概念，這讓安全老炮們有時候也摸不著頭腦。今天這篇小文，就是白話一下私有云安全的那些事兒。

雲最重要的變化就是，對IT資源的使用方式發生了變革。比如，傳統安全公司的保護物件，是放在某個物理機房的幾個機架；而現在，都虛擬化了，看不見摸不著，機房也是分散式的了。所以，按照以前物理插線的模式，接入硬體安全裝置，是不怎麼行得通了。

舉個栗子：把客戶比作房東，把安全廠商比作安防盜門的，那麼，以前客戶就是一戶戶農家小院（自有機房），安全廠商去裝個防盜門就完事了；而現在，國家提倡住小區了（企業上雲），安全廠商除了要去給小區安個大門，還要給每家每戶安個小防盜門；而且客戶要求也提高了，對小區來說，光安個大門已經不行了（合規要求），還要有監控、電子圍欄、車牌識別、車庫防盜系統….不安行不行？不行，房管局要求的很細（等保2.0 在5月已釋出），房地產商（雲服務提供商）必須要把自己的小區安全做規範（雲平臺自身必須過等保），另外群眾富裕了，家裡存古董黃金也普遍了，光安個防盜門不行，還得買保險櫃（安全按需訂購），不然房管局也不放心（雲上業務也要做等保），要派人來提醒。而且派出所說了，如果家裡東西丟了，要是物業沒管好大門，物業要賠錢（雲平臺安全由服務商擔責）；要是房東自己不關門被偷了，房東就自己負責（雲租戶對自己業務安全擔責），這叫責任共擔模型。總的來說，物業管好大門（基礎安全），業主管好鑰匙（管好自己的資料），其餘的事情就讓安全廠商來搞定（業務安全）。

對安全廠商來說，生意也不好做了。人家物業（雲廠商也有安全產品）自己也賣防盜門，人家和業主天天見著面兒打著交道呢，你安全廠商進小區還得先登記；另外，有的小區是政府下令修的（大資料局/經信委），修房子的是開發商（承建方），物業又另一撥人（運維方），業主又是人家大公司福利分房（各個委辦局），你去賣防盜門，得跟政府、開發商、物業、福利分房公司領導都得一一打通關節，這生意才做的進去——這可比裝修農家小院只需要搞定男主要費勁多了。

另外，技術上難度也大了。以前是農家小院，大門簡單；現在都虛擬化了，而且業主可能在好幾個小區都買了房（虛擬機器分佈在不同物理節點），而且房子還可以在小區之間漂移（VPC，虛擬私有網路），人家要你統一保證安全（租戶安全解決方案）；另外，有的物業公司要求你賣了防盜門得分點錢給他（合作增值模式），有的要一次性買你1000套防盜門送業主（大專案模式），有的是老業主認識你，就自己直接找你買防盜門（直銷模式）；有的物業公司要和你長期合作（戰略合作模式），有的要求你的防盜門預裝（合作對接模式），有的留下統一尺寸找了多家來入圍（生態鏈），咳咳，聽起來就夠複雜。

說點高興的：雖然生意難做了，技術難度也大了，但是盤子大啊！2018年國內雲建設規模900多億，和小龍蝦產業規模差不多呢，而且還在持續高速增長。所以，你是否盤算過你今年在這個藍海里面能賺多少錢呢？

好了，還是迴歸碼農本色，老老實實講幾個核心技術原理吧：

1、伺服器虛擬化

現在的伺服器都是以虛機為粒度分配，甚至還有Docker粒度。主流虛擬化技術國內主要是KVM和VMware。一個租戶的伺服器就是一組虛擬機器，虛擬機器往往會分配到不同的實體機上。

2019年國內雲建設產業規模有望超過小龍蝦的產業規模

2、網路虛擬化

為了解決4k等問題，網路也虛擬化了。Vxlan最為主流，就是在vlan報文前面又加了個udp報頭，你理解為隧道就好。所謂overlay網路就是基於這個來的，Overlay在網路技術領域，指的是一種網路架構上疊加的虛擬化技術模式，是一個虛擬網路。

2019年國內雲建設產業規模有望超過小龍蝦的產業規模

3、常見雲網路拓撲模型

在雲機房，SDN網路較為常見，按照overlay模式，常見拓撲有三種：

Network Overlay 隧道封裝在物理交換機完成。這種Overlay的優勢在於物理網路裝置效能轉發效能比較高，可以支援非虛擬化的物理伺服器之間的組網互通。
Host Overlay 隧道封裝在vSwitch完成，不用增加新的網路裝置即可完成Overlay部署，可以支援虛擬化的伺服器之間的組網互通。
Hybrid Overlay是Network Overlay和Host Overlay的混合組網，可以支援物理伺服器和虛擬伺服器之間的組網互通。