发布日期:2013-04-28 15:58 来源:中国电信网络安全实验室 标签: 核心 架构 安全
 

IaaS核心架构安全(2)

目前,业界尚未形成统一的存储虚拟化标准,各存储厂商一般都根据自己所掌握的核心技术来提供虚拟存储解决方案。从系统的观点看,有三种实现虚拟存储的方法,分别是主机级虚拟存储、设备级虚拟存储和网络级虚拟存储。

主机级虚拟存储主要通过软件实现,不需要额外的硬件支持。它把外部设备转化成连续的逻辑存储区间,用户可通过虚拟管理软件对它们进行管理,以逻辑卷的形式进行使用。

设备级虚拟存储包含两方面内容:对存储设备物理特性的仿真,以及对虚拟存储设备的实现。仿真技术包含磁盘仿真技术和磁带仿真技术,磁盘仿真利用磁带设备来仿真实现磁盘设备,磁带仿真则相反,是利用磁盘存储空间仿真实现磁带设备。虚拟存储设备的实现,是指将磁盘驱动器、RAID、SAN设备等组合成新的存储设备。设备级虚拟存储技术将虚拟化管理软件嵌入在硬件实现,可以提高虚拟化处理和虚拟设备I/O的效率,性能和可靠性较高,管理方便,但成本也高。

网络级虚拟存储是基于网络实现的,通过在主机、交换机或路由器上执行虚拟化模块,将网络中的存储资源集中起来进行管理。它有三种实现方式:1)基于互联设备的虚拟化,虚拟化模块嵌入到每个网络的每个存储设备中;2)基于交换机的虚拟化,将虚拟化模块嵌入到交换机固件或者运行在与交换机相连的服务器上,对与交换机相连的存储设备进行管理;3)基于路由器的虚拟化,虚拟化模块被嵌入到路由器固件上。网络存储是对逻辑存储的最佳实现。

上述三种虚拟存储技术可以单独使用,也可以在同一存储系统中配合使用。

(3)网络虚拟化

狭义的网络虚拟化概念就是指传统虚拟专用网络,通过VPN或者VLAN的方式在公共网络上建立虚拟专用网。近年来随着虚拟化技术的不断发展成熟,网络虚拟化的概念也在不断外延。网络虚拟化与计算虚拟化是不可分割的,计算虚拟化的发展及成熟给IT行业带来了革命性的变化,网络虚拟化是计算虚拟化发展的必然结果,而计算虚拟化则是促进网络虚拟化发展的主要因素。计算虚拟化"多对一"的特征对网络提出了虚拟化的要求,传统网络逐步向虚拟交换机、虚拟网卡、动态感知技术以及大二层网络的方向发展。

为了满足虚拟服务器的通信需求,网络也需要延伸到服务器内部,由此产生了虚拟交换机,虚拟交换机技术是实现网络虚拟化的主要技术之一。

如图4-3所示,虚拟交换机是虚拟化平台与物理网卡之间创建的一个中间层,也就是说一台物理服务器上的各台虚拟服务器通过虚拟交换机可直接进行通信,这部分流量并不会出现在物理交换机上,而是在物理服务器内部就被消化掉了。因此,通过虚拟交换机提供的交换能力,将虚拟服务器与物理网络无缝连接起来,满足业务部署的需要,可解决服务器虚拟化之后的虚拟交换的基本需求。然而,由于在服务器内部新增了虚拟网络设备,这也给数据中心管理员的运维方式带来了一定的影响:一方面,服务器管理员需要参与网络的管理,而网络管理员也不得不参与服务器内部的管理;另一方面,由于在服务器内部新增了虚拟交换机,这也给服务器带来了额外的性能开销。同时,由于虚拟化之后热迁移技术的支持,如何保证虚拟机的网络属性也能够迅速迁移,适应虚拟机的迁移需求,也成为亟待解决的问题。

图4 3  网络虚拟化

针对这些现状,业界厂商纷纷提出了各自的解决方案。虚拟交换机技术分三个发展阶段:第一阶段是基于软件的虚拟交换机技术。目前该技术已经在业界成熟应用,多个虚拟化软件厂商已经有成熟产品且规模商用。但是该技术存在一定的局限性,基于软件的虚拟交换机需要占用服务器的CPU资源,稳定性较物理交换机差,而且在数据中心网络中,外部的交换机都是通用的传统交换机设备,造成成本的提高;第二阶段是基于网卡的虚拟交换机技术,在网络虚拟化之后,同一物理网卡需要满足多台服务器的网络I/O需求,传统网卡性能问题将会是一个瓶颈。通过网卡虚拟化技术,引入多队列机制(VMDq)、SR-IOV技术,可提升网卡的I/O性能,满足多服务器通信需求。目前该类技术处于"战国时代",虽然没有商用,但是技术较为成熟,多个厂商已经有相关产品,目前的瓶颈在于不同厂商之间的管理性、互通性存在差异,无法兼容,并且虚拟化网卡是IT厂商制造,网络设备厂商无法兼容,导致IDC的网络设备仍然采用传统交换机;第三阶段是基于物理交换机的虚拟交换机,该技术基于数据包中的TAG标识虚拟机网卡,并且基于相应虚端口灵活进行策略控制,目前该类技术并没有标准化,处于在研阶段,IEEE已经成立EVB工作组,涵盖多个网络厂商、服务器厂商和芯片厂商,于2010年开展了标准制定工作。

2.IaaS核心架构安全防护

从功能角度看,IaaS系统的逻辑架构如图4-4所示,包含业务管理平台、虚拟网络系统、虚拟存储系统、虚拟处理系统,以及最上层的客户虚拟机。

图4 4  IaaS系统逻辑架构

其中虚拟网络系统是通过在物理网络上运行虚拟化将物理网络虚拟成多个逻辑独立的网络,如虚拟交换机等。主要涉及的物理设备有服务器、交换机、路由器、网卡等部件。

虚拟存储系统是通过在主机和物理存储系统上运行虚拟化软件将物理存储虚拟成满足上层需要的特定存储服务。主要涉及的物理设备有存储交换机、磁盘阵列等部件。


 

相关评论

专题信息
    随着云计算技术的应用越来越广泛,云计算的可信性和安全性问题凸显。本书叙述了采用可信云安全技术解决云计算可信和安全问题的方法。可信云安全技术是在云计算环境中,针对云端互动的人进行可信计算和安全计算的技术。