- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
随着虚拟化与云计算技术的不断成熟,越来越多的云服务提供商(如:Amazon EC2、HP Cloud等)开始提供公有云服务,允许企业按需租用资源和服务,创建企业自己的虚拟数据中心(VDC ,Virtual Data Center)或虚拟私有云(VPC,Virtual Private Cloud),帮助企业节省建设成本、提高业务敏捷性,因此,很多的企业开始将大部分IT应用向公有云迁移,并将公有云和私有云互联,构建安全统一的企业混合云。要实现这一目标,最重要就是要考虑如何解决在公有云多租户环境下面临的网络问题。
文/郭晓军
和企业私有云不同,公有云是典型的多租户环境,它的基础设施和资源是所有企业租户共享的,云服务提供商给租户分配不同的VLAN,并进行统一管理,以达到隔离租户之间的报文量、保护租户安全的目的。企业租户的网络都由云服务商来负责管理和维护,包括网络配置、安全策略、IP地址等。同时,出于企业安全和管理简单的考虑,大多数企业都把总部作为访问公有云应用的统一出口,这样,分支机构的用户要访问公有云,就需要绕道企业总部,再经过公网和云服务商内部网络才能到达应用系统(如图1所示)。然而这对云服务提供商的运营管理,还是对企业租户的业务体验,都存在很多的问题和挑战。
对企业租户来说:
管理难——公有云游离在企业网络之外,不能对网络配置、安全策略、IP地址等对统一规划和管理,维护成本高;
安全低——无法在企业总部/分支和公有云之间建立端到端的VPN连接,分支用户必须绕道总部经公网来访问云应用,存在较大的安全风险。
体验差——无法在公有云中实施报文识别、流量控制、集成网络业务,从而造成用户访问企业私有云和公有云时难以获得一致的业务体验。
对云服务提供商来说:
维护难——所有企业租户的网络都由云服务商来负责管理和维护,运维成本很高;
运营难——MPLS网络不能延伸到企业租户和虚拟机边缘,无法为企业提供端到端可管理、可运营的云服务。
造成以上这些问题的原因是在企业租户中没有单独的网络设备,然而由于布线、归属等原因,目前的物理设备并不适合作为企业租户独享的设备在云计算环境中部署。为了解决目前存在的问题,需要一个既具备物理网络设备的功能又适合于在公有云多租户环境中部署的设备,这就是VPC网关,它应该具备以下特征(如图2所示)。
软件化。公有云中所有的物理设备(包括服务器、存储设备、及网络设备)都是所有租户共享的,由云服务商统一来管理,企业租用的是虚拟资源,使用和管理的也是这些虚拟资源,因此,企业应用都是以软件的形式运行在虚拟机上的,同样,VPC网关作为企业租户自己的设备,从管理界面清晰的角度来看,也应该是以软件形态跑在虚拟机上。
虚拟化。公有云是以虚拟机为单位对物理服务器资源进行管理和分配的,所有软件都是运行在虚拟机上的,VPC网关软件也需要能够运行在虚拟机上。
专业化。作为运行在企业公有云中的网络设备,VPC网关一定要是经过市场检验、专业的网络软件,支持路由、VPN、防火墙、QoS、MPLS等功能特性,以保证给企业提供企业级的网络服务。
统一管理。要能够和企业总部、分支的物理设备一样,被企业管理平台统一管理。
VSR(Virtual Services Router)是H3C推出的一款虚拟路由器产品(如图3所示),应用于VPC网关。它和物理路由器一样,采用业界的专业网络平台Comware V7,运行在标准服务器的虚拟机上,提供和物理路由器相同的功能和体验,包括路由、防火墙、VPN、QoS、及配置管理等,同时充分利用虚拟平台的特点,简化设备的部署安装。
(如图4所示)VSR和其他VM应用一样,安装在服务器的虚拟机上。但由于VSR是企业VPC网关,负责企业公有云所有对外的报文收发,因此在部署上,它和普通VM应用有以下不同。
上行WAN口:创建一个或多个虚拟WAN口,通过vSwitch连接到广域网中,通过VPN和企业总部、分支建立安全的连接。
下行LAN口:创建一个或多个虚拟LAN口,通过vSwitch连接其它虚拟机(运行企业应用)或物理局域网。
vSwitch相当于一个在服务器内部的虚拟二层交换机,它的上行口是服务器的物理网卡,用来连接物理网络,下行口是虚拟二层端口,用于连接虚拟机的虚拟网口。vSwitch主要完成VM与物理网络之间的数据交换,同样,VSR也需要通过vSwitch的上行口来和实际的物理网络进行通信。VSR配合vSwitch进行网络连接时通常采取以下方式。
VSR虚拟网口和服务器的物理网络接口直接绑定,比如:虚拟WAN口和物理网口1绑定,虚拟LAN口和物理网口2绑定,物理网口接收到的报文会上送到VSR对应绑定的虚拟接口上。
VSR虚拟接口共用一个服务器的物理网络接口,VSR虚拟接口连接到不同VLAN的端口组中,多个端口组属于同一个vSwitch,使用同一个服务器的物理网络接口来收发报文,再由vSwitch根据不同的VLAN转发给VSR不同的虚拟接口上。
公有云是典型的多租户环境,每个租户对应一个VPC,因此,对云服务商来说,VPC是基本的管理单元,重点关注VPC之间的资源划分、安全隔离等;对企业租户来说,VPC是虚拟的管理节点,重点关注VPC内部的资源使用、网络连接等(如图5所示)。
VSR作为VPC网关,部署在虚拟机上,提供网络、VPN、安全、QoS等功能,让企业员工能够安全快捷的访问云应用,保障企业在公有云中的安全,同时把VPC网络纳入到企业网络中进行统一管理,实现企业私有云和公有云的统一管理。
VSR在公用云中的部署应用主要包括以下几个方面。
1. 安装部署
得益于软件化、虚拟化的优势,在VPC部署一台VSR只需要几个步骤,非常简便快捷。VSR提供以下形式的安装选项,用户可以根据实际情况进行选择。
(1) 通过ISO镜像文件来安装VSR。在虚拟平台上创建满足VSR资源要求(如CPU、内存、硬盘等)的虚拟机,然后设置虚拟机从光盘启动,连接虚拟机的光盘设备到ISO镜像文件上,重新启动虚拟机后,就进入了VSR的安装界面,按照提示就可安装完成。这种方式灵活,适合用户需要定制资源的情况。
(2) 通过OVA模板文件来安装VSR。在虚拟平台上选择“部署OVA模板”,按照提示步骤即可完成VSR的安装。这种方式简单,适合用户需要批量部署的情况。
2. 地址管理
VPC是企业在公有云中租用的虚拟私有云,从网络规划的角度,属于整个企业网的一部分,都属于私网,应分配私网地址。为简化VPC网络地址管理,可在VSR上启动DHCP服务器功能,自动向VPC中的虚拟机分配IP地址、掩码、缺省网关、DNS地址等信息。
一般情况下,VSR至少配置两个虚拟网口,其中一个作为LAN口和VPC内部的虚拟机进行通信,分配私网地址;另一个作为WAN口和外部网络进行通信,由云服务商配置公网地址(或者是经过NAT设备转换后可以访问公网的地址)。
3. 网络互联
VSR作为VPC网关,负责为VPC提供安全可靠的网络互联。利用VSR的IPSec VPN功能,可以在VPC与企业总部、分支之间建立端到端的VPN隧道,实现企业用户安全快捷的访问公有云应用。同时,远程用户或出差员工也可以利用VSR的SSL VPN功能,安全的访问公有云应用。同时VSR可以启用NAT功能,将VPC内部虚拟机的私网地址转换为公网地址,实现VPC与Internet的互通。
4. 网络服务
对关键业务,可以在VSR上配置相应的QoS策略,保证高优先级的业务访问得到保证。另外,还可以利用VSR的策略路由等功能,实现和WAN优化、Web Cache等网络业务进行集成,节省带宽、提高响应速度,使得用户在访问企业公有云应用时有更好的业务体验。另外,VSR可以启用防火墙功能来保证VPC内外网之间的安全;可以启用负载均衡功能,将访问流量均匀的分发到不同的虚拟机上,实现VPC内部的业务均衡。
5. 可靠性
VSR提供了VRRP等可靠性功能,在使用VRRP功能时,在一个备份组中的VSR建议安装在不同的物理主机上,这样当物理主机故障时,在其它物理主机上的VSR能够继续为VPC提供网络服务。
通过在公有云的VPC中部署VSR,可以为企业和云服务商带来很大的价值。
1. VSR为企业带来的价值
将企业VPC网络作为企业网络的一部分进行管理,确保一致的网络配置、安全策略、管理策略、及IP地址规划等,实现统一的企业网络管理。
和企业分支一样,实施统一的流量控制、部署一致的网络业务(如QoS、防火墙、负载均衡、WAN优化等),提供一致的网络业务体验。
• 在企业总部、分支和企业VPC之间建立端到端的VPN连接,使得公有云应用访问更安全,同时端到端的访问避免了总部中转,减少云应用的响应时间,提高云应用的使用体验。
• 将企业公有云(VPC)和私有云(数据中心)实现二层互联,构建安全、统一、可扩展的混合云,实现云资源统一管理。
2. VSR为云服务商带来的价值
• 将MPLS网络延伸到企业VPC,为企业提供端到端可管理的云连接服务,提升运营能力。
• VPC网络由企业管理控制,简化租户管理,降低维护成本。
在企业加速将IT应用迁移到公有云、构建混合云的今天,VSR能够帮助云服务提供商为企业用户提供一个高安全易管理的公有云服务,使得企业能够把公有云网络纳入到整个企业网络中进行统一管理,一方面可以让企业总部和分支员工可以通过VPN安全、快捷的访问公有云应用,另一方面,也可以通过VSR的二层云互联技术来把企业私有云和公有云无缝连接起来,构建安全、统一、可扩展的混合云,实现云资源统一管理。
产品与解决方案
售前咨询
售后咨询
人工在线咨询
