各种规模和类型的企业和组织都处于几场网络革命的阵痛之中,而网络虚拟化是所有这些革命的核心。
勒索软件和其他恶意软件的日益流行使企业重新考虑网络安全,包括在数据中心的网络安全。这种增长有助于激发人们对零信任架构的兴趣。devops及其衍生后代(即netops、devsecops、secdevops和devnetsecops)的持续兴起,将基础设施即代码(iac)的理念带到了最前沿。
那么,这些举措如何适应网络虚拟化呢?
数据中心的虚拟网络并不新鲜
虚拟网络是一个经常被重新发现或重新创建的概念。从本质上说,虚拟网络系统使it团队能够在共享物理网络上覆盖多个逻辑网络。it团队可能会实施虚拟网络来隔离端点的子集,以出于安全原因或满足特定协议或应用程序的需求。
网络虚拟化技术至少可以追溯到上世纪80年代,包括以太网虚拟lan(vlan)和mpls。
数据中心虚拟网络的前进道路在于从人工管理的vlan到策略驱动的虚拟化的过渡。
典型的数据中心在虚拟网络中畅游。几十年来,vlan一直是数据中心网络设计的标准功能。服务器虚拟化也变得司空见惯,用于在主机服务器内和主机服务器之间创建新的虚拟化层。
采用sdn策略
软件定义网络(sdn)的理念是网络控制器和网络数据平台(实际移动数据包的部分)应该彼此分离,从而实现对分布式网络行为的集中控制。
sdn与简单地集中管理网络交换机配置不同,因为它假定数据平台设备的自主性是有限的,而不是协调管理。sdn的理念是,任何网络都可以支持大量的覆盖,并且应该能够灵活、动态地控制端口如何映射到虚拟网络,以及通过虚拟网络提供哪些服务。
sdn在最初被认为是一种开源策略,用于企业在数据中心和lan上获得更多对网络的控制。其目标是通过使网络架构独立于任何一个供应商的架构和功能集,在网络供应商的严密控制下获得对网络架构的控制。
开放和跨平台战略催生了无数的实现——openvswitch、opendaylight、开放网络操作系统等,并取得了足够的进展,迫使供应商将基本的控制平台-数据平台模型投入通用。这些策略也让初创公司接受了这种模式。
然而,企业首先采用sdn的地方不是数据中心,而是wan。自从2015年以来,软件定义的wan已将sdn概念注入企业wan战略。
以下探索数据中心内的三个网络虚拟化计划。
(1)基础设施即代码(iac):更多的虚拟化方式和手段
随着docker等软件容器的普及,覆盖概念现在已经在基础设施中深入了一层,为容器间通信创建了另一层网络。devops的兴起使基础设施即代码(iac)的想法变得突出。
基础设施即代码(iac)的想法是,部署软件以控制容器和虚拟机之间的虚拟网络团队应该像管理环境中的其他代码组件一样管理它们。这带来了一层与它们所服务的容器处于相同时间尺度的虚拟网络。它还产生了用于管理这种虚拟化的新工具和概念,例如服务网格。
(2)零信任:虚拟化的最终状态
在真正的零信任环境中,只有经过批准的通信才会在网络上进行。任何给定的应用程序、用户或端点只能与预先获得许可的其他应用程序、用户和端点通信。因此,除非环境被告知允许特定对话,否则对话会被阻止。
在网络层面,零信任可以转化为称为软件定义边界(sdp)的概念。使用软件定义边界(sdp),如果端点a向端点b发送数据包,但没有告知b接受来自a的数据包,则b忽略或丢弃这些数据包。对于节点a,节点b在网络上不可见。如果允许b和a进行通信,它们将通过加密隧道进行。在这种情况下,每次通信都通过一个点对点虚拟网络(一个双节点vlan)进行。
(3)推进数据中心发展的虚拟网络
数据中心虚拟网络的前进道路在于从人工管理的vlan到策略驱动的虚拟化的过渡。这种转变将通过跨平台的sdn控制器和自动化工具实现(尽管可能来自供应商而非开源)服务网格和基础设施即代码(iac)。零信任的需求、向容器和微服务的转变以及对网络工程师的日益严格的时间限制,将使这种转变成为必要。
人生就是博尊龙凯时的版权声明:本文为企业网d1net编译,转载需注明出处为:企业网d1net,如果不注明出处,企业网d1net将保留追究其法律责任的权利。