數據中心虛擬化是指采用虛擬化技術構建基礎設施池，主要包括計算、存儲、網絡三種資源。虛擬化后的數據中心不再象傳統(tǒng)數據中心那樣割裂的看待某臺設備或某條鏈路，而是將整個數據中心的計算、存儲、網絡等基礎設施當作可按需分割的資源集中調配。

數據中心虛擬化，從主機等計算資源的角度看，包含多合一與一分多兩個方向（如圖1所示），都提供了計算資源被按需調配的手段。由于虛擬化的數據中心是計算、存儲、網絡三種資源深度融合而成，因此主機虛擬化技術能夠順利實現必須由合適的網絡安全策略與之匹配，否則一切都無從談起。前者出現較早，主要包括集群計算等技術，以提升計算性能為主；而后者主要是近幾年出現的在一臺物理X86系統(tǒng)上的多操作系統(tǒng)同時并存的技術，以縮短業(yè)務部署時間，提高資源使用效率為主要目的。

圖1 計算虛擬化的兩種表現形式

虛擬化后數據中心面臨的安全問題

傳統(tǒng)數據中心網絡安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)數據中心網絡安全都只關注業(yè)務流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數據中心的網絡安全模型則需要由二維平面轉變?yōu)槿S空間，即增加網絡安全策略（如圖2所示），網絡安全策略能夠滿足主機順暢的加入、離開集群，或者是動態(tài)遷移到其它物理服務器，并且實現海量用戶、多業(yè)務的隔離……

圖2 數據中心虛擬化安全模型

虛擬化數據中心對網絡安全提出三點需求：

1、在保證不同用戶或不同業(yè)務之間流量訪問控制，還要支持多租戶能力；

2、網絡安全策略可支撐計算集群中成員靈活的加入、離開或者遷移；

3、網絡安全策略可跟隨虛擬機自動遷移。

在上述三個需求中，第一個需求是對現有網絡安全策略的增強。后兩個需求則需要一些新的規(guī)劃準則或技術來實現，這給當前網絡安全策略帶來了挑戰(zhàn)。

應對之道

VLAN擴展

虛擬化數據中心作為集中資源對外服務，面對的是成倍增長的用戶，承載的服務是海量的，尤其是面向公眾用戶的運營云平臺。數據中心管理人員不但要考慮云主機（虛擬機或者物理機）的安全，還需要考慮在云平臺中大量用戶、不同業(yè)務之間的安全識別與隔離。

要實現海量用戶的識別與安全隔離，需要為虛擬化數據中心的每一個租戶提供一個唯一的標識。目前看開，VLAN是好的選擇，但由于VLAN數最多只能達到4096，無法滿足虛擬化數據中心業(yè)務開展，因此需要對VLAN進行擴展。如圖3所示，VLAN擴展的有以下兩個實現途徑。

圖3 VLAN擴展兩種思路

QinQ：采用VLAN嵌套的方式將VLAN的數量擴展到160萬個。內層標簽稱為用戶VLAN即C-VLAN，外層標簽成為運營VLAN，即S-VLAN，例如100個C-VLAN不同的同一類用戶可以封裝同一個相同S-VLAN，極大的擴展VLAN的數量。該方法配置簡單，易維護。但其缺點是接入的用戶規(guī)模較小。

VPLS：用戶VLAN封裝在不同VPLAS通道內，不同的用戶封裝不同的VPLS通道即可實現海量用戶之間良好的安全控制。其優(yōu)點是接入規(guī)模大，可伸縮性強，易于跨地域數據中心之間平滑擴展。不足之處是VPLS會導致數據中心內配置較復雜，使數據中心之間擴展復雜度變大。

在實際選擇時，可以根據數據中心對外服務的業(yè)務特點，對照上述兩種方式的優(yōu)缺點，選擇合適的實現方式。

隔離手段與網關選擇

虛擬化數據中心關注的重點是實現整體資源的靈活調配，因此在考慮網絡安全控制時必須考慮網絡安全能支撐計算資源調配的靈活性，只有將二者結合才能實現虛擬化數據中心網絡安全的最佳配置?？紤]虛擬化數據中心的安全部署時，建議按照先關注靈活性、再關注安全控制的思路進行。

無論是集群計算還是虛擬機遷移都涉及到主機調配，當主機資源在同一個二層網絡內被調配時，多數應用才能保持連續(xù)性，因此為滿足計算資源的靈活調配，應該構建二層網絡，否則一旦跨網段將導致應用中斷或長時間的業(yè)務影響?？梢?，網絡安全控制不能阻斷二層網絡內主機的靈活調配。

基于上述思想，網絡安全控制點盡量上移，并且服務器網關盡量不設在防火墻上。因為防火墻屬于強控制設施，網關一旦在防火墻上靈活性將大大的受到限制。

如圖4所示，以數據中心主流的B/S服務模式為例，網絡安全策略可按如下規(guī)劃：

圖4 主機網關地址落點選擇

將二層網絡向上擴大，創(chuàng)造一個適合主機調配的二層網絡環(huán)境。

選擇網關IP地址的落點與主機分組隔離方案。

圖4左圖方案中不設置防火墻，主機網關地址落在匯聚交換機上。承載業(yè)務的WEB、APP、DB主機劃分為同一個VLAN（即VLAN1）內。針對VLAN部署安全策略，忽略交換機端口差異性， WEB、APP、DB之間互訪不受限制。承載WEB、APP、DB的主機可以在VLAN1內被靈活調配。該方案極大的滿足了虛擬化數據中心主機調配的靈活性，但完全忽視了網絡安全控制，因此適合封閉的內部數據中心并且追求性能與高效業(yè)務部署，如互聯網企業(yè)的大型虛擬化數據中心。

圖4右圖為得到普遍應用的虛擬化數據中心網絡安全方案。承載業(yè)務的WEB、APP、DB主機劃分為三個VLAN內，屬于相同VLAN內的主機可在對應的二層網絡內靈活調配。以下重點討論主機網關設在不同位置時如何實現WEB、APP、DB之間互訪控制。

主機網關設在防火墻上

服務器群的網關設在防火墻上，防火墻通過VRRP提供冗余，冗余備份組通過靜態(tài)路由下一跳指向IRF2交換機三層接口，防火墻進行虛擬化，分割成多個防火墻實例提供網絡安全服務，對每塊防火墻劃分三個邏輯實例，每一對虛擬防火墻工作在主備方式；可工作在雙主用模式，防火墻實例分布在兩臺上面，從而達到負載分擔和冗余備份的能力。此時，三組服務器的網關地址各不相同，各組服務器內的虛擬機只能在本VLAN內遷移，如WEB、APP、DB三種服務器分別對應在VLAN 2、VLAN3、VLAN4內。防火墻做服務器網關，L2分區(qū)之間互訪必須經由防火墻對互訪流量做狀態(tài)檢測，并WEB、APP、DB之間完全由防火墻實現訪問控制，屬于強隔離措施。

此方式適合業(yè)務相對穩(wěn)定，流量模型固定的業(yè)務；并且業(yè)務之間隔離度高的環(huán)境。如銀行的核心信貸、資金管理系統(tǒng)，企業(yè)的ERP系統(tǒng)等。

主機網關設在匯聚交換機上

采用IRF2后匯聚交換機仍然是L2與L3的分界點，面向服務器一側工作在三層模式，面向網絡一側工作在二層模式。匯聚交換機作為WEB/AP/DB服務器的網關，WEB/AP/DB服務器二層分區(qū)之間互訪經由匯聚交換機ACL做訪問控制；防火墻作為邊界安全控制設備。

將防火墻和交換機劃分VRF（虛擬路由轉發(fā)表），同一業(yè)務在同一VRF內，WEB/APP/DB則分布到同一VRF的不同二層分區(qū)內。同一業(yè)務的WEB/APP/DB通過交換機三層轉發(fā)訪問，并以ACL進行訪問控制；不同業(yè)務之間的訪問，跨VRF通過防火墻控制。另外，對于某個三層接口（網段），當需要訪問另一個網段并且需要經過防火墻時，就配置一條以防火墻為下一跳的“弱策略路由”，當防火墻失效，則該策略路由也失效。在緊急情況，旁路防火墻，即可保證網絡的聯通狀態(tài)。

此方式適合虛擬化環(huán)境下虛擬機遷移的需求，對業(yè)務調整頻繁的業(yè)務是一種很好的應對策略，同時，由于不同應用之間的隔離采用交換機ACL實現，因此適合業(yè)務安全隔離要求一般，主機調配靈活性要求稍高的環(huán)境。如大企業(yè)的業(yè)務開發(fā)中心等。

安全策略動態(tài)遷移

虛擬化數據中新帶來的大挑戰(zhàn)就是網絡安全策略要跟隨虛擬機自動遷移。在創(chuàng)建虛擬機或虛擬機遷移時，虛擬機主機需要能夠正常運行，除了在服務器上的資源合理調度，其網絡連接的合理調度也是必須的。

圖5 網絡安全配置自動遷移

如圖5所示，虛擬機1從pSrv1上遷移到pSrv2上，其網絡連接從原來的由pSRV1上vSwitchA的某個端口組接入到Edge Switch1，變成由pSRV2上vSwitchB的某個端口組接入到Edge Switch2.若遷移后對應的Edge Switch的網絡安全配置不合適，會造成虛擬機1遷移后不能正常使用。尤其是原先對虛擬機1的訪問設置了安全隔離ACL，以屏蔽非法訪問保障虛擬機1上業(yè)務運行服務質量。因此在發(fā)生虛擬機創(chuàng)建或遷移時，需要同步調整相關的網絡安全配置。并且，為了保證虛擬機的業(yè)務連續(xù)性，除了虛擬化軟件能保證虛擬機在服務器上的快速遷移，相應的網絡連接配置遷移也需要實時完成。即網絡具有“隨需而動”的自動化能力。

但在VEB vSwtich模式下，通常會出現多個虛擬機的配置都重復下發(fā)到一個物理接口上，很難做到針對每一個虛擬機的精細化網絡安全配置管理。因此只有先精細化區(qū)分流量（比如源IP、源MAC、VLAN等），再進行針對性的網絡安全配置遷移與本地配置自動化去部署。目前業(yè)界最優(yōu)的解決方法就是在主機鄰接物理交換機采用vPort的概念。一個虛擬機幫定一個或幾個特定的vPort，虛擬機遷移時，只需在對應的鄰接物理交換機上將虛擬機對應的網絡配置Profile綁定到vPort上即可，而不會對其它虛擬機的vPort產生影響。

目前正在形成標準的VDP方案對網絡安全配置自動遷移提供了良好的支撐能力。

鄰接交換機使用VDP協(xié)議發(fā)現虛擬機實例，并向網管系統(tǒng)獲取對應的網絡安全配置Profile并部署到相應的vPort接口上。同時，虛擬機遷移前的接入位置物理交換機也會通過VDP解關聯通告，去部署相應的profile對應的本地配置。加入VDP后，完全不依賴網管系統(tǒng)對虛擬機接入物理網絡的定位能力，提高網絡配置遷移的準確性和實時性。

虛擬化數據中心是當前與未來的發(fā)展方向，而網絡安全作為基礎的承載保障平臺面臨一些新的挑戰(zhàn)，一方面我們對現有技術進行優(yōu)化改進以適應這種挑戰(zhàn)，另一方面新技術與方案也在不斷的出現來應對挑戰(zhàn)。只有這樣才能多快好省的構造虛擬化數據中心的網絡安全。