基于分布式服務(wù)對(duì)網(wǎng)絡(luò)改造問題的探討

◆夏邱慧子

基于分布式服務(wù)對(duì)網(wǎng)絡(luò)改造問題的探討

◆夏邱慧子

（中國(guó)民用航空西南地區(qū)空中交通管理局通信網(wǎng)絡(luò)中心 四川 610200）

筆者于工作中發(fā)現(xiàn)，NSX Edge網(wǎng)關(guān)自帶的路由功能在報(bào)文傳輸時(shí)會(huì)發(fā)生繞轉(zhuǎn)，防火墻功能也無法滿足系統(tǒng)安全性的需求。筆者利用數(shù)據(jù)層提供的分布式服務(wù)改進(jìn)當(dāng)前的網(wǎng)絡(luò)結(jié)構(gòu)，通過部署路由器和分布式防火墻分別替代NSX Edge網(wǎng)關(guān)的路由和防火墻功能。通過對(duì)比分析，分布式服務(wù)確實(shí)能夠優(yōu)化傳輸路徑、提高系統(tǒng)安全性。

分布式服務(wù)；NSX Edge網(wǎng)關(guān)；網(wǎng)絡(luò)安全

筆者所在的空管行業(yè)中，利用網(wǎng)絡(luò)虛擬化技術(shù)提高系統(tǒng)服務(wù)器的資源利用率[1]，通過部署NSX Edge網(wǎng)關(guān)來管理集群中的虛擬機(jī)，并控制不同系統(tǒng)間的訪問和流量交互。但NSX Edge網(wǎng)關(guān)的路由和防火墻功能在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中具有局限性，例如：NSX Edge網(wǎng)關(guān)處理容量有限、數(shù)據(jù)包轉(zhuǎn)發(fā)路徑繞轉(zhuǎn)、系統(tǒng)的安全性不足等問題。

為滿足空管業(yè)務(wù)飛速發(fā)展的需求，筆者認(rèn)為可以通過部署分布式服務(wù)來彌補(bǔ)NSX Edge網(wǎng)關(guān)的短板。與NSX Edge網(wǎng)關(guān)的路由功能相比，分布式路由器可以在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)創(chuàng)建最短的傳輸路徑；而分布式防火墻在擴(kuò)大處理容量、提高系統(tǒng)安全性方面，相較NSX Edge網(wǎng)關(guān)自帶的防火墻功能具有更好的效果。

1 NSX Edge網(wǎng)關(guān)在生產(chǎn)網(wǎng)絡(luò)中的應(yīng)用

相關(guān)概念

（1）網(wǎng)絡(luò)虛擬化

網(wǎng)絡(luò)虛擬化技術(shù)就是在一個(gè)物理網(wǎng)絡(luò)上模擬出多個(gè)邏輯網(wǎng)絡(luò)來滿足不同業(yè)務(wù)的需求，它的邏輯架構(gòu)主要由四層組成：數(shù)據(jù)層、控制層、管理層和消費(fèi)層[2]。

（2）NSX Edge網(wǎng)關(guān)

NSX Edge網(wǎng)關(guān)通常以虛擬機(jī)的形式存在，它的作用是連接孤立的網(wǎng)絡(luò)，并在不同網(wǎng)絡(luò)間分享上連的網(wǎng)絡(luò)接口，可以實(shí)現(xiàn)二層橋接、三層路由、防火墻等功能[3]。

（3）分布式路由器

分布式路由器通常以虛擬機(jī)的形式存在，作為分布式路由的控制單元，主要處理從虛擬機(jī)到虛擬機(jī)的三層流量。

（4）分布式防火墻

分布式防火墻通常扮演邊界防火墻的角色，阻止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)，主要用來處理東西向流量。與傳統(tǒng)防火墻相比，它還可以擴(kuò)充東西向防火墻的容量，提供更加精細(xì)顆粒度的訪問控制。

1.1 NSX Edge網(wǎng)關(guān)在生產(chǎn)業(yè)務(wù)中的應(yīng)用

分布式服務(wù)和NSX Edge網(wǎng)關(guān)服務(wù)主要運(yùn)行于數(shù)據(jù)層，通常分布式服務(wù)主要用于控制虛擬機(jī)之間東西向流量的交互，而NSX Edge網(wǎng)關(guān)服務(wù)作為物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)的接口，用于處理南北向流量的交互。

在實(shí)際生產(chǎn)業(yè)務(wù)中，利用NSX Edge網(wǎng)關(guān)的路由功能和防火墻功能管理各系統(tǒng)集群下的虛擬機(jī)及各系統(tǒng)之間的流量交互。以雙流機(jī)場(chǎng)為例，圖1所示為雙流機(jī)場(chǎng)系統(tǒng)網(wǎng)絡(luò)連接拓?fù)鋱D。A系統(tǒng)服務(wù)器和B系統(tǒng)服務(wù)器各自管理服務(wù)器上的虛擬機(jī)，而系統(tǒng)服務(wù)器上連服務(wù)器匯聚交換機(jī)和核心交換機(jī)，并通過服務(wù)器匯聚交換機(jī)互聯(lián)、核心交換機(jī)互聯(lián)實(shí)現(xiàn)冗余備份，數(shù)據(jù)包通過核心交換機(jī)到達(dá)系統(tǒng)外部防火墻，經(jīng)外部防火墻策略過濾后最終與外部用戶實(shí)現(xiàn)交互。

對(duì)于A系統(tǒng)和B系統(tǒng)之間的流量交互，主要是通過NSX Edge網(wǎng)關(guān)來實(shí)現(xiàn)的，A系統(tǒng)虛擬機(jī)將數(shù)據(jù)發(fā)往A系統(tǒng)NSX Edge網(wǎng)關(guān)，經(jīng)過NSX Edge網(wǎng)關(guān)的路由選擇和防火墻策略控制到達(dá)B系統(tǒng)NSX Edge網(wǎng)關(guān)，最后發(fā)往B系統(tǒng)虛擬機(jī)。從服務(wù)器到服務(wù)器的訪問，都是數(shù)據(jù)中心內(nèi)部的東西向流量，這與部署在數(shù)據(jù)中心邊界的防火墻設(shè)備無關(guān)，需要通過NSX Edge網(wǎng)關(guān)配置防火墻策略來實(shí)現(xiàn)控制[4]。

在實(shí)際運(yùn)用中，為了實(shí)現(xiàn)彈性和高可用性，通過網(wǎng)絡(luò)虛擬化平臺(tái)將NSX Edge網(wǎng)關(guān)配置為雙臺(tái)，即Active/Standby（A/S）冗余部署模式，如圖1中紅色虛線方框內(nèi)所示。當(dāng)其中一臺(tái)NSX Edge網(wǎng)關(guān)處于Active狀態(tài)時(shí)，作為主用Edge網(wǎng)關(guān)承載網(wǎng)絡(luò)中的流量；而另一臺(tái)NSX Edge網(wǎng)關(guān)則處于Standby狀態(tài)，作為備用Edge網(wǎng)關(guān)，不承載網(wǎng)絡(luò)中的流量和服務(wù)，但在主用Edge網(wǎng)關(guān)失效后接管其工作。對(duì)于信息同步，NSX Manager會(huì)將主用Edge網(wǎng)關(guān)的配置復(fù)制到備用Edge網(wǎng)關(guān)，并在生命周期內(nèi)一直管理設(shè)備的配置和策略同步。而對(duì)于心跳和數(shù)據(jù)的同步，主備NSX Edge網(wǎng)關(guān)可以通過內(nèi)部高可用性（HA）端口組來實(shí)現(xiàn)[5]。

圖1 成都雙流機(jī)場(chǎng)系統(tǒng)網(wǎng)絡(luò)連接拓?fù)鋱D

2 NSX Edge網(wǎng)關(guān)在生產(chǎn)業(yè)務(wù)中的局限性

目前系統(tǒng)服務(wù)器管理的虛擬機(jī)數(shù)目并不太多，有特殊需求的外部用戶也在少數(shù)，因此現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的確能滿足當(dāng)前生產(chǎn)業(yè)務(wù)的需求。但隨著空管業(yè)務(wù)的快速發(fā)展，各系統(tǒng)集群下所管理的虛擬機(jī)數(shù)目也會(huì)隨之增多，NSX Edge網(wǎng)關(guān)功能的局限性便會(huì)暴露出來。

2.1 數(shù)據(jù)包傳輸路徑可能不是最優(yōu)路徑

NSX Edge網(wǎng)關(guān)本身就是一臺(tái)多功能虛擬機(jī)，在當(dāng)前網(wǎng)絡(luò)中利用路由功能既可以處理南北向流量，也可以處理東西向流量。NSX Edge網(wǎng)關(guān)在網(wǎng)絡(luò)層提供邏輯路由功能時(shí)所使用的模式為集中路由，允許數(shù)據(jù)中心內(nèi)部處于不同網(wǎng)段的虛擬機(jī)之間進(jìn)行通信。

如圖2所示，當(dāng)兩個(gè)不同網(wǎng)段的虛擬機(jī)發(fā)生流量交互時(shí)，虛擬機(jī)1先將數(shù)據(jù)包發(fā)送給Esxi主機(jī)1，Esxi主機(jī)1再將數(shù)據(jù)包發(fā)送給NSX Edge網(wǎng)關(guān)所在的Esxi主機(jī)3，數(shù)據(jù)包經(jīng)NSX Edge網(wǎng)關(guān)進(jìn)行路由處理后再發(fā)還給目的虛擬機(jī)所在的Esxi主機(jī)，傳輸過程如圖2中紅色路徑所示。

若目的虛擬機(jī)與發(fā)送數(shù)據(jù)包的虛擬機(jī)位于相同的Esxi主機(jī)上，則由Esxi主機(jī)1發(fā)送給目的虛擬機(jī)2，傳輸過程如圖2中藍(lán)色路徑所示；若目的虛擬機(jī)與發(fā)送數(shù)據(jù)包的虛擬機(jī)位于不同的Esxi主機(jī)上，則由Esxi主機(jī)2發(fā)送給目的虛擬機(jī)2，傳輸過程如圖2中黃色路徑所示。

圖2 NSX Edge網(wǎng)關(guān)集中路由傳輸數(shù)據(jù)包路徑圖

若不同網(wǎng)段的虛擬機(jī)相互訪問時(shí)，數(shù)據(jù)包在轉(zhuǎn)發(fā)過程中可以直接經(jīng)路由選擇到達(dá)目標(biāo)虛擬機(jī)，則此路徑將更為簡(jiǎn)捷。由此可以看出當(dāng)NSX Edge網(wǎng)關(guān)提供集中路由功能時(shí)，數(shù)據(jù)包在不同網(wǎng)段虛擬機(jī)之間轉(zhuǎn)發(fā)所經(jīng)過的路徑可能不是最優(yōu)路徑。

2.2 NSX Edge網(wǎng)關(guān)自帶防火墻安全性不足

空管業(yè)務(wù)事關(guān)航班的飛行安全，各生產(chǎn)系統(tǒng)的正常運(yùn)行都至關(guān)重要。但在實(shí)際生產(chǎn)業(yè)務(wù)中，各系統(tǒng)的重要等級(jí)和所需的安全級(jí)別卻不盡相同，不同系統(tǒng)故障所造成的影響也略有不同。

當(dāng)NSX Edge網(wǎng)關(guān)下掛系統(tǒng)虛擬機(jī)增加時(shí)，不同系統(tǒng)可能會(huì)連接到相同的邏輯網(wǎng)絡(luò)，例如A系統(tǒng)和B系統(tǒng)所承載的空管業(yè)務(wù)重要等級(jí)不同，但當(dāng)它們連接到相同的邏輯網(wǎng)絡(luò)時(shí)，A系統(tǒng)和B系統(tǒng)就會(huì)獲得相同的安全等級(jí)，造成系統(tǒng)的安全級(jí)別與自身實(shí)際需求不相匹配的情況[6]。

且NSX Edge網(wǎng)關(guān)自帶防火墻功能有限，無法為同一系統(tǒng)位于不同層的虛擬機(jī)之間提供更加精細(xì)顆粒度的訪問控制。

3 利用分布式服務(wù)彌補(bǔ)NSX Edge網(wǎng)關(guān)的短板

在第2章節(jié)中詳細(xì)敘述了NSX Edge網(wǎng)關(guān)在數(shù)據(jù)傳輸和系統(tǒng)安全性方面的短板。通過研究分布式服務(wù)，筆者提出利用分布式服務(wù)替代NSX Edge網(wǎng)關(guān)的路由和防火墻功能，以此彌補(bǔ)NSX Edge網(wǎng)關(guān)缺陷。

如圖3所示為分布式服務(wù)網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D。NSX Edge網(wǎng)關(guān)僅作為南北向流量的出口，與外部用戶進(jìn)行流量交互。路由功能由分布式路由器實(shí)現(xiàn)，在分布式防火墻中，不再根據(jù)虛擬機(jī)所屬系統(tǒng)來劃分邏輯結(jié)構(gòu)，而是分別將A系統(tǒng)和B系統(tǒng)中相同層級(jí)的虛擬機(jī)連接到同一個(gè)邏輯交換機(jī)上，如圖4中黑色虛線方框所示，將web層、App層、數(shù)據(jù)庫(kù)層（DB層）分別連接一臺(tái)邏輯交換機(jī)[7]。

圖3 所示為分布式服務(wù)網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D

3.1 利用分布式路由器選擇最優(yōu)路徑

如圖3中所示，通過部署分布式路由器來替代NSX Edge網(wǎng)關(guān)的路由功能，在分布式路由中數(shù)據(jù)包傳輸過程如圖4所示：

（1）分布式路由器上定義了所有網(wǎng)段IP地址的網(wǎng)關(guān)，當(dāng)Esxi主機(jī)1上的虛擬機(jī)1發(fā)送的數(shù)據(jù)包到達(dá)默認(rèn)網(wǎng)關(guān)后，默認(rèn)網(wǎng)關(guān)會(huì)根據(jù)目的虛擬機(jī)的地址確認(rèn)目的網(wǎng)段和目的MAC地址。

（2）若目的虛擬機(jī)和虛擬機(jī)1位于相同主機(jī)上（如虛擬機(jī)2），默認(rèn)網(wǎng)關(guān)就會(huì)直接將數(shù)據(jù)包發(fā)送給虛擬機(jī)2，整個(gè)傳輸過程如圖4中藍(lán)色路徑所示。

（3）若目的虛擬機(jī)和虛擬機(jī)1位于不同主機(jī)上，分布式路由器會(huì)根據(jù)查詢的目的MAC地址將數(shù)據(jù)包發(fā)往目的虛擬機(jī)所在的Esxi主機(jī)，再由Esxi主機(jī)發(fā)給目的虛擬機(jī)，整個(gè)傳輸過程如圖4中黃色路徑所示。

圖4 分布式路由傳輸數(shù)據(jù)包路徑圖

因此無論是同一主機(jī)內(nèi)的通信，還是不同主機(jī)內(nèi)的三層連接，分布式路由器都可以創(chuàng)建一條直連的路徑在主機(jī)中實(shí)現(xiàn)流量交互，因此分布式路由可以大大減小數(shù)據(jù)包在轉(zhuǎn)發(fā)過程中的時(shí)延，實(shí)現(xiàn)數(shù)據(jù)的快速傳輸。

3.2 利用分布式防火墻提升系統(tǒng)安全性

實(shí)現(xiàn)業(yè)務(wù)與系統(tǒng)自身重要等級(jí)相匹配的安全防護(hù)是保障飛行安全的重要措施，可以利用基于微分段技術(shù)的分布式防火墻來提高系統(tǒng)的安全性[8]。分布式防火墻策略是面向整個(gè)數(shù)據(jù)中心的，因此在實(shí)際運(yùn)維過程中只需要集中化統(tǒng)一管理一臺(tái)分布式防火墻，減輕了一線工作人員的運(yùn)維壓力。

分布式防火墻策略具體規(guī)劃如下：

（1）在同一層虛擬機(jī)內(nèi)部，根據(jù)系統(tǒng)劃分安全組，將角色類似的一組虛擬機(jī)劃分到同一組織下，如圖3中綠色實(shí)線所示。

（2）根據(jù)實(shí)際需求和各層級(jí)結(jié)構(gòu)來添加安全策略，例如同一安全組內(nèi)的虛擬機(jī)可以互ping，不同安全組內(nèi)的虛擬機(jī)阻斷交互，如圖3中黃色實(shí)線所示。

（3）若想實(shí)現(xiàn)更加精細(xì)顆粒度的流量控制和安全保護(hù)，可以部署不同層虛擬機(jī)之間的流量類型，例如從Web層到App的訪問，只通過SSH的流量；從App層到數(shù)據(jù)庫(kù)層的訪問，只通過Mysql的流量，如圖3中紅色實(shí)線所示。

表1 分布式防火墻策略表

（注：Web-A表示W(wǎng)eb層的A系統(tǒng)虛擬機(jī)，其余命名方式類似）

完整的策略規(guī)劃如表1所示，這樣當(dāng)不同系統(tǒng)的工作負(fù)載連接到不同的邏輯網(wǎng)絡(luò)上時(shí)，可以獲得對(duì)應(yīng)的安全級(jí)別。而在同一邏輯網(wǎng)絡(luò)中，不同系統(tǒng)虛擬機(jī)之間的東西向流量，也可以得到保護(hù)。

同時(shí)，分布式防火墻是分布在整個(gè)網(wǎng)絡(luò)中的，因此它具有無限制的擴(kuò)展能力，隨著網(wǎng)絡(luò)結(jié)構(gòu)的擴(kuò)展，它的處理能力也會(huì)在網(wǎng)絡(luò)中進(jìn)一步分布，可以維持高效的安全防護(hù)性能。

3.3 結(jié)論

從3.1章節(jié)和3.2章節(jié)的對(duì)比分析可以看出，在優(yōu)化傳輸路徑、提高系統(tǒng)安全性方面，分布式服務(wù)的確比NSX Edge網(wǎng)關(guān)自帶的路由和防火墻功能具有更好的效果。

4 結(jié)束語

利用分布式服務(wù)替代NSX Edge網(wǎng)關(guān)的路由和防火墻功能，確實(shí)能夠優(yōu)化數(shù)據(jù)傳輸路徑，提高傳輸效率，提升系統(tǒng)安全性。后續(xù)筆者將繼續(xù)研究NSX Edge網(wǎng)關(guān)的其他功能，例如：DHCP、DNS、NAT、負(fù)載均衡器等，用來優(yōu)化生產(chǎn)網(wǎng)絡(luò)，維持生產(chǎn)系統(tǒng)高性能、高效率的運(yùn)轉(zhuǎn)。

[1]蔡建軒，李梅.基于VMwarev Sphere的集群虛擬機(jī)安全問題研究[J].電腦知識(shí)與技術(shù)，2019.

[2]鐘敦遠(yuǎn).關(guān)于機(jī)場(chǎng)數(shù)據(jù)中心部署NSX虛擬化網(wǎng)絡(luò)的探討[J].現(xiàn)代信息科技，2020.

[3]茍潔.基于VMware vSphere技術(shù)的虛擬云平臺(tái)的研究與設(shè)計(jì)[D].成都理工大學(xué)，2016.

[4]范恂毅，張曉和.新一代SDN VMware NSX網(wǎng)絡(luò)原理與實(shí)踐[M].人民郵電出版社，2016.

[5]侯星帥.虛擬化技術(shù)在數(shù)據(jù)中心服務(wù)器資源整合中的應(yīng)用研究[D].長(zhǎng)安大學(xué)，2013.

[6]宮月，李超，吳薇.虛擬化安全技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2016.

[7]陳春玲，雷世榮，陳丹偉.分布式防火墻的原理、實(shí)現(xiàn)及應(yīng)用[J].南京郵電學(xué)院學(xué)報(bào)，2002.

[8]王秉琰.分布式防火墻策略的分析與設(shè)計(jì)[D].南京理工大學(xué)，2006.