虚拟化环境中如何实现以业务为中心的网络隔离?Everoute 推出虚拟专有云网络(VPC)功能

目前,不少企业都利用云计算和虚拟化技术提升 IT 系统灵活性、敏捷性和成本效益。然而,云环境的“多租户”特性也为业务安全带来了新的挑战,如何保障不同业务主体或租户之间的数据安全和网络隔离,成为企业关注的焦点。

作为 SmartX 软件定义的网络与安全产品,Everoute 3.0.0 版本中引入了虚拟专有云网络(VPC)功能,为企业云网络提供更细致的安全隔离能力,搭配原有的分布式防火墙、负载均衡、网络流量可视化、容器网络等功能特性,为用户提供与超融合一体化管理的网络和安全解决方案。

下载《Everoute 虚拟专有云网络技术白皮书》,深入了解 VPC 技术架构与功能特性。

为什么企业云化数据中心需要 VPC

不少企业都基于虚拟化/超融合架构构建云化数据中心,提升资源利用率和架构灵活性。在基于虚拟交换机网络中,用户可以通过 VLAN 实现二层网络隔离——VLAN 将二层网络在逻辑上划分为多个不同的虚拟局域网,不同的服务配置不同的 VLAN ID,从而减少业务间的互相影响、提升网络安全性。不过,基于 VLAN 的虚拟交换机本质上依旧属于底层网络(Underlay),在隔离性、灵活性和高可用支持等方面,依旧存在一些弊端:

  • 难以实现业务主体间的完全隔离:虽然可以使用不同的 VLAN ID 进行二层网络的分隔,但三层网络可能还是互通的,难以实现业务主体间的完全分隔。而且,如果两个虚拟机配置了同一个 VLAN ID,虚拟机网络间就是二层互通的,难以实现隔离。
  • 难以灵活实现网络配置和更改:虚拟交换机在本质上依旧无法实现与物理网络的完全解耦,再加上 VLAN 自身技术限制,为网络的运维管理带来一些挑战:◇ VLAN 的设置存在数量限制(上限为 4094),为了避免使用冲突,需要网络管理员进行严格规划和管理,难以灵活、高效地进行网络配置。◇ 基于虚拟交换机的网络拓扑和功能与硬件网络设备紧密关联,如果需要修改网络配置,可能需要替换硬件设备或升级功能许可,不能充分发挥虚拟化环境的敏捷优势。
  • 对容灾场景的支持能力欠佳:由高可用机制或容灾机制在不同站点恢复的虚拟机,可能由于不同的硬件网络配置而无法正常工作,需要管理员变更虚拟机网络配置或物理网络配置,导致 RTO 被不确定地延长,损害了业务连续性。

为了解决这些问题,企业用户需要在 Underlay 网络之上构建覆盖网络(Overlay),实现与底层物理网络之间的解耦,并为虚拟机提供安全隔离的网络空间。

Everoute 虚拟专有云网络(VPC)

Everoute 虚拟专有云网络(VPC)是 SmartX 的虚拟化网络产品,基于 GENEVE 协议(增强版 VXLAN 协议)的覆盖虚拟化网络技术,实现了虚拟专有云网络与底层物理网络之间的解耦,可以为虚拟机提供安全隔离的网络空间,并通过虚拟化网络功能实现虚拟网络内部和外部的安全互联互通,使用户可以更加快速灵活地在多个数据中心部署统一的企业云网络。

功能特性

自定义的逻辑隔离空间

支持自定义构建多个逻辑隔离的 VPC。用户可以在其中创建专属 VPC 资源、管理自己的子网结构、按需分配 IP 地址、以及通过网关与安全服务等功能实现对流量的自主控制。

丰富的网关功能

支持配置多种网关功能,使 VPC 内的虚拟机能够灵活与外部进行安全互联,满足各类业务主体的网络通信需要。

开放的云网协作模式

通过开放的 API 与各种云平台无缝对接,为企业提供自动化和灵活的网络配置选项,以更好地支持敏态云应用。

产品优势

  • 广泛硬件兼容:用户可以在各种标准服务器和网络硬件基础上构建跨集群、跨数据中心的虚拟化网络,不同集群可使用不同架构的 CPU。
  • 快速网络就绪:无需从零规划硬件网络设备,快速创建多样的虚拟网络拓扑及网络服务,加快网络就绪速度,更加符合应用对敏捷性的要求。网络运维人员只需维护 Overlay 与 Underlay 间的通信能力,VPC 内的网络资源及配置变更均无需涉及硬件设备或物理网络的改动,极大地降低了网络运维复杂性。
  • 跨站点高可用:虚拟机可以被复制、迁移到其他数据中心或站点运行,在灾备场景下实现更小的 RTO。跨集群的虚拟机迁移无需指定任何网络映射,能够在保持 IP 和路由等网络配置不变的情况下快速完成虚拟机位置的变更。
  • 云网统一管理:将集群关联至虚拟专有云网络功能,即可令集群上的虚拟机使用 VPC 网卡,并享受到 VPC 内各类网关及安全功能的服务。用户可以在直观的图形化界面上完成虚拟机与云网络统一的管理、配置、监控和运维,充分体验云网一体带来的易用性和敏捷性。

应用场景

实现业务主体间的网络隔离,保障业务安全

用户需要在灵活、敏捷、高效、综合成本低的前提下,既保障业务访问流程的通畅,又能实现云/虚拟化环境中不同业务主体或(多租户)之间的隔离,从而减少潜在的安全威胁和数据泄露的风险。例如,公司有两个不同的软件项目开发组,A 组负责开发在线商城平台,B 组负责开发企业资源规划系统。这时可以为每个开发组创建独立的 VPC,用于部署各自项目所需的虚拟机、数据库等资源;两个 VPC 之间的网络完全隔离,A 组开发人员无法访问 B 组 VPC 内的任何资源,反之亦然。这就实现了以业务为中心的全栈资源隔离。

在网络运维方面,基于 Overlay 网络技术创建的 VPC 进行网络隔离,极大地简化了 VLAN 和 IP 地址段的规划工作。在传统网络中,我们需要为每个开发组单独划分 VLAN 和 IP 地址段,并进行复杂的配置。而使用 VPC 后,每个 VPC 就如同一个独立的网络,可以使用重叠的 IP 地址段,也不需要依赖管理员指定的 VLAN 进行隔离。每个 VPC 内部的网络配置和管理都由开发组自己负责,大大降低了网络管理的复杂度,提高了运维效率。同时,每个 VPC 内部的网络可以被划分为更小的子网,每个子网、每个/每组虚拟机都可以作为独立的安全区域,用户也可对每个区域实施精细的安全策略控制。

与硬件解耦,提升网络灵活性与部署效率

得益于 Everoute VPC 所采用的基于 Geneve 协议的 Overlay 虚拟化网络技术,VPC 与底层物理网络之间实现了隔离和解耦。所有网络功能都以虚拟化的形式呈现并以软件定义的方式进行统一管理。这意味着用户可以快速创建多样的虚拟网络拓扑和网络服务,例如虚拟交换机、虚拟路由器、分布式防火墙等,而无需等待复杂的硬件网络设备配置变更流程,从而极大地提升了网络敏捷性,缩短业务上线时间。

例如,某公司在不同数据中心采用了不同时期、不同厂商的网络设备,网络架构和配置存在较大差异,难以实现统一管理。采用 Everoute VPC,可以在不同物理网络基础上,为多个 SmartX 集群创建出具有相同逻辑拓扑和功能的虚拟专有云网络(VPC)。虚拟化网络的配置和管理完全不受限于底层物理网络的拓扑结构和功能限制,无需担心不同时期、不同厂商的网络硬件设备差异带来的兼容性问题。在这个例子中,用户能够快速灵活地创建和调整 VPC 网络配置,以适应不断变化的业务需求;而传统的物理网络配置变更流程复杂且耗时,无法满足企业业务迅速发展对网络敏捷化的要求。

高效支持跨站点高可用与负载均衡

随着业务的扩张和对服务连续性要求的提高,企业往往需要将业务应用部署到多个地理位置分散的数据中心,以实现负载均衡、容灾备份以及跨地域的服务覆盖。为了满足这些需求,Everoute VPC 提供了强大的跨数据中心网络虚拟化解决方案,帮助企业构建灵活弹性的业务部署架构。基于 Overlay 技术的逻辑网络,能够将业务应用无缝扩展到不同集群、机架、机房甚至数据中心,实现跨地理位置的网络虚拟化和统一管理。用户可以在一个 Everoute VPC 中同时关联主备站点的集群,将多个地理位置分散的资源整合到一个逻辑网络中,简化管理复杂度。

基于 Eveorute VPC 构建的跨数据中心虚拟化网络,能够满足企业的如下需求:

  • 灵活的业务扩展: 客户可以根据业务需求,将应用灵活地部署到不同的数据中心,并能够实现跨数据中心的网络互联和资源调度,满足业务快速增长的需求。
  • 高效的负载均衡: Everoute 结合跨数据中心的负载均衡,可以根据预设策略将业务流量分发到不同的数据中心,提高资源利用率,提升应用性能。
  • 可靠的灾难恢复: 当其中一个数据中心发生故障时,SmartX 企业云的高可用机制可以将业务虚拟机快速迁移至其他正常运行的数据中心,并依赖 VPC 逻辑网络功能快速恢复业务(无需额外网络调整),最大程度地减少业务中断时间(RTO),保障业务连续性。

您还可下载《Everoute 虚拟专有云网络技术白皮书》,进一步了解虚拟专有云网络在 SMTX OS(ELF)和 SMTX ELF 下的实现架构和技术原理。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/48779.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

可控硅触发板选型指南

可控硅触发板(SCR Trigger Board)是一种用于触发和控制可控硅(SCR)导通的电子设备。在电力控制、电机驱动、变频调速等领域中,可控硅触发板发挥着至关重要的作用。它通过精确的触发信号,实现对可控硅的启动和控制,从而实现对电路的开关和电流…

【ROS2】高级:安全-理解安全密钥库

目标:探索位于 ROS 2 安全密钥库中的文件。 教程级别:高级 时间:15 分钟 内容 背景安全工件位置 公钥材料 私钥材料域治理政策 安全飞地 参加测验! 背景 在继续之前,请确保您已完成设置安全教程。 sros2 包可以用来创…

昇思25天学习打卡营第25天 | RNN实现情感分类

学习心得:RNN实现情感分类 在自然语言处理(NLP)的领域中,情感分类是一个极具挑战性的任务,它要求模型能够准确地从文本中识别出情感倾向。通过使用MindSpore框架和RNN模型进行情感分类,我获得了许多有关构…

如何理解String的不可变性

一、缓存角度 在Java中对于字符串的处理,是利用字符串池去存储Java中的字符串,在字符串池中,俩个内容相同的字符串变量,可以从池中指向同一个对象,这样就节省了空间资源。 public class Main {public static void ma…

web服务器测试

[rootlocalhost ~]# vim /etc/nginx/conf.d/test_ test_ip.conf test_name.conf test_virtualdir.conf [rootlocalhost ~]# vim /etc/nginx/conf.d/test_name.conf [rootlocalhost ~]# tree /www/

【学习笔记】无人机系统(UAS)的连接、识别和跟踪(五)-无人机跟踪

目录 引言 5.3 无人机跟踪 5.3.1 无人机跟踪模型 5.3.2 无人机位置报告流程 5.3.3 无人机存在监测流程 引言 3GPP TS 23.256 技术规范,主要定义了3GPP系统对无人机(UAV)的连接性、身份识别、跟踪及A2X(Aircraft-to-Everyth…

HarmonyOS应用开发者高级认证,Next版本发布后最新题库 - 单选题序号3

基础认证题库请移步:HarmonyOS应用开发者基础认证题库 注:有读者反馈,题库的代码块比较多,打开文章时会卡死。所以笔者将题库拆分,单选题20个为一组,多选题10个为一组,题库目录如下,…

MySQL0.MSI方式安装

本机运行环境:Windows10 1.下载 进入MySQL官方下载页面:https://downloads.mysql.com/archives/installer/ 红色箭头:点击选择下载的版本 黄色箭头:点击下载MSI安装包 此次下载选择MySQL8.0.37的MSI安装包 2.安装 下载完毕后…

AJAX复习总结

AJAX复习总结 AJAX即“Asynchronous JavaScript and XML”(异步的JavaScript与XML技术),是一种在无需重新加载整个网页的情况下,能够更新部分网页的技术。简单来说,AJAX就是让网页变得更快、更灵活的一种方法 举个例子&#xff1a…

水表数字识别3:Pytorch CRNN实现水表数字识别(含训练代码和数据集)

水表数字识别3:Pytorch CRNN实现水表数字识别(含训练代码和数据集) 目录 水表数字识别3:Pytorch CRNN实现水表数字识别(含训练代码和数据集) 1.前言 2. 水表数字识别的方法 3. 水表数字识别数据集 4. 水表数字分割模型训练 5. 水表数字识别模型训…

Qt中 .pro、.pri、.prf、.prl文件简解

一、pro文件 .pro就是工程文件(project),是Qt项目的主配置文件,用于描述整个项目的基本信息和编译配置。在Qt中用qmake生成makefile文件,它是由.pro文件生成而来的,.pro文件的具体格式语法如下&#xff1a…

Linux 显示文件行号命令

cat (可能要搭配grep 进行过滤) vi 或 vim (缺点可能会因为粗心,改动文件,如果要修改当没说)

分布式系列之ID生成器

背景 在分布式系统中,当数据库数据量达到一定量级后,需要进行数据拆分、分库分表操作,传统使用方式的数据库自有的自增特性产生的主键ID已不能满足拆分的需求,它只能保证在单个表中唯一,所以需要一个在分布式环境下都…

昇思25天学习打卡营第23天 | 基于MindSpore的红酒分类实验

学习心得:基于MindSpore的红酒分类实验 在机器学习的学习路径中,理解和实践经典算法是非常重要的一步。最近我进行了一个有趣的实验,使用MindSpore框架实现了K近邻(KNN)算法进行红酒分类。这个实验不仅加深了我对KNN算…

idea如何让包结构分层

文章目录 前言1.选中前项目包结构2.取消后项目包结构3.情况二 前言 在大型项目中,代码的分层管理至关重要。IDEA编辑器提供了强大的package分层结构功能,帮助开发者更好地组织和管理代码。通过合理配置,我们可以清晰地看到各个package之间的…

stm32平台为例的软件模拟时间,代替RTC调试

stm32平台为例的软件模拟时间,代替RTC调试 我们在开发项目的时候,如果用到RTC,如果真正等待RTC到达指定的时间,那调试时间就太长了。 比如每隔半个小时,存储一次数据,如果要观察10次存储的效果&#xff0…

在服务器调用api操作rabbitmq

不同的rabbitmq版本可能api不同,仅做参考,RabbitMQ 3.7.18。同时,我基本没看官方api文档,根据rabbitmq客户端控制台调用接口参数来决定需要什么参数。例如: 1、添加用户 curl -u 用户名:密码 -H “Content-Type: a…

蓝屏死机不再怕!CrowdStrike故障修复指南中心上线!

系统之家于7月22日发出最新报道,安全公司CrowdStrike因其Windows更新引发全球 850 万台电脑蓝屏死机问题后,上线了全新的“修复和指南中心”(Remediation and Guidance Hub),该中心汇集了与其错误更新相关的详细信息&a…

Android音视频—OpenGL 与OpenGL ES简述,渲染视频到界面基本流程

文章目录 OpenGL 简述特点和功能主要组件OpenGL ES当前状态 OpenGL ES 在 Android 上进行视频帧渲染总体流程 OpenGL 简述 OpenGL(Open Graphics Library)是一个跨平台的、语言无关的应用程序编程接口(API),用于开发生…

基于FPGA的数字信号处理(18)--半加器和全加器

前言 在数字系统中,加法运算是最常见的算术运算,同时它也是进行各种复杂运算的基础。 半加器 最简单的加法器叫做 半加器(Half Adder),它将2个输入1bit的数据相加,输出一个2bits的和,和的范围为…