文/劉宇

隨著民航某單位虛擬化應(yīng)用的發(fā)展，局本部的辦公網(wǎng)絡(luò)，網(wǎng)管網(wǎng)，管綜網(wǎng)絡(luò)，中南各地的CDM網(wǎng)絡(luò)等都部署了虛擬化平臺，局本部的生產(chǎn)信息系統(tǒng)備份平臺更是以多臺服務(wù)器及存儲搭建了虛擬化平臺承載了多個單位超過100臺的虛擬服務(wù)器。正由于民航某單位的虛擬化規(guī)模的擴大，原本適當?shù)奶摂M化應(yīng)用場景發(fā)生了變化，民航某單位虛擬化環(huán)境產(chǎn)生了風險。

1 民航某單位虛擬化的現(xiàn)狀及風險

1.1 虛擬化平臺各自為政

由于虛擬化平臺是跟隨項目申報及建設(shè)的，因此每一個虛擬化平臺按照業(yè)務(wù)及其相關(guān)網(wǎng)絡(luò)進行部署，雖然相同業(yè)務(wù)各地區(qū)間或按照統(tǒng)一規(guī)劃具有邏輯序列的相關(guān)性，網(wǎng)絡(luò)也互通存在一定的數(shù)據(jù)交互，但通過本地的vCenter進行管理的虛擬化平臺是相對獨立的。過多的虛擬化平臺不利于統(tǒng)一監(jiān)控運維，資源調(diào)配，配置管理，升級優(yōu)化，使得管理難度增加，安全風險增大。

1.2 虛擬化平臺版本不統(tǒng)一

虛擬化軟件都使用 VMware，但由于虛擬化平臺部署后一般沒有升級計劃。因此民航某單位的虛擬化平臺版本參差不齊，大多數(shù)的虛擬主機的esxi版本為5.5,少量項目為6.0，最早部署的系統(tǒng)還存在5.1的版本。

1.3 單個虛擬平臺的安全防護措施簡陋

民航某單位生產(chǎn)信息系統(tǒng)越來越多地部署在虛擬平臺上。由此同一虛擬化平臺中的虛擬服務(wù)器間（東西向）的通信逐步增加，而虛擬化平臺與其外（南北向）的通信相對減少。但是同一虛擬化平臺間的網(wǎng)絡(luò)信息安全基本由虛擬局域網(wǎng)vlan來保障，目前民航某單位基本以業(yè)務(wù)劃分vlan，同一vlan間的虛擬服務(wù)器網(wǎng)絡(luò)互通沒有隔離。不同vlan間的虛擬服務(wù)器，通過業(yè)務(wù)網(wǎng)絡(luò)交換機的訪問控制列表ACL進行訪問控制，考慮到其直觀可讀、條數(shù)限制、資源消耗、攔截日志、安全防護等方面與防火墻差距較大，其安全性存在風險。

1.4 虛擬平臺間的網(wǎng)絡(luò)路由及安全策略復雜繁瑣

隨著單個虛擬化平臺的服務(wù)器存儲資源的增多，每臺虛擬主機涉及的虛擬交換機的網(wǎng)絡(luò)配置都需要人手配置，隨著信息系統(tǒng)增多，vlan數(shù)量增多，使用vSphere標準交換機(VSS)不全部完成相關(guān)的配置或許在相當長的時間內(nèi)并不影響使用，卻存在風險。

與此同時，vlan的ID數(shù)量有限，隨著業(yè)務(wù)增加，信息系統(tǒng)間的數(shù)據(jù)融合增多。同一虛擬化平臺間的vlan使用量持續(xù)增大，不同業(yè)務(wù)網(wǎng)絡(luò)或虛擬化平臺聯(lián)通后vlan增加或沖突，都使得通過vlan進行網(wǎng)絡(luò)隔離保障業(yè)務(wù)安全的方式存在vlan用盡的可預期風險。

如上所述，虛擬化平臺的建設(shè)基于獨立的項目和業(yè)務(wù)網(wǎng)絡(luò)。中南各地的不同網(wǎng)絡(luò)間的信息交互需要經(jīng)過三層網(wǎng)絡(luò)，期間跨越多個網(wǎng)絡(luò)設(shè)備，且每個網(wǎng)絡(luò)的邊際都有自己的防火墻進行訪問控制及安全防護。更為復雜的是，各地的廣域網(wǎng)絡(luò)路由資源情況，及本地設(shè)備配備與配置都因地制宜，各具特點，并不嚴格按照統(tǒng)一標準完全一致地部署。

鑒于網(wǎng)絡(luò)存在的意義在于信息交互，數(shù)據(jù)傳輸，資源共享。在可預期的未來，隨著業(yè)務(wù)發(fā)展，信息系統(tǒng)增加，各置位于不同物理位置或邏輯結(jié)構(gòu)中承載著業(yè)務(wù)系統(tǒng)的虛擬化平臺間的數(shù)據(jù)互訪需求將持續(xù)增加。由此，新增業(yè)務(wù)需要進行的配置維護的成本增加，運維難度增大。

跨地域和系統(tǒng)間新增的單個業(yè)務(wù)的數(shù)據(jù)訪問，業(yè)務(wù)可能需要至少經(jīng)過四套防火墻，五臺交換機，運維人員則需要在經(jīng)過的交換機、防火墻上配置相應(yīng)的路由，并在經(jīng)過防火墻上開通相應(yīng)的訪問控制策略。復雜的網(wǎng)絡(luò)路由及安全策略一方面使得運維難度增大，另一方面也使得排障難度增大，應(yīng)急響應(yīng)變緩。

1.5 未依據(jù)虛擬化特點制定運維人員的管理規(guī)章

虛擬平臺屬地化管理固然能夠權(quán)責明晰，但是對應(yīng)所需的精通虛擬化的運維人員則相應(yīng)呈幾何級數(shù)增加。即便不考慮人員技術(shù)水平本身良莠不齊的情況，虛擬平臺作為基礎(chǔ)的服務(wù)提供平臺，其與業(yè)務(wù)系統(tǒng)、本地網(wǎng)絡(luò)有密切聯(lián)系。虛擬化平臺的運維人員，業(yè)務(wù)系統(tǒng)的運維人員，網(wǎng)絡(luò)及防火墻等設(shè)備的運維人員，一般情況下并非同一個人，其中由于相應(yīng)的職責界面與協(xié)作流程不清晰導致的溝通協(xié)調(diào)，信息共享乃至故障排查，應(yīng)急響應(yīng)的成本也值得考慮。依據(jù)虛擬化特點制定運維人員的管理規(guī)章是亟待解決的問題。

虛擬化的優(yōu)勢在于資源優(yōu)化，管理便捷，安全性能提升，極具可擴展性。然而，可見的現(xiàn)狀卻是虛擬化平臺林立，相互之間未能實現(xiàn)跨平臺資源共享；隨著業(yè)務(wù)發(fā)展管理復雜，效率降低；響應(yīng)緩慢，安全隱患；網(wǎng)絡(luò)vlan資源如同ipv4一樣越用越少，可擴展性受限。而這種現(xiàn)狀與預期的背離，并不是由于VMware本身的問題，實際上是由于我們的業(yè)務(wù)規(guī)模不斷增大，信息交互不斷增多，可是我們依然使用了小規(guī)模場景下的配置，并不斷粗放式地復制部署導致的。

2 VMware NSX網(wǎng)絡(luò)虛擬化的作用

少量的三層網(wǎng)絡(luò)設(shè)備組成的比較簡單的網(wǎng)絡(luò)環(huán)境里我們可以使用靜態(tài)路由，一定規(guī)模的網(wǎng)絡(luò)里我們還是要使用動態(tài)路由。當我們的虛擬化規(guī)模變大到一定程度，當我們可預期的未來虛擬化的應(yīng)用會更為迅速地部署，我們的虛擬化使用場景正在發(fā)生改變，那么固有的模式或許尚能維系，卻并非最佳的策略。

立足于多虛擬化平臺的現(xiàn)實下，若將現(xiàn)存的各VMware虛擬化平臺作為一個跨平臺的統(tǒng)一環(huán)境來考量，則可以發(fā)現(xiàn)，目前民航某單位的信息通訊都在這個跨平臺的VMware虛擬化平臺中，即東西向數(shù)據(jù)交互占了絕大多數(shù)。

這種跨平臺實現(xiàn)多個不同VMware虛擬化平臺下的資源統(tǒng)一調(diào)配的方案，在VMware中可通過VMware NSX網(wǎng)絡(luò)虛擬化平臺實現(xiàn)。

2.1 VMware NSX 簡介

正如服務(wù)器虛擬化可以通過編程方式對基于軟件的虛擬機 (VM) 執(zhí)行創(chuàng)建、生成快照、刪除和還原操作，VMware NSX網(wǎng)絡(luò)虛擬化也是通過編程方式對基于軟件的虛擬網(wǎng)絡(luò)執(zhí)行創(chuàng)建、生成快照、刪除和還原操作。從而使得運維人員對復雜的物理網(wǎng)絡(luò)的管理變得便捷高效。

通過VMware NSX網(wǎng)絡(luò)虛擬化可以虛擬出跨硬件的交換機，集成交換、路由、訪問控制、防火墻、VPN、QoS、負載均衡等一整套的功能，實現(xiàn)分布式的以VM為中心的管理，即在其管理平臺上統(tǒng)一遷移，管理可跨服務(wù)器，存儲，網(wǎng)絡(luò)。VMware NSX 能夠部署在任何 IP 網(wǎng)絡(luò)上，只需利用現(xiàn)有的物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)即可使用NSX。

2.2 VxLAN 簡介

VxLAN是VMware NSX的核心技術(shù)之一，其使用MAC in IP （L2 overlay UDP）的方法進行封裝。VxLAN包頭添加了一個新的24位的二進制標識，可以標識 1600萬個VxLAN網(wǎng)段。這樣也就突破了傳統(tǒng)網(wǎng)絡(luò)中VLAN數(shù)量只有4096個的限制。

VxLAN的功能既可以實現(xiàn)位于同一IP網(wǎng)段的不同VLAN間用戶的二層互通，又可實現(xiàn)不同從VLAN間的二層隔離，以及同一交換機上同一VLAN內(nèi)部用戶之間的二層隔離，不同交換機上同一VLAN中的用戶不隔離。通過這一技術(shù)可以實現(xiàn)在多VLAN用戶服務(wù)器共享的同時，隔離相同VLAN中的不同用戶主機的目的。

通過VxLAN可實現(xiàn)網(wǎng)絡(luò)扁平化，目前民航某單位虛擬化平臺為業(yè)務(wù)配置的vlan，在VxLAN環(huán)境下則不再需要，它可以為每個VM分配基于MAC地址的ID，在平臺內(nèi)部基于ID來管理數(shù)據(jù)交互。由此，路由，訪問控制等功能直接基于VM來實現(xiàn)。

由于基于VxLAN的網(wǎng)絡(luò)在功能上彼此分離，當虛擬機在數(shù)據(jù)中心間或云間遷移時，其IP地址無需改變。這可極大提高應(yīng)用移動性，進而改進災(zāi)難恢復、業(yè)務(wù)連續(xù)性和可擴展性。

在華為設(shè)備中，存在與VxLAN技術(shù)類似的MUX VLAN配置可實現(xiàn)同樣的目的。

2.3 VMware NSX網(wǎng)絡(luò)虛擬化的作用

跨平臺統(tǒng)一的VMware管理平臺，通過權(quán)限和賬號滿足最小顆粒度需求的分級管理，滿足管理需要，統(tǒng)一的日志、事件和報表也為故障分析及處置提供便利。

簡潔的大二層網(wǎng)絡(luò)，網(wǎng)絡(luò)現(xiàn)狀是利用vlan可以分割廣播域，提供業(yè)務(wù)間基于vlan的防護同時通過三層的路由實現(xiàn)vlan間的數(shù)據(jù)交互。雖然利用VLAN可以靈活地構(gòu)建網(wǎng)絡(luò)，但是同時，它也帶來了網(wǎng)絡(luò)結(jié)構(gòu)復雜化的問題。特別是由于數(shù)據(jù)流縱橫交錯，一旦發(fā)生故障時，準確定位并排除故障會比較困難。通過大二層網(wǎng)絡(luò)，根據(jù)需要修改從vlan號而無需同時考慮網(wǎng)段調(diào)整、多個設(shè)備的路由表更新，使得網(wǎng)絡(luò)間的管理、變更變得十分簡單。

精細而安全的安全策略，通過統(tǒng)一的系統(tǒng)及應(yīng)用層級別的安全策略的設(shè)置，使安全策略的設(shè)置更為精細而而安全。

使運維人員便捷高效地管理網(wǎng)絡(luò)，統(tǒng)一管理安全、監(jiān)控審計及日常運維，使得運維人員不需要面對多個不同的設(shè)備，逐一調(diào)整網(wǎng)絡(luò)配置及安全策略，使管理更為便捷而高效。

提升設(shè)備利用率，通過統(tǒng)一規(guī)劃整體網(wǎng)絡(luò)及安全架構(gòu)，可制定更有效的安全策略，同時也可以避免大量互不信任的網(wǎng)絡(luò)間防火墻對防火墻的不合理部署，或者為了路由功能而增加的網(wǎng)絡(luò)設(shè)備等，有效降低額外的開銷，提升設(shè)備利用率。

具有可擴展性，由于大二層的網(wǎng)絡(luò)、統(tǒng)一的管理平臺，可復制的安全策略的應(yīng)用，使得網(wǎng)絡(luò)、業(yè)務(wù)拓展變得十分便捷。

3 優(yōu)化部署方案

將民航某單位各虛擬化平臺的虛擬主機業(yè)務(wù)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)分離，而管理網(wǎng)絡(luò)置于同一網(wǎng)絡(luò)中，即以建立 VxLAN的大二層管理網(wǎng)絡(luò)而替代現(xiàn)有的三層網(wǎng)絡(luò)，以使得同一vCenter管理或跨vCenter管理成為可能。民航某單位對于各虛擬化平臺有統(tǒng)一的網(wǎng)絡(luò)規(guī)劃，只是沒有置于同一網(wǎng)絡(luò)中。

將虛擬主機升級至VMware ESXi 6.5或更高版本；將VCenter升級至6.5或更高版本。通過統(tǒng)一管理后，日后升級運維也將變得規(guī)范。

將虛擬主機從vSphere標準交換機遷移至vSphere分布式交換機。同時使虛擬交換機配置變得簡單高效。

可跨vCenter部署VMware NSX 6.2.2或以上，NSX的邏輯網(wǎng)絡(luò)可以平滑的跨越多個VMware vCenter構(gòu)建的數(shù)據(jù)中心實現(xiàn)網(wǎng)絡(luò)的貫通和防火墻策略的同步。需要提供多臺虛擬服務(wù)器，目前虛擬主機硬件資源可滿足需求。

不改變現(xiàn)有防火墻及網(wǎng)絡(luò)設(shè)備配置的前提下，將現(xiàn)有業(yè)務(wù)的通過NSX的邏輯交換機，邏輯路由器及邏輯防火墻防火墻實現(xiàn)。通過 NSX Edge 指定靜態(tài)路由和動態(tài)路由，通過Edge防火墻監(jiān)控南北向流量以提供外圍安全功能，通過分布式防火墻進行東西向訪問控制，通過L2 網(wǎng)橋?qū)⑦壿嫿粨Q機連接Vlan，通過身份防火墻還可以使用基于域活動目錄（AD）用戶的分布式防火墻規(guī)則（該項高于目前我局應(yīng)用的防火墻安全標準）。VMware NSX能夠在現(xiàn)有物理網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)上進行部署。

新增業(yè)務(wù)通過NSX的保障其安全性。從而使日后的虛擬服務(wù)器的安全管理變得簡捷高效同時提升安全性。

通過NSX建立的跨vCenter部署統(tǒng)一的邏輯網(wǎng)絡(luò)的基礎(chǔ)上，日后可部署災(zāi)備和多活數(shù)據(jù)中心。從而，簡化管理，提升冗余，增強容災(zāi)能力，同時提升設(shè)備資源利用率。

4 小結(jié)

由此可見通過VMware NSX網(wǎng)絡(luò)虛擬化的部署可以有效干預民航某單位虛擬化平臺每況愈下的安全管理狀況，并整合現(xiàn)有資源，為設(shè)備安全，運維便捷，架構(gòu)優(yōu)化，人員管理，系統(tǒng)發(fā)展等多方面升級提供可能。同時，本文對于擴展虛擬化平臺業(yè)務(wù)于民航某單位之外，涉及VMware虛擬化平臺的跨平臺管理同樣具有借鑒價值。