曹 亞，黃 飛

(中國船舶集團有限公司電子信息與對抗研究院，江蘇 揚州 225001)

0 引言

在社會發(fā)展與經(jīng)濟高速增長的背景之下，網(wǎng)絡(luò)技術(shù)呈現(xiàn)高速發(fā)展的狀態(tài)。大數(shù)據(jù)、互聯(lián)網(wǎng)等多種技術(shù)手段在事業(yè)單位日常工作中具有重要的作用。但是，計算機網(wǎng)絡(luò)存在的安全問題是直接影響整體安全性的重要因素，因此在實踐中要重點分析常見安全問題，根據(jù)實際狀況探索完善的解決對策與手段。為此，本文主要探討自主安全基礎(chǔ)上云數(shù)據(jù)中心的構(gòu)建，分析云數(shù)據(jù)中心網(wǎng)絡(luò)特點和架構(gòu)，分析各項技術(shù)在云數(shù)據(jù)中心構(gòu)建中的應(yīng)用。

1 云數(shù)據(jù)中心網(wǎng)絡(luò)特點

云數(shù)據(jù)中心以網(wǎng)絡(luò)通信可編程為前提，在具有統(tǒng)一性的數(shù)據(jù)管理平臺中按照用戶根本需求，對網(wǎng)絡(luò)資源進行動態(tài)分布，促使虛擬機可以大規(guī)模動態(tài)遷移、調(diào)度，為用戶進行數(shù)據(jù)處理創(chuàng)造條件，同時可以根據(jù)實際需求，實時性與動態(tài)性地轉(zhuǎn)換物理網(wǎng)絡(luò)成為虛擬通信網(wǎng)絡(luò)，此方面也與云計算、云服務(wù)動態(tài)變化提出的需求相符[1]。

對比云數(shù)據(jù)中心與傳統(tǒng)數(shù)據(jù)靜態(tài)通信網(wǎng)絡(luò)，前者是在服務(wù)和業(yè)務(wù)引導(dǎo)下，利用松耦合承載，提供相關(guān)網(wǎng)絡(luò)數(shù)據(jù)以及業(yè)務(wù)。對于各項數(shù)據(jù)的處理，云數(shù)據(jù)中心也可以提供相應(yīng)服務(wù)，保證用戶按照實際需求自主選擇服務(wù)?；诖?，總結(jié)云數(shù)據(jù)中心網(wǎng)絡(luò)特征，主要體現(xiàn)在網(wǎng)絡(luò)資源池化、管控集中性、網(wǎng)絡(luò)虛擬性3個方面。

第一，網(wǎng)絡(luò)資源池化。網(wǎng)絡(luò)數(shù)據(jù)經(jīng)過池化處理之后在資源管理方面可以獲得更加理想的效果，通過云平臺實現(xiàn)所有資源的集中調(diào)度、分配、管理，為網(wǎng)絡(luò)資源管理賦予動態(tài)性，也真實提高了網(wǎng)絡(luò)資源利用率。在自主安全基礎(chǔ)上，所有云技術(shù)可以劃分網(wǎng)絡(luò)資源類型，具體包括邏輯網(wǎng)絡(luò)資源、物理網(wǎng)絡(luò)資源。按照用戶業(yè)務(wù)類型，可以直接在云管理平臺中調(diào)取所需邏輯網(wǎng)絡(luò)資源，將業(yè)務(wù)問題解決，無需關(guān)注底層網(wǎng)絡(luò)資源結(jié)構(gòu)便可以達到資源緊耦合的效果，而且物理網(wǎng)絡(luò)資源、邏輯網(wǎng)絡(luò)資源之間的耦合，云網(wǎng)絡(luò)可以按照用戶實際需求展開動態(tài)調(diào)度，網(wǎng)絡(luò)資源利用率得到提升的同時，也為云數(shù)據(jù)中心的維護、管理創(chuàng)造便利條件。

第二，管控集中性。采用相關(guān)互聯(lián)網(wǎng)設(shè)備構(gòu)建具有集中性質(zhì)的云平臺控制平面，軟件控制功能可以管理網(wǎng)絡(luò)硬件，加強管控水平，使資源能夠得到統(tǒng)一化的管理、調(diào)度，將網(wǎng)絡(luò)統(tǒng)一管理、接口擴展等方面存在的問題予以解決。采取編程的方法集中管理云網(wǎng)絡(luò)儲存資源，對于網(wǎng)絡(luò)資源進行自動監(jiān)控和集中管控，這也是推動網(wǎng)絡(luò)資源調(diào)度、部署實現(xiàn)智能化轉(zhuǎn)型的關(guān)鍵性舉措，并且能夠為網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)絡(luò)狀態(tài)控制等關(guān)鍵性網(wǎng)絡(luò)數(shù)據(jù)資源管理賦予可視化特征，還有利于優(yōu)化網(wǎng)絡(luò)通信性能，提高數(shù)據(jù)管理安全性。

第三，網(wǎng)絡(luò)虛擬性。云數(shù)據(jù)中心最為明顯的特點之一，便是虛擬化處理技術(shù)，利用網(wǎng)絡(luò)虛擬化技術(shù)實現(xiàn)若干個虛擬網(wǎng)絡(luò)的疊加，而且疊加到同一個物理網(wǎng)絡(luò)，從而使所有邏輯網(wǎng)絡(luò)達到網(wǎng)絡(luò)數(shù)據(jù)處理的目的，業(yè)務(wù)聯(lián)動、網(wǎng)絡(luò)自動部署和網(wǎng)絡(luò)資源得到整合之后，按照具體的業(yè)務(wù)需求對資源進行分配。虛擬機平臺的聯(lián)合管理和調(diào)度，在實踐中能夠?qū)崿F(xiàn)云網(wǎng)絡(luò)底層物理設(shè)備、邏輯資源去耦合的效果，而且網(wǎng)絡(luò)通信也能夠達到動態(tài)虛擬遷移。自主安全的云數(shù)據(jù)中心制定虛擬化處理方法，采用不同的虛擬協(xié)議技術(shù)，并且搭配封裝與隧道等技術(shù)手段，還有利于網(wǎng)絡(luò)資源虛擬化管理目標的達成[2]。

2 基于自主安全的云數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)

自主安全的云數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)采用架構(gòu)網(wǎng)絡(luò)控制器，與云平臺積極聯(lián)動，加強網(wǎng)絡(luò)業(yè)務(wù)編排的統(tǒng)一性。云數(shù)據(jù)中心負責網(wǎng)絡(luò)設(shè)備、虛擬交換機、安全設(shè)備等管理，按照云平臺發(fā)布指令，自動連接網(wǎng)絡(luò)，在VXLAN的overlay網(wǎng)絡(luò)基礎(chǔ)上實現(xiàn)基礎(chǔ)設(shè)施的構(gòu)建。網(wǎng)絡(luò)控制器和人工智能、網(wǎng)絡(luò)流量分析等相關(guān)技術(shù)結(jié)合，使網(wǎng)絡(luò)管理、實時網(wǎng)絡(luò)流量呈現(xiàn)更具智慧性。

基于自主安全的云數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)，是由業(yè)務(wù)呈現(xiàn)層、網(wǎng)絡(luò)控制層、網(wǎng)絡(luò)服務(wù)層、計算接入層組成。(1)業(yè)務(wù)呈現(xiàn)層。業(yè)務(wù)呈現(xiàn)層主要代表的是云平臺，例如第三方云平臺、OpenStack開源云平臺等，其作用在于資源管理的計算、網(wǎng)絡(luò)業(yè)務(wù)編排。并不在云數(shù)據(jù)中心網(wǎng)絡(luò)的范疇中，與網(wǎng)絡(luò)相互對接與互通。(2)網(wǎng)絡(luò)控制層。網(wǎng)絡(luò)控制層主要是由SDN網(wǎng)絡(luò)控制器為代表的控制節(jié)點組成，負責網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)絡(luò)控制層與云平臺之間相互聯(lián)動，云平臺發(fā)出編排指令及時接收，完成網(wǎng)絡(luò)設(shè)備、vSwitch的配置。(3)網(wǎng)絡(luò)服務(wù)層。交換機和安全設(shè)備等網(wǎng)絡(luò)設(shè)備基礎(chǔ)上，采用underlay技術(shù)和overlay技術(shù)，實現(xiàn)網(wǎng)絡(luò)服務(wù)層的搭建，具有轉(zhuǎn)發(fā)網(wǎng)絡(luò)業(yè)務(wù)等諸多功效。(4)計算接入層。計算接入層是利用相關(guān)產(chǎn)品，構(gòu)建技術(shù)接入層，負責用戶業(yè)務(wù)的運行。

3 基于自主安全的云數(shù)據(jù)中心技術(shù)與應(yīng)用

3.1 智能網(wǎng)卡

大數(shù)據(jù)、云計算和機器學(xué)習等先進技術(shù)的廣泛應(yīng)用，增加了云數(shù)據(jù)中心內(nèi)部服務(wù)器對于性能的要求，智能網(wǎng)卡部署裸金屬服務(wù)器，或是進行網(wǎng)絡(luò)卸載和特殊業(yè)務(wù)卸載，在此方面也表現(xiàn)出比較強烈的訴求。

3.2 SDN技術(shù)

軟件定義網(wǎng)絡(luò)技術(shù)(Software Defined Network，SDN)的普遍應(yīng)用，逐漸優(yōu)化了SDN網(wǎng)絡(luò)控制器性能。不僅可以和聯(lián)動云平臺實現(xiàn)對接，還具有物理交換機、網(wǎng)絡(luò)防火墻等網(wǎng)絡(luò)部件管理的功能，真正實現(xiàn)云網(wǎng)一體化聯(lián)動，云數(shù)據(jù)中心網(wǎng)絡(luò)也可以按照用戶需求自動化部署。SDN控制器在應(yīng)用方面，應(yīng)支持云平臺聯(lián)動對接，在整網(wǎng)安全策略管理、一網(wǎng)多云技術(shù)等方面表現(xiàn)出優(yōu)勢，從而真正實現(xiàn)網(wǎng)絡(luò)高度自動化。全套SDN組件可安裝于國產(chǎn)服務(wù)器、國產(chǎn)操作系統(tǒng)，而且要表現(xiàn)出較高的適配度，滿足云數(shù)據(jù)中心自主安全建構(gòu)的要求。

3.3 云數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)

云數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)比較多元化，例如網(wǎng)絡(luò)虛擬化技術(shù)、大規(guī)模二層網(wǎng)絡(luò)技術(shù)、服務(wù)鏈技術(shù)、虛擬機流量導(dǎo)出技術(shù)。其中網(wǎng)絡(luò)虛擬化技術(shù)的實踐應(yīng)用中，按照實際需求可以達到1∶N虛擬化、N∶1虛擬化、縱向虛擬化等諸多功能；大規(guī)模二層網(wǎng)絡(luò)技術(shù)在云數(shù)據(jù)中心中應(yīng)用，可以采用TRILL技術(shù)、VXLAN技術(shù)、BGP-EVPN技術(shù)等，而且各項技術(shù)均表現(xiàn)出極高的成熟性。國產(chǎn)交換芯片、國產(chǎn)智能網(wǎng)卡基礎(chǔ)上，搭建國產(chǎn)自主端到端網(wǎng)絡(luò)應(yīng)用。

3.4 智能網(wǎng)絡(luò)技術(shù)

基于自主安全的云數(shù)據(jù)中心，其中underlay和overlay網(wǎng)絡(luò)十分常見，網(wǎng)絡(luò)設(shè)備也在虛擬機、裸金屬服務(wù)器等的作用下面臨一些新要求，即網(wǎng)絡(luò)應(yīng)向智能化方向轉(zhuǎn)變，實現(xiàn)與云平臺管理網(wǎng)絡(luò)業(yè)務(wù)的智能聯(lián)動，加強網(wǎng)絡(luò)PFC.ECN水線調(diào)節(jié)的智能性，網(wǎng)絡(luò)故障診斷、恢復(fù)等操作，不需要人為干預(yù)。當前云數(shù)據(jù)中心網(wǎng)絡(luò)需要重點解決網(wǎng)絡(luò)高效運維管理相關(guān)問題，建議采用機器學(xué)習、AI算法等新興技術(shù)手段，通過賦能數(shù)據(jù)中心網(wǎng)絡(luò)的方式加強云數(shù)據(jù)中心網(wǎng)絡(luò)管理、運維自動化。

3.5 網(wǎng)絡(luò)流量透視技術(shù)與安全監(jiān)管技術(shù)

自主安全云數(shù)據(jù)中心的網(wǎng)絡(luò)流量透視，是網(wǎng)絡(luò)運維和智能網(wǎng)絡(luò)等各項管理工作非常必要的數(shù)據(jù)來源途徑，也是云數(shù)據(jù)中心配置需要參考的標準。通過端口鏡像、Sflow和IPFIX等技術(shù)，在云數(shù)據(jù)中心導(dǎo)出整網(wǎng)流量，經(jīng)過透視分析之后轉(zhuǎn)為圖形，用戶直觀地了解網(wǎng)絡(luò)流量。基于云數(shù)據(jù)中心呈現(xiàn)的網(wǎng)絡(luò)、流量特點，針對overlay流量導(dǎo)出、虛擬機流量導(dǎo)出、TAP數(shù)據(jù)預(yù)處理等進行優(yōu)化，使用戶流量透視、安全監(jiān)管實際應(yīng)用等根本需求得到滿足。

3.6 RoCE技術(shù)與無損以太網(wǎng)技術(shù)

云計算在云數(shù)據(jù)中心建構(gòu)與運維中應(yīng)用，比較普遍的是分布式存儲這種技術(shù)手段，需要用到的服務(wù)器并不是專業(yè)存儲設(shè)備，這也是自主安全云數(shù)據(jù)中心建構(gòu)看重的一點。面臨存儲技術(shù)飛速發(fā)展，在分布式存儲當中，網(wǎng)絡(luò)對于存儲性能有比較明顯的影響，網(wǎng)絡(luò)為了規(guī)避這種影響，需要不斷加強零丟包和低延遲性能。除此之外，越來越多的新業(yè)務(wù)在云數(shù)據(jù)中心中得到應(yīng)用，例如高性能計算和分布式AI訓(xùn)練，這也使得網(wǎng)絡(luò)丟包、延遲性能面臨更高的要求。為了不斷加強網(wǎng)絡(luò)性能，建議采用組合技術(shù)組，例如RDMA技術(shù)、RoCE技術(shù)、PFC技術(shù)、ETS技術(shù)等，均可以組合應(yīng)用，一方面實現(xiàn)零丟包的效果，另一方面也可以規(guī)避報文導(dǎo)致的確定性延遲問題。以太網(wǎng)存儲交換機經(jīng)過改進，與智能網(wǎng)卡形成聯(lián)動，不僅可以加強穩(wěn)定性、降低延遲性，實現(xiàn)整網(wǎng)零丟包，還能夠使云數(shù)據(jù)中心在自主安全建構(gòu)中具備分布式存儲、分布式AI訓(xùn)練等諸多功能。

3.7 安全可信技術(shù)

對于云數(shù)據(jù)中心而言，網(wǎng)絡(luò)安全主要體現(xiàn)在信息設(shè)備、數(shù)據(jù)、內(nèi)容、行為4個方面。信息系統(tǒng)硬件結(jié)構(gòu)與操作系統(tǒng)保證安全性，是加強信息系統(tǒng)安全性的重要前提，建議采用密碼和網(wǎng)絡(luò)安全技術(shù)。立足于信息系統(tǒng)軟硬件底層，提出相應(yīng)的安全建議，方可為信息系統(tǒng)運行安全提供保證。云計算中心的所有設(shè)備均要在國產(chǎn)芯片、國產(chǎn)操作系統(tǒng)的基礎(chǔ)上實現(xiàn)運行，可信計算技術(shù)、網(wǎng)絡(luò)通信設(shè)備實現(xiàn)結(jié)合，可以將識別網(wǎng)絡(luò)設(shè)備身份、網(wǎng)絡(luò)系統(tǒng)可控接入等環(huán)節(jié)面臨的問題解決，軟件系統(tǒng)身份、數(shù)據(jù)完整性等得到保障，也能夠分別立足于設(shè)備和網(wǎng)絡(luò)系統(tǒng)等維度，滿足安全可信的基本要求。

4 基于自主安全的云數(shù)據(jù)中心的網(wǎng)絡(luò)安全優(yōu)化解決方案

4.1 優(yōu)化計算機網(wǎng)絡(luò)結(jié)構(gòu)

綜合事業(yè)單位的網(wǎng)絡(luò)配置環(huán)境以及實際的運行需求，對現(xiàn)有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行優(yōu)化完善；根據(jù)不同的部門進行網(wǎng)絡(luò)區(qū)域劃分處理，對用戶的訪問范圍進行限制約束，充分提升網(wǎng)絡(luò)結(jié)構(gòu)的安全性，增強整體的穩(wěn)定性[3]。

4.2 重視設(shè)備日常維護管理

重視硬件設(shè)備的巡查以及管理，根據(jù)實際需求進行軟件更新；通過定期檢修、不定期風險評估管理的方式進行全面管控，有效地避免各種損壞問題，充分保障網(wǎng)絡(luò)通信安全性。為了有效地保障網(wǎng)絡(luò)環(huán)境安全性，在實踐中要綜合實際需求，制定符合單位工作模式以及效率的管理模式，根據(jù)實際狀況全面落實執(zhí)行。根據(jù)實際需求制定完善的網(wǎng)絡(luò)安全管理體系，通過對網(wǎng)絡(luò)系統(tǒng)的全面認證、加密以及分析、記錄等各項工作，有效提升網(wǎng)絡(luò)監(jiān)管的綜合能力，構(gòu)建良好的網(wǎng)絡(luò)環(huán)境[4]。制定完善的訪問控制系統(tǒng)。構(gòu)建完善的、規(guī)范化的訪問控制管理體系，合理設(shè)置權(quán)限，有效避免網(wǎng)絡(luò)攻擊等問題。

4.3 重視細節(jié)管理，優(yōu)化工作模式

第一，重視攻擊監(jiān)控管理?；诰W(wǎng)絡(luò)安全管理實際需求，構(gòu)建完善的攻擊體系，監(jiān)控實現(xiàn)對多數(shù)攻擊數(shù)據(jù)的實時監(jiān)測，合理預(yù)警分析，在系統(tǒng)受到攻擊與影響的時候，可以自動采取措施。例如，可以自動斷開網(wǎng)絡(luò)連接，記錄過程，對攻擊源進行跟蹤以及監(jiān)控管理等。第二，加密通信。通過加密通信系統(tǒng)，可以有效保障信息數(shù)據(jù)的完整性，提升數(shù)據(jù)的安全性。第三，規(guī)范認證管理。根據(jù)工作需求建立完善的認證固態(tài)體系，有效避免冒用用戶的問題出現(xiàn)，充分保障網(wǎng)絡(luò)系統(tǒng)的安全性。第四，備份與恢復(fù)。根據(jù)工作需求制定完善的備份以及管理機制，做好恢復(fù)管理，重點管控重要的信息以及數(shù)據(jù)文件；在網(wǎng)絡(luò)受到惡意攻擊時，可以最快時間恢復(fù)各項信息數(shù)據(jù)，充分保障系統(tǒng)整體安全性。

5 結(jié)語

計算機網(wǎng)絡(luò)安全管理具有復(fù)雜性，在實踐中要綜合工作的實際狀況對其全面分析，通過層層設(shè)計防御管理系統(tǒng)，才可以有效地降低各種安全隱患問題。在實踐中基于云數(shù)據(jù)中心的建構(gòu)，采用多元化技術(shù)手段，優(yōu)化云數(shù)據(jù)中心內(nèi)部設(shè)備的性能。開展云數(shù)據(jù)中心運維管理，消除運行期間隱藏的安全隱患，保證數(shù)據(jù)傳輸、采集、處理等各個環(huán)節(jié)的安全性，通過設(shè)計安全監(jiān)控管理中心，對各個方面因素進行全面監(jiān)控，通過大數(shù)據(jù)技術(shù)對各項信息數(shù)據(jù)進行科學(xué)檢測、分析以及診斷處理，才可以有效地降低各種隱患問題的不良影響，構(gòu)建一個安全的網(wǎng)絡(luò)環(huán)境，保障各項工作有序開展，也為今后云數(shù)據(jù)中心建構(gòu)積累經(jīng)驗，從而真正實現(xiàn)自主安全的目的。