華麗轉身——金融數據中心網路開始大規模向SDN演進
21世紀初「互聯網泡沫」破滅後,人們在計算機和網路技術上不斷創新,使得2001年至今,互聯網經歷了又一個騰飛期。互聯網不斷地改變著人類的生活,尤其是移動互聯網的產生、應用和普及。以騰訊、阿里巴巴等為典型代表的公司通過互聯網技術對各個行業和領域進行革新,互聯網金融應運而生。螞蟻金服、微眾銀行等互聯網金融公司以其便捷性、快速創新能力以及優質用戶體驗給傳統金融行業造成了巨大壓力。自2009年淘寶「雙十一」後,各種互聯網購物狂歡節不斷湧現,單日交易金額不斷攀升,2017年「雙11」銷售額達2539.7億元,爆髮式的成交額和交易次數給銀行交易系統抗浪涌能力帶來了巨大的考驗。
面對日益嚴峻的競爭,傳統金融行業需要重塑業務平台進行數字化轉型,其關鍵步驟包含:
關鍵業務雲化,提升自身業務接入的便捷性和業務彈性,滿足用戶移動化接入需求、應對海量用戶接入帶來的業務浪涌;
金融服務和產品的快速創新和投放,提升用戶體驗;
簡化運維,讓科技部門更專註於業務創新。
金融行業數字化轉型是一次綜合性的戰略建設,其中私有雲建設則是構築銀行數字化的硬體基礎。通過私有雲建設,實現關鍵業務上雲,優化和精簡現有業務平台,從而達成更具彈性和敏捷的新業務模式。
在數據中心私有雲的建設過程中,計算虛擬化、存儲虛擬化技術日趨成熟,網路虛擬化(SDN)亟待解決。數據中心網路虛擬化技術經歷了傳統的堆疊技術、大二層技術(SPB、TRILL)、NVO3技術(NvGRE、VxLAN、STT)的不斷演進,最終VxLAN技術成為一致認可的網路虛擬化技術。
針對金融行業私有雲建設的訴求,華為基於多年行業經驗積累,同時聯合全球TOP級的商業銀行進行SDN創新,推出了金融數據中心網路解決方案。通過SDN Controller和Fabric網路架構,聯合眾多的第三方雲平台廠商,共同為金融客戶打造金融私有雲。華為金融數據中心網路解決方案主要為金融私有雲提供以下三種能力:
按需彈性擴展的網路,為金融客戶構建金融雲化資源池,實現業務按需彈性擴容,應對海量移動接入用戶的浪涌式訪問;
SDN網路自動化,提高業務部署效率,實現業務快速創新和上線;
網路精細化運維,通過全局網路可視和網路故障快速定位,極大的簡化運維,提升業務運營效率。
圖1 華為金融私有雲解決方案架構圖
華為數據中心網路解決方案主要有以下特點:
? 業務自動化,網路設備由AC控制器納管,通過與雲平台和VMM的對接,實現網路服務的自動化部署,將傳統網路的部署周期提升至分鐘級;
? 彈性資源池,藉助VXLAN Overlay網路虛擬化和Service Chain技術,將網路的轉發和服務功能資源池化,提升網路架構的靈活性、可擴展性和可演進性;
? 精細化運維,應用、邏輯和物理網路三層互視,業務質量可視可控,網路狀態看得見;多種故障定位和運維手段,實現分鐘級故障定位,網路故障看得清。
圖2 華為金融數據中心網路解決方案
華為秉承「以客戶為中心」和不斷創新的精神,結合金融客戶現狀,針對數據中心安全、精細化運維提出了「微分段」和FabricInsight方案。
微分段
由於金融數據中心承載的業務類型越來越多樣化,其受到的安全威脅也越來越多。在傳統的數據中心裡,普遍認為數據中心網路內部的流量是安全的,數據中心網路外部的流量是不安全的。因此,需要在數據中心網路內、外部的邊界設備上部署防火牆,通過將流入數據中心網路內部的流量(即南北向流量)引導到防火牆上進行分析,以確保只有授權用戶才能訪問數據中心網路內部的資源。這種在邊界設備上對流量進行安全分析的技術,也稱為邊界安全技術。
圖3 傳統數據中心安全方案
隨著複雜的第三方攻擊的產生,傳統的邊界安全技術也不再固若金湯。一旦攻擊者衝破邊界防護,那麼數據中心內部的安全將受到嚴重威脅,攻擊者可以隨意攻擊數據中心內部的服務。
同時,隨著數據中心的不斷發展,數據存儲、WEB應用的不斷擴大,數據中心網路內部的流量(即東西向流量)也在不斷增加。因此,在新一代的金融數據中心網路中,需要基於「零信任」的原則,對所有流量進行分析,並重點考慮數據中心網路內部的安全保護。
傳統的邊界安全技術,主要通過劃分業務子網、配置ACL等方式,對網路流量進行隔離。但是這種技術存在如下問題:
通過VLAN、VNI等方式劃分業務子網實現的業務隔離,是基於子網的(即子網A與子網B之間進行隔離),其不能實現同一子網內不同伺服器之間的隔離。同時,當不同子網共用同一個網關設備時,由於在網關設備上存在到各子網之間的路由信息,因此這種情況下,也無法實現不同子網內不同伺服器之間的隔離;
通過配置ACL規則可以實現不同伺服器之間的隔離。但是數據中心網路中,伺服器的數量非常龐大,若要實現伺服器之間的隔離,則需要部署海量的ACL規則,配置維護相當複雜。同時,網路設備的ACL資源有限,不能滿足客戶部署海量ACL規則的需求;
虛擬化技術的發展使得安全的邊界難以界定。數據中心網路中,邏輯網路拓撲根據業務的需求隨時可變,傳統的基於物理邊界防護的安全架構無法對其進行有效的安全防護。
基於上述現狀,華為基於硬體實現的微分段技術閃亮登場!」微分段」,從字面上可以拆分為「微」和「分段」兩部分。「分段」是指將網路按照一定的分組規則劃分為若干個子網路,不同子網路之間相互隔離,從而實現數據報文僅能在約定的節點之間相互發送,而不是將所有數據報文發送給所有節點。
「微分段」是相對於「物理網路分段」而言的。物理網路分段是基於廣播域VLAN/VNI來實現子網劃分,即屬於不同VLAN/VNI的設備之間相互隔離,屬於同一VLAN/VNI的設備之間可以互通。與物理網路分段相比,微分段的分段粒度更細,它可以基於IP地址、IP網段、MAC地址、VM名、容器、操作系統等來實現子網劃分,即屬於相同VLAN的不同設備之間也能實現相互隔離。
如圖4所示,VM1、VM2、VM3、VM4屬於同一個廣播域VNI 10,其中,VM1和VM3屬於同一安全分區,VM2和VM4屬於另一個安全分區。在物理網路分段的情況下,VM1和VM4因為屬於同一廣播域,因此它們之間可以相互通信,即屬於同一廣播域、不同安全分區的設備之間也可以通信。在微分段的情況下,VM1和VM4雖然屬於同一廣播域,但他們的安全分區不同,因此相互之間不可以通信,即屬於同一廣播域、不同安全分區的設備之間相互隔離。
圖4 物理網路分段與微分段的對比
可以看出,微分段提供了比VLAN/VNI粒度更細的分組規則,它將數據中心網路內部的伺服器按照一定的規則進行分組,然後基於分組來部署流量控制策略,就可以實現伺服器與伺服器之間的業務隔離。同時,通過在網路中部署控制器,由控制器部署微分段的相關功能,從而達到簡化運維、安全管控的目的。
FabricInsight
金融數據中心70%以上的流量都是TCP鏈接,FabricInsight通過對TCP 特徵報文的鏡像進行分析,實現對整網TCP 流的分析。
圖 5 FabricInsight獲取流的過程
FabricInsight獲取一條流的如下信息,並進行智能分析:
報文轉發路徑信息;
TCP開始時間,結束時間;
傳輸的Bytes;
SYN路徑時延,FIN路徑時延;
異常。
最終通過分析,實現對所有TCP流的可視,以完成以下功能:
? 網路負載監控、鏈路負載監控、網路質量監控;
? TCP 重傳檢測、TCP 重置檢測、時延異常檢測、路由環路檢測等;
? 應用交互關係分析、應用質量監控、應用網路路徑分析。
圖6 FabricInsight架構
自2009年OpenFlow誕生以來,SDN技術經歷了炒作期、低谷期,從Gartner與2017年7月發布的技術成熟度曲線(Hype Cycle)可以看出,SDN正穩步進入成熟商用期。
圖7 Gartner Hype Cycle
2017年,華為金融數據中心網路解決方案在金融行業TOP客戶得到規模商用,用事實印證了Gartner的分析報告。2017年,華為金融數據中心網路解決方案在工商銀行、中國銀聯、中國銀行、交通銀行、郵政儲蓄銀行、招商銀行、華夏銀行、中國人壽、上海銀行等客戶數據中心得到應用。
截至現在,華為在金融行業網路建設方面,已經與10多家金融客戶達成了戰略合作,與100多行業ISV共同構建了聯合方案,全球已服務於300多家金融客戶,其中TOP10的銀行客戶有6家。
2018年,將會有更多的金融客戶對數據中心進行雲化改造,華為金融數據中心網路解決方案將會助力客戶精簡傳統核心業務平台,構建雲化資源池。
圖8 金融數據中心雲化演進過程
TAG:華為企業業務中國 |