关于下一代数据中心的可视化和安全性（下）

本文中，我们将为广大读者朋友们介绍基于控制器的SDN解决方案如何利用开放式硬件，以帮助企业组织提供由可视化和安全性所带来的益处。

下一代企业网络的可视化和安全性

当今的数据中心需要智能化，灵活敏捷的监控和安全架构，提供普遍的可视化，单一面板管理，零接触的规模化，自动化和硬件选择。传统NPB的功能仍然是必需的;然而，传统NPB的分布式及其设计不适合数据中心，这就要求解决方案能够快速高效地运行。

网络所有者需要一款动态的解决方案，使工具能够访问来自任何机架，任何位置，任何虚拟机，任何容器以及任何云计算的流量，并根据需要进行横向扩展——无需物理重新配置或逐个管理。这样的解决方案可以简化和加速变更管理，缩短问题排查时间，减少OPEX和CAPEX。

下一代的可视性和安全架构必须能够为数据中心带来以下好处：

·提供跨整个企业组织范围的可视性和安全架构(包括每台机架，工作负载，数据中心和站点)

·更快，更高效地部署，扩展和修复

·优化OPEX和CAPEX

为了实现这些优势，企业数据中心需要一套具备可视化和安全体系的架构，其作为一个逻辑NPB运行，使工具能够在任何地方进行物理上的运行，但在逻辑上处于任何位置，因此可以实时动态监视和维护网络。作为结构运行的逻辑“超级NPB”也将为网络和安全团队提供高效操作和扩展所需的单一管理点。

要实现这种下一代的NPB体系架构，必须将超大规模原理应用于传统的NPB功能。通过引入软件定义的基于控制器的开放式硬件设计，数据中心可以获得完整的网络视图和单点配置和管理。这种方法与传统的“旧一代”网络可视性和网络切换方法形成对比，后者的设备逐个运行，架构僵化。

图1：旧一代与新一代架构

超大规模设计增强了可视性和安全性体系结构。基于控制器的SDN结构并不是专有的逐个框架结构，而是能够自动发现和配置可见性节点，实现零点触摸的横向扩展，单一面板管理，内置弹性和硬件选择，允许数据中心的网络和安全团队以更灵活和灵活的方式运作。

图2：传统NPB与新一代架构的可见性和安全架构

下一代的可视化是逐一管理代理的进步。独立的NPB和有限的集群不能提供全面的网络视图。相反，这些传统的NPB创造了一些可视性的问题，这些问题是难以管理的，而且如果他们需要不同的视图观点或者网络基础设施发生变化的话，往往需要将工具连根拔起，进行迁移。相比之下，下一代可视化架构使用SDN模型，其中底层节点是集中控制的，并且可以动态地改变其状态，而无需物理干预。

超大规模为下一代基础架构所带来的关键特征是智能化和灵活性。下一代的可视化和安全体系结构具有以下特征：

这些功能解决了传统NPB的架构和操作复杂性，消除了可视性和管理孤岛，加速了运营。

下一代可视化和安全架构包括软件和开放硬件组件，可以利用这些组件来形成定制化的解决方案。下一代可见性和安全体系结构的组件包括：

1、结构化控制器

基于软件的智能控制器冗余运行，并提供对可见性节点结构的可视性，从单一接口对其进行编程，并允许通过有限的交互，快速地在整个结构上进行配置更改。REST API使结构能够动态地与工具和工作流进行交互，从而实现响应和任务的自动化。

2、开源的网络交换机

可视化节点利用商用以太网交换机提供经济高效的可视化覆盖范围，支持内联或带外部署模式。由冗余控制器管理的互连节点组成一个弹性结构。没有一个节点需要单独进行交互，因为架构的智能与控制器在一起，而不是在盒子上。网络和安全工具视图只需要在控制器上设置。通过结构的流量映射是自动进行的，不需要进行任何配置。在节点失去与控制器的接触的情况下，仍然能够基于其最后编程的配置进行操作。

3、基于x86的服务节点

高级数据包处理功能(如重复数据删除和深度数据包检测)可以由基于x86的服务节点执行。任何通过结构的流量都可以通过服务节点发送，为每个工具执行所需的功能。这种设计确保了高级数据包处理功能可用于整个可视化结构，从而提供每款工具，而不管访问通信的具体位置。第三方服务节点(如传统的NPB或SSL解密器)也可以与结构整合。

这些组件一起可以部署为简单的小型架构或大型多站点设计。

可视化和安全性架构较之传统NPB的优势：

下一代可视性和安全性提供了架构、运营和业务方面的优势。

对于企业业务而言：

·更快的服务和应用程序交付

·改进服务和应用程序可用性

·降低OPEX和CAPEX

对于网络和安全架构来说：

·适应所有工具(主动和被动)，并根据需要在全球网络中进行扩展，而不管网络或工具的扩展或变化

· 提高工具效率和可用性

·降低解决方案成本

对于操作运营而言：

·自动执行任务，并以编程方式与工具或团队工作流程集成

·加快变更管理

·对性能和安全问题做出更快更动态的响应

下一代的可视化和安全性的使用案例

下一代可视性和安全性为数据中心提供统一的解决方案，因此网络所有者可以：

·监控每台机架

·监视每个位置

·监控4G / LTE移动网络

·监控每台虚拟机、容器和云工作负载

·扩展DMZ的安全性

·动态减轻攻击

监控每台机架

实施普遍的性能和安全监控解决方案可能会非常复杂且成本高昂。通过采用商用交换机和智能控制器的下一代架构，网络拥有者可以以令人信服的价格获得对于整个数据中心内易于管理的可视化。

监控每个位置

新一代的可视化和安全架构可以通过广域网进行扩展，以实现对远程数据中心和站点的监控。这种功能允许工具和操作团队进行集中管理，使任何工具都能在任何流量中得到利用，同时显著降低CAPEX和OPEX。在每个数据中心和站点部署商用以太网交换机，可以实现覆盖每个位置的全局视图——所有这些都通过冗余光纤控制器进行集中管理。

监控4G / LTE移动网络

运营商网络通常使用隧道协议，某些工具可能无法读取。下一代可见性结构中的服务节点可以执行协议剥离，以便通过更广泛的工具进行收集。

监控虚拟机、容器和云工作负载

在虚拟机，容器和云工作负载之间实施一致的监视和安全协议可能是一个挑战，尤其是考虑到这些工作负载可能是动态的，短暂的并且只能产生主机内流量。将来自这些工作负载的流量传送到下一代“超NPB”结构，可以使用相同或相似的工具，监视和保护其他网络流量。

下一代“超NPB”通过编程方式利用主机上的虚拟交换机SPAN端口卸载复制的工作负载流量，而不是消耗宝贵的主机资源或构成安全风险。这种设计可确保流量不受干扰地指向工具。

扩展DMZ的安全性

下一代“超NPB”安全体系结构为在DMZ中部署安全工具和创建按需服务链提供了一种简单，横向扩展的方法。他们的基于控制器的设计能够与快速编程和响应的工具集成。

动态减轻攻击

借助x86服务节点提供的内联工具链，编程控制器交互以及高性能检测和阻止功能，安全拥有者可以在面对大规模DDoS攻击时扩充和扩展其内联工具。

结论

数据中心需要一款智能，敏捷，高度灵活的可视性和安全架构，可以集中整个数据中心的网络流量，并提供成本和运营效率。

在过去，网络所有者没有统一的解决方案来管理网络和安全工具的流量传输，无论是否是带外数据。实现工具的可见性和优化的唯一方法是部署传统的NPB或利用TAP或SPAN端口。但是，超大规模网络的出现为创建下一代架构创造了蓝图，这些架构能够扩展和适应企业和服务提供商环境，从根本上简化管理。

基于控制器的SDN结构解决方案利用开源式硬件来创建逻辑“超NPB”，能够在任何规模上为超大规模企业带来益处。数据中心现在可以实现在任何地方都能看到和捍卫的下一代可见性和安全性;加速和维持服务交付，并优化预算。