Neuron 和 SDN Neuron(网络服务的代号)可用于使用 SDN 优化 IaaS。通过利用 OpenFlow 等 SDN 技术,网络管理员可以实现较高的多租户水平,以及一个网络设备到另一个设备的大规模数据移动。( 是一个开源标准、通信协议,提供了对网络交换机或路由器的转发平面的网络访问,使得远程控制器可以通过交换机网络确定网络包的路径。)
用户可以创建自己的网络,控制流量,通过 SDN 技术将服务器和设备连接到一个或多个网络。
Neuron 有一个扩展框架,支持部署和管理其他网络服务,比如入侵检测系统 (IDS)、负载平衡、防火墙和虚拟专用网 (VPN)。
满足期望:OpenDayLight 使用 OpenFlow 标准的带 SDN 的 Neuron 还不够。更适合用来优化 IaaS 的是 。OpenDayLight 是一个开源框架,它利用了 SDN 和 NFV 控制器,管理员可以将它与 OpenStack Neuron 结合使用,帮助用户采取主动措施来优化 IaaS。
我们会更详细地查看 OpenDayLight 有什么用,以及它是如何标准化 IaaS 的。
SDN 和 NFV 控制器包含在其自己的 Java™ 虚拟机 (JVM) 中。这意味着 OpenDayLight 不是仅适用于 Linux®;它是一个开放平台,为了在支持 Java 代码的任何硬件和操作系统上使用而设计。
OpenDayLight 由 18 个公司共同创立,这些公司包括 Cisco、Dell、Juniper、IBM 和 Intel;该项目现在已有 36 个成员。150 多位开发人员为 Hydrogen(OpenDayLight 的第一版)做出了积极贡献。
Hydrogen 可供企业、服务提供商、设备提供商和学术机构使用。它在一个包中包含 3 个版本:
- 在笔记本电脑上运行,以便连接到某个提供了综合网络的测试工具。
- 添加了数据中心虚拟化技术。它构建于基础版之上。
- 可帮助服务提供商和运营商开发一个迁移到 SDN 和 NFV 及支持流量工程的计划。它拥有 SNMP 协议支持和 API 来管理遗留网络设备。
网络功能虚拟化 前面已经解释过,NFV 将网络功能与专用的硬件设备分离,所以这些功能都可以在软件中运行。NFV 旨在整合需要的网络组件,以便支持一个完全虚拟化的基础架构,包括虚拟服务器、存储,甚至其他网络。它利用在大容量服务和存储硬件上运行的标准 IT 虚拟化技术来虚拟化网络功能。
我们将查看如何将 NFV 用于 SDN。在 OpenDayLight 的总体视图上,SDN 分 3 层来描述。
- 网络应用程序和编制:最顶层包含控制和监视网络行为的业务和网络逻辑应用程序。它们包括对网络流量进行全局控制所需的编制应用程序。
- 控制器平台:中间层位于 SDN 的向北的接口与向南的接口之间。向北的接口为应用程序层提供了一组常见 API。它连接到向南的接口,实现了一个或多个协议(比如 OpenFlow)来控制网络内的物理硬件。
- 物理和虚拟网络设备:底层包括物理和虚拟设备、交换机、路由器等,它们组成了网络中所有端点之间的连接。
控制器风险减轻 SDN 存在一些漏洞(比如 SDN 控制器劫持),这些漏洞可能被攻击者利用。为了减轻控制器风险,您需要执行以下 4 步。
- 识别资产。
- 识别漏洞和威胁。
- 评估风险。
- 加固安全措施。
识别资产 在风险减轻流程中,首先要识别与控制器有关联的资产。确定这些资产应属于的类别;以下是一些示例:
- 硬件:网络设备和交换机,以及 SDN 管理员的控制台
- 安全形:加密机制、安全测试工具和防火墙
- 管理:OpenStack 和 OpenDayLight 指南
- 文档:SDN 管理员的联系点、培训手册、网络标准、灾难恢复计划和服务水平协议
识别漏洞和威胁 攻击者并不只是可以利用控制器漏洞的威胁方。另一种可能的威胁方包括 SDN 管理员,他们可能以不正确的方式配置了控制器(和防火墙)。
控制器和防火墙的不当配置可能导致 IaaS 宕机和受到攻击。如果没有从一个区域到另一个区域的 IaaS 故障转移机制,那么用户有可能会投靠其他 IaaS 托管服务提供商。
评估风险 用户希望确保具有连续的 IaaS 互操作性和可用性,而且更多流量的需求可通过 IaaS 优化来满足。评估 IaaS 不可用性风险的一种方式是定量评估。一些示例包括:
- IaaS 将变得无用的估计频率
- 由于不当的控制器配置而导致网络攻击的估计频率
- 未满足服务水平协议中规定的性能保证的估计频率
- 未成功故障转移到网络路由器和交换机的估计频率
加固安全措施 富有成本效益的安全措施是降低控制器风险的一种途径。SDN 管理员应确保:
- 控制器已正确配置并受到保护,至少要审核谁访问了它,加密流量并激活日志选项。
- 已部署了网络服务来阻止网络攻击。它们包含入侵检测系统 (IDS)、负载平衡器和防火墙。
- 已部署了故障转移机制来快速从不健康的网络路由器和交换机故障转移到健康的设备。
- SDN/NFV 管理员拥有适当的技能和指令来管理该系统。
结束语 在计划使用 SDN 优化 IaaS 的过程中,需要考虑解决 IaaS 互操作性问题和设置 IaaS 云服务模型的最佳实践。采取主动措施,将基于 OpenStack 的 IaaS 与 OpenDayLight 结合使用来优化 IaaS,这应该是计划的一部分。确保制定了控制器风险减轻计划。您需要构建一个 IaaS 云服务角色、经理、业务分析师和系统工程师团队,使得他们能够更轻松地执行使用 SDN 优化 IaaS 的作业。 |