近一两年来,很多组织已经发现了将IT基础设施迁移到第三方平台的优势。这些第三方平台向最终用户透明地提供IT服务,但是在多租户数据中心中如何保持多租户之间的敏感数据的隔离是这种方式面临的巨大的挑战。
SDN和多租户数据中心
由于典型的多租户数据中心为多个用户托管了IT基础设施,每个数据中心的资源都是相对有限的,所以将整个机器专为一个用户服务往往效率低下。相反,一台裸机最有可能为多个用户托管多个虚拟机,即所谓的多租户网络。过去,路由器和交换机通过子网划分和虚拟局域网处理网络分段,将一个服务器机架专门用于单个应用程序或服务颇受业界欢迎。但现在,软件定义网络(SDN)的日益普及首先改变了数据中心的架构。
SDN控制器在逻辑上位于底层交换设备的北向位置,通过12元组(12-tuple)标题字段为网络管理员提供对网络流量流量的大量控制:
在给定的12-tuple中,网络管理员可以配置SDN控制器,以基于包头来组合路由流量。单个用户可以在多租户数据中心托管多个服务,网络管理员可以通过基于ingress端口、源端口(source port)、目标端口(destination port)以及专用于该用户所托管服务的任何包头组合来配置流量,从而隔离同一数据中心内其他用户的流量。因此,如果数据中心内的另一个租户运行类似的服务或应用程序,则网络管理员可以指示SDN控制器基于相同的包头但是通过不同的值来路由流量。因此,每个租户的流量成功地彼此隔离,而不会中断网络的性能。
SDN的优势与挑战
传统上,将网络设备或新的服务器添加到现有网络需要为网络配置预留大量的时间,将新的网络设备直接引入到网络中将会产生很大的影响。
但使用SDN,控制器可以了解如何将新设备集成到网络中。虽然这对于实现网络敏捷性的组织来说是一个巨大的优势,但它也会带来可视化的问题。当管理员添加或删除多个设备、网络时,可能难以保持对网络的实时控制,这可能会导致严重的安全问题。例如,如果缺乏适当的网络监控,黑客可能更容易将设备添加到SDN网络中。