内容


向用户交付云计算网络控制

看虚拟网络如何让用户控制云计算网络

Comments

从很多方面讲,公用云就是主机托管供应商和 ISP 购买很多服务器并由此产生出的利润丰厚的外包服务器行业的产物。在 90 年代后期,大的厂商开始有了物理虚拟的趋势;直到不久之前,市场行情才有所变化。

此时,云计算出现了,它的优点不胜枚举。最近几年,云计算已经通过实际表现第证明了其优势,几乎不需要部署什么实际产品,就能使用,它救活了一大批以此为生的新兴公司。对其中部分来说 — 其关键问题是 — 仍未充分利用云计算模式。

企业应用不充分的原因是从云计算的组建(关注在合适的地方放置虚拟架构)转向企业使用和管理的转变缓慢。本文主要讲的就是这种缓慢的转变;这项转变的焦点在于云计算用户 — 也许最好称为云计算 “租户” — 而不是云计算供应商。

有一种全新的分级方式将对于市场中分为三个不同级别:

  • 物理设备供应商。
  • 虚拟技术供应商。
  • 云计算租户。

这种分类关注每一类启用、允许和控制的能力。

传统上,物理设备供应商控制底层硬件;它们提供给租户基础层上的出口和入口;至于数据包是如何流动的,租户不必关心。虚拟技术供应商管理虚拟层程序及虚拟交换机等此类技术支持;他的工作内容,总的来说,也不在租户的关注范围之内。

2010 年,云计算应用越来越关注如何帮助云计算租户使用敏捷的、公用的、预制式、混合型云计算架构。此处要消除一个误解,即采用云计算和虚拟化只能全部重新架构现有系统,以解决潜在的扩展问题或是配置一个特殊的云计算栈。

因此,目前的两个问题是:

  • 如何帮助用户理解,不是只有重新设计现有的应用程序和数据系统这一条路,才能成功迁移到云计算架构?
  • 如何帮助企业开始迁移到敏捷的架构?

两个问题的答案都一样:让他们看看如何最大程度重用现有技能、架构和软件。而不必面对不确定的风险、阵痛和改变。

在本文中,我将演示使用虚拟网络如何让用户对部署在云环境中设备的寻址方式、拓扑、协议和加密通信进行控制。由于在租户层具有虚拟网络,租户对云计算最担心的安全,得到了保证,这是由于租户能够对其部署的网络控制更加广泛。

现在让我们看看虚拟网络。

虚拟网络

虚拟网络是构建在另一个网络上的计算机网络。虚拟网络中的节点可以认为是由虚拟或逻辑链接连接起来的,每个都对应一个路径,可能在底层网络通过多个逻辑链接。

基于云计算的虚拟网络可用来维护跨多个地点的控制,允许用户控制它们自己的网络拓扑、网络寻址、加密通信以及所需的网络协议,而这都是以可扩展、高冗余的形式。

虚拟网络是基于冗余、加密的、点对点的连接(从基于云计算的服务器到云计算中运行的混合虚拟设备)。这些混合设备充当虚拟网络的虚拟交换机和路由器,这些虚拟网络构筑于物理网络之上。虚拟网络提供给用户普通的 LAN 一样的网络,其中服务器位于物理数据中心(虚拟化或未虚拟化)、私有云以及公用云。

云计算中的虚拟网络的优点有:

  • 它们可让用户控制:
    • 选址(对基于云计算的服务器的自定义私有选址)。
    • 拓扑(由虚拟交换机、虚拟桥、虚拟路由器组成的虚拟网络)。
    • 协议(可将 UDP Multicast 这样的协议用于服务选择/发现)。
  • 部署在云环境中的服务器的加密通信。
  • 通过使用 IPsec 信道保证现有基于数据中心的外联网解决方案的安全连接。
  • 网络识别位置抽象能进行快速和轻松的灾难恢复。
  • 为合规性报告和审计提供用户控制级的安全性。
  • 允许现有的 NOC 监控和管理基于云计算的服务器。

现在我们看看构建虚拟网络时需要考虑的一些问题。

构建虚拟网络

构建虚拟网络几乎不需修改用户的数据中心基础架构。连接到虚拟网络云计算的一端是通过现有的 IPsec 外联设备完成的,这些设备已用参数测试过,并且通过机构证明 — 和现在公司为业务伙伴和供应商构建外联网连接一样。虚拟网络设备使用加密的 IPsec 连接,并在合适的地方放置路由器以便基于云计算的服务器能与合适的基于数据中心的服务器通信。

构建虚拟网络云计算端与构建物理数据中心的网络类似。物理网络情况下,服务器需要通过线缆和交换机互相连接,有时还要通过防火墙/边缘路由器连接到 Internet。云环境需要一个虚拟抽象 — 基于云计算的虚拟网络管理器实例作为虚拟交换机、防火墙和路由器,并且从基于云计算的服务器到那些管理器实例的客户 VPN 连接需要处理云计算内部的加密通信。管理器实例将 IPsec 信道交通路由到数据中心,并作为基于云计算的服务器之间的加密交换机。

网络协议配置

虚拟网络使用虚拟交换机。这并不意味着与云计算中的服务器通信时需要另外的 I/O 转换,但代价是,无法知道运动中的数据是否安全及是否加密。

当构建物理网络时(当 “配置金属” 时),可用性是关注的重点;有主动式/被动式构建,万一发生故障,可以替换。这很正常,但管理代价太高,而且很不方便。当使用虚拟网络时,还可利用虚拟网络工具,因此就没有 “等待的金属”。备份可根据现有监控工具按需提供,从而减少开销,提高利用率。

这个过程很安全,而且利用了您的团队的已有技能:站点到站点的 IPsec,以及云环境的 Secure Sockets Layer。您的 IT 团队现在已经知道了如何配置、管理和监控。有了这些虚拟设备,他们能以动态(两种含义都有)方式完成工作。

样例:演示云计算自动化能力

现在我就根据以上所讨论的内容举个例子。这是一个我通常安装及拆除的网络。在 CohesiveFT,我们用它来演示各种云计算自动化功能。它有三个特性:

  • 一个 172.31.1.0/24 子网,覆盖有 IBM Dev & Test Cloud Raleigh RTP 和 Einighen EHN,有冗余 VPN-Cubed(VPN3)管理器在主段运行(RTP)。这是一个应用程序网络,其中有一个 N 层集群式 Java™ 应用程序及集群式 MySQL 在运行。
  • 一个 192.168.1.0 网络,作为 IBM Cloud 中的流动的 “办公网络”,其中有 Windows® 和 Linux® 远程桌面在运行。它用 IPsec 连接到主应用程序网络,并连接到 CohesiveFT 的办公室。
  • 一个 192.168.3.0/24 网络在 CohesiveFT/Chicago,可从云计算的其他部分访问,或访问其他部分。

在这个网络中,我们用的是 RTP 和 EHN 上的 VPN3.2.0(候选发布第 3 版)AMIs。下一个发布版本包含命令行 API、虚拟防火墙以及 64 位支持,是我们的最新成果。您可以在 网络创建过程配置视频 中一睹为快。

设计完成后,我就立即从每个 VPN3 管理器中取得快照文件。这些快照包含网络配置和凭证信息。我将这些文件保存在安全的地方,用于以后重新激活网络。

有了这些快照,我就可以使用 VPN-Cubed Context3 Cluster Launch 工具处理所需实例的 XML 定义。像这样(这是很简单的集群启动文件):

<ibm-cluster>
<cluster-settings>
<defaults>
<server-size>bronze-32</server-size>
<images-availability-zone>RTP</image-availability-zone>
</defaults>
</cluster-settings>
<instance-groups>
<group id="1" name="VPN-Cubed xCloudMotion">
<instance-post-launch-delay>1</instance-post-launch-delay>
<group-post-launch-delay>1</group-post-launch-delay>
<instance name="Motion VPN-Cubed Manager 1 - RTP">
 <image-id>20009551</image-id>
 <ip>1xx.1xx.2xx.xx</ip>
 <server-size>bronze-32</server-size>
</instance>
<instance name="Motion VPN-Cubed Manager 2 - RTP">
 <image-id>20009551</image-id>
 <ip>1xx.1xx.2xx.xx</ip>
 <server-size>bronze-32</server-size>
</instance>
<instance name="Motion VPN-Cubed Manager 3 - EHN">
<image-id>20009551</image-id>
 <images-availability-zone>EHN</image-availability-zone>
 <ip>1xx.xx.xx.xx</ip>
 <server-size>bronze-32</server-size>
</instance>
<instance name="DemoOffice VPN-Cubed Manager 1 - RTP">
<image-id>20009551</image-id>
<images-availability-zone>RTP</image-availability-zone>
 <ip>1xx.xx.2xx.xxx</ip>
 <server-size>bronze-32</server-size>
</instance>
</group>
</instance-groups>
</ibm-cluster>

然后可以通过上传合适的快照到相应的公共 IP 上的新管理器来重新生成并调整网络连接。有了 API(vpncubed.rb),新启动实例的实例 ID、赋给新启动实例的 IP,以及从我的设计阶段预先保存的快照文件如下:

vpncubed.rb -K api -S $mgr1_id -H $mgr1_ip import_snapshot --snapshot $mgr1_snapshot
vpncubed.rb -K api -S $mgr2_id -H $mgr2_ip import_snapshot --snapshot $mgr2_snapshot
vpncubed.rb -K api -S $mgr3_id -H $mgr3_ip import_snapshot --snapshot $mgr3_snapshot
vpncubed.rb -K api -S $mgr4_id -H $mgr4_ip import_snapshot --snapshot $mgr4_snapshot

几分钟后,一切都顺利完成并重新运行。已经可以使用 Context3 来部署 N 层集群式应用程序和移动远程办公基础架构了,几分钟就可以搞定。

除了在 cubesetup.xml 定义网络之外,无需其他工作,就可以在这两个数据中心轻松转移拓扑,只需一点点额外的网络设计,我就可以把东西移到其他公用和私有云中。而且,让人高兴的是,它是脚本化的,可以任意复制。

结束语

虚拟化和云计算正在创造新的系统组建、部署、管理的连接方式。虚拟化和云计算创新发挥现有的 IT 部门的现有能力,让他们最大程度地重用技能、架构和软件。熟悉传统网络和 VPN 配置和管理的 IT 人员也能配置和运行虚拟网络就是一个例子。

由于全球经济衰退,尤其最近几年,企业处境日益艰难,IT 预算和人员配置也不断削减。云计算重用 IT 资源和技能的能力成为黑夜中的明灯。通过提供让用户在网络和云环境之间迁移数据时能更好控制的机制,从而让用户对云计算系统的安全信心倍增。进而也能鼓励更多的用户采用云计算。


相关主题

  • 了解关于 VPN-Cubed 技术和 CohesiveFT 的更多内容。
  • VPN-Cubed 镜像可作为预发行版本使用,VPN-Cubed Datacenter Connect 产品版将在 2010 年第 4 季度发行。在 IBM Smart Business Development and Test on the IBM Cloud 中访问镜像,或找到使用方法。
  • 在 IBM Smart Business Development and Test on the IBM Cloud 网站中可了解如何开始开发云计算应用程序。查阅 IBM Cloud 中不断增加的可用软件镜像。
  • 在 developerWorks 云计算开发者资源 中,探索和分享应用程序和服务开发者在构建云计算部署项目时积累的知识和经验。
  • Brian Snitzer 谈论作为 IBM Development and Test on the IBM Cloud Release 1.1 一部分发布的 VPN 访问技术。 |

评论

添加或订阅评论,请先登录注册

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Cloud computing
ArticleID=600452
ArticleTitle=向用户交付云计算网络控制
publish-date=12132010