クラウドコンピューティング仮想化の典型的な構造とアクセスアプリケーションモード

クラウド コンピューティングでは、コンピューティング リソース、ストレージ リソース、ネットワーク通信リソースをさまざまなレベルで仮想化してリソース プーリングを実現し、Amazon EC2、IBM Blue Cloud、Cisco UCS などの一般的な IaaS 製品など、インフラストラクチャ レベルでプラットフォーム サービス (IaaS) を実装できます。

クラウド コンピューティング データ センター サービスを使用するユーザーは、仮想化されたコンピューティング リソースにアクセスし、さまざまなクラウド コンピューティング サービスを使用するために、シン クライアントやモバイル クラウド ターミナルなどのデバイスを介してアクセスする必要があります。

[[230046]]

クラウド コンピューティング データ センターは、さまざまなユーザー グループにさまざまなサービスを提供できます。ユーザー グループ間またはグループ内のユーザー間には明確な物理的な境界はありません。代わりに、仮想化テクノロジーに基づいて必要なセキュリティ分離が実現されます。この分離が十分に安全であるかどうか、ユーザー データのプライバシー保護とアクセス制御が十分であるかどうかなど、これらの仮想化セキュリティの問題は、クラウド コンピューティングが広範なアプリケーションのブレークスルーを達成できるかどうかの鍵となっています。

クラウド内のさまざまなユーザーがいかに安全にネットワークを利用できるか、ユーザーがいかにシームレスにクラウドコンピューティングサービスにアクセスして利用できるか、ネットワークセキュリティの問題を解決しながら仮想化ネットワーク技術によってデータセンターネットワーク構築の柔軟性と拡張性を向上させるか、これらは仮想化技術を用いてクラウドコンピューティングデータセンターを構築する上で取り組むべき課題となっています。現在、主流のメーカーは、VLAN セキュリティ ゾーニングやファイアウォール仮想化などのネットワーク セキュリティ技術に基づいて、クラウド コンピューティング データ センターで使用される仮想化ネットワークを保護していますが、ユーザー アクセスの信頼性やデータ インタラクションの機密性や制御性などの問題は依然として解決されていません。

本稿では、仮想化ネットワークに基づくクラウド コンピューティング データ センターの一般的なアーキテクチャとアクセス アプリケーション モードの研究に基づいて、ユーザー セキュリティ アクセス、通信の分離、機密性保護の観点からデータ センター仮想化ネットワークのセキュリティ要件を分析し、仮想化ネットワーク セキュリティ技術フレームワークを提案します。暗号化技術をベースにした仮想化ネットワークのセキュリティ強化、通信保護の確保、情報の分離、仮想マシン間の安全な交換などのセキュリティメカニズムの分析と設計に焦点を当て、リファレンスソリューションを提案します。

クラウド コンピューティングのインフラストラクチャには、主にコンピューティング (サーバー)、ネットワーク、ストレージが含まれます。ネットワークに関しては、クラウド コンピューティング エコシステム全体の観点から、データ センター ネットワーク、クロス データ センター ネットワーク、ユビキタス クラウド アクセス ネットワークの 3 つのレベルに分けることができます。

データセンター ネットワークには、コンピューティング ホスト、ストレージ、レイヤー 4 ～ 7 サーバー (ファイアウォール、負荷分散、アプリケーション サーバー、IDS/IPS など) を接続するデータセンター LAN のほか、分散仮想スイッチ、仮想ブリッジング、I/O 仮想化など、ホストが仮想化された後の仮想マシン間のマルチ仮想ネットワーク交換ネットワークであるエッジ仮想ネットワークが含まれます。

クロスデータセンターネットワークは、主にデータセンター間のネットワーク接続を解決し、データのバックアップ、データの移行、複数のデータセンター間のリソースの最適化、複数のデータセンター間のハイブリッドサービスの提供を実現します。ユビキタス クラウド アクセス ネットワークは、データ センターとエンド ユーザーを相互接続し、一般ユーザーまたは企業ユーザーにクラウド サービスを提供するために使用されます。

ここでは、主に仮想化ネットワーク技術を使用して実装されたデータセンターネットワーク技術アーキテクチャとそのアクセスアプリケーション方法について説明します。クラウド コンピューティング仮想化ネットワークのセキュリティ問題を解決する鍵は、データ センター内の多数の仮想マシンが仮想化ネットワークを介してコンピューティング リソースに安全かつ制御可能にアクセスできるようにすることです。データセンター ネットワークには、コア レイヤー スイッチ、アクセス レイヤー スイッチ、仮想スイッチが含まれます。

クラウド コンピューティングの使用後、データ センターのネットワークは、同期データ転送の大量トラフィック、バックアップの大量トラフィック、データ センター内の仮想マシン移行の大量トラフィックの問題を解決する必要があります。そのため、コア層ネットワークには、超大規模なデータ交換機能と十分な 10G アクセス機能が必要です。アクセス レイヤー スイッチは、さまざまな柔軟な導入方法と、ロスレス イーサネット テクノロジーを含む新しいイーサネット テクノロジーをサポートする必要があります。

仮想スイッチは、物理サーバー内のハイパーバイザー層を通じて対応するスイッチとネットワーク カードの機能を仮想化して管理し、サーバー内の複数の仮想ホスト仮想ネットワーク カード (vNIC) の相互接続と、異なる仮想ネットワーク カード トラフィックに異なる VLAN タグを設定する機能を提供します。これにより、サーバー内にスイッチがあるかのようになり、異なるネットワーク カードを異なるポートに簡単に接続できるようになります。

ハイパーバイザーは、各 VM (仮想ホスト) に対して 1 つ以上の vNIC を作成し、ハイパーバイザー内の仮想スイッチを接続して VM 間の通信をサポートします。ハイパーバイザーにより、仮想スイッチは物理ネットワーク インターフェイスと通信し、外部ネットワークと効率的に通信することもできます。一般的な仮想スイッチには、オープンソースの OpenvSwitch が含まれます。

現在、より成熟した Ctrix Xen ベースの仮想化システム (他の VMware ESX、KVM、Hyper-V などとは異なります。アイデアは参照できます) を研究対象として、仮想化されたユーザー端末に接続し、さらにデータセンターのコンピューティング リソースにアクセスするユーザーを分析する一般的なフレームワークを図 2 に示します。

まず、リモート ユーザーは、シン クライアントと ICA (Vmware は PCoIP を使用) などのリモート デスクトップ プロトコルに基づいて、データ センター サーバー上のユーザー仮想端末にアクセスします。 ICA プロトコルは、Xen に基づく Ctrix 仮想化システムの独自プロトコルです。ディスプレイ、キーボード、マウスの操作情報をサーバー側管理ドメインとやり取りします。ハイパーバイザー上に対応する仮想化端末システムを作成および終了して、ローカライズされたコンピュータ端末操作と同じユーザー エクスペリエンスを実現できます。同時に、すべての周辺機器の実際のドライバーも管理ドメイン OS 上で実行されており、バックエンド ドライバー モジュールを介して一連のクライアント端末仮想マシンの OS 上で実行されているフロントエンド ドライバー モジュールと対話し、各クライアント端末仮想マシンのデバイス ドライバーをサポートします。

第二に、仮想ネットワーク カードと仮想化スイッチ (物理サーバー間の分散仮想化スイッチを含む) により、ユーザー仮想端末間およびユーザー仮想端末と仮想アプリケーション サーバー間の高速ネットワーク データ相互作用が実現され、仮想化ベースのデータ集中アプリケーション、さまざまなアプリケーション サーバーへのアクセス、またはユーザー仮想マシンの移行が実現されます。

分散仮想スイッチは、基盤となるサーバー アーキテクチャをより透過的にし、異なる物理サーバー上の仮想スイッチのサーバー間ブリッジングをサポートし、1 つのサーバー内の仮想スイッチを他のサーバー内の仮想スイッチに透過的に接続できるようにし、サーバー間 (およびそれらの仮想インターフェイス間) の VM 移行をより簡単にする方法を使用します。