大規模クラウドネットワーク構築におけるSDNの課題

1. 大規模クラウドネットワークの課題

1.1 ネットワーク単一点問題

従来のクラウド ネットワークでは、ネットワーク ノードを通じて仮想化ネットワーク ルーティング、NAT、ゲートウェイ、DHCP、VPC、セキュリティ グループ、その他のネットワークが実装されます。大規模ネットワークのシナリオでは、従来のクラウド ネットワークのネットワーク ノードが、仮想化ネットワーク全体の単一ポイントのボトルネックになります。 OpenStack は、従来のクラウド ネットワークのこの問題も認識しており、ネットワーク ノードを経由せずに仮想ホスト間のサブネット間通信を可能にする DVR (分散仮想ルーター) ネットワーク機能もリリースしました。ただし、DVR では、仮想ホストのアップストリーム トラフィックが単一のネットワーク ノードを通過するという問題を解決できず、高可用性を実現できません。大規模ネットワークにおけるネットワークノードの単一ポイント問題をどのように解決するかは、業界における大きな課題です。

1.2 テナント間のネットワーク分離

従来のクラウド ネットワークでは、VLAN 分離を通じてテナント間のネットワーク分離を実現します。 VLAN の 4096 プロトコル標準の制限により、VLAN は大規模なクラウド ネットワークでのテナント分離には適していません。現在、業界で主流となっているソリューションは、VLAN を VXLAN に置き換えることです。まず、以下に示すように、VXLAN プロトコルを見てみましょう。

VXLAN は、50 バイト長の元のデータ フレームに基づいて、オーバーレイ プロトコルのレイヤーをカプセル化します。 ARP パケットの長さは 64 バイトです。仮想ホストが 10G ARP パケットを送信すると仮定します。これは、VXLAN オーバーレイ後の 17.8G のトラフィックに相当します。そのため、VXLAN の仮想化ネットワークはベアラ ネットワークのネットワーク負荷を増加させ、VXLAN は大量のマルチキャスト メッセージを使用するため、ネットワーク品質に重大な影響を及ぼします。多数の VTEP 仮想ネットワーク カードを作成すると、仮想ネットワークの IO パスとネットワーク ロジックの複雑さが増します。

1.3 ブロードキャストストームの抑制

データセンターがクラウド仮想化されると、IP アドレスの数は 10 ～ 30 倍に増加します。大規模なクラウド ネットワークでは、仮想ホストからの大量のブロードキャスト メッセージがデータ センターのベアラ ネットワークのネットワーク品質に重大な影響を及ぼし、データ センター ネットワーク全体が麻痺してしまうこともあります。

1.4 低損失ネットワーク機能

クラウド ネットワークでは、ルーティング、NAT、ゲートウェイ、DHCP、VPC、セキュリティ グループなどのネットワーク機能を提供する必要があります。現在、業界では仮想ホストまたはネットワーク ソリューションを通じてこれらの仮想化ネットワーク機能を実装しています。大規模なクラウド ネットワーク シナリオでは、このアプローチはコンピューティング リソースを著しく消費し、単一点障害を引き起こしやすくなります。

1.5 データセンター間のサポート機能

データセンターの地理的制約により、大規模なデータセンターの構築のほとんどは、同じ都市内の異なる場所に複数のデータセンターが建設され、データセンター間の距離は 15 km を超えません。裸光ファイバーまたは波長分割線を使用して大規模なレイヤー 2 ネットワークを構築します。図に示すように:

ファイバーまたは波長分割線に障害が発生した場合、データセンターの仮想化ネットワークの正常な安定性をどのように確保できますか?これは、従来のクラウド ネットワーク (単一ポイント ネットワーク ノード) と SDN クラウド ネットワーク (集中型および統合型管理) の両方で発生する問題です。

2. SDN クラウド ネットワークは大規模ネットワークの課題にどのように対処しますか?

2.1 SDNに基づく分散ビジネスロジックアーキテクチャの実装

SDN クラウド ネットワークは OpenFlow プロトコルに基づいており、Open vSwitch レイヤー 2 ネットワーク上にクラウド ネットワークのビジネス機能 (VPC、サブネット、ゲートウェイ、セキュリティ グループ、ACL、ルートなど) を実装します。ネットワーク機能はコンピューティング ノードに分散されており、ネットワークの問題が単一点に発生することはありません。災害耐性が強い。コンピューティング ノードに障害が発生した場合、仮想ホストは他のコンピューティング ノードに移動できます。 SDN コントローラは、フロー テーブル ルールを集中的に送信して、正常な業務を保証します。

2.2 MACポートに基づくマルチテナント分離の実装

SDN コントローラは、MAC ポートを通じてすべての仮想ホスト ネットワークをマークして記録します。 VPC の構成情報を通じて、仮想化ネットワーク全体のトポロジー モデルがシミュレートされます。 OpenFlowフローテーブルの配信に応答することで、同一VPC内の仮想ホストに相互接続ポリシーが配信され、異なるVPCの仮想ホストのネットワークが分離され、MACポートに基づくマルチテナント分離を実現します。 SDN クラウド ネットワークは、アンダーレイ並列ネットワークに属している可能性があり、ネットワーク プロセスでオーバーレイ重ね合わせ損失は発生しません。大規模なデータセンター ネットワークでは、ベアラ ネットワークで不必要な損失は発生しません。さらに、ネットワーク セキュリティ デバイスにアクセスするときに、VXLAN カプセル化解除の問題を考慮する必要もありません。

2.3 ARP フルプロキシ

仮想ホストは、ARP ブロードキャスト アドレス指定を通じて物理ネットワークの IP アドレスの MAC アドレスを検出します。大規模なクラウド環境では、仮想ホストの ARP ブロードキャスト アドレス指定がネットワーク品質に重大な影響を及ぼします。コントローラは、物理データセンターの IP アドレスを区別し、ARP プロキシ フロー テーブルを構成して、プロキシ データセンターの物理ネットワークを統合します。仮想ホストの ARP ブロードキャスト アドレス指定は SDN クラウド ネットワーク内で分離されており、物理データ センターに直接送信されません。コントローラは、ネイバー サブシステム モジュール エージェントを通じて仮想ホストの ARP アドレス指定を完了します。戦略を設定することで、仮想ホストの ARP ブロードキャストの数を大幅に削減できます。

2.4 ARPブロードキャスト抑制

MAC ポート レコードに基づいて、SDN コントローラは指定された IP 仮想ホストの MAC アドレスをすばやく照会できます。仮想ホスト間で開始される ARP ブロードキャスト アドレス指定は、フロー テーブル戦略を通じてブロードキャスト メッセージをターゲット MAC のユニキャスト メッセージに変更することができ、これによりクラウド仮想ネットワークの東西 ARP ブロードキャストが大幅に抑制されます。

2.5 隠し仮想ゲートウェイ

各テナントのカスタム ネットワークには仮想化ゲートウェイが必要です。大規模なクラウド ネットワークでは、仮想化されたゲートウェイが大量のリソースを消費します。 SDN クラウド ネットワークは OpenFlow プロトコルに基づいており、DHCP 割り当て、ARP スプーフィング、SDN フロー テーブル配信を通じて、非表示の仮想化ゲートウェイを実装します。クラウド ネットワークの仮想ゲートウェイには、実際のネットワーク キャリアは存在しません。ゲートウェイで実行されるルーティング、NAT、転送などの機能は、SDN コントローラによって動的に応答および配信される OpenFlow フロー テーブルを通じてシミュレートされます。リソース損失が極めて少なく、大規模なクラウド ネットワークのニーズに適しています。 SDN クラウド ネットワークによって実装される隠し仮想化ゲートウェイには実際のネットワーク キャリアが存在しないため、ゲートウェイに対する攻撃はゲートウェイに対して効果がないことに注意してください。

2.6 分散SDNコントローラモデル

図に示すように、SDN コントローラは各コンピューティング ノードに分散して配置され、コントローラ間の構成情報はメッセージ キューを介して同期され、論理的に集中管理されます。構成情報は低速の構成情報であり、メッセージ キュー自体のパフォーマンスのボトルネックにはなりません。ファイバーや波長分割回線に障害が発生した場合、各コンピューティング ノードの vSwitch は独立した SDN コントローラによって引き継がれ、仮想化ネットワークではデータ センター間の物理回線障害による業務中断は発生しません。

3. クラウドネットワークセキュリティの課題

3.1 交通牽引力

クラウド コンピューティングの発展傾向により、データ センターのネットワーク境界は仮想化ネットワークに埋め込まれ、従来のセキュリティ製品ではクラウド内のネットワーク トラフィックを検出できなくなりました。クラウド プラットフォームは、トラフィックをクリーンアップして分析するために、トラフィック トラクションをサードパーティのセキュリティ デバイスとして扱う必要がありますが、セキュリティ製品によってトラフィック トラクション ソリューションには大きな違いがあります。クラウド ネットワークは、サードパーティの安全なアクセスにスムーズに接続するためのユニバーサルなトラフィック トラクション メソッドを提供する必要があります。

3.2 ネットワークセキュリティマルチテナントトラフィック識別

トラフィックはセキュリティ デバイスに引き込まれ、ネットワーク セキュリティ デバイスはさまざまなテナントのセキュリティ ポリシーに従ってトラフィックを処理する必要があります。ただし、クラウド ネットワークでは IP アドレスが重複しており、異なる VPC が同じ IP アドレスを使用する可能性があります。ネットワーク セキュリティ デバイスが複数のテナントのトラフィックを識別するには、クラウド ネットワークが異なるテナントのトラフィックに特定のラベルを追加し、ネットワーク セキュリティ デバイスがテナントとラベル間の対応を同期するためのオープン インターフェイスを提供する必要があります。

3.3 ネットワークセキュリティマルチテナント管理

従来のネットワーク機器のユーザーは一般的にネットワーク管理者ですが、クラウド ネットワークのセキュリティ管理はマルチテナントです。情報は透明化され、ポリシー管理はテナント間で独立しています。これには、クラウド プラットフォームが、クラウド ネットワーク セキュリティ製品とユーザーをドッキングするための開発されたインターフェイスを提供するか、クラウド ネットワーク セキュリティ製品をクラウド プラットフォームの機能コンポーネントとしてクラウド プラットフォームに深く統合する必要があります。

4. クラウド ネットワークはネットワーク セキュリティの課題にどのように対処しますか?

4.1 オープンで豊富なトラフィックトラクション方法の提供

クラウド ネットワークは、ミラー、VXLAN、GRE、SFOW、NetFlow、l3 ルートなどのトラフィック トラクション メソッドを提供し、開発 API インターフェイスも提供します。さらに、クラウド ネットワークは MAC ポート ネットワーク分離方式を採用することができ、ネットワーク パケットにオーバーレイの重なりはありません。サードパーティのクラウド ネットワーク セキュリティ製品では、トラフィック ミラーの分析とクリーニングをスムーズに実行できます。

4.2 MACまたはタグベースのネットワーク識別

テナント+MAC+IP対応情報を取得するためのオープンAPIインターフェースを提供します。異なる VPC 間の IP アドレスは重複しますが、クラウド ネットワークでは、仮想ホスト ネットワーク カードの MAC は完全に一意です。したがって、セキュリティベンダーは MAC を通じてテナント情報を識別できます。さらに、VXLAN トラフィック トラクションに基づく場合は、VNI を通じてテナント情報も取得できます。

4.3 テナント情報の同期

テナント情報取得同期インターフェースを提供し、サードパーティのセキュリティベンダーはAPIを通じてテナント情報を自動取得できます。これには、サードパーティのセキュリティ製品自体がマルチテナント機能をサポートしている必要があります。

4.4 NFV相互接続

サードパーティのセキュリティ製品は、管理プラットフォームを通じて NFV 機能を提供でき、オーケストレーションを通じてプラットフォームの NFV ネットワーク要素リストに組み込み、独自のマルチテナント管理と組み合わせることができます。