向用户交付云计算网络控制.doc

从很多方面讲，公用云就是主机托管供应商和ISP购买很多服务器并由此产生出的利润丰厚的外包服务器行业的产物。在90年代后期，大的厂商开始有了物理虚拟的趋势；直到不久之前，市场行情才有所变化。此时，云计算出现了，它的优点不胜枚举。最近几年，云计算已经通过实际表现第证明了其优势，几乎不需要部署什么实际产品，就能使用，它救活了一大批以此为生的新兴公司。对其中部分来说—其关键问题是—仍未充分利用云计算模式。企业应用不充分的原因是从云计算的组建（关注在合适的地方放置虚拟架构）转向企业使用和管理的转变缓慢。本文主要讲的就是这种缓慢的转变；这项转变的焦点在于云计算用户—也许最好称为云计算“租户”—而不是云计算供应商。有一种全新的分级方式将对于市场中分为三个不同级别：·物理设备供应商。·虚拟技术供应商。·云计算租户。这种分类关注每一类启用、允许和控制的能力。传统上，物理设备供应商控制底层硬件；它们提供给租户基础层上的出口和入口；至于数据包是如何流动的，租户不必关心。虚拟技术供应商管理虚拟层程序及虚拟交换机等此类技术支持；他的工作内容，总的来说，也不在租户的关注范围之内。2010年，云计算应用越来越关注如何帮助云计算租户使用敏捷的、公用的、预制式、混合型云计算架构。此处要消除一个误解，即采用云计算和虚拟化只能全部重新架构现有系统，以解决潜在的扩展问题或是配置一个特殊的云计算栈。因此，目前的两个问题是：·如何帮助用户理解，不是只有重新设计现有的应用程序和数据系统这一条路，才能成功迁移到云计算架构？·如何帮助企业开始迁移到敏捷的架构？两个问题的答案都一样：让他们看看如何最大程度重用现有技能、架构和软件。而不必面对不确定的风险、阵痛和改变。在本文中，我将演示使用虚拟网络如何让用户对部署在云环境中设备的寻址方式、拓扑、协议和加密通信进行控制。由于在租户层具有虚拟网络，租户对云计算最担心的安全，得到了保证，这是由于租户能够对其部署的网络控制更加广泛。现在让我们看看虚拟网络。虚拟网络开发人员视点：跳出金属盒思考VPN-Cubed首席开发人员DmitirySamovskiy关于创建VPN-Cubed的看法是：创建VPN-Cubed最难的部分是关注云计算用户或者说是云计算租户。这些年来我们努力的网络设备的模式是一个大金属盒...这是错误的方法。虚拟网络，由企业应用程序拓扑需求所驱动，是个新的用例，[实现它]需要一些真正的横向思维。虚拟网络应该无处不在，无时不在。它们是移动的。它们为企业在越来越灵活且常常是匿名的虚拟架构世界中提供关键的控制功能。虚拟网络是构建在另一个网络上的计算机网络。虚拟网络中的节点可以认为是由虚拟或逻辑链接连接起来的，每个都对应一个路径，可能在底层网络通过多个逻辑链接。基于云计算的虚拟网络可用来维护跨多个地点的控制，允许用户控制它们自己的网络拓扑、网络寻址、加密通信以及所需的网络协议，而这都是以可扩展、高冗余的形式。 虚拟网络是基于冗余、加密的、点对点的连接（从基于云计算的服务器到云计算中运行的混合虚拟设备）。这些混合设备充当虚拟网络的虚拟交换机和路由器，这些虚拟网络构筑于物理网络之上。虚拟网络提供给用户普通的LAN一样的网络，其中服务器位于物理数据中心（虚拟化或未虚拟化）、私有云以及公用云。云计算中的虚拟网络的优点有：·它们可让用户控制：o选址（对基于云计算的服务器的自定义私有选址）。o拓扑（由虚拟交换机、虚拟桥、虚拟路由器组成的虚拟网络）。o协议（可将UDPMulticast这样的协议用于服务选择/发现）。·部署在云环境中的服务器的加密通信。·通过使用IPsec信道保证现有基于数据中心的外联网解决方案的安全连接。·网络识别位置抽象能进行快速和轻松的灾难恢复。·为合规性报告和审计提供用户控制级的安全性。·允许现有的NOC监控和管理基于云计算的服务器。现在我们看看构建虚拟网络时需要考虑的一些问题。构建虚拟网络构建虚拟网络几乎不需修改用户的数据中心基础架构。连接到虚拟网络云计算的一端是通过现有的IPsec外联设备完成的，这些设备已用参数测试过，并且通过机构证明—和现在公司为业务伙伴和供应商构建外联网连接一样。虚拟网络设备使用加密的IPsec连接，并在合适的地方放置路由器以便基于云计算的服务器能与合适的基于数据中心的服务器通信。构建虚拟网络云计算端与构建物理数据中心的网络类似。物理网络情况下，服务器需要通过线缆和交换机互相连接，有时还要通过防火墙/边缘路由器连接到Internet。云环境需要一个虚拟抽象—基于云计算的虚拟网络管理器实例作为虚拟交换机、防火墙和路由器，并且从基于云计算的服务器到那些管理器实例的客户VPN连接需要处理云计算内部的加密通信。管理器实例将IPsec信道交通路由到数据中心，并作为基于云计算的服务器之间的加密交换机。网络协议配置虚拟网络使用虚拟交换机。这并不意味着与云计算中的服务器通信时需要另外的I/O转换，但代价是，无法知道运动中的数据是否安全及是否加密。当构建物理网络时（当“配置金属”时），可用性是关注的重点；有主动式/被动式构建，万一发生故障，可以替换。这很正常，但管理代价太高，而且很不方便。当使用虚拟网络时，还可利用虚拟网络工具，因此就没有“等待的金属”。备份可根据现有监控工具按需提供，从而减少开销，提高利用率。这个过程很安全，而且利用了您的团队的已有技能：站点到站点的IPsec，以及云环境的SecureSocketsLayer。您的IT团队现在已经知道了如何配置、管理和监控。有了这些虚拟设备，他们能以动态（两种含义都有）方式完成工作。样例：演示云计算自动化能力VPN-Cubed：虚拟网络 VPN-Cubed 是一个商务解决方案，可让用户控制云环境内部、云环境之间以及私有架构与云环境之间的网络。CohesiveFT公司，从事虚拟和云计算领域；它从用户角度出发，帮助企业以多种方式使用云服务，给企业带来价值，并且帮助企业用户利用云计算的优势。现在我就根据以上所讨论的内容举个例子。这是一个我通常安装及拆除的网络。在CohesiveFT，我们用它来演示各种云计算自动化功能。它有三个特性：·一个172.31.1.0/24子网，覆盖有IBMDev&TestCloudRaleighRTP和EinighenEHN，有冗余VPN-Cubed（VPN3）管理器在主段运行（RTP）。这是一个应用程序网络，其中有一个N层集群式Java™应用程序及集群式MySQL在运行。·一个192.168.1.0网络，作为IBMCloud中的流动的“办公网络”，其中有Windows®和Linux®远程桌面在运行。它用IPsec连接到主应用程序网络，并连接到CohesiveFT的办公室。·一个192.168.3.0/24网络在CohesiveFT/Chicago，可从云计算的其他部分访问，或访问其他部分。在这个网络中，我们用的是RTP和EHN上的VPN3.2.0（候选发布第3版）AMIs。下一个发布版本包含命令行API、虚拟防火墙以及64位支持，是我们的最新成果。您可以在 网络创建过程配置视频 中一睹为快。设计完成后，我就立即从每个VPN3管理器中取得快照文件。这些快照包含网络配置和凭证信息。我将这些文件保存在安全的地方，用于以后重新激活网络。有了这些快照，我就可以使用VPN-CubedContext3ClusterLaunch工具处理所需实例的XML定义。像这样（这是很简单的集群启动文件）：bronze-32RTP11200095511xx.1xx.2xx.xxbronze-32200095511xx.1xx.2xx.xxbronze-32 20009551EHN1xx.xx.xx.xxbronze-3220009551RTP1xx.xx.2xx.xxxbronze-32然后可以通过上传合适的快照到相应的公共IP上的新管理器来重新生成并调整网络连接。有了API（vpncubed.rb），新启动实例的实例ID、赋给新启动实例的IP，以及从我的设计阶段预先保存的快照文件如下：vpncubed.rb-Kapi-S$mgr1_id-H$mgr1_ipimport_snapshot--snapshot$mgr1_snapshotvpncubed.rb-Kapi-S$mgr2_id-H$mgr2_ipimport_snapshot--snapshot$mgr2_snapshotvpncubed.rb-Kapi-S$mgr3_id-H$mgr3_ipimport_snapshot--snapshot$mgr3_snapshotvpncubed.rb-Kapi-S$mgr4_id-H$mgr4_ipimport_snapshot--snapshot$mgr4_snapshot几分钟后，一切都顺利完成并重新运行。已经可以使用Context3来部署N层集群式应用程序和移动远程办公基础架构了，几分钟就可以搞定。除了在cubesetup.xml定义网络之外，无需其他工作，就可以在这两个数据中心轻松转移拓扑，只需一点点额外的网络设计，我就可以把东西移到其他公用和私有云中。而且，让人高兴的是，它是脚本化的，可以任意复制。