向用户交付云计算网络控制.doc

从很多方面讲，公用云就是主机托管供应商和 ISP 购买很多服务器并由此产生出的利润 丰厚的外包服务器行业的产物在 90 年代后期，大的厂商开始有了物理虚拟的趋势；直 到不久之前，市场行情才有所变化 此时，云计算出现了，它的优点不胜枚举最近几年，云计算已经通过实际表现第证明了 其优势，几乎不需要部署什么实际产品，就能使用，它救活了一大批以此为生的新兴公司 对其中部分来说 — 其关键问题是 — 仍未充分利用云计算模式 企业应用不充分的原因是从云计算的组建（关注在合适的地方放置虚拟架构）转向企业使 用和管理的转变缓慢本文主要讲的就是这种缓慢的转变；这项转变的焦点在于云计算用 户 — 也许最好称为云计算 “租户” — 而不是云计算供应商 有一种全新的分级方式将对于市场中分为三个不同级别：物理设备供应商虚拟技术供应商云计算租户 这种分类关注每一类启用、允许和控制的能力 传统上，物理设备供应商控制底层硬件；它们提供给租户基础层上的出口和入口；至于数 据包是如何流动的，租户不必关心虚拟技术供应商管理虚拟层程序及虚拟交换机等此类 技术支持；他的工作内容，总的来说，也不在租户的关注范围之内 2010 年，云计算应用越来越关注如何帮助云计算租户使用敏捷的、公用的、预制式、混 合型云计算架构。

此处要消除一个误解，即采用云计算和虚拟化只能全部重新架构现有系 统，以解决潜在的扩展问题或是配置一个特殊的云计算栈 因此，目前的两个问题是：如何帮助用户理解，不是只有重新设计现有的应用程序和数据系统这一条路，才能 成功迁移到云计算架构？如何帮助企业开始迁移到敏捷的架构？ 两个问题的答案都一样：让他们看看如何最大程度重用现有技能、架构和软件而不必面 对不确定的风险、阵痛和改变 在本文中，我将演示使用虚拟网络如何让用户对部署在云环境中设备的寻址方式、拓扑、 协议和加密通信进行控制由于在租户层具有虚拟网络，租户对云计算最担心的安全，得 到了保证，这是由于租户能够对其部署的网络控制更加广泛 现在让我们看看虚拟网络虚拟网络虚拟网络开发人员视点：跳出金属盒思考开发人员视点：跳出金属盒思考VPN-Cubed 首席开发人员 Dmitiry Samovskiy 关于创建 VPN-Cubed 的看法是：创建 VPN-Cubed 最难的部分是关注云计算用户或者说是云计算租户这些年来我们努力的网络设备的模式是一个大金属盒 ... 这是错误的方法虚拟网络，由企业应用程序拓扑需求所驱动，是个新的用例，[实现它]需要一些真正的横向思维。

虚拟网络应该无处不在，无时不在它们是移动的它们为企业在越来越灵活且常常是匿名的虚拟架构世界中提供关键的控制功能虚拟网络是构建在另一个网络上的计算机网络虚拟网络中的节点可以认为是由虚拟或逻 辑链接连接起来的，每个都对应一个路径，可能在底层网络通过多个逻辑链接 基于云计算的虚拟网络可用来维护跨多个地点的控制，允许用户控制它们自己的网络拓扑、 网络寻址、加密通信以及所需的网络协议，而这都是以可扩展、高冗余的形式 虚拟网络是基于冗余、加密的、点对点的连接（从基于云计算的服务器到云计算中运行的 混合虚拟设备）这些混合设备充当虚拟网络的虚拟交换机和路由器，这些虚拟网络构筑于物理网络之上虚拟网络提供给用户普通的 LAN 一样的网络，其中服务器位于物理数 据中心（虚拟化或未虚拟化）、私有云以及公用云 云计算中的虚拟网络的优点有：它们可让用户控制：o选址（对基于云计算的服务器的自定义私有选址）o拓扑（由虚拟交换机、虚拟桥、虚拟路由器组成的虚拟网络）o协议（可将 UDP Multicast 这样的协议用于服务选择/发现）部署在云环境中的服务器的加密通信通过使用 IPsec 信道保证现有基于数据中心的外联网解决方案的安全连接。

网络识别位置抽象能进行快速和轻松的灾难恢复为合规性报告和审计提供用户控制级的安全性允许现有的 NOC 监控和管理基于云计算的服务器 现在我们看看构建虚拟网络时需要考虑的一些问题构建虚拟网络构建虚拟网络构建虚拟网络几乎不需修改用户的数据中心基础架构连接到虚拟网络云计算的一端是通 过现有的 IPsec 外联设备完成的，这些设备已用参数测试过，并且通过机构证明 — 和现 在公司为业务伙伴和供应商构建外联网连接一样虚拟网络设备使用加密的 IPsec 连接， 并在合适的地方放置路由器以便基于云计算的服务器能与合适的基于数据中心的服务器通 信 构建虚拟网络云计算端与构建物理数据中心的网络类似物理网络情况下，服务器需要通 过线缆和交换机互相连接，有时还要通过防火墙/边缘路由器连接到 Internet云环境需要 一个虚拟抽象 — 基于云计算的虚拟网络管理器实例作为虚拟交换机、防火墙和路由器， 并且从基于云计算的服务器到那些管理器实例的客户 VPN 连接需要处理云计算内部的加 密通信管理器实例将 IPsec 信道交通路由到数据中心，并作为基于云计算的服务器之间 的加密交换机网络协议配置网络协议配置虚拟网络使用虚拟交换机。

这并不意味着与云计算中的服务器通信时需要另外的 I/O 转换， 但代价是，无法知道运动中的数据是否安全及是否加密 当构建物理网络时（当 “配置金属” 时），可用性是关注的重点；有主动式/被动式构建， 万一发生故障，可以替换这很正常，但管理代价太高，而且很不方便当使用虚拟网络 时，还可利用虚拟网络工具，因此就没有 “等待的金属”备份可根据现有监控工具按需提 供，从而减少开销，提高利用率 这个过程很安全，而且利用了您的团队的已有技能：站点到站点的 IPsec，以及云环境的 Secure Sockets Layer您的 IT 团队现在已经知道了如何配置、管理和监控有了这些 虚拟设备，他们能以动态（两种含义都有）方式完成工作样例：演示云计算自动化能力样例：演示云计算自动化能力VPN-Cubed：虚拟网络：虚拟网络VPN-Cubed 是一个商务解决方案，可让用户控制云环境内部、云环境之间以及私有架构与云环境之间的网络CohesiveFT 公司，从事虚拟和云计算领域；它从用户角度出发，帮助企业以多种方式使用云服务，给企业带来价值，并且帮助企业用户利用云计算的优势现在我就根据以上所讨论的内容举个例子。

这是一个我通常安装及拆除的网络在 CohesiveFT，我们用它来演示各种云计算自动化功能它有三个特性：一个 172.31.1.0/24 子网，覆盖有 IBM Dev & Test Cloud Raleigh RTP 和 Einighen EHN，有冗余 VPN-Cubed（VPN3）管理器在主段运行（RTP）这是 一个应用程序网络，其中有一个 N 层集群式 Java™ 应用程序及集群式 MySQL 在运行一个 192.168.1.0 网络，作为 IBM Cloud 中的流动的 “办公网络”，其中有 Windows® 和 Linux® 远程桌面在运行它用 IPsec 连接到主应用程序网络，并 连接到 CohesiveFT 的办公室一个 192.168.3.0/24 网络在 CohesiveFT/Chicago，可从云计算的其他部分访问， 或访问其他部分 在这个网络中，我们用的是 RTP 和 EHN 上的 VPN3.2.0（候选发布第 3 版）AMIs 下一个发布版本包含命令行 API、虚拟防火墙以及 64 位支持，是我们的最新成果您可 以在 网络创建过程配置视频 中一睹为快。

设计完成后，我就立即从每个 VPN3 管理器中取得快照文件这些快照包含网络配置和 凭证信息我将这些文件保存在安全的地方，用于以后重新激活网络 有了这些快照，我就可以使用 VPN-Cubed Context3 Cluster Launch 工具处理所需实例 的 XML 定义像这样（这是很简单的集群启动文件）：bronze-32RTP11200095511xx.1xx.2xx.xxbronze-32200095511xx.1xx.2xx.xxbronze-3220009551EHN1xx.xx.xx.xxbronze-3220009551RTP1xx.xx.2xx.xxxbronze-32然后可以通过上传合适的快照到相应的公共 IP 上的新管理器来重新生成并调整网络连接 有了 API（vpncubed.rb），新启动实例的实例 ID、赋给新启动实例的 IP，以及从我的 设计阶段预先保存的快照文件如下：vpncubed.rb -K api -S $mgr1_id -H $mgr1_ip import_snapshot --snapshot $mgr1_snapshotvpncubed.rb -K api -S $mgr2_id -H $mgr2_ip import_snapshot --snapshot $mgr2_snapshotvpncubed.rb -K api -S $mgr3_id -H $mgr3_ip import_snapshot --snapshot $mgr3_snapshotvpncubed.rb -K api -S $mgr4_id -H $mgr4_ip import_snapshot --snapshot $mgr4_snapshot几分钟后，一切都顺利完成并重新运行。

已经可以使用 Context3 来部署 N 层集群式应 用程序和移动远程办公基础架构了，几分钟就可以搞定 除了在 cubesetup.xml 定义网络之外，无需其他工作，就可以在这两个数据中心轻松转移 拓扑，只需一点点额外的网络设计，我就可以把东西移到其他公用和私有云中而且，让 人高兴的是，它是脚本化的，可以任意复制。