图3VSR在企业公有云网络中的应用 <.....

  

    云计算按照部署模式通常分为私有云、公有云、及混合云。对企业来说，能够采用任何一种模式来搭建自己的IT基础设施。在公有云发展成熟之前，很多大中企业更倾向于部署自己的私有云，以满足企业的IT需要。私有云虽然能够满足企业的个性化需要，安全性也高，但存在建设成本高、管理维护难、设备利用率低、资源弹性不足等疑问和未知办法。

    随着各大互联网公司、电信运营商大范围部署公有云，并通过互联网向用户给予服务，公有云服务越来越成熟。在具有资源按需租用、业务灵活部署、节省企业成本等优点的同时，安全性、可靠性、业务体验上也有了很大的提高，这样就为企业将IT应用迁移和部署到公有云中创造了客观条件。很多中小企业不用投入大笔资金建设自己的IT设施，通过租用公有云服务同样能够保证企业的业务运营。但对有些企业（尤其是大型企业）来说，出于安全和控制的考虑，不会全部采用公有云来构建自己的IT体系，而是采用混合云策略：租用公有云，把一些非关键、弹性较大的应用迁移到公有云中；建设私有云，用于部署关键的IT应用、存放敏感的企业数据；从而节省私有云的建设和维护成本，平衡企业成本和安全需要，同时在私有云能力不足时，全部能够快速借用外部公有云的资源，保证业务不因资源不足而中断，提高业务弹性。

图1企业IT发展趋势

    一、企业混合云对网络的挑战和需要

    云计算无论怎么分类、怎么部署，从本质上讲，云计算的目标是将各种IT资源（计算、存储等资源）和应用以服务的方式通过网络交付给用户，用户按需应用和付费。从云计算的目标能够看出，云计算通过网络向用户给予服务的，基于网络的服务方式既是云计算的特点，还可以是云计算的优势，因此对云计算来说，网络是非常主要的基础设施。

    以云计算的数据中心为界面，云计算相关的网络能够分为内部网络和外部网络：

    内部网络就是将数据中心内部的服务器、存储等设备有效的连接起来，即云内互联网络；

    外部网络包含两部分，一部分是如何让用户安全快捷的访问云应用的网络，即云端互联网络；另一部分是如何实现云之间的二层互联，满足云资源统一管理和灵活迁移的需要，即云间互联网络。

    企业混合云是由企业私有云（也称为企业虚拟私有云，VPC）和公有云组成，企业私有云是企业全部拥有并控制的，它的网络还可以是企业可控的；但公有云是1个典型的多租户环境，基础设施和资源都是所有租户共享的，对企业租户来说，公有云网络是游离在企业网络之外，不可控的，面临以下疑问和未知办法和挑战。

    网络难以统一管理：公有云网络配置、安全策略、地址分配、访问机制、网络管理等都无法和企业私有云网络保持一致，企业一定管理两个分离的网络，造成维护成本上升。

    云资源不能统一管理：公有云和私有云通过IP网络互联，虽然两个云中的虚拟机能够通信，但由于不是二层网络，导致虚拟机无法迁移，也就造成两个云的资源不能实现统一管理和动态调度。

    数据安全风险高：不能在企业总部/分支和公有云之间建立端到端的VPN连接，分支用户一定绕道总部经公网来访问公有云应用，存在较大的安全风险，企业信息可能会被泄露，给企业造成损失。

    云应用访问体验差：企业在公有云网络中没有自己的网络设备，无法部署和实施报文识别、流量控制、集成网络业务，从而造成用户访问企业私有云和公有云时难以获得一致的业务体验。

    如何解决公有云网络的统一管理、如何保证用户安全快捷的访问公有云应用，如何实现企业私有云和公有云之间的安全互联，达到云资源的统一管理。这些都是企业建设混合云过程中须要解决的主要疑问和未知办法。

    本文将主要探讨企业混合云中公有云网络面临的需要及应对策略，按照前面描述，讨论包含两个方面，1个是如何给予更好的云端访问网络，保证企业用户获得和私有云相同的公有云访问体验，1个是如何给予更好的云间互联网络，使得企业管理员能够统一管理混合云资源。

    二、企业混合云网络解决方案

    VSR（VirtualServicesRouter）是H3C发出的一款虚拟路由器产品（如图2所示），作为部署在公有云中的租户网关，全部能够支持企业解决在混合云建设中面临的公有云网络疑问和未知办法。和物理路由器一样，VSR采用业界领先的专业网络平台ComwareV7，运行在标准服务器的虚拟机上，给予和物理路由器相同的性能和体验，包括路由、防火墙、VPN、QoS、及配置管理等，同时充分利用虚拟平台的特点，简化设备的部署安装。

图2VSR虚拟路由器

    1.VSR实现混合云端访问网络

    在企业将一些IT应用迁移和部署到公有云之后，企业总部和分支的用户就会同时访问企业私有云和公有云，私有云的访问由企业网络来完成，并给予良好的访问体验，而公有云的访问一般是通过互联网来访问，既不安全，也无法达到本地访问的体验。

    在公有云中，会存在很多租户，所有的租户共享云服务商的物理基础设施，包括服务器、存储、网络，云服务商租给租户的是虚拟资源，每个租户的虚拟资源形成1个VPC，也就是企业的公有云，云服务商会肩付的责任这些资源之间的安全隔离、网络策略、及可靠性等疑问和未知办法，企业租户更关注VPC内部的资源应用、安全访问等。

网络中的应用 " src="http://img04.hc360.com/it/201312/201312191630467120.jpg">

图3VSR在企业公有云网络中的应用

    如图3所示，VSR作为公有云中的VPC网关，部署在虚拟机上，全部能够支持企业更方便的管理公有云网络，给予相应的服务。

    地址管理。VPC是企业在公有云中租用的虚拟私有云，从网络规划的角度，属于整个企业网的一部分，都属于私网，应分配私网地址。为简化VPC网络地址管理，可在VSR上启动DHCP服务器性能，自动向VPC中的虚拟机分配IP地址、掩码、缺省网关、DNS地址等信息。一般情况下，VSR至少配置两个虚拟网口：1个作为LAN口和VPC内部的虚拟机进行通信，分配私网地址；另1个作为WAN口和外部网络进行通信，由云服务商配置公网地址（或者是经过NAT设备转换后能够访问公网的地址）。

    域名服务。如果企业用户须要通过域名来访问公有云的应用，能够在VSR上启用DNS服务，为VPC的虚拟机给予域名解析服务，方便用户的访问。

    网络互联。VSR作为VPC网关，肩付的责任为VPC给予安全可靠的网络互联。利用VSR的IPSecVPN性能，能够在VPC和企业总部、分支之间建立端到端的VPN隧道，实现企业用户安全快捷的访问公有云应用。同时，远程用户或出差员工也能够利用VSR的SSLVPN性能，安全的访问公有云应用。同时VSR能够启用NAT性能，将VPC内部虚拟机的私网地址转换为公网地址，实现VPC和Internet的互通。

    网络服务。对关键业务，能够在VSR上配置相应的QoS策略，保证高优先级的业务访问得到保证。另外，还能够利用VSR的策略路由等性能，实现和WAN优化、WebCache等网络业务进行集成，节省带宽、提高响应速度，使得用户在访问企业公有云应用时有更好的业务体验。另外，VSR能够启用防火墙性能来保证VPC内外网之间的安全；能够启用负载均衡性能，将访问流量均匀的分发到不同的虚拟机上，实现VPC内部的业务均衡。

    网络管理。VSR和H3C其他物理网络设备一样，除了命令行等单机管理之外，还能够接受iMC统一管理。这样企业就能够通过统一的iMC管理平台，将VSR纳入到企业网络中，和其他网络设备一起进行管理。

    可靠性。VSR给予了VRRP等可靠性性能，在应用VRRP性能时，在1个备份组中的VSR建议安装在不同的物理主机上，这样当物理主机故障时，在其它物理主机上的VSR全部能够继续为VPC给予网络服务。

    由此能够看出，VSR作为VPC网关，给予网络、VPN、NAT、防火墙、QoS等性能，让企业员工全部能够安全快捷的访问公有云云应用，获得和私有云相同的访问体验，同时把VPC网络纳入到企业网络中进行统一管理，解决了混合云网络中的云端互联疑问和未知办法。

    2.VSR实现混合云间互联网络

    从网络管理角度，公有云和私有云分属云服务商和企业，它们通过标准的三层IP网络进行连接，能够实现虚拟机之间基本互通。但随着虚拟机在两个云中在线迁移、资源在两个云中统一调度的需要越来越多，这就须要构建连接公有云和私有云的二层混合云网络。

    实现跨广域网的二层网络互联，主要有以下两种。

    1)通过VPLS实现互联

    VPLS（VirtualPrivateLANService，虚拟专用局域网服务）的诞生早于云计算好几年，是标准科技且已很成熟，它是在MPLS或IP骨干网上给予的一种点到多点的二层VPN业务。服务给予商通过在骨干网上为1个用户网络模拟一台连接多个异地站点的虚拟交换机来为用户网络给予VPLS服务。骨干网对这个用户网络的站点来说是透明的，用户网络的各个站点就像工作在1个局域网中一样。

    VPLS作为一种标准的二层VPN科技，由于科技简单可靠、易于实现等优点，是目前被广泛认可的二层网络扩展科技，各主流网络厂商都有成熟完整的解决方案。但对这个数据中心二层网络互联来说，VPLS也有一些自己的缺陷，如缺乏对局域网的优化、依赖运营商网络、配置复杂等，因此，各主流网络厂商专为云计算数据中心发出专门科技，如H3CEVI（EthernetVirtualizationInterconnect，以太网虚拟化互联）、CiscoOTV（OverlayTransportVirtualization，覆盖传输虚拟化）等。

    2)通过EVI实现互联

    EVI是一种基于IP核心网的二层VPN科技，是一种先进的“MACinIP”科技。它能够基于现有的服务给予商网络和企业网络，为分散的物理站点（数据中心或云）给予二层互联性能。EVI只是在站点的边缘设备上维护路由和转发信息，无需改变站点内部和IP核心网络的路由和转发信息。EVI克服了VPLS的缺陷，具有如下优点：

    站点间相互独立，站点间二层互联后，某个站点的故障（如广播风暴）不会传递到其它站点，解决了VPLS的缺陷；

    网络要求低，只要求服务给予商网络支持IP即可；

    管理维护简单，只须要在站点边缘部署1个或多个支持EVI性能的设备，企业网络和服务给予商网络无需做任何变动。

    VSR给予了VPLS、EVI等二层互联性能，支持企业将公有云和私有云在二层网络上互联起来，实现可统一管理的混合云（如图4所示）。企业通过在公有云VPC上部署VSR，实现了企业私有云和公有云的二层网络互联，形成大二层。无论用户访问私有云也是公有云应用，体验是一致的，云应用全部能够在公有云和私有云之间自由迁移和部署，能够灵活调配云计算资源，实现资源利用最大化，增多业务弹性，降低管理和维护的复杂度。

    图4VSR在企业混合云间互联的应用

    三、结束语

    企业采用混合云策略建设IT体系，可同时发挥公有云和私有云的优点，有利于促进业务运营、提高资源利用率、增强体系弹性、节省资金投入。但也给企业网络及其管理维护提出了更高的要求：如何保证用户能安全快捷的访问公有云应用、如何将公有云网络纳入到企业网络中统一管理、如何将公有云和私有云无缝互联，做到统一管理云资源……。通过在公有云中部署VSR虚拟路由器，企业在公有云中有了自己的网络设备，从而全部能够解决上述疑问和未知办法，构建1个安全、统一的混合云。

    

上文回故：便的管理公有云网络，给予相应的服务。

    地址管理。VPC是企业在公有云中租用的虚拟私有云，从网络规划的角度，属于整个企业网的一部分，都属于私网，应分配私网地址。为简化VPC网络地址管理，可在VSR上启动DHCP服务器性能，自动向VPC中的虚拟机分配IP地址、掩码、缺省网关、DNS地址等信息。一般情况下，VSR至少配置两个虚拟网口：1个作为LAN口和VPC内部的虚拟机进行通信，分配私网地址；另1个作为WAN口和外部网络进行通信，由云服务商配置公网地址（或者是经过NAT设备转换后能够访问公网的地址）。

 &.....