云計算對互聯(lián)網(wǎng)架構安全解析

近幾年來(lái)世界范圍內互聯(lián)網(wǎng)經(jīng)濟的強勁復蘇，將二十一世紀初互聯(lián)網(wǎng)泡沫破裂給產(chǎn)業(yè)帶來(lái)的負面影響一掃而光。而以web 2.0、微博、SNS等業(yè)務(wù)為代表的新的業(yè)務(wù)形態(tài)，以物聯(lián)網(wǎng)、虛擬化、三網(wǎng)融合等為代表的新的技術(shù)領(lǐng)域和以芯片能力、寬帶接入、無(wú)線(xiàn)網(wǎng)絡(luò )等為代表的基礎技術(shù)革新，給互聯(lián)網(wǎng)產(chǎn)業(yè)的進(jìn)一步快速發(fā)展和產(chǎn)業(yè)變革注入新的動(dòng)力。這其中，云計算是一股令人振奮的革命性的推動(dòng)力量。

　　云計算無(wú)論是作為一種新的商業(yè)模式還是一種新的技術(shù)，其對互聯(lián)網(wǎng)的影響都是深遠的。云計算(主要是公有云)對互聯(lián)網(wǎng)架構及安全的影響則主要體現在其資源部署模式和技術(shù)實(shí)現方面。特別是云計算的運行環(huán)境—云數據中心的分布和部署方式對互聯(lián)網(wǎng)架構影響顯著(zhù)。

　　據相關(guān)機構預測，全球未來(lái)幾年數據中心業(yè)務(wù)將保持高速增長(cháng)，年復合增長(cháng)率超過(guò)20%，其中云計算增速最快。2008年，雖然受金融危機影響，國內互聯(lián)網(wǎng)數據中心增長(cháng)率下滑，但增速仍達39.1%。目前基本恢復到近50%的增長(cháng)速度。我國的數據中心市場(chǎng)三大基礎運營(yíng)商占有大壁江山，市場(chǎng)占有在 60%以上。

　　云數據中心因為規模更大，集中度更高，出口帶寬更高，可靠性要求更苛刻，因此對互聯(lián)網(wǎng)架構的影響相比普通的數據中心更大，其影響可從城域網(wǎng)、骨干網(wǎng)和網(wǎng)間互聯(lián)三個(gè)方面進(jìn)行分析。

　　1.對城域網(wǎng)架構安全的影響

　　云數據中心和傳統數據中心一樣，就近接入城域網(wǎng)(省網(wǎng)情況也類(lèi)似)是一種主要的部署方式。特別是非運營(yíng)商數據中心采用這種情形可能更普遍。由于云數據中心往往面向全網(wǎng)提供服務(wù)，如何分流和優(yōu)化這些云數據中心的流量將是城域網(wǎng)面臨的嚴峻挑戰。

　　一方面，云計算業(yè)務(wù)運營(yíng)商會(huì )根據自己業(yè)務(wù)的流量流向特點(diǎn)，通過(guò)分布計算(類(lèi)似于CDN的原理)優(yōu)化自己的系統和網(wǎng)絡(luò )策略，減輕數據中心對接入城域網(wǎng)的壓力。另一方面，互聯(lián)網(wǎng)運營(yíng)商或者ISP需要重新規劃自己的網(wǎng)絡(luò )，實(shí)現流量的分流和優(yōu)化。

　　目前我國主導運營(yíng)商的互聯(lián)網(wǎng)都基本實(shí)現了扁平化結構，城域網(wǎng)絡(luò )直接上聯(lián)骨干節點(diǎn)。根據城域網(wǎng)內云數據中心的規模和分布，增加一些骨干節點(diǎn)的多向連接(或者儲備這樣的預案)是一種積極的方案。此外，城域網(wǎng)的IDC接入路由設備和出口路由設備的部署和能力分擔都應該探索分區和集群模式。對于 ISP(ISP自身可能也是云數據中心)而言，多線(xiàn)連接不同的運營(yíng)商，或者爭取將云數據中心接入運營(yíng)商骨干節點(diǎn)都是一種積極的方案。

　　由于城域網(wǎng)擔負著(zhù)用戶(hù)訪(fǎng)問(wèn)的巨大壓力，面對大業(yè)務(wù)量的面向全網(wǎng)服務(wù)的云計算業(yè)務(wù)，逐步建立面向業(yè)務(wù)的合理架構顯得非常重要。2.對骨干網(wǎng)架構安全的影響

　　為提升數據中心的業(yè)務(wù)能力和影響力，基礎運營(yíng)商自有的云數據中心會(huì )盡可能靠近骨干網(wǎng)絡(luò )節點(diǎn)。由于運營(yíng)商的數據中心也會(huì )開(kāi)展出租業(yè)務(wù)，因此一部分第三方云計算業(yè)務(wù)也會(huì )通過(guò)租用機房的方式接入骨干網(wǎng)。

　　運營(yíng)商的骨干網(wǎng)以往一般是不直接開(kāi)展業(yè)務(wù)的，但是云計算可能會(huì )大規模改變這種局面。如何保障云計算業(yè)務(wù)對骨干網(wǎng)的沖擊將是骨干網(wǎng)架構師面臨的重要任務(wù)。

　　傳統的互聯(lián)網(wǎng)業(yè)務(wù)強調“就近服務(wù)”，因此信源分布、用戶(hù)分布以及運營(yíng)商基礎設施建設基本上呈正相關(guān)的關(guān)系，就我國來(lái)說(shuō)，北京、上海、廣東等寬帶用戶(hù)規模較大、基礎設施較好的省市同時(shí)也擁有全國大多數的信源資源。與這種情況相對應的是網(wǎng)絡(luò )流量也從全國各地向這些網(wǎng)絡(luò )資源發(fā)達的地區集中，形成了北京、上海、廣州等幾個(gè)重點(diǎn)的互聯(lián)網(wǎng)流量集中地。

　　在云計算環(huán)境下，大規模超大規模數據中心是趨勢。此時(shí)數據中心的能源消耗所帶來(lái)的成本將成為云提供商重點(diǎn)考慮的問(wèn)題。例如google公司在多個(gè)地點(diǎn)擁有約12座專(zhuān)屬數據中心，共運行著(zhù)約100萬(wàn)臺服務(wù)器，即使不考慮數據中心路由器、交換機等設備的電力消耗，僅是這些服務(wù)器的電力需求就達到 500兆瓦，相當于半個(gè)舊金山市區的電力消耗。因此google公司盡量選擇在電力資源豐富、地理條件安全、很少有自然災害的地方建設數據中心，例如將云計算數據中心建在OREGON水電站附近，或建立在諸如比利時(shí)等溫度較低的地方，以利用空氣自然冷卻。

　　我國西部和東北因為自然條件好(溫度優(yōu)勢)和人力成本低廉，會(huì )成為大型云計算運營(yíng)商重點(diǎn)部署區域，云數據中心部署模式以用戶(hù)和信源為中心向以能源為中心轉變，由東部地區向中、西部、東北地區發(fā)展會(huì )成為一種趨勢。這種變化對以用戶(hù)和信源為中心的骨干網(wǎng)絡(luò )架構和設備配置提出了新的要求。骨干網(wǎng)的架構必須重視這種變化，提前做出反應，保障對云計算業(yè)務(wù)和傳統業(yè)務(wù)的有效承載。

　　3.對網(wǎng)間互聯(lián)架構安全的影響

　　云數據中心似乎對網(wǎng)間的互聯(lián)互通影響不大，其實(shí)不然。由于歷史原因，我國互聯(lián)網(wǎng)的幾大主要骨干網(wǎng)之間在京、滬、穗三地進(jìn)行互聯(lián)，其他地方并沒(méi)有互聯(lián)點(diǎn)或交換中心。所有省與省、城域與城域之間跨網(wǎng)業(yè)務(wù)互訪(fǎng)必須經(jīng)三地繞轉。由于京、滬、穗三地都屬于寬帶用戶(hù)規模較大、基礎設施較好的省市，基本能夠滿(mǎn)足我國東部互聯(lián)網(wǎng)流量相對集中業(yè)務(wù)需求。云數據中心的出現，特別是云數據中心由東向西，由南向北發(fā)展態(tài)勢的轉變，使得傳統的互聯(lián)格局出現瓶頸，難以保證云計算時(shí)代互聯(lián)網(wǎng)網(wǎng)間業(yè)務(wù)的需求，這就需要網(wǎng)間互聯(lián)架構作出調整和優(yōu)化。

　　反觀(guān)美國的互聯(lián)網(wǎng)網(wǎng)間互聯(lián)架構，基本都是在人口密集和業(yè)務(wù)量大的城市設立直連點(diǎn)和交換中心，數量眾多。這是一種市場(chǎng)化的自然選擇。參考國外經(jīng)驗，滿(mǎn)足未來(lái)云數據中心的業(yè)務(wù)需求，在西部增加新的網(wǎng)間直連點(diǎn)或者交換中心，拓展現網(wǎng)的網(wǎng)間架構，提高網(wǎng)間的可靠性和業(yè)務(wù)效率是一種理想方案。

　　云計算在我國還剛剛起步，超大規模云數據中心也處于規劃建設階段，未來(lái)云計算的發(fā)展還存在諸多的不確定因素。但是未雨綢繆，及早應對未來(lái)的需要，提前考慮網(wǎng)絡(luò )架構的優(yōu)化，或者積極儲備架構調整方案是一項長(cháng)期的重要的工作。