SDN如何改變多租戶數(shù)據(jù)中心,優(yōu)勢和挑戰(zhàn)又有哪些

　　近一兩年來,多租戶數(shù)據(jù)中心中如何保持多租戶之間的敏感數(shù)據(jù)的隔離面臨著巨大的挑戰(zhàn)。本文介紹的就是如何利用SDN來改善多租戶數(shù)據(jù)中心的隔離問題。

　　由于典型的多租戶數(shù)據(jù)中心為多個用戶托管了IT基礎(chǔ)設(shè)施，每個數(shù)據(jù)中心的資源都是相對有限的，所以將整個機(jī)器專為一個用戶服務(wù)往往效率低下。相反，一臺裸機(jī)最有可能為多個用戶托管多個虛擬機(jī)，即所謂的多租戶網(wǎng)絡(luò)。過去，路由器和交換機(jī)通過子網(wǎng)劃分和虛擬局域網(wǎng)處理網(wǎng)絡(luò)分段，將一個服務(wù)器機(jī)架專門用于單個應(yīng)用程序或服務(wù)頗受業(yè)界歡迎。但現(xiàn)在，軟件定義網(wǎng)絡(luò)（SDN）的日益普及首先改變了數(shù)據(jù)中心的架構(gòu)。

　　SDN控制器在邏輯上位于底層交換設(shè)備的北向位置，通過12元組（12-tuple）標(biāo)題字段為網(wǎng)絡(luò)管理員提供對網(wǎng)絡(luò)流量流量的大量控制：

　　在給定的12-tuple中，網(wǎng)絡(luò)管理員可以配置SDN控制器，以基于包頭來組合路由流量。單個用戶可以在多租戶數(shù)據(jù)中心托管多個服務(wù)，網(wǎng)絡(luò)管理員可以通過基于ingress端口、源端口（source port）、目標(biāo)端口（desTInaTIon port）以及專用于該用戶所托管服務(wù)的任何包頭組合來配置流量，從而隔離同一數(shù)據(jù)中心內(nèi)其他用戶的流量。因此，如果數(shù)據(jù)中心內(nèi)的另一個租戶運行類似的服務(wù)或應(yīng)用程序，則網(wǎng)絡(luò)管理員可以指示SDN控制器基于相同的包頭但是通過不同的值來路由流量。因此，每個租戶的流量成功地彼此隔離，而不會中斷網(wǎng)絡(luò)的性能。

　　傳統(tǒng)上，將網(wǎng)絡(luò)設(shè)備或新的服務(wù)器添加到現(xiàn)有網(wǎng)絡(luò)需要為網(wǎng)絡(luò)配置預(yù)留大量的時間，將新的網(wǎng)絡(luò)設(shè)備直接引入到網(wǎng)絡(luò)中將會產(chǎn)生很大的影響。

　　但使用SDN，控制器可以了解如何將新設(shè)備集成到網(wǎng)絡(luò)中。雖然這對于實現(xiàn)網(wǎng)絡(luò)敏捷性的組織來說是一個巨大的優(yōu)勢，但它也會帶來可視化的問題。當(dāng)管理員添加或刪除多個設(shè)備、網(wǎng)絡(luò)時，可能難以保持對網(wǎng)絡(luò)的實時控制，這可能會導(dǎo)致嚴(yán)重的安全問題。例如，如果缺乏適當(dāng)?shù)木W(wǎng)絡(luò)監(jiān)控，黑客可能更容易將設(shè)備添加到SDN網(wǎng)絡(luò)中。