摘 要： 云計算能夠提供快速、靈活、穩(wěn)定和可靠的服務。現(xiàn)有的云計算網絡架構非常復雜。為了提高云計算網絡的安全性，并使其節(jié)能、易管理，設計并實現(xiàn)了一種基于OpenFlow技術的簡化的云計算網絡架構。與現(xiàn)有的云網絡架構相比，簡化的網絡體系結構具有按需供給和安全性高等特點。

　　關鍵詞： 云計算；OpenFlow；網絡架構

0 引言

　　云計算具有靈活、可擴展、容錯性強等特征。現(xiàn)有的云計算網絡架構非常復雜，一個數(shù)據(jù)中心包括防火墻、以太網交換機、服務器負載均衡器、服務控制引擎和入侵檢測等模塊。對于每一次的服務都需要涉及到較多的設備。云計算網絡架構需要重新設計和簡化。簡化的網絡架構必須易于維護、配置，能夠提供良好的服務，且具有較高的安全性。本文采用OpenFlow技術建立了一種簡化的云計算網絡架構。防火墻、服務器負載均衡器和以太網交換機都可以在一個設備上通過程序來模擬實現(xiàn)。這種新的綜合設備易于構建、編程和管理，同時簡化的數(shù)據(jù)中心網絡架構將降低運營成本，提高云數(shù)據(jù)中心的運營靈活性。

1 現(xiàn)有的云計算網絡架構

　　現(xiàn)有的云計算網絡架構在服務層有很多不同的元素，包括路由器、防火墻、以太網交換機、光纖通道交換機和服務器負載均衡器等設備[1]。云計算網絡使用防火墻來保護服務器和存儲器，防火墻的功能為允許或拒絕基于一個規(guī)則集的網絡傳輸。負載均衡器實現(xiàn)各服務器之間的負載共享。

　　在云計算網絡架構中，數(shù)據(jù)中心包含許多服務設備。該數(shù)據(jù)中心通過核心路由器連接到互聯(lián)網，并通過一個匯聚層聚合服務層設備。服務層設備包括防火墻、負載均衡器等。所有的服務層設備連接到匯聚層，并通過匯聚層設備進行交換或路由。用戶可以靈活地提交業(yè)務，基于每個服務，網絡體系結構可以是不同的。一些用戶可以選擇負載均衡服務和防火墻服務；另一些用戶則可以根據(jù)固定的業(yè)務量，選擇靈活的計費服務。網絡架構可以根據(jù)所提供業(yè)務的不同而變化。接入層包括虛擬接入設備、服務器和存儲器。接入層提供服務器和網絡之間的物理連接。該網絡結構和配置非常復雜，不易操作。

2 OpenFlow技術

　　OpenFlow[2-3]是2007年9月由斯坦福大學提出的一種未來互聯(lián)網技術。OpenFlow技術的目標是允許研究人員在網絡上運行創(chuàng)新和實驗的方案。為了維護和支持OpenFlow的規(guī)范，2008年相關研究人員在斯坦福大學建立了OpenFlow交換機論壇。OpenFlow作為一個功能模塊添加到現(xiàn)有的以太網交換機、IPv4路由器和WiFi接入點上，其擁有一個內部流表[4]和標準化的接口，用來添加和刪除流表項。OpenFlow交換機論壇定義了流表和OpenFlow控制器，能夠通過遠程遙控器來控制OpenFlow設備。

　　在傳統(tǒng)的交換機或路由器中，數(shù)據(jù)平面的報文轉發(fā)和控制平面的路由處理決定都是在同一臺設備上進行。主機控制和數(shù)據(jù)處理功能在一起，使網絡設備變的復雜而且不靈活。OpenFlow采用“Clean slate”的將數(shù)據(jù)平面和控制平面分離的設計方法。在一般情況下，數(shù)據(jù)平面負責報文處理和轉發(fā)，而控制平面負責數(shù)據(jù)流的處理。外部的OpenFlow控制器負責管理控制平面。有了此功能，研究人員可以實時地在網絡上運行創(chuàng)新的協(xié)議，以驗證實驗方案，而不必受制于網絡設備出自不同的廠商。通過OpenFlow協(xié)議，OpenFlow控制器控制流表和交換機的狀態(tài)，以及流信息。OpenFlow的可編程特性使網絡管理員可以動態(tài)地配置和管理OpenFlow網絡，從而提高管理和維護的效率。

3 基于OpenFlow技術的簡化云計算網絡架構

　　基于OpenFlow技術的簡化云計算網絡架構包括網絡設備整合、按需供給和安全網絡三方面。

　　3.1 云計算網絡設備整合

　　采用一個新的網絡整合設備以簡化云網絡架構。這種簡化的云計算網絡架構的設計可以提高網絡運行、管理和維護的效率，減少工作量。

　　使用OpenFlow技術以鞏固原有的云計算網絡設備。傳統(tǒng)的云計算數(shù)據(jù)中心匯聚層處于第二層和第三層的邊界上，數(shù)據(jù)中心包含防火墻和服務負載均衡器等。新提出的架構使用單一的OpenFlow設備。OpenFlow設備能夠實現(xiàn)所有匯聚層的交換特性和服務層的服務功能，包括防火墻、服務負載均衡器等功能。這些服務層的功能通過軟件和配置實現(xiàn)，并提供給OpenFlow，通過OpenFlow的協(xié)議和控制器接口進行交換。OpenFlow控制器的接口定義了添加、刪除、修改和獲取信息等操作功能的流表。

　　OpenFlow設備的鏈路狀態(tài)、節(jié)點信息、流表和鏈路利用率可以很方便地通過控制器的接口進行監(jiān)測。基于12元組流表配置，OpenFlow交換機可以實現(xiàn)防火墻、負載均衡器、交換機等功能。服務功能可以通過OpenFlow控制器部署和配置，并放置在OpenFlow控制器之外。不是所有的數(shù)據(jù)包都必須傳遞到OpenFlow控制器進行處理，在此架構中，流表對防火墻功能的配置可以根據(jù)用戶的要求進行預定義。與這些預定義相匹配的數(shù)據(jù)包不會傳遞到OpenFlow控制器，因此OpenFlow控制器不需要處理大量的工作。

　　3.2 按需供給

　　云計算能夠靈活地對虛擬化資源進行按需供給。當用戶預訂時，云計算服務、虛擬機和網絡設備將立即響應這些請求，而傳統(tǒng)的網絡設備無法實現(xiàn)動態(tài)提供服務功能。另一方面，采用OpenFlow技術能夠提供動態(tài)網絡服務，OpenFlow設備網絡是具有可編程、易于設置和按需配置等特性的云計算網絡。

　　按需供給的云計算服務網絡架構如圖1所示。首先，客戶可以通過互聯(lián)網訪問門戶網站，該門戶網站具有服務平臺和網絡平臺。云服務和網絡服務必須由云提供商來提供。云服務包括虛擬機、IP多媒體子系統(tǒng)以及Hadoop；網絡服務包括流計費、分布式拒絕服務（DDoS）攻擊防御和防火墻等網絡服務。一旦用戶提交云服務，訂閱的服務將會立即提供。OpenFlow控制器負責網絡設備的在線供給技術，用戶提交訂閱的服務后，云服務和網絡功能將會立即提供相關服務。

　　3.3 安全網絡

　　安全問題一直是云計算的主要問題，關于安全的議題科研人員已經進行了大量的研究工作。本文專注于身份管理和可用性，以提高云計算網絡安全的能力。身份管理可以讓每一個客戶端都有自己的身份來訪問云服務。通常身份驗證是在服務器側進行，網絡安全由數(shù)據(jù)中心的入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）負責。攻擊者對數(shù)據(jù)中心進行攻擊時，其流量將占用大量的網絡資源，因此該解決方案效率較低。如果網絡設備具有檢查每個數(shù)據(jù)包身份的能力，就沒有必要將身份數(shù)據(jù)包發(fā)送到服務器進行確認。在OpenFlow控制器端，OpenFlow交換機可以檢驗數(shù)據(jù)包的身份，只有擁有有效身份證件的數(shù)據(jù)包才會允許通過。

　　另一方面，可用性保證客戶端能夠正常地訪問云服務。許多安全威脅，例如IP欺騙、DDoS攻擊、病毒感染等，會嚴重危害云服務，甚至導致其停止服務。在OpenFlow控制器端實現(xiàn)了基于OpenFlow的DDoS攻擊防御[5]，同時在云計算網絡上部署IPS防止入侵。

　　云計算網絡的安全部署集成了按需供給應用，如圖2所示。一旦客戶端的云服務請求被批準，客戶端的ID將在OpenFlow控制器進行注冊，并在OpenFlow交換機添加相應項。只有可識別的信息才能傳遞給服務器。當OpenFlow交換機接收到的數(shù)據(jù)包與流表不匹配時，該數(shù)據(jù)包將被發(fā)送到OpenFlow控制器。控制器將驗證其ID是否在許可的客戶端名單上。如果ID已經被注銷或者無效，則該數(shù)據(jù)包將被丟棄或發(fā)送給安全設備（如IDS或IPS），作進一步檢查。作為一個高度安全的網絡結點，網絡必須具有OpenFlow的ID驗證、DDoS攻擊防御和IPS設備等功能。

4 簡化云計算網絡架構的實現(xiàn)

　　為了實現(xiàn)所設計的簡化云計算網絡架構，使用OpenFlow交換機來替換現(xiàn)有的負載均衡器、防火墻和以太網交換機。這種實現(xiàn)方案可以簡化云計算數(shù)據(jù)中心網絡體系結構。

　　OpenFlow交換機必須實現(xiàn)網絡地址轉換（NAT）和訪問控制列表（ACL）等基本功能以取代防火墻。首先，服務器的IP地址是私有IP地址，所以需要NAT功能變換公網IP地址為私有IP地址。其次，需要實現(xiàn)ACL功能，OpenFlow交換機流表中有12個元組，可以靈活地為ACL功能設置特定的規(guī)則。通過實現(xiàn)NAT和ACL功能來代替防火墻。

　　還需要OpenFlow交換機具有負載均衡功能。對于同時向同一個服務器發(fā)送相同請求的情況，實現(xiàn)平均分配各個請求到多個服務器，各服務器對請求提供相同的服務。其結果為相同請求的吞吐量將平均發(fā)送到多個服務器。通過原來的以太網交換機的功能，實現(xiàn)了簡化的云計算網絡架構的功能。

5 結論

　　近年來云計算已經成為最熱門的話題之一。原來的云計算數(shù)據(jù)中心網絡體系結構非常復雜，簡化的云計算網絡架構旨在實現(xiàn)網絡的安全性、敏捷性，整合能源效率。該架構包括網絡設備整合、按需供給和安全性。

參考文獻

　　[1] 寧軍. 云計算趨勢對網絡基礎架構的影響[J]. 信息通信技術, 2013(1):38-41.

　　[2] MCKEOWN N, ANDERSON T, BALAKRISHNAN H, et al, OpenFlow: enabling innovation in campus networks[J]. ACM SIGCOMM Computer Communication Review, 2008,38(2):69-74.

　　[3] 蔡進科,顧華璽,盧冀,等. 基于Openflow 網絡的高可靠性虛擬網絡映射算法[J]. 電子與信息學報, 2014,36(2):396-402.

　　[4] 朱永慶,陳華南,唐宏. 基于OpenFIow協(xié)議的 MSE 設備實現(xiàn)方法研究[J]. 電信科學, 2013,29(12):134-138.

　　[5] YUHUNAG C, MINCHI T,YaoTing C,et al. A novel design for future on-demand service and security[C]. 2010 IEEE 12th International Conference on Communication Technology, 2010:385-388.