云安全與安全虛擬化.pdfx

1、 安全虛擬化后如何實現(xiàn)集群化？ 總體原則：類似于當(dāng)前多核芯片內(nèi)部的機制 初步方案： 1）按照cluster方式來管理防火墻虛機VM 2）cluster基本組成：負(fù)載均衡VM、控制平面VM、數(shù)據(jù)平面VM 3）負(fù)載均衡VM a. b. 功能是將按照一定的策略將報文遞交給多個數(shù)據(jù)平面VM 可行的報文分發(fā)策略是按流分發(fā)，否則數(shù)據(jù)平面VM之間的互斥競爭問題很復(fù)雜 4）控制平面VM，用于統(tǒng)一的配置管理 a. b. 需要考慮控制平面可靠性問題，如果這個VM給宕了，另外一個VM可以無縫的接替，當(dāng)前V5里面還沒有此機制 現(xiàn)在這個控制平面VM管理的是多個類似于V5數(shù)據(jù)平面CPU的防火墻虛機VM，所以控制平面VM與

2、數(shù)據(jù)平面VM之間通信需要 通過IP通信 c. d. 連接控制平面VM的報文不能再像V5走數(shù)據(jù)平面VM了，通過網(wǎng)絡(luò)帶外方式直接走到控制平面VM 不存在由數(shù)據(jù)平面VM到控制平面VM的報文，但是有交互消息（比如配置下發(fā)返回信息、交互提示信息、日志信息等） 5）數(shù)據(jù)平面VM，專注于數(shù)據(jù)報文的處理 a. b. 數(shù)據(jù)平面VM仍然存在一個控制平面，此控制平面負(fù)責(zé)與控制平面VM交互，及一些協(xié)議的處理比如路由、ppp等 數(shù)據(jù)平面VM內(nèi)部還需要有多個數(shù)據(jù)處理線程嗎？ 6）如何劃分和管理cluster？ 7）如何實現(xiàn)控制平面VM的熱備？ 8）控制平面VM、數(shù)據(jù)平面VM、負(fù)載均衡VM部署在同一臺物理服務(wù)器上，則微縮成

3、當(dāng)前的V5系統(tǒng)了 安全虛擬化-如何劃分和管理cluster 6）如何劃分和管理cluster？ a. 防火墻VM的鏡像管理、分發(fā)、遷移等工作由云計算虛擬化管理軟件來統(tǒng)一進(jìn)行 b. 需要在當(dāng)前虛擬化管理軟件的API基礎(chǔ)上開發(fā)防火墻cluster管理界面 c. 防火墻cluster可能只是一個VM，也可能是多個VM，如果是多個VM，則至少需要三個VM，分別是負(fù)載均衡VM、控制平面VM、 數(shù)據(jù)平面VM d. 只有提供相同功能和安全策略的VM才能劃分到一個cluster里面，如果安全策略要求不同，則需要劃分為不同的cluster 7）如何實現(xiàn)控制平面VM、數(shù)據(jù)平面VM、負(fù)載均衡VM的熱備？ a. 控制平面VM存放了cluster的配置數(shù)據(jù)，很多信息是內(nèi)存中的信息，如果虛擬化軟件支持FT功能，則控制平面熱備問題自 然解決 b. 數(shù)據(jù)平面VM熱備如果虛擬化軟件支持FT功能，則數(shù)據(jù)平面VM的熱備相對很簡單了，但是如果不支持FT功能，則可以按照 當(dāng)前的HA解決方案 c. 負(fù)載均衡VM一是需要解決當(dāng)某個數(shù)據(jù)平面VM宕機后，自動將報文分發(fā)到數(shù)據(jù)平面的熱備VM上去；二是自身的熱備