我是IT运维岩小强好久不见
?前幾天,领导布置了新任务
公司新增业务上云必须保证云端业务安全
作为一个传统的IT技术男
那当然是很高(beng)兴(kui)!
并顺手打开了BOSS弯聘、58不成
准备骑上我心爱的小摩托,转战互联网行业
为什么我如此自信搞不定云端安全
那是因为传统的硬件环境
大量设备在同一个机房直連或近乎直连
你送她个礼物,触手可及
而在云端组网是这个样的
就好像你和女朋友视频聊天
好似面对面实际可能相距甚远
在云上,事情開始变得有(kun)趣(nan)
怎么办聪明如你可能会说
那就通过快递远程传输呗
但是“云端快递”有2大难点:
溯源指:传输需要记录源IP,目的IP信息
方便女生收到礼物(如口红)
发现你搞错了色号的时候
而快递的包裹也就是外层
这个包裹,业内称为GRE隧道
图注:GRE隧道工作图
可能好渏的小伙伴又要问了:
隧道技术那么多为什么是GRE?
答:GRE隧道是隧道中比较简单的一种
无需两端协商实现简单。
通过使用GRE隧道对镜像流量进行封装
将外层的源MAC封装为自己的MAC
目的MAC为下一跳的MAC;
目的IP为目的地的IP地址
从而符合虚拟网络的限制
简单说也就是通过GRE封装的包裹技术
將礼物投递到女生手中,女生拆开包裹
一眼望去都是你的名字(源IP信息)
物流指:因为云端环境没有硬件交换芯片
所以需要通过CPU实现软茭换
进行精准的,bit级别的100%模拟
也可以一次复制多份分发
当然,你知道总没有十全十美的事情
原因是GRE封装的下层协议只能是传输层协议。
但是对于安全设备、流量分析设备
并不关注MAC地址信息
再加上公有云及SDN网络的ARP
所以MAC地址信息对安全分析
2. 对端接受流量的网元也需要支持解GRE葑装
简单说也就是接收端女生
每个女生都是天生的拆快递高手吧
这么好的云端快递方式,哪里能提供呢
山石网科虚拟化应用交付AX系列
適配主流公有云,私有云平台
图注:山石网科虚拟化应用交付AX系列