我们现在处于一个技术时代，AI、大数据、云计算等新技术的快速发展带来计算、网络、应用等各领域的技术变革。数据中心作为承载新兴业务的主要载体，在为AI等新应用提供服务的同时，也利用AI等新技术实现网络变革；在为业务提供安全保护的同时，也注重自身各组件的安全控制和设计；在为业务实现容器化微服务的同时，也吸纳微服务的高可靠易扩展等特点重塑数据中心的架构。

这些变革给数据中心的建设带来飞速的变化，计算虚拟化的按需灵活部署和调度、应用业务的复杂多样化，也带来了运维的复杂化和不可控性。在通过云网联动实现业务简单敏捷自动化部署之后，伴随而来最迫切的需求是支持业务的安全性和高可靠性、简化运维管理的复杂性。

由此，数据中心的建设正在向着云网安融合部署的解决方案发展，以“云计算”+“SDN新网络”+“大安全”的完美融合，支持各种新兴技术对数据中心的各种需求。下面重点讨论云网安融合方案设计考虑的因素。

网络架构的灵活性、可扩展性、高可靠

在IT部署规划中，数据中心作为承载关键服务的基础设施，在保证基本功能之外必须要具有可扩展性和高可靠性。可扩展性就是要支持后续灵活的扩容、按需的扩张；高可靠性就是要具有任意节点故障的业务自动恢复能力。

从网络层面讲，实现可扩展和高可靠主要体现在以下几个方面：

1. 整个数据中心网络设计为Spine-Leaf架构

2. 在Leaf上部署分布式网关，实现业务主机可以在任意Leaf上的灵活接入，Leaf数量可以按需扩展，支持后期不断增加的主机接入；

3. Spine侧作为Leaf之间的互联，可以按需扩展Spine数量，实现互联带宽按需扩展，以多Spine和多互联链路支持任意spine、任意链路的高可靠性负载分担。

图1 可扩展的分布式网络基础架构

安全服务的完备性、灵活性、自动化、智能化

根据国家信息安全等保条例、信息化时代对业务、用户数据的安全防护实际需求，我们可以在部署数据中心时按需融入多种类型的安全服务，并提供便捷的一键式安全服务部署。

通常，根据等保条例等标准要求，数据中心安全防护的对象可以分为物理、网络、主机、应用、数据几类。物理层面的安全防护主要是机房门禁控制等管理条例方面的规划，针对网络、主机、应用、数据几类安全防护的对象，我们可以提供的安全服务类型和产品非常丰富，有防DDoS攻击、FW访问控制、NAT、SSL VPN、IPSec VPN、LB、DNS、WAF、IPS、AV、漏洞扫描、应用监控、流量探针、沙箱、运维审计、数据库审计、日志审计、主机/容器的镜像安全、主机安全加固、权限控制、堡垒机控制、主机防毒、主机加固等等。

根据不同安全服务的类型、防护接入的方式，我们可以将各种安全服务划为安全监测服务资源池、DC内业务安全资源池、DC出口安全资源池几个区域。

1. DC出口外围，通常会部署DNS服务和DDOS服务。为避免主机IP变更带来的服务访问变化，通常会为提供服务的主机部署DNS映射并同步到DNS根服务器，以支持DC内的主机以域名对外提供服务，并和DC内的主机联动部署双活DC系统。DDOS防御设备是为抵抗拒绝服务攻击而部署的监控和按需引流清洗服务。

2. DC中会有少部分主机对外提供服务，通常需要为南北向流量提供的安全访问控制等服务，最常见的是FW、IPS、LB服务，如果有WEB服务器则会增加WAF防护，并通过SSL提供安全接入，对于分支机构的访问通常会部署IPSEC加密隧道。

3. DC中的流量，在AI、大数据等分布式大规模计算技术的发展下，大部分主机是后台的数据库、分布式计算等服务器，这些主机之间交互的流量规模大、交互复杂，通常我们称之为东西向流量，并要求这些交互流量经过东西向安全资源池中FW、LB、杀毒等安全服务的服务处理。

4. 为提高安全防护的及时性及主机的安全性，会将一些安全防护软件以agent的形式部署在主机中，例如主机防病毒、数据库审计，并与处于管理区的病毒库服务器、审计服务器建立网络连接，接受管理区服务器的补丁升级控制、访问监控等安全防护。

图2 数据中心安全规划全景

当前数据中心的业务虚机化、微服务化，数据流不断地动态变化，而攻击手段层出不穷，我们不能再安于人工部署固化的安全防护，让自己处于被动挨打、响应迟缓的位置，在融合考虑接入用户业务所需要的各种安全服务节点，将网络和安全的部署统一规划，实现安全服务自动化、敏捷融合部署的同时，还要融合业务部署意图和安全事件分析结果，结合业务部署的位置、业务变迁事件等信息，实现安全随行，按需、主动、敏捷的安全防护。

一个完整的云网安融合部署数据中心解决方案组网架构如下图所示，在高性能、高可靠、可扩展、灵活的spine-leaf分布式网络架构的基础上，云平台、SDN控制器、K8S联合实现各种计算虚拟化、网络自动化，并按业务/区域/等保要求为用户提供专业的安全策略模板，一键式部署安全可靠的融合数据中心，支持基于意图的安全随行和主动安全防护。

图3 云网安融合智能部署

云平台作为为用户提供业务部署统一入口，在统一的基础设施上为不同租户提供图形化计算资源、网络资源、存储资源、安全资源的自动化部署，所见即所得。

1. 云平台和VMWare、CAS、K8S等虚拟化控制联动，为用户提供虚机、裸金属、容器等计算资源虚拟化的自动部署。

2. 云平台和SDN控制器结合，联动基础设施中的服务器、交换机，为前面部署的计算资源实现网络接入的自动化部署，做到网络按需部署、策略随行。

3. 云平台和SDN控制器结合，联动基础设施中的FW、LB、WAF等安全设备，为前面部署的计算资源实现安全服务的自动化部署，做到安全服务按需部署、策略随行。

4. 智能分析引擎收集网络、主机、安全服务的信息，与专家预判系统联合，提供网络和安全事件的实时分析报告和决策，促使云平台联动安全和SDN控制器，实现主动的安全防御、更主动敏捷的网络和安全调度。

跨Fabric的云网安融合部署

前面所述主要是数据中心内各业务的安全防护。随着AI、大数据等业务对服务器集群大规模扩张的需求，以及各行业对多数据中心高可靠、分布式多活数据中心等需求的不断发展，会出现同租户的业务分布在多个机房的数据中心的情况，这些跨机房的主机之间的业务流量的安全防护也是我们必须要考虑的一个重要需求。

如图4所示，两个机房的数据中心Fabric网络可以通过EVI等互联技术实现跨Fabric的二层和三层互连。对于跨Fabric的互访流量，也需要有同样的安全防护，例如同fabric内的VM1和VM2的流量（黄色）可以受到本Fabric的安全防护。

当因为内部主机调度等原因，VM2迁移到其他Fabric后，为保证安全策略随行，让用户的东西向安全控制策略不受主机分布和位置变更的影响，我们可以通过部署跨Fabric的服务链技术实现跨数据中心的按需自动安全防护，让跨Fabric的两个主机之间的互访流依然走同样的安全服务节点，接受同样的安全策略控制。

图4 跨Fabric的云网安融合部署

开放的多厂家产品的融合部署

信息化时代的到来给人们带来更多便捷的同时也带来了信息安全、数据安全的各种隐患。安全界百花齐放，各种安全厂家的产品款型多样，各有特点和优势，对于用户来讲，不太可能绑定一家安全产品，例如FW通常会选择天融信、华三、山石；LB会选择F5、深信服，防病毒会选择瑞星、360等。

作为一个云网安融合整体交付的解决方案，应该是一个开放的生态系统，能够遵循统一的南向和北向接口，融合各种安全服务。

我们可以通过让整体云网安解决方案中的各个组件都依据业界标准提供标准的南北向接口，各厂家用标准接口对接，实现多厂家设备融合。

云网安融合方案实践

当前各行业都已感受到时代和技术变迁的趋势，开始部署云网安融合的自动化敏捷数据中心。

以某金融机构为例，通过云网安联动部署，实现全方位的自动化安全防护一键式部署：

1. 在数据中心南北向出口部署FW，实现南北向安全访问控制和NAT部署；

2. 在DC内通过服务链实现SSL、IPS、WAF、LB等安全访问控制，通过服务链的灵活编排实现不同安全业务按顺序提供安全服务。在这里，融合部署了多厂家的安全节点，实现按需的安全服务。

3. 在DC内的service-Leaf接入漏洞扫描，实现主机安全防护

4. 在DC内的service-Leaf接入堡垒机，实现业务主机接入的安全访问控制

5. 在DC出口部署多出口独立接入多个安全外网，实现internet、生产区、办公区的安全访问隔离

图5 跨Fabric的云网安融合部署

结束语

智能业务是时代发展的趋势，智能业务的提供与数据中心建设相辅相成，数据中心建设过程中实现智能业务的自动化是敏捷部署的基础，全面考虑业务的安全防护又是其中最重要的一个环节，只有通过云网安整体融合解决方案打通业务部署、智能防御等各个环节，形成完整的共同体，才能为用户提供更安全的数据中心服务，满足用户多样化和高可靠性的安全需求。