刘鹏宇

（杭州华三通信技术有限公司，北京 100052）

新形势下的安全虚拟化方案

刘鹏宇

（杭州华三通信技术有限公司，北京 100052）

在云计算数据中心的建设过程中，单个租户的业务需求会不断的变化，其对于存储、计算、网络等资源的占用可能需要进行实时的调整，以提升基础设施的利用效率。同时，随着租户规模的增加，多租户在最大化共享云计算基础资源的时候，如何保证多租户之间数据的安全隔离，成为了云计算用户关注的焦点。正是在这种环境下，虚拟化技术应运而生。在存储、计算、网络虚拟化逐步规模应用的阶段，安全产品作为网络侧的不可或缺的业务，能否匹配数据中心虚拟化技术要求，满足安全资源按需部署、快速交付、综合防护的关键需求，其虚拟化架构至关重要。

云计算；多租户；安全隔离；虚拟化架构

1 传统虚拟化技术的解析

传统的防火墙产品在解决虚拟化问题时通常采用以下方案。

在数据平面，围绕转发表，通过VRF或类似技术将转发相关的表项（如路由表、ARP表）分割成多个逻辑的表，实现报文转发的隔离。

在管理平面，为不同虚拟防火墙相关联的管理员，实现管理的隔离。

在控制平面，需要针对每种业务逐一考虑虚拟化的改造，使其支持虚拟化。

这种虚拟化方案，本质上是一种VPN多实例技术，是在非虚拟化的系统架构上，对一些主要安全业务进行多实例的改造。这种方式只能对个别安全业务实现部分虚拟化，对其它安全业务难以进行多实例改造，系统可扩展性差。同时，由于方案缺乏统一的虚拟化架构支撑，虚拟化的控制粒度很难精确控制，如无法精确了解每个虚拟防火墙的CPU、内存占用情况。

2 新一代虚拟化架构

考虑到当前虚拟化技术方案的技术存在的各种问题，结合嵌入式安全产品的实际情况，弹性虚拟化安全架构横空出世。这种安全架构本质上是一种基于容器的、分布式架构的1：N的虚拟化技术，通过弹性虚拟化技术，可以把一台物理防火墙虚拟成多台虚拟防火墙，多台虚拟防火墙共享物理防火墙的接口、CPU、内存、存储、硬件引擎等资源。多台虚拟防火墙相互独立，每个虚拟防火墙实例对外呈现为一个完整的防火墙系统，即独立的管理员、独立的日志系统、独立的安全策略、独立的组网策略等，如图1所示。

图1 安全虚拟化示意图

基于容器的虚拟化方案是一种轻量级的虚拟化技术，在一个安全引擎内，通过唯一的OS内核对系统硬件资源进行管理，每个虚拟防火墙作为一个容器实例运行在同一个内核之上。

通过统一的OS内核，可以细粒度的控制每个虚拟防火墙容器对CPU、内存、存储等硬件资源的利用率，也可以管理每个虚拟防火墙使用的物理接口、VLAN等资源，有完善的虚拟化资源管理能力。通过统一的调度接口，每个容器所能使用的资源支持动态的调整，比如可以根据业务情况，在不中断虚拟防火墙业务的情况下，在线动态增加某个虚拟防火墙的内存资源。

虚拟防火墙容器有自己独立的进程上下文运行空间，容器与容器之间的运行空间完全隔离，天然具备了虚拟化特性。容器中，运行的防火墙业务系统（包括管理平面、控制平面、数据平面）具备独立完整的业务功能。因此，从功能的角度看，虚拟化后的系统和非虚拟化的系统功能一致。

每个虚拟防火墙并不需要运行完整的操作系统，减少了由于完全虚拟化带来的内存开销。从性能的角度，每个虚拟防火墙可以直接通过内核和物理硬件交互，避免了和虚拟设备交互代理的性能损耗。

全分布式防火墙系统由多个I/O单元、多个交换引擎、多个控制引擎和多个安全处理引擎组成，各个处理引擎之间是主备/负载分担的关系。分布式防火墙可以通过增加引擎提升系统处理能力，如通过增加交换单元扩展系统实际交换容量，通过增加安全处理引擎扩展防火墙的吞吐量、并发连接、虚拟防火墙数量等。这种形态的产品通常适用于对安全业务性能要求较高的场景。

在全分布式的产品形态中，系统的安全引擎可以按需配置，从而支持虚拟防火墙的横向扩展，一台物理防火墙系统可以通过增加安全板卡，实现虚拟防火墙数量的线性提升。因此，虚拟化容量可以实现按需定制，并且不再受单个物理安全处理引擎的处理能力限制。

3 新虚拟化架构下的安全产品

H3C推出新一代高端全分布式多业务安全网关——SecPath M9000系列，M9000采用控制、业务、数据相分离的全分布式架构，共有3个款型M9006、M9010和M9014。M9000系列秉承了上述的虚拟化架构设计理念，创新性的实现了基于容器的真正意义上的虚拟防火墙，即安全ONE平台（SOP）。

SOP之间实现了基于进程的真正相互隔离，而不是传统的通过路由方式的隔离。每一个SOP系统都有自己独立的运行空间，包括管理平面、控制平面、数据平面、以及完整的安全业务功能。每一个SOP均可以独立的启动、暂停和关闭，单个SOP故障不会对其它SOP和整个物理系统产生任何影响。

SOP通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划分。其中，静态资源有内存、硬盘、接口、TCAM等，与此相关的逻辑资源包括并发会话、VPN隧道、安全策略、安全域、动态路由、VLAN等；动态资源有CPU，与此相关的逻辑资源包括吞吐量、新建速率、抗攻击能力、VPN处理能力等。

SOP数量可以按照系统需求的变化动态调整。基于SOP的全分布式处理能力，在单个SOP能力不变的前提下，可以通过增加业务板的方式来扩展系统SOP数量的上限。

SOP能力可以根据用户需求动态的进行调整，当业务需求变更时可以在不重启SOP的前提下在线平滑调整CPU、内存等资源，从而保障用户业务完全不受影响。

4 结束语

在以云计算、弹性计算为典型应用的虚拟化数据中心中，围绕着计算资源虚拟化，已随着虚拟化技术在云计算数据中心的部署逐步深入，安全资源的虚拟化对于运营商建设网络安全端到端虚拟化有着非常重要的作用。

无论是单租户内部的虚拟化实例的资源限制和保障、或者是多租户之间的数据安全隔离和管理完全独立，及安全资源池性能的随需扩展等需求，相比较传统的安全虚拟化技术，新一代弹性虚拟化架构在实现方式上有了质的提升，通过合理部署该技术架构，将在简化网络运维，提升安全资源管理方面有积极的作用。

News

第九届通信运维年会成功召开

11月21日，第九届中国通信网络运维年会在北京成功召开。中国通信企业协会副会长兼秘书长苗建华、工业和信息化部电信管理局副巡视员张迎宪、国务院国资委专职外部董事张晓铁、工业和信息化部科技司调研员马民、中国通信企业协会通信网络运维专业委员会主任葛镭、中国电信集团公司、中国移动通信集团公司、中国联通网络分公司等相关领导悉数出席本届大会。

大会以“提升维护服务水平 助力宽带中国战略”为主题，由中国通信企业协会通信网络运维专业委员会主办，中国联合网络通信集团有限公司运行维护部担当轮值主席单位，中国电信集团公司网络运行维护事业部、中国移动通信集团公司网络部提供支持，中国通信运维网承办，华为技术服务有限公司协办。

Security virtualization for DC clouds

LIU Peng-yu
(H3C Technologies Co., Ltd., Beijing 100052, China)

DC clouds must adapt to the continuous changes of individual tenants' requirements for storage, computing and network resources to improve resource utilization. In addition, DC clouds must provide data isolation among tenants that share cloud resources to improve security. To meet all those needs, DCs are gradually deployed with technologies for virtualizing storage, computing and networking resources. Under this background, security products must have their own virtualization architecture to meet the requirements of DC virtualization, and provide on-demand security resource deployment, fast delivery, and comprehensive protection.

cloud computing; multi-tenant; data isolation; virtualization architecture

TN918

A

1008-5599（2013）12-0074-03

2013-11-16