【IT168厂商动态】云计算按照部署模式通常分为私有云、公有云、及混合云。对企业来说，可以采用任何一种模式来搭建自己的IT基础设施。在公有云发展成熟之前，很多大中企业更倾向于部署自己的私有云，以满足企业的IT需求。私有云虽然可以满足企业的个性化需求，安全性也高，但存在建设成本高、管理维护难、设备利用率低、资源弹性不足等问题。

　　随着各大互联网公司、电信运营商大规模部署公有云，并通过互联网向用户提供服务，公有云服务越来越成熟。在具有资源按需租用、业务灵活部署、节省企业成本等优点的同时，安全性、可靠性、业务体验上也有了很大的提高，这样就为企业将IT应用迁移和部署到公有云中创造了客观条件。很多中小企业不用投入大笔资金建设自己的IT设施，通过租用公有云服务同样可以保证企业的业务运营。但对有些企业(尤其是大型企业)来说，出于安全和控制的考虑，不会完全采用公有云来构建自己的IT系统，而是采用混合云策略：租用公有云，把一些非关键、弹性较大的应用迁移到公有云中;建设私有云，用于部署关键的IT应用、存放敏感的企业数据;从而节省私有云的建设和维护成本，平衡企业成本和安全需求，同时在私有云能力不足时，能够快速借用外部公有云的资源，保证业务不因资源不足而中断，提高业务弹性。

　　图1 企业IT发展趋势

　　一、 企业混合云对网络的挑战和需求

　　云计算无论怎么分类、怎么部署，从本质上讲，云计算的目标是将各种IT资源(计算、存储等资源)和应用以服务的方式通过网络交付给用户，用户按需使用和付费。从云计算的目标可以看出，云计算通过网络向用户提供服务的，基于网络的服务方式既是云计算的特点，也是云计算的优势，因此对云计算来说，网络是非常重要的基础设施。

　　以云计算的数据中心为界面，云计算相关的网络可以分为内部网络和外部网络：

　　内部网络就是将数据中心内部的服务器、存储等设备有效的连接起来，即云内互联网络;

　　外部网络包含两部分，一部分是如何让用户安全快捷的访问云应用的网络，即云端互联网络;另一部分是如何实现云之间的二层互联，满足云资源统一管理和灵活迁移的需求，即云间互联网络。

　　企业混合云是由企业私有云(也称为企业虚拟私有云，VPC)和公有云组成，企业私有云是企业完全拥有并控制的，它的网络也是企业可控的;但公有云是一个典型的多租户环境，基础设施和资源都是所有租户共享的，对企业租户来说，公有云网络是游离在企业网络之外，不可控的，面临以下问题和挑战。

　　网络难以统一管理：公有云网络配置、安全策略、地址分配、访问机制、网络管理等都无法和企业私有云网络保持一致，企业必须管理两个分离的网络，造成维护成本上升。

　　云资源不能统一管理：公有云和私有云通过IP网络互联，虽然两个云中的虚拟机可以通信，但由于不是二层网络，导致虚拟机无法迁移，也就造成两个云的资源不能实现统一管理和动态调度。

　　数据安全风险高：不能在企业总部/分支和公有云之间建立端到端的VPN连接，分支用户必须绕道总部经公网来访问公有云应用，存在较大的安全风险，企业信息可能会被泄露，给企业造成损失。

　　云应用访问体验差：企业在公有云网络中没有自己的网络设备，无法部署和实施报文识别、流量控制、集成网络业务，从而造成用户访问企业私有云和公有云时难以获得一致的业务体验。

　　如何解决公有云网络的统一管理、如何保证用户安全快捷的访问公有云应用，如何实现企业私有云和公有云之间的安全互联，达到云资源的统一管理。这些都是企业建设混合云过程中需要解决的重要问题。

　　本文将主要探讨企业混合云中公有云网络面临的需求及应对策略，按照前面描述，讨论包含两个方面，一个是如何提供更好的云端访问网络，保证企业用户获得和私有云相同的公有云访问体验，一个是如何提供更好的云间互联网络，使得企业管理员可以统一管理混合云资源。

　　二、 企业混合云网络解决方案

　　VSR(Virtual Services Router)是H3C推出的一款虚拟路由器产品(如图2所示)，作为部署在公有云中的租户网关，能够帮助企业解决在混合云建设中面临的公有云网络问题。和物理路由器一样，VSR采用业界领先的专业网络平台Comware V7，运行在标准服务器的虚拟机上，提供和物理路由器相同的功能和体验，包括路由、防火墙、VPN、QoS、及配置管理等，同时充分利用虚拟平台的特点，简化设备的部署安装。

　　图2 VSR虚拟路由器

　　1. VSR实现混合云端访问网络

　　在企业将一些IT应用迁移和部署到公有云之后，企业总部和分支的用户就会同时访问企业私有云和公有云，私有云的访问由企业网络来完成，并提供良好的访问体验，而公有云的访问一般是通过互联网来访问，既不安全，也无法达到本地访问的体验。

　　在公有云中，会存在很多租户，所有的租户共享云服务商的物理基础设施，包括服务器、存储、网络，云服务商租给租户的是虚拟资源，每个租户的虚拟资源形成一个VPC，也就是企业的公有云，云服务商会负责这些资源之间的安全隔离、网络策略、及可靠性等问题，企业租户更关注VPC内部的资源使用、安全访问等。

　　图3 VSR在企业公有云网络中的应用

　　如图3所示，VSR作为公有云中的VPC网关，部署在虚拟机上，能够帮助企业更方便的管理公有云网络，提供相应的服务。

　　地址管理。VPC是企业在公有云中租用的虚拟私有云，从网络规划的角度，属于整个企业网的一部分，都属于私网，应分配私网地址。为简化VPC网络地址管理，可在VSR上启动DHCP服务器功能，自动向VPC中的虚拟机分配IP地址、掩码、缺省网关、DNS地址等信息。一般情况下，VSR至少配置两个虚拟网口：一个作为LAN口和VPC内部的虚拟机进行通信，分配私网地址;另一个作为WAN口和外部网络进行通信，由云服务商配置公网地址(或者是经过NAT设备转换后可以访问公网的地址)。

　　域名服务。如果企业用户需要通过域名来访问公有云的应用，可以在VSR上启用DNS服务，为VPC的虚拟机提供域名解析服务，方便用户的访问。

　　网络互联。VSR作为VPC网关，负责为VPC提供安全可靠的网络互联。利用VSR的IPSec VPN功能，可以在VPC与企业总部、分支之间建立端到端的VPN隧道，实现企业用户安全快捷的访问公有云应用。同时，远程用户或出差员工也可以利用VSR的SSL VPN功能，安全的访问公有云应用。同时VSR可以启用NAT功能，将VPC内部虚拟机的私网地址转换为公网地址，实现VPC与Internet的互通。

　　网络服务。对关键业务，可以在VSR上配置相应的QoS策略，保证高优先级的业务访问得到保证。另外，还可以利用VSR的策略路由等功能，实现和WAN优化、Web Cache等网络业务进行集成，节省带宽、提高响应速度，使得用户在访问企业公有云应用时有更好的业务体验。另外，VSR可以启用防火墙功能来保证VPC内外网之间的安全;可以启用负载均衡功能，将访问流量均匀的分发到不同的虚拟机上，实现VPC内部的业务均衡。

　　网络管理。VSR和H3C其他物理网络设备一样，除了命令行等单机管理之外，还可以接受iMC统一管理。这样企业就可以通过统一的iMC管理平台，将VSR纳入到企业网络中，和其他网络设备一起进行管理。

　　可靠性。VSR提供了VRRP等可靠性功能，在使用VRRP功能时，在一个备份组中的VSR建议安装在不同的物理主机上，这样当物理主机故障时，在其它物理主机上的VSR能够继续为VPC提供网络服务。

　　由此可以看出，VSR作为VPC网关，提供网络、VPN、NAT、防火墙、QoS等功能，让企业员工能够安全快捷的访问公有云云应用，获得和私有云相同的访问体验，同时把VPC网络纳入到企业网络中进行统一管理，解决了混合云网络中的云端互联问题。

　　2. VSR实现混合云间互联网络

　　从网络管理角度，公有云和私有云分属云服务商和企业，它们通过标准的三层IP网络进行连接，可以实现虚拟机之间基本互通。但随着虚拟机在两个云中在线迁移、资源在两个云中统一调度的需求越来越多，这就需要构建连接公有云和私有云的二层混合云网络。

　　实现跨广域网的二层网络互联，主要有以下两种。

　　1) 通过VPLS实现互联

　　VPLS(Virtual Private LAN Service，虚拟专用局域网服务)的诞生早于云计算好几年，是标准技术且已很成熟，它是在MPLS或IP骨干网上提供的一种点到多点的二层VPN业务。服务提供商通过在骨干网上为一个用户网络模拟一台连接多个异地站点的虚拟交换机来为用户网络提供VPLS服务。骨干网对于用户网络的站点来说是透明的，用户网络的各个站点就像工作在一个局域网中一样。

　　VPLS作为一种标准的二层VPN技术，由于技术简单可靠、易于实现等优点，是目前被广泛认可的二层网络扩展技术，各主流网络厂商都有成熟完整的解决方案。但对于数据中心二层网络互联来说，VPLS也有一些自己的缺陷，如缺乏对局域网的优化、依赖运营商网络、配置复杂等，因此，各主流网络厂商专为云计算数据中心推出专门技术，如H3C EVI(Ethernet Virtualization Interconnect，以太网虚拟化互联)、Cisco OTV(Overlay Transport Virtualization，覆盖传输虚拟化)等。

　　2) 通过EVI实现互联

　　EVI是一种基于IP核心网的二层VPN技术，是一种先进的“MAC in IP”技术。它可以基于现有的服务提供商网络和企业网络，为分散的物理站点(数据中心或云)提供二层互联功能。EVI只是在站点的边缘设备上维护路由和转发信息，无需改变站点内部和IP核心网络的路由和转发信息。EVI克服了VPLS的缺陷，具有如下优点：

　　站点间相互独立，站点间二层互联后，某个站点的故障(如广播风暴)不会传递到其它站点，解决了VPLS的缺陷;

　　网络要求低，只要求服务提供商网络支持IP即可;

　　管理维护简单，只需要在站点边缘部署一个或多个支持EVI功能的设备，企业网络和服务提供商网络无需做任何变动。

　　VSR提供了VPLS、EVI等二层互联功能，帮助企业将公有云和私有云在二层网络上互联起来，实现可统一管理的混合云(如图4所示)。企业通过在公有云VPC上部署VSR，实现了企业私有云和公有云的二层网络互联，形成大二层。无论用户访问私有云还是公有云应用，体验是一致的，云应用能够在公有云和私有云之间自由迁移和部署，可以灵活调配云计算资源，实现资源利用最大化，增加业务弹性，降低管理和维护的复杂度。

　　图4 VSR在企业混合云间互联的应用

　　三、 结束语

　　企业采用混合云策略建设IT系统，可同时发挥公有云和私有云的优点，有利于促进业务运营、提高资源利用率、增强系统弹性、节省资金投入。但也给企业网络及其管理维护提出了更高的要求：如何保证用户能安全快捷的访问公有云应用、如何将公有云网络纳入到企业网络中统一管理、如何将公有云和私有云无缝互联，做到统一管理云资源……。通过在公有云中部署VSR虚拟路由器，企业在公有云中有了自己的网络设备，从而能够解决上述问题，构建一个安全、统一的混合云。