解决方案

      （5）跨异构资源抽象池化，软硬件更新解耦，硬件维护、   扑信息，用于安全分析；安全控制器与安全资源池对接实现安
数据迁移更便捷。                           全策略下发，及告警、日志信息的上报；基于大数据分析和知
                                   识库，安全控制器和安全应用实现数据中心数据流量的智能分
      软件定义存储不是一蹴而就的，需要一个过程。随着软件    析和管控，可大大强化数据中心的安全级别。
定义存储的数据服务的完善，通过不断努力，增强互操作性、
策略驱动异构存储的能力，使其部分的型号或者部分的模块逐              安全设备虚拟化的还带来了明显的优势：它大大降低了成
渐上升到控制平面。在目前的传统存储阵列市场，我们已经看        本，提高了资源利用率与敏捷度，同时通过水平方向的动态扩
到这样的趋势。                            容，满足大规模、高性能高并发性要求。

     2.软件定义安全                          容器技术及PaaS产品的发展
      安全问题是数据中心最复杂、最关键的问题之一。在云数
据中心的场景下，由于虚拟化技术的引入，物理资源由多租户              以Docker为代表的容器技术在2015年大行其道，不仅成为
共享，传统的硬件防火墙、入侵防御系统等安全设备已经无法        新技术的热点话题，而且在互联网公司中大规模应用，实现了
满足应用的要求，安全产品的虚拟化就成为解决这一问题的必        其价值。容器技术的出现，也使得平台即服务（PaaS）云产品
需。在安全设备虚拟化的实现过程中，我们要关注以下关键特        的发展再次出现重大的机遇。
征点：
      （1）安全控制层引入安全控制器，可基于全局视图，增强        1.容器技术
云数据中心的安全管理和集中调度能力；                       Docker是一个基于Linux容器（LXC）技术构建的容器引
      （2）安全控制器开放接口，增强数据中心安全类应用定制   擎，源代码托管在GitHub上，基于Go语言并遵从Apache 2.0开
化能力，有助于安全应用的生态链建设；                 源协议。Docker让开发者将他们的应用和依赖文件打包并发布
      （3）租户可按需订制安全策略，通过控制层下发，实现安   成一个可移植的容器，实现应用的快速部署和迁移。
全防护的智能化、自动化。                             以Docker为代表的容器技术正在引领云计算的下一次变
      综合中兴通讯在VDC安全产品方面的实践经验，我们提出了  革，Docker改变了云端应用交付和部署的方式，它所提供的轻
云数据中心软件定义安全的基本架构，如图3所示。            量级、面向应用的虚拟化运行环境为微服务架构的实现提供了
      其中，安全控制器调用SDN控制器接口来控制数据包转发行  理想的载体，并带动了容器服务的兴起和高速发展。
为（前转、引流、丢弃等等），同时获得全网设备的日志和拓              同虚拟机相比，Docker的优势主要有：镜像占用空间小，
                                   启动速度快，资源利用率较高，应用性能也接近物理机。与此
  图2 软件定义存储的控制平面                   同时，由于Docker技术本身的实现机制以及生态环境的发展尚
                                   不太完善，在应用中也暴露出了一些问题，如Docker系统在
  图3 软件定义安全的基本架构                   内核、运行环境上的隔离性，Docker网络的性能及可移植性问
                                   题，缺乏成熟的集群管理方案等。
                                         Docker的生态环境已经呈现出欣欣向荣的景象，包括
                                   Docker社区本身以及一些大的企业，如谷歌和亚马逊等，都在
                                   参与Docker相关的生态建设工作。
                                         在标准方面，除Docker外，还有Rocket和Warden等多种
                                   容器技术，多个标准组织都在大力推动容器技术的标准化。其
                                   中，Linux基金会于2015年6月成立开放容器组织（OCI），旨在
                                   围绕容器格式和运行时制定一个开放的工业化标准，该组织一
                                   成立便得到了包括谷歌、微软、亚马逊等一系列云计算厂商的
                                   支持。2015年7月，谷歌与Linux基金会以及众多行业合作伙伴
                                   为一起推动基于容器的云计算的发展，共同建立一个云原生计
                                   算基金会（CNCF），它成立的目的是构建“ 云原生”计算并推
                                   动其逐步落地，在微服务、容器和应用动态调度、容器编排工
                                   具等方面形成标准。
                                         总体来说，容器技术的生态环境已经建立，尽管在容器管
                                   理、编排调度、网络和存储等方面尚不成熟，但是这并不妨碍
                                   Docker在互联网中的应用，其轻量级的特性已经在互联网应用
                                   中发挥出了较大的作用，对传统电信服务部署方案的演进也影
                                   响极大，众多电信服务商提出基于Docker将电信应用解耦形成
                                   微服务，以实现高效的电信应用服务管理。
                                        2.PaaS平台
                                         PaaS作为云计算的一个模式，一直被业界看好。业界PaaS
                                   平台实现方案主要包括Cloud Foundry和Openshift，业界许多

60 网络电信 二零一六年三月