搜索
蔚县吧 蔚县论坛 大杂烩 【第四期】技术盛宴从实战浅析运营商云资源池—解析流量 ...
查看: 4|回复: 0
go

【第四期】技术盛宴从实战浅析运营商云资源池—解析流量模型2020年6月30日

Rank: 9

贴图大师勋章 答疑专家勋章 最佳原创勋章 最具人气勋章 先进版主勋章 先进个人勋章 灌水标兵勋章 社区之星勋章 推广英雄勋章 在线英雄勋章

发表于 前天 07:50 |显示全部帖子
【第四期】技术盛宴 从实战浅析运营商云资源池—解析流量模型2020年6月30日发个暑假求职信息◁。女,20岁,师范院校本科大二学生,美术学(师范类)专业△,求职暑假工作,擅长美术,地址限胜芳镇周边,电话。谢谢  对于云资源池内部分业务的防护仅通过传统防火墙的规则是远不够的,各种对外服务的应用的漏洞和配置不规范均可能成为可以穿透防火墙机制的安全风险。因此通常需要应用层的防护和检测手段来为内部业务提供进一步的保护,例如IPS●、WAF★、数据库审计等。  2012、2013年及2017年4、5月间,被告单位福州市源顺石材有限公司(以下简称源顺公司)、被告人黄恒游未经林业主管部门审批,擅自在闽侯县鸿尾乡大模村★“际岭”山场占用林地138.51亩,用作超范围采矿、石料加工区等。案发后,源顺公司根据司法机关的要求向闽侯县南屿镇政府缴交生态修复款 62.33万元,  笔试阅卷结束后,从报考该岗位笔试成绩合格人员中-,从高分到低分的顺序,蔚县电厂招聘按不超过计划招聘岗位数1:3的比例确定参加资格复审的人选(末位成绩并列的,一并参加,不足比例的按实际人数参加)•。资格复审时间、地点另行通知□。  主机南北流量从接入Leaf进入到Overlay网络,通过ECMP等价负载到达Border并按需执行引流策略-,蔚县电厂招聘将需要进行防护的业务流量引入WAF或IPS实现流量过滤▷;  该案例网络主要结构示意如上图△,其中一些无关的细节做了精简和裁切。该网络中有多个POD,每个POD均有自己独立的出口。POD内部的网络设备使用EVPN VXLAN方式实现Overlay。  对于一个租户的不同的Network,可能会有通过”vRouter”进行L3互通的需求•。因此需要通过交换机给租户提供”vRouter□”的功能特性。不同VTEP之间的转发▼,由Leaf进行VXLAN封装后,根据报文目的ip,查找路由表…,发送到VXLAN隧道的对端VTEP,然后进行VXLAN解封装▼,剥离VxLAN报文,还原出原始的数据帧•,根据目的ip找到出端口,发送给接收主机.域内同租户跨L3通信▽,涉及不同VTEP之间的L3路由◆;采用分布对称式进行部署设计▽, Spine仅实现外层报文的三层路由●,转发不经Border和防火墙△,仅在Leaf完成◆。  县域形成“一个核心(城区)、爱园—裴圩城镇发展轴)▲、三个片区(北部片区•、中部片区、成子湖片区)◁、两大增长极(王集镇、新袁镇)、多个节点◆”的县域城乡空间体系◇。  本文通过一个案例解析其详细的流量模型☆,希望能给大家带来一些帮助和启发,其中所用技术手段、实现方法及流量模型可能会有一些特定的背景或原因▽,在其它场景或情况下可能不是最优化的方法,对于一些技术如为何采用交换机实现Overlay、为何采用Vlan Hand-Off方法实现L2/L3的DCI,在前篇《从实战浅析运营商云资源池网络技术的抉择》可以找到答案●。  POD间同租户三层互访与二层互访路径略有相似,Border到DCI Leaf通过子接口进行dot1q封装实现互联,建立静态或者动态路由◁, 实现报文转发,屏蔽各厂商bgp evpn控制协议的异构性;跨域L3在POD-1的Leaf封装VXLAN▼、Border解封装VXLAN后,通过Vlan封装发送给DCI互联层■, 在DCI互联层进行封装解封装VXLAN,再通过Vlan封装发送给POD-2的Border处理,POD-2的Border再封装VXLAN给Leaf进行解封装-,发送给最终的主机。  对于同租户内需要实现L2/L3互通的业务中,其中一些例如容灾的、分布式部署的服务需要实现异地的部署,这类业务对网络提出了跨POD进行L2和L3互通的需求■,这里考虑到链路成本等问题通常会用到L2/L3 VPN的方式,上一篇文章有介绍几种通过VXLAN实现L2VPN的方式(VXLAN的特性同时也可以实现L3 VPN)-,本例采用Vlan Hand-Off方式实现。  Border重新封装Vxlan Tunnel至租户B所在Leaf,解封装后到达目标主机。  声明-:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗•。详情  辛集同城,该微信支持线上打印,十张以上同城(辛集市同城)包送△,打印越多,优惠越多。有意向可以加微信私聊  内层防火墙收到引流报文后,将VRF-A和VRF-B进行路由互导,并将报文通过防火墙路由回注至Border对应的VRF-B的接口。  租户A流量传递到所在的Leaf设备,蔚县电厂招聘Leaf设备负责VXLAN的封装后将报文传递给Border,Border通过静态或动态路由协议将报文引流至内层防火墙进行过滤清洗,同时进行VXLAN的解封装。  除同租户外的POD间通信之外,不同租户之间也同样可能需要跨POD进行互相通信,同时也需要防火墙来提供丰富的控制策略-。因为涉及到整个DCI层以及存在多组防火墙▲,整体逻辑会比在同POD内进行异租户间互通要稍复杂些。  前篇《从实战浅析运营商云资源池网络技术的抉择》浅析了“某运营商IT云资源池网络▼”的技术选用和原因-,本篇将进一步阐述业务场景的关键流量模型▷,例如▽:域内和域间的同租户二三层互访▪、异租户三层互访、安全防护、南北向流量等▷;从而帮助大家了解数据中心的•”血液”是如何在网络Overlay中流动的…,进一步熟悉云计算数据中心的底层网络架构和逻辑•。  服务器对外业务发布或访问外部网络需要通过网络边界的外层防火墙进行路由及策略控制,对于业务服务器使用私网地址的,还需要外层防火墙提供NAT能力。  同一租户网络内主机之间的L2通信,不同VTEP之间的转发,发送到VXLAN隧道的对端VTEP•,然后进行VXLAN解封装,核心交换机(Spine)仅实现外层报文的三层路由,流量不经过Border(出口边界交换机)。  主机同外网之间的通信流量需要经过Border,无需经过内层防火墙过滤和清洗,但需要经过外层防火墙进行流量处理, Leaf上实现VXLAN封装▷,同时在Border上解封装后发送给外层防火墙△;外层防火墙再发送给外部网络☆。  跨POD的不同租户L3互访需要借助防火墙在两个VRF间进行路由泄露和流量过滤清洗▼,数据中心内采用分布式VxLAN网关▪,server到border实现L2/L3 VXLAN交换▼,Border到DCI互联层通过Vlan封装实现互联,建立静态或者动态路由, 实现报文转发★,屏蔽各厂商bgp evpn控制协议的异构性。域间不同租户间的业务流量需经过防火墙,选择哪边的防火墙根据每个业务情况进行选择■。报文封装逻辑流程与前篇Vlan Hand-Off的介绍基本一致=,其中不一样的地方为在需要进入防火墙一侧的DCI出口△,Border到防火墙再到DCI交换机时在防火墙上有一个三层转发的过程;  在不同的VPC之间,可能会有一些业务系统有互通的需求…,蔚县电厂招聘网络设备Overlay的VRF之间互通可以采用外部路由器□、BGP VPN间路由泄露的方式来实现VPC间的路由互通◆,考虑到一般来说VPC间的业务互通通常是有限的,比如存在不同的安全域级别、仅允许部分IP或端口互通。因此,本案例中的这部分流量采用外部防火墙来进行互通,同时实现安全策略控制。

蔚县吧 http://www.xiaopinbox.com 版权所有 未经许可 不得转载或镜像 sitemap 本站联系方式email: Robinluoshuji%yahoo.com (请将邮件地址中的"%"换成"@")

业务合作、不良信息投诉和举报,以及新注册会员审核,均可通过email与我们联系。