云計算對互聯網架構安全解析

近幾年來世界范圍內互聯網經濟的強勁復蘇，將二十一世紀初互聯網泡沫破裂給產業(yè)帶來的負面影響一掃而光。而以web 2.0、微博、SNS等業(yè)務為代表的新的業(yè)務形態(tài)，以物聯網、虛擬化、三網融合等為代表的新的技術領域和以芯片能力、寬帶接入、無線網絡等為代表的基礎技術革新，給互聯網產業(yè)的進一步快速發(fā)展和產業(yè)變革注入新的動力。這其中，云計算是一股令人振奮的革命性的推動力量。

　　云計算無論是作為一種新的商業(yè)模式還是一種新的技術，其對互聯網的影響都是深遠的。云計算(主要是公有云)對互聯網架構及安全的影響則主要體現在其資源部署模式和技術實現方面。特別是云計算的運行環(huán)境—云數據中心的分布和部署方式對互聯網架構影響顯著。

　　據相關機構預測，全球未來幾年數據中心業(yè)務將保持高速增長，年復合增長率超過20%，其中云計算增速最快。2008年，雖然受金融危機影響，國內互聯網數據中心增長率下滑，但增速仍達39.1%。目前基本恢復到近50%的增長速度。我國的數據中心市場三大基礎運營商占有大壁江山，市場占有在 60%以上。

　　云數據中心因為規(guī)模更大，集中度更高，出口帶寬更高，可靠性要求更苛刻，因此對互聯網架構的影響相比普通的數據中心更大，其影響可從城域網、骨干網和網間互聯三個方面進行分析。

　　1.對城域網架構安全的影響

　　云數據中心和傳統數據中心一樣，就近接入城域網(省網情況也類似)是一種主要的部署方式。特別是非運營商數據中心采用這種情形可能更普遍。由于云數據中心往往面向全網提供服務，如何分流和優(yōu)化這些云數據中心的流量將是城域網面臨的嚴峻挑戰(zhàn)。

　　一方面，云計算業(yè)務運營商會根據自己業(yè)務的流量流向特點，通過分布計算(類似于CDN的原理)優(yōu)化自己的系統和網絡策略，減輕數據中心對接入城域網的壓力。另一方面，互聯網運營商或者ISP需要重新規(guī)劃自己的網絡，實現流量的分流和優(yōu)化。

　　目前我國主導運營商的互聯網都基本實現了扁平化結構，城域網絡直接上聯骨干節(jié)點。根據城域網內云數據中心的規(guī)模和分布，增加一些骨干節(jié)點的多向連接(或者儲備這樣的預案)是一種積極的方案。此外，城域網的IDC接入路由設備和出口路由設備的部署和能力分擔都應該探索分區(qū)和集群模式。對于 ISP(ISP自身可能也是云數據中心)而言，多線連接不同的運營商，或者爭取將云數據中心接入運營商骨干節(jié)點都是一種積極的方案。

　　由于城域網擔負著用戶訪問的巨大壓力，面對大業(yè)務量的面向全網服務的云計算業(yè)務，逐步建立面向業(yè)務的合理架構顯得非常重要。2.對骨干網架構安全的影響

　　為提升數據中心的業(yè)務能力和影響力，基礎運營商自有的云數據中心會盡可能靠近骨干網絡節(jié)點。由于運營商的數據中心也會開展出租業(yè)務，因此一部分第三方云計算業(yè)務也會通過租用機房的方式接入骨干網。

　　運營商的骨干網以往一般是不直接開展業(yè)務的，但是云計算可能會大規(guī)模改變這種局面。如何保障云計算業(yè)務對骨干網的沖擊將是骨干網架構師面臨的重要任務。

　　傳統的互聯網業(yè)務強調“就近服務”，因此信源分布、用戶分布以及運營商基礎設施建設基本上呈正相關的關系，就我國來說，北京、上海、廣東等寬帶用戶規(guī)模較大、基礎設施較好的省市同時也擁有全國大多數的信源資源。與這種情況相對應的是網絡流量也從全國各地向這些網絡資源發(fā)達的地區(qū)集中，形成了北京、上海、廣州等幾個重點的互聯網流量集中地。

　　在云計算環(huán)境下，大規(guī)模超大規(guī)模數據中心是趨勢。此時數據中心的能源消耗所帶來的成本將成為云提供商重點考慮的問題。例如google公司在多個地點擁有約12座專屬數據中心，共運行著約100萬臺服務器，即使不考慮數據中心路由器、交換機等設備的電力消耗，僅是這些服務器的電力需求就達到 500兆瓦，相當于半個舊金山市區(qū)的電力消耗。因此google公司盡量選擇在電力資源豐富、地理條件安全、很少有自然災害的地方建設數據中心，例如將云計算數據中心建在OREGON水電站附近，或建立在諸如比利時等溫度較低的地方，以利用空氣自然冷卻。

　　我國西部和東北因為自然條件好(溫度優(yōu)勢)和人力成本低廉，會成為大型云計算運營商重點部署區(qū)域，云數據中心部署模式以用戶和信源為中心向以能源為中心轉變，由東部地區(qū)向中、西部、東北地區(qū)發(fā)展會成為一種趨勢。這種變化對以用戶和信源為中心的骨干網絡架構和設備配置提出了新的要求。骨干網的架構必須重視這種變化，提前做出反應，保障對云計算業(yè)務和傳統業(yè)務的有效承載。

　　3.對網間互聯架構安全的影響

　　云數據中心似乎對網間的互聯互通影響不大，其實不然。由于歷史原因，我國互聯網的幾大主要骨干網之間在京、滬、穗三地進行互聯，其他地方并沒有互聯點或交換中心。所有省與省、城域與城域之間跨網業(yè)務互訪必須經三地繞轉。由于京、滬、穗三地都屬于寬帶用戶規(guī)模較大、基礎設施較好的省市，基本能夠滿足我國東部互聯網流量相對集中業(yè)務需求。云數據中心的出現，特別是云數據中心由東向西，由南向北發(fā)展態(tài)勢的轉變，使得傳統的互聯格局出現瓶頸，難以保證云計算時代互聯網網間業(yè)務的需求，這就需要網間互聯架構作出調整和優(yōu)化。

　　反觀美國的互聯網網間互聯架構，基本都是在人口密集和業(yè)務量大的城市設立直連點和交換中心，數量眾多。這是一種市場化的自然選擇。參考國外經驗，滿足未來云數據中心的業(yè)務需求，在西部增加新的網間直連點或者交換中心，拓展現網的網間架構，提高網間的可靠性和業(yè)務效率是一種理想方案。

　　云計算在我國還剛剛起步，超大規(guī)模云數據中心也處于規(guī)劃建設階段，未來云計算的發(fā)展還存在諸多的不確定因素。但是未雨綢繆，及早應對未來的需要，提前考慮網絡架構的優(yōu)化，或者積極儲備架構調整方案是一項長期的重要的工作。