欧宝电竞
Mou Mou Jidian Generator
发电机维修 发电机回收
发电机出售 发电机租赁
客户统一服务热线
065-43269646
19761393409
065-43269646
19761393409
本文选自《生意业务技术前沿》总第三十六期文章(2019年9月)江家仁 / 上海证券生意业务所 技术治理部 jiarenjiang@sse.com.cn摘要:作为下一代网络的主流技术,软件界说网络已经在学术界和工业界获得了广泛关注。本文主要研究多个网络服务提供商场景下可用性的软件界说网络和软件功效虚拟化集成与宁静防护方法,通过虚拟网络服务体系结构展现实施的可行性,并针对于单个网络服务提供商场景,提出了软件界说网络的情况感知服务组合综合评估。
最后,对软件界说网络中高可用虚拟网络服务的宁静品级掩护举行探讨。1 概述软件界说网络(Software-defined Networks,SDN)将网络控制与数据转发分散。
随着控制与数据平面的分散,网络交流机酿成了简朴的转发设备,逻辑集中控制器泛起。SDN优势在于易用和强大的网络控制、便捷和高效的网络治理,以及精彩的网络性能。
与SDN类似,网络功效虚拟化(Network Function Virtualization,NFV)使用虚拟化技术将服务功效从底层基础设施中分散。它将网络功效从专用硬件转移到通用服务器上。NFV使得服务部署越发迅捷、服务提供越发简朴。此外,NFV也降低了网络开支。
SDN与NFV技术的相互联合能够进一步提升下一代网络服务能力。另一方面,用户希望网络流通、在任何时候都有很是好的线上体验和业务响应速度。
这种趋势使得基础运营商和服务提供商需要增强互助,提供易于扩展的网络服务,同时基础投资用度又不外高。基于此,SDN和NFV不在通过一个服务提供商来提供网络服务,而是整合多项服务提供商的服务,实现虚拟网络服务(Virtual Network Service,VNS)。
现在的研究主要集中于SDN和NFV技术集成上,在研究网络功效服务组适时,需要思量SDN的特性。这些特性包罗集中控制、全局视图和动态情况。首先,在SDN中存在逻辑上的集中控制器,有利于服务注册、服务发现等。
通过逻辑集中控制器,服务机制可以发现和选择切合需求的服务实例。其次,SDN技术为网络治理员提供了可以网络编程的能力,允许建立动态流计谋。集中控制和全局视图的特点给SDN服务组合带来了新的优势,使得服务注册、服务发现越发容易。
不外,动态属性使得服务用度在运行时会变化,为了使用SDN的这些特性并满足服务需求,在确保宁静性的前提下,更有效的使用网络资源,需要通过情况感知和宁静品级掩护来保障软件界说网络(高可用宁静虚拟网络)的高可用性和宁静性。2 基于SDN/NFV的虚拟网络的懦弱性分析在多服务提供商场景下分析基于SDN/NFV的虚拟网络服务的懦弱性,网络服务提供商组合基础服务提供商的底层服务,为用户提供网络服务,如图1所示。图1 虚拟网络服务场景在该场景中,存在三种角色:用户、网络服务提供商和基础设施服务提供商。
基础设施服务提供商治理基于SDN的物理网络或者基于NFV的数据中心,通过子层功效API将基础设施服务公布给网络服务提供商。网络服务提供商可以启动服务、也可以选择关闭服务。
可是,他们不能直接会见基础设施。网络服务提供商凭据用户的需求组合基础设施服务实现网络服务。用户可以设置虚拟网络,如IP过滤规则等。
在上述场景中,对于网络服务可用性而言存在如表1所列的懦弱性问题。这些懦弱性存在于用户层、网络服务层和基础设施服务层。表1 网络服务懦弱性分析在用户层,因为使用网络服务API操作底层服务是正当的,所以对可用性存在潜在的懦弱性。
在该层存在两种子类型的懦弱性。一是用户通过网络服务API执行拒绝服务DoS。例如,用户频繁更改设置,使得网络服务层的控制器不能响应其它请求等。
二是正当的用户使用网络服务API举行违规操作,使得网络服务中断。例如,设置了全流量的引入计谋使得流量超载等。在网络服务层,存在潜在的基础设备服务层的懦弱性。
基础的原因是攻击者或者正当的网络服务提供商可以通过基础设备服务API操作底层服务。好比攻击者或者正当网络服务提供商频繁移动和关闭基础设施服务,这些行动在短时间内就可耗尽物理资源,使得基础设备服务不在可用,无法提供应其它网络服务提供商。在基础设施层,也存在几种潜在的可降低网络服务层可用性的懦弱性。攻击者或者恶意基础设施服务提供商中断基础设施服务,使得网络服务层没有资源支持。
此外,也可能由于不行预测的原因(如设备故障等)导致基础设备服务提供商不能提供正常的服务。由于网络服务提供商没有控制和恢复基础设施的能力,这些懦弱性对网络服务层而言是威胁较高。3 基于SDN/NFV面向多服务提供商的高可用性宁静服务3.1体系架构及关键组件基于SDN/NFV面向多服务提供商的的高可用性宁静服务体系结构分为用户层、网络服务层和基础设施层三个层级,如图2所示。
用户可以治理控制台设置虚拟网络,网络服务层拥有九个关键组件,基础设施服务层除了SDN控制器和NFV控制器,还引入了抗DoS和违规组件。图2 基于SDN和NFV的多服务提供商的虚拟网络服务体系架构详细来说,在用户层中,用户通过多组虚拟网络治理控制台来远程治理与控制虚拟网络设置。在网络服务层中,网络服务提供商通过基础设施服务API治理虚拟资源,并凭据用户请求组合网络服务,这些服务可以通过网络服务API会见。与基础设施服务层类似,网络服务层也具有抗DoS和违规操作的机制,以防止来自北向API的威胁。
此外,网络服务层另有监视底层基础设施的机制,并在需要时重组网络服务。网络服务层拥有九个关键组件,其中七个是关于服务组合的,两个是关于掩护网络服务可用性的:1) 基础设施服务注册组件维护来自基础设施服务层的信息,用于网络服务编排执行决议和编排任务;2) 基础设施服务发现组件提供服务选择和协商能力。它与服务注册组件联系,选择切合用户偏好、场景信息或者其它选择准则的基础设施服务;3) 场景信息治理组件从控制面板搜集场景信息。信息包罗虚拟资源的全局视图和历史场景信息;4) 服务控制组件给用户应用提供北向接口,北向接口用于请求满足特定需求的网络服务。
它使用网络服务编排组件选择合适的基础设施服务链,并满足来自用户层的网络服务需求;5) 网络服务编排触发组件与资源可用性评估组件、场景信息治理组件和服务控制组件交互,监视场景信息和用户请求,然后触发服务编排。网络服务编排组件组合虚拟资源以满足用户的要求,并通过适用性机制治理来解决需求与场景的变化。6) 抗DoS和违规操作组件用于防止虚拟/物理资源被来自用户层的恶意或者异常行为耗尽。
7) 资源可用性评估组件将评估底层基础设施资源的可用性,并在需要时触发网络服务重新编排。在基础设施服务层中,基础设施服务提供商治理SDN和NFV服务功效,并通过基础设施服务API为网络服务提供商提供基础设施服务。此外,基础设施服务提供层还具有宁静掩护操作机制(与网络服务层相关组件联动),用于阻止来自网络服务层的恶意或者异常事件导致物理资源耗尽,掩护网络基础设施和服务的宁静。
3.2 体系架构的优势SDN和NFV是相互独立的,一个基础设施服务提供商治理基于SDN的网络,而其他基础设施服务提供商治理NFV资源。这两种类型的基础设施服务提供商没有任何交集。
SDN控制和NFV控制器之上的抗DoS和违规组件是在SDN体系结构和NFV体系结构的应用层。它们未对当前的SDN和NFV体系结构做任何改动。
1) 支持多提供商场景在本体系架构下,虚拟网络服务是在多域规模内的异构网络和盘算基础设施实现的,可以提供对多提供商场景的全面支持。2) 支持情况感知在网络服务层,情况信息治理组件搜集所有的情况信息,包罗来自基础设施服务层、用户层及网络层的信息。服务编排触发组件基于情况信息治理组件,并与其它组件协同后,通知网络服务编排组件重组网络服务。
该特性为本架构提升了服务能力的弹性和质量。3) 具有高可用性和宁静性本架构接纳抗DoS和违规防御机制,基础设施服务层能够防御来自网络服务层的威胁,制止资源耗尽。
该特性提升了基础设施服务层的宁静性。与此同时,使用资源可用性评估机制,网络服务层可以感知每个基础设施服务的可用性。一旦发现某些基础设施服务的服务质量不能满足需求,系统可以自动调理其它满足需求的基础设施服务来保障输出能力。总之,这些特性提供了一系列切实可行的方法来集成SDN和NFV,以支持网络服务宁静与性能保障,也体现了整个体系架构优势所在。
4 软件界说网络的品级掩护级别分类作为下一代主流的通信网络,软件界说网络(高可用宁静虚拟网络)的宁静掩护品级参照国家网络宁静品级掩护尺度要求,分为以下五级:第一级,系统受到破坏后,会对公民、法人和其他组织的正当权益造成损害,但不损害国家宁静、社会秩序和公共利益。第一级信息系统运营、使用单元应当依据国家有关治理规范和技术尺度举行掩护;第二级,系统受到破坏后,会对公民、法人和其他组织的正当权益发生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家宁静。
国家信息宁静羁系部门对该级信息系统宁静品级掩护事情举行指导;第三级,系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家宁静造成损害。国家信息宁静羁系部门对该级信息系统宁静品级掩护事情举行监视、检查;第四级,系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家宁静造成严重损害。
国家信息宁静羁系部门对该级信息系统宁静品级掩护事情举行强制监视、检查;第五级,系统受到破坏后,会对国家宁静造成特别严重损害。国家信息宁静羁系部门对该级信息系统宁静品级掩护事情举行专门监视、检查。
5 竣事语软件界说网络技术已经成为5G、车联网、智能电网等新型通信网络的主流技术,其软件界说网络(虚拟网络)的可用性是至关重要的焦点问题,同时虚拟网络服务的宁静也尤为重要。为相识决这些问题,本文首先提出了一种建设在没有思量修改SDN/NFV技术尺度的前提下,基于多网络服务提供商场景提供可用性与宁静性的集成体系框架,提出了针对软件界说网络的情况感知服务组合思路来解决可用性与宁静性问题,并对可行性举行了综合评估与分析。
最后,对软件界说网络的品级掩护级别分类举行了探讨,随着品级掩护2.0的即将推出,以及软件界说网络技术不停生长,另有许多值得我们一同去思考和革新的地方。参考文献:[1] ETSI Industry Specification Group. Network Functions Virtualisation (NFV): Terminology for main concepts in NFV. http://www.etsi.org/deliver/etsi _gs/NFV/001_099/003/01.02.01_60/gs_NFV003v010201p.pdf, 2016-07-31.[2] ITU-T. Requirements and Capabilities for NGN Service Integration and Delivery Environment. http://www.itu.int/rec/T-REC-Y.2240-201104-I/en , 2016-07-31.[3] Paganelli F, Ulema M., and Martini B. Context-Aware Service Composition and Delivery in NGSONs over SDN. In: IEEE Communications Magazine, volume:52, issue:8, 2014, 97-105.[4] Telemanagement Forum. Service Delivery Framework (SDF) Overview, Release 2.0. http://www.tmforum.org/, 2016-07-31.[5] GB /T 22239.2 网络宁静品级掩护基本要求 第2部门:云盘算宁静扩展要求[6] Russ Whit, 驾驭庞大的网络 SDN+业务虚拟化+业务链, 人民邮电出书社, 2018-03-01。
本文来源:欧宝电竞-www.jscxsp.com
手机网站微信