安全域、租户和VPC之间的关系?

众所周知在传统网络架构中,有DMZ区和数据区的划分,两个区域之间的访问通过防火墙隔离和认证。安全要求更严格的DMZ、APP和DB分别属于三个安全域。SDN的模型中,同一个应用通常划分到一个VPC中来减轻VPC之间的东西向流量,但是在传统架构中同一个应用通常要跨越两到三个安全域。...显示全部

众所周知在传统网络架构中,有DMZ区和数据区的划分,两个区域之间的访问通过防火墙隔离和认证。安全要求更严格的DMZ、APP和DB分别属于三个安全域。
SDN的模型中,同一个应用通常划分到一个VPC中来减轻VPC之间的东西向流量,但是在传统架构中同一个应用通常要跨越两到三个安全域。这样的话以安全域划分和以应用划分就出现了交叉。
请教的是:
1、SDN如何解决安全域问题?
2、VPC之间东西向流量只能用EIP吗?VFW会不会成为性能瓶颈?如果有可能成为瓶颈,那么如何提前预防或者处理?
3、开发测试系统和生产系统要求严格隔离,那么能否共存在同一个SDN中?
4、将物理机纳入SDN范围,有没有必要?
谢谢!

收起
参与8

返回windfeng的回答

windfengwindfeng  系统分析师 , 华为

1、安全问题主要是涉及南北向安全和东西向安全,南北向安全可以通过防火墙、沙箱、WAF、漏扫等解决;东西向安全可以通过安全组、微分段解决。所有这些功能,华为都可以通过统一的安全控制器管理;
2、vFW确实可能会成为瓶颈,例如vFW不够用,可以通过部署更强功能的硬件FW解决,或者在规划Fabric时,独立部署service leaf,service leaf下挂硬件FW,当硬件FW不够用时,再增加FW设备数量。
3、开发测试和生产可以在一个SDN中,因为AC支持最大32个Fabric,我们可以开发测试区建一个Fabric,生产区建一个Fabric,这两个Fabric都可以通过一套AC来管理。
4、物理机纳入SDN很有必要,因为SDN不能去限制计算系统的种类和规格,否则应用范围会受限。

软件开发 · 2018-11-29
浏览5645

回答者

windfeng
系统分析师华为
擅长领域: 网络云计算私有云

windfeng 最近回答过的问题

回答状态

  • 发布时间:2018-11-29
  • 关注会员:4 人
  • 回答浏览:5645
  • X社区推广