摘要：你知道吗？传统云网络存在了这么久，但是你了解它的基本架构吗？你知道吗？传统云网络下两种隔离方式Vlan和Vxlan，却各有利弊；你知道吗？云网络把网络的边界变模糊了，那么网络安全是否有保障呢？本文就带你了解这一切。

1传统云网络的架构分析

　　传统云网络结构

上图中这些蓝色大框是服务器，其中上面两个服务器：NC(计算节点)和CC(网络节点)，它类似于整个云网络的一个核心路由器。实例一出来会经过一个网桥，网桥上有防火墙功能。当数据出了计算节点以后会引流到网络节点进行下一步的处理。网络节点负责数据的路由、NAT地址转换、流量控制器还包括一些DHCP Server、网关等功能。传统云网络大量引用了Linux网络协议栈中提供的网络组件。这么做有什么好处呢？好处是减少开发周期，单独功能稳定。但是Linux的网络组件存在大量的捆绑，当用一个功能时就必须强迫使用其他捆绑捆绑功能。然而这些捆绑功能是不需要的。这样云网络的复杂度会越来越高，并且性能优化难度很大。

在这个网络里面，网络节点它的压力是非常巨大的，两个不同子网的虚拟机之间的访问需要经过网络节点，外部网络访问虚拟机需要经过网络节点，虚拟机访问外部网络需要经过网络节点，这样东西南北各方向的流量都要经过这个网络节点。整个云网络性能瓶颈就是网络节点的处理性能。万一它出现单点故障的话，后果会很严重。

2租户隔离

传统的云网络隔离有两种方法，一种是vlan，另一种叫做Vxlan。vlan隔离简单快速，但是它数量只有4000多个，网络规模难以扩展。Vxlan可以解决vlan数量不足的问题，Vxlan的数目能达到16M。16M绝对可以满足大规模云网络组网需求。但是Vxlan有几个问题，第一个，它需要在这个数据包的前面叠加一个三层的包头，这样带宽质量会受影响。另外vxlan的部署比较困难，因为vxlan的设计初衷处理解决vlan不足的问题之外，它还需要解决大二层网络跨机房的问题。另一个比较严重的问题就是，大部分的数据中心都是使用vlan做网络隔离的。如果云内部使用vxlan,我们就需要额外造一个vxlan网关专门负责与数据中心的互联互通。如果云内部有的用户使用vlan，有的用户使用vxlan，那就更复杂了。传统网络的发展往往都是解决一个问题又会引入其他新的问题。

3云网络的功能实现

一个云它的网络不是简简单单说做了100台虚拟机，100台虚拟机都能上网，这就是云，这绝对不是云。云是一个让所有人都能够在里面独立生存的一个生态空间，也就是说每一个云内的租户都需要独立自定义的网络空间。另外在同一个云实例的私有地址是可以重复的。网关不能像刚才我们讲的用一个物理服务器堆在中间来代替，这个不可靠，网关是需要独立的，需要每个子网都需要一个独立的网关。网关应该分布式虚拟化。

4网络安全

如果黑客入侵了虚拟机。从虚拟机这一端开始发起攻击，这个东西到底有多危险呢，可以来想象一下，第一个它可以攻击其他的虚拟机、攻击网关、攻击数据中心。云网络把网络的边界变模糊了，从而很容易造成网络安全能力的下降。如果让做云的厂家，负责网络安全，很显然这不是他们的强项。所以云网络安全需要借助第三方的专业安全厂家，让他们把自身优秀的网络安全产品虚拟化并且集成到云中。这也符合云是一个生态空间的概念。而传统云网络的在架构本身，就很难实现这样深入的整合。原因很简单，传统云网络本身的IO路径非常复杂，如果要把流量引入第三方的虚拟化安全产品洗清，并且回到正常的网络逻辑，对于传统云网络来说，实在很难实现。