数据隔离在云计算中的应用？

云计算中的数据隔离要使用虚拟化技术。虚拟化技术是云计算的核心技术，通过虚拟化技术实现了计算和资源的共享，所有用户的数据都位于共享的环境之中，这就意味着不同用户的数据可能存放在一个共享的物理存储设备中，如果恶意用户通过不正当手段取得合法虚拟机权限，就有可能威胁到同一台物理存储设备上的其他虚拟机，进而威胁到其他用户数据的安全，采用数据加密的方式能够起到一定的保护作用，但是仍然不足以保证数据的安全性，而数据隔离技术能够保障用户间数据分开，防止上述事件的发生。

在云计算系统中对客户数据的存放可采用两种方式实现：一种方式是采用单独的存储设备，这种方式从物理层面来对客户的重要数据进行有效的隔离保护，但是这种方式缺点是对存储资源不能进行有效利用；另一种存储方式是采用共享的存储设备，这种方式采用了虚拟化技术，以共享存储的方式对用户的数据进行存储，这种方式能够节约存储空间并且统一管理，可以节省相关的管理费用，但是这种方式需要确保数据的隔离性，这就要求在存储设备上部署数据隔离的相关措施。 目前已经有几种相对成熟的数据库架构来帮助实现数据隔离。

共享表架构（Shared Schema Multi-Tenancy） 即相同的数据库实例和相同的数据库表被所有的软件系统客户共享使用，而数据的从属是通过字段来进行区分的。这种方式的优点是由于它最大化地利用了单个数据库实例的存储能力使得硬件成本非常低廉，其缺点是由于多个客户的数据共存于相同的数据库表内，因此需要额外的业务逻辑来隔离各个客户的数据，增加了开发的复杂度。此外，这种架构实现数据备份的成本也非常高，不但需要专门编写代码实现数据备份，而且在恢复数据时，需要对数据库表进行大量的删除和插入操作，因为数据库表包含大量其他客户的数据，势必对系统性能和其他客户的体验带来影响。 分离数据库架构（Separated Database） 即每个软件系统客户单独拥有自己的数据库实例；相比共享表架构，由于每个客户拥有单独的数据库实例，这种架构可以高效便捷地实现数据安全性和数据备份，但是随之而来的缺点便是其硬件成本非常高昂。 分离表架构（Shared Database Separated Schema） 即软件系统客户共享相同的数据实例，但是每个用户单独拥有自己的由一系列数据库表组成的模式。分离表架构是一种折中的多用户方案，它的优点是实现数据分离和数据备份相对共享表架构更加容易一些，而且它的硬件成本也较分离数据库架构低。

在进行云存储设计部署的时候，系统架构师要对以上三种方式进行全面分析，综合各方面的因素来选择合适的多用户模式（Multi-Tenancy）架构。一般来说，系统服务的客户数量越多，则越适合使用共享表的架构；对数据隔离性和安全性要求越高，则越适合使用分离数据库的架构。在超大型的云系统中，一般都会采用复合型的多租户模式架构，以平衡系统成本和性能。其中比较典型的实例就是Salesforce.com公司，Salesforce.com最初是基于共享表架构进行搭建，但是随着新客户的不断增加，单纯的共享表架构已经很难满足日益增长的性能要求，Salesforce.com逐步开始在不同的物理区域搭建分布式系统。在全局上，Salesforce.com以类似于分离数据库的架构运行，在单个区域内，系统则仍然按照共享表架构运行。

所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

物理隔离技术是解决网络不安全性的一种技术，物理隔离从广义上讲分为网络隔离和数据隔离，只有达到这两种要求才是真正意义上的隔离，并介绍了网络隔离和数据隔离。现在我们主要介绍物理隔离及其产品。

3．物理隔离产品

物理隔离产品有效地解决了上述数据隔离和计算机终端的网络隔离问题。它能实现在建好两个网络的前提下使一台计算机能连接两个网络，并且在同一时间，用户在装有物理隔离产品的计算机里，只能应用其中的一个网络系统。

物理隔离产品利用了计算机的数据处理方式，用户所有计算机应用操作都必须依赖操作系统和应用系统来完成。有了操作系统，用户才能方便、快捷地把数据存储在硬盘上。所以，只要对硬盘的读写进行全面控制，就可以实现数据隔离。对硬盘的读写进行控制可以用软件实现，也可以用硬件实现。可利用计算机加电启动后必须读主引导记录这一特点，把对硬盘读写控制的代码放在主引导程序中。这样，只要计算机一启动，这段代码就会被激活，所有对硬盘的读写就完全被这段代码接管。如果再利用硬件对硬盘的主引导记录进行写保护的特性，计算机就可以实现数据隔离。但是像这种用软件实现的数据隔离依然存在漏洞，因为那些被激活的对硬盘进行读写控制的代码是放在内存中的，而内存中的任何数据都可以通过程序来释放，黑客就可以利用这一特点编写相应的代码，先释放这段代码，然后读取他想读取或想破坏的任何数据。但是，我们如果能把对硬盘进行读写控制的代码用硬件实现，那么不管是黑客还是病毒都无能为力了。

最后，物理隔离产品控制网络与计算机的连接，这样就实现了一台计算机既能连接两个网络，又能实现完全数据隔离的目的。

随着网络化、信息化的迅猛发展，“安全源于物理隔离”的概念将不断深入到各行业、各部门、各地区。

PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）

②主机端口（Host Port）

其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：

primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。 （每个pVLAN可以有多个community VLAN）

isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promisuous端口通信。 （每个pVLAN中只能有一个isolated VLAN）

pVLAN当中使用的一些规则：

1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”，没有上限。

2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”，可以有多个“Community VLAN”。3.不同“Primary VLAN”之间的任何端口都不能互相通信（这里“互相通信”是指二层连通性）。

4.“Isolated端口”只能与“混杂端口”通信，除此之外不能与任何其他端口通信。

5.“Community端口”可以和“混杂端口”通信，也可以和同一“Community VLAN”当中的其它物理端口进行通信，除此之外不能和其他端口通信。

专用虚拟局域网技术应用与实例

1 前言

交换机是网络的核心设备之一，其技术发展非常迅速，从10Mbit/s以太网、100Mbit/s快速以太网，进而发展到吉比特和10吉比特以太网。交换机在通信领域和企业中的应用向纵深发展，网络管理人员对掌握专用虚拟局域网PVLAN技术的需求也越来越迫切。本文通过实践经验对这方面的应用进行总结。

2 VLAN的局限性

随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。 然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。

(1)VLAN的限制：交换机固有的VLAN数目的限制；

(2)复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理；

(3)IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；

(4)路由的限制：每个子网都需要相应的默认网关的配置。

3 PVLAN技术

现在有了一种新的VLAN机制，所有服务器在同一个子网中，但服务器只能与自己的默认网关通信。这一新的VLAN特性就是专用VLAN(Private VLAN)。在Private VLAN的概念中，交换机端口有三种类型：Isolated port，Community port, Promiscuous port；它们分别对应不同的VLAN类型：Isolated port属于Isolated PVLAN，Community port属于Community PVLAN，而代表一个Private VLAN整体的是Primary VLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuous port。在Isolated PVLAN中，Isolated port只能和Promiscuous port通信，彼此不能交换流量；在Community PVLAN中，Community port不仅可以和Promiscuous port通信，而且彼此也可以交换流量。Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。

4 PVLAN的配置步骤

1)Put switch in VTP transparent modeset vtp mode transparent(2) Create the primary private VLANset vlan vlan pvlan-type primary(3)Set the isolated or community VLAN(s)set vlan vlan pvlan-type {isolated community}(4)Map the secondary VLAN(s) to the primary VLANset pvlan primary_vlan {isolated_vlan community_vlan} {mod/port sc0}(5)Map each secondary VLAN to the primary VLAN on the promiscuous port(s)set pvlan mapping primary_vlan {isolated_vlan community_vlan} {mod/port} [mod/port ...](6)Show PVLAN configurationshow pvlan [primary_vlan]show pvlan mappingshow vlan [primary_vlan]show port

5 例子

下面给出一个正在网络中运行的交换机的PVLAN的相关配置，仅供参考。其中，VLAN 100是Primary VLAN，VLAN 101是Isolated VLAN，VLAN 102和VLAN 103是Community VLAN。

N8-CSSW-2>(enable) show running-configThis command shows non-default configurations only.set system name N8-CSSW-2#vtpset vtp domain sdunicomset vtp mode transparentset vlan 1 name default type ethernet mtu 1500 said 100001 state activeset vlan 100 name VLAN0100 type ethernet pvlantype primary mtu 1500 said 100100 state activeset vlan 101 name VLAN0101 type ethernet pvlantype isolated mtu 1500 said 100101 state activeset vlan 102 name VLAN0102 type ethernet pvlantype community mtu 1500 said 100102 state activeset vlan 103 name VLAN0103 type ethernet pvlantype community mtu 1500 said 100103 state active#module 2 ： 50-port 10/100/1000 Ethernetset pvlan 100 101 2/26-29,2/35-36,2/42-43set pvlan mapping 100 101 2/49set pvlan 100 102 2/1-13,2/30-34set pvlan mapping 100 102 2/49set pvlan 100 103 2/14-25set pvlan mapping 100 103 2/49endN8-CSSW-2>(enable) show pvlanPrimary Secondary Secondary-Type Ports------- --------- ----------------100 101 isolated 2/26-29,2/35-36,2/42-43100 102 community 2/1-13,2/30-34100 103 community 2/14-25

6 结束语

目前很多厂商生产的交换机支持PVLAN技术，PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的，而且采用PVLAN技术有助于网络的优化，再加上PVLAN在交换机上的配置也相对简单，PVLAN技术越来越得到网络管理人员的青睐。

---