21、云数据中心网络安全与部署最佳实践

云数据中心网络安全与部署最佳实践

云数据中心网络的安全防护

在云数据中心网络（DCN）中，安全防护至关重要，主要包括网络隔离、边界安全和安全管理等方面。

网络隔离模式

网络隔离有两种模式，分别是主机隔离和流量阻塞，具体如下：
- 主机隔离 ：CIS（未明确的安全相关系统）将目标主机信息通知给安全管理器（如 SecoManager），安全管理器再通知网络控制器（如 iMaster NCE - Fabric）。网络控制器定位与主机相连的叶节点，并向它们下发主机隔离策略。
- 流量阻塞 ：CIS 把目标流量信息告知安全管理器。对于不经过防火墙的东西向流量，安全管理器将流量信息通知网络控制器，网络控制器在相应的接入交换机（TOR）上下发阻塞策略以阻止流量；对于经过防火墙的南北向流量，安全管理器直接向防火墙下发安全策略来阻塞流量。

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(CIS):::process -->|目标主机信息| B(安全管理器):::process
    B -->|通知| C(网络控制器):::process
    C -->|定位叶节点| D(叶节点):::process
    D -->|接收隔离策略| E(执行隔离):::process
    A -->|目标流量信息| B
    B -->|东西向流量信息| C