數(shù)據(jù)中心虛擬化是指采用虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施池，主要包括計算、存儲、網(wǎng)絡(luò)三種資源。虛擬化后的數(shù)據(jù)中心不再象傳統(tǒng)數(shù)據(jù)中心那樣割裂的看待某臺設(shè)備或某條鏈路，而是將整個數(shù)據(jù)中心的計算、存儲、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施當(dāng)作可按需分割的資源集中調(diào)配。

　　數(shù)據(jù)中心虛擬化，從主機等計算資源的角度看，包含多合一與一分多兩個方向（如圖1所示），都提供了計算資源被按需調(diào)配的手段。由于虛擬化的數(shù)據(jù)中心是計算、存儲、網(wǎng)絡(luò)三種資源深度融合而成，因此主機虛擬化技術(shù)能夠順利實現(xiàn)必須由合適的網(wǎng)絡(luò)安全策略與之匹配，否則一切都無從談起。前者出現(xiàn)較早，主要包括集群計算等技術(shù)，以提升計算性能為主；而后者主要是近幾年出現(xiàn)的在一臺物理X86系統(tǒng)上的多操作系統(tǒng)同時并存的技術(shù)，以縮短業(yè)務(wù)部署時間，提高資源使用效率為主要目的。

圖1 計算虛擬化的兩種表現(xiàn)形式

　　虛擬化后數(shù)據(jù)中心面臨的安全問題

　　傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全包含縱向安全策略和橫向安全策略，無論是哪種策略，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全都只關(guān)注業(yè)務(wù)流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即增加網(wǎng)絡(luò)安全策略（如圖2所示），網(wǎng)絡(luò)安全策略能夠滿足主機順暢的加入、離開集群，或者是動態(tài)遷移到其它物理服務(wù)器，并且實現(xiàn)海量用戶、多業(yè)務(wù)的隔離。

圖2 數(shù)據(jù)中心虛擬化安全模型

　　虛擬化數(shù)據(jù)中心對網(wǎng)絡(luò)安全提出三點需求：

　　1、在保證不同用戶或不同業(yè)務(wù)之間流量訪問控制，還要支持多租戶能力；

　　2、網(wǎng)絡(luò)安全策略可支撐計算集群中成員靈活的加入、離開或者遷移；

　　3、網(wǎng)絡(luò)安全策略可跟隨虛擬機自動遷移。

　　在上述三個需求中，第一個需求是對現(xiàn)有網(wǎng)絡(luò)安全策略的增強。后兩個需求則需要一些新的規(guī)劃準(zhǔn)則或技術(shù)來實現(xiàn)，這給當(dāng)前網(wǎng)絡(luò)安全策略帶來了挑戰(zhàn)。

　　應(yīng)對之道

　　VLAN擴展

　　虛擬化數(shù)據(jù)中心作為集中資源對外服務(wù)，面對的是成倍增長的用戶，承載的服務(wù)是海量的，尤其是面向公眾用戶的運營云平臺。數(shù)據(jù)中心管理人員不但要考慮云主機（虛擬機或者物理機）的安全，還需要考慮在云平臺中大量用戶、不同業(yè)務(wù)之間的安全識別與隔離。

　　要實現(xiàn)海量用戶的識別與安全隔離，需要為虛擬化數(shù)據(jù)中心的每一個租戶提供一個唯一的標(biāo)識。目前看開，VLAN是最好的選擇，但由于VLAN數(shù)最多只能達到4096，無法滿足虛擬化數(shù)據(jù)中心業(yè)務(wù)開展，因此需要對VLAN進行擴展。如圖3所示，VLAN擴展的有以下兩個實現(xiàn)途徑。

圖3 VLAN擴展兩種思路