IT Certification 考試資訊

博客

  • 私有雲架構面臨的安全挑戰與防禦措施

    隨著私有雲在不同產業、企業普及率越來越高,規劃快速擴大,已成為企業核心平台之一。 私有雲上的系統的資料與資訊安全將依賴於私有雲運算平台所提供的保密性和安全性。 一旦雲端平台安全受到威脅並被利用,無疑地為雲端上應用程式造成了重大威脅。

    所以隨著雲端運算市場規模的擴張,也為雲端運算平台的安全帶來了前所未有的挑戰。

    私有雲架構面臨的安全性挑戰

    本文主要從技術安全挑戰和管理安全挑戰兩個面向對私有雲架構面臨的風險進行闡述。

    技術安全挑戰:

    網路資料流在虛擬機器之間傳輸時,IT人員對敏感資訊、進階惡意軟體的監控及控制能力被削弱;

    私有雲對傳統網路架構的彈性度和頻寬要求較高;

    私有雲儲存中的資料面臨資源隔離、加密保護、入侵偵測、資料銷毀等問題;

    漏洞頻傳,主機間遷移能力升級過程中對業務有影響。

    管理安全挑戰:

    私有雲平台管理無平台化支撐,需要藉助統一的管理平台即時檢視運算、網路、儲存等資源;

    私有雲平台自動化管理能力亟待提高,使自服務基礎設施成為可能;

    私有雲平台要整合供應和編排引擎;

    混合雲作為未來的雲端趨勢,在私有雲平台建置過程中要考慮混合雲模型過渡。

    私有雲架構的安全防禦措施

    私有雲從整個架構來說與傳統環境沒有本質區別,所以從安全角度來說,面臨的安全問題和傳統環境面臨的安全問題無異。 與以往作業系統面臨的七層安全問題一樣,在私有雲情況下依然面臨同樣的安全問題。 但由於私有雲資源【運算、網路、儲存】為集中管控,所以從安全角度來說容易管控,不像以往的分散管控。

    在繼承傳統安全問題的同時,私有雲還有哪些新的防護模式要部署? 同樣我們依然遵守微軟的STRIDE威脅分析模型進行分析與出具防禦措施。

    STRIDE威脅分析模型是微軟提出的一套安全設計方法論,六個字母代表六種安全威脅,分別是:

    身份假冒(Spoofing):

    身份假冒,即偽裝成某對像或某人。 例如,透過偽裝成別人的身分來操作。

    篡改(Tampering):

    篡改,即未經授權的情況下,修改資料或代碼。 例如,非授權人員透過網路抓包或

    某種途徑修改某個請求包,使得竄改的請求包提交成功。

    抵賴(Repudiation):

    抵賴,即拒絕執行他人無法證實也無法反對的行為而產生抵賴。 例如,A攻擊了某個產品,產品方不知道是A做的,沒有證據證明是A做的,A就可以進行抵賴。

    資訊洩露(Information Disclosure):

    資訊洩露,即將資訊暴露給未授權用戶。 例如,透過某種途徑取得未經加密的敏感資訊。

    拒絕服務(DenialofService):

    拒絕服務,即拒絕或降低有效用戶的服務等級。 例如,透過拒絕服務攻擊,使得其他正常使用者無法使用產品的相關服務功能。

    特權提升(Elevation of Privilege):

    特權提升,即透過非授權方式獲得更高權限。 例如,試圖用管理員的權限進行業務操作。

     

     

     

     

     

     

     

     

     

    微軟的全系產品都是基於它進行安全考量與設計。 STRIDE模型幾乎是可以涵蓋現在世界上絕大部分的安全問題。

    但這些威脅根據其性質,基本上可以歸結為以下幾個面向:

    資訊外洩:被保護的資訊被無意或有意的洩漏;

    破壞資訊的完整性:被保護的資料被非法篡改或破壞;

    拒絕服務:非法阻止合法資訊使用者對資訊服務的存取;

    非授權存取:受保護資源被非授權個人或組織進行使用;

    竊聽:利用用各種可能的非法的手段竊取系統中受保護的資訊資源和敏感資訊;

    假冒:透過欺騙通訊系統或用戶,達到非法用戶冒充成為合法用戶,或特權小的用戶冒充成為特權大的用戶的目的。 駭客攻擊往往採取此方式,偽裝欺騙用戶,達到目的;

    漏洞攻擊:攻擊者利用系統的安全缺陷或漏洞取得非法的權限;

    內部攻擊:被授權以某一目的使用某一系統或資源的某個人,卻將此權限用於其他非授權的目的;

    抵賴:通常是為內部攻擊的分支,攻擊者否認自己曾經發布過的某則訊息;

    電腦病毒:一種在電腦系統運作過程中能夠實現傳染和侵害功能的程式;

    法規不完善:由於資訊安全法規法律上的不完善,給予資訊竊取、資訊破壞者可趁之機。

    私有雲的安全性面,建議從以下幾個層次去考慮:

    終端層(用戶層)

    終端層也稱為使用者層,主要是確保使用者存取雲端資源時,處於安全的終端環境;

    應用層

    為雲端平台承載的發佈業務,確保發佈的應用程式實現通訊加密、資料脫敏及存取控制等;

    資料層

    確保雲端上數據,包括用戶數據、系統數據及平台數據【VM】,處於加密狀態,可用狀態;

    系統層

    確保雲端上系統,包括雲端平台、雲端宿主和VM處於安全狀態,漏洞及時更新;

    網路層

    網路作為雲端平台的血脈至關重要,要確保網路通路的順暢及通訊加密;

    基礎設施層

    高可用的基礎設施架構,是確保業務連續性的前提條件;

    維運層

    雲端平台內各種資源的存取控制應及時進行安全審計,確保操作可控、運作透明。

  • 改子网掩码

    通信弱電交流學習

    如果是在一個小型的區域網路裡可能完全不必要考慮IP位址不夠的情況,但是在超過「255台」電腦的大型區域網路裡,就必須要考慮電腦IP位址不夠用該如何解決了。

    很多時候企業區域網路出現私網路位址192.168.1.x-255不夠用了,去掉一個廣播位址及一個網路位址後就可能不夠用。 (0是網路位址不可用, 255是廣播位址,除去這2個,可用的就是254個位址)。

    那麼如何解決呢?

    首先,我們來了解一下IP位址:“X.X.X.X”

    x代表0到255之間的任一個自然數,但是,在區域網路裡面,這裡的數字設定是有規則的,一般是由子網路遮罩來分割。

    如255.255.255.0。 說明最後面一個X可以從0到255之間隨意改變。 當網關是192.168.1.1時,我們可以設定成192.168.1.1–192.168.1.254。

    當在一個區域網路內,ip位址超過了數量怎麼辦,這個通常發生在C類的ip位址區域網路中較多,可以有三種方法來解決這個問題。

    一、改子網路遮罩

    因此當子網路遮罩設定成255.255.255.0時,路由器下面的區域網路最多只能”254台”電腦分配相對獨立的IP位址。

     

     

     

     

     

     

     

     

     

     

     

     

     

    想要增加區域網路IP,那麼可以修改下子網路遮罩就可以了,例如子網路遮罩從255.255.255.0修改成255.255.0.0,那麼我們區域網路裡面的電腦IP就相當於可以設定254乘以254台電腦 ,有64516個IP位址。

    而IP的第三個X也可以從0到255之間任一個數字變192.168.X.X。

    如果還要更多,那麼可以設定成255.0.0.0,區域網路就可以擁有254*254*254台電腦。

    不過這樣設定的話相當於這些所有電腦都處於一個區域網路裡面,而且可以互相訪問,容易引起“網路風暴”,所以我們在修改子網路遮罩時,應該盡量精確。

    例如:255.255.252.0,可以容納,4*254個ip位址。
    二、增加路由器

    也可以透過路由器後面再接路由器來分成多個網段,不過這種方法不太適合超大型網路。

     

     

     

     

     

     

     

     

     

    如果原來的網段為192.168.1.1。 那麼可以新增網段,192.168.X.1 。

    操作步驟:

    新增加一台路由器即可! 分配一個IP位址給新增的路由器靜態IP綁定下,然後如果想省事可以啟用DHCP,如果不想省事就自己設定IP位址。

    路由器的網關一定要改! 一般預設的都是192.168.0.1 或 192.168.1.1 ,你新增網段的網關應該是192.168.X.1切記!

    如果你新設定IP位址設定為192.168.2.1的話。 新路由器的IP位址池可以在 192.168.2.2~~~192.168.2.254之間。
    連接方法:

    之前的路由器LAN口和現在路由器的WAN埠相連接。 然後你新的路由器就可以上網了。 可以再接一個交換器插在新路由器的LAN口。

    三、劃分vlan

    最好的方法是透過設定虛擬區域網路“VLAN”,將區域網路裡面的電腦分成多個虛擬的區域網,可以減少網路風暴,而且可以提高交換器跟路由器的工作效率。 有的交換器自帶有VLAN接口,那麼只要將網路線依需要分別接到對應的網段。

     

     

     

     

     

     

     

    透過子網劃分! 你可以將IP位址設定成192.168.0.0/24
    那麼可以劃分192.168.0.x和192.168.1.x二個網段,增加了IP的數量,當然也可以續繼續劃分多個網段。

    網段一:

    192.168.0.x,192.168.0.1——192.168.0.254 ,255.255.255.0。

    網段二:

    192.168.1.x ,192.1681.1——192.168.1.254,255.255.255.0。

    這樣就劃分了兩個vlan,當然也可以分更多。

    四、補充

    這裡面弱電君補充下,很多朋友在專案中會遇到,ip位址192.168.0.0/23這樣的表示,是如何算出它的子碼掩碼是255.255.254.0?

    23是CIDR值。 簡單說就是一個CIDR值對應一個子網路掩碼,然後對網路就行分段。

    每個IP位址的長度為32位元(bit),分4段,每段8位元(1個位元組)。 簡單的說23代表從前往後有23個1,就是11111111.11111111.11111110.00000000

    把這個轉換成十進制就是255.255.254.0,子網路遮罩就是這樣算出來的。

  • 華為設備常用display指令合集

    華為設備常用display指令合集

  • 掌握Kubernetes優化:一種策略方法

    原创 岱军 云云众生s
    採取策略性的結構化的Kubernetes管理,可充分發揮其效能,使其成為推動業務效率與創新的關鍵因素。

    譯自Mastering Kubernetes Optimization: A Strategic Approach,作者 Eli Birger 是 PerfectScale 的共同創辦人兼技術長。 他是一位熱情的技術專家,擁有電信(Comverse、Vonage)、網路安全(Imperva、Cyren)和儲存(IBM)方面的背景。 他擁有超過六年的DevOps管理經驗,在這個角色中…

    Kubernetes 已經確立了自己作為首要容器編排平台的地位,它因在部署應用程式時擁有超凡的靈活性和可擴展性而獲得廣泛讚譽。

    這個開源系統旨在簡化容器化應用程式的管理,提供諸如高效擴展、負載平衡和自動化管理等功能。

    然而,掌握Kubernetes 需要在性能、彈性和成本效益之間達致精妙的平衡,這可能是一個複雜的持續挑戰。 對依賴 Kubernetes 運行關鍵應用程式卻又想控制營運成本的企業來說,確保達到最佳平衡至關重要。

    掌握 Kubernetes 的第一步關鍵在於對環境有詳細的了解。 這涉及密切監控和分析資源分配和使用模式,以及理解成本影響。

    達到這種洞察力對確定低效率和潛在改進領域至關重要。 這通常需要部署可以提供即時數據和分析的監控工具,使團隊能夠做出資訊化的數據驅動決策。 對 Kubernetes 環境中不同元件如何在不同條件下互動和消耗資源有詳細的了解,為有針對性的最佳化工作奠定基礎。

    一旦一個組織對其 Kubernetes 設定有了全面的理解,下一步就是朝著主動的、由所有者主導的行動邁進。 這個階段至關重要,因為它涉及將從最初的詳細分析中獲得的見解應用到做出資訊化和策略性的決策。 這些決策涉及 Kubernetes 管理的各個方面,包括資源分配、應用程式擴充和整體基礎架構調整。

    此時,組織開始積極管理他們的 Kubernetes 環境,應用資料驅動的策略來優化效能。 這可能涉及調整 pod 或節點的大小,以更好地匹配它們的實際用法,從而確保資源不會被低利用或過度擴展。

    它還可能包括重新配置網路策略或調整儲存配置以提高效率和效能。 在某些情況下,組織可能需要實現更複雜的更改,例如修改 Kubernetes 調度程序以實現更好的負載分配,或更新服務編排和管理的方式。

    這個階段流程的重點不僅在於節省成本或提高效能,而是在找到既滿足直接營運需求又符合長期策略目標的平衡。 這需要對Kubernetes環境及其與所支援的應用程式的相互作用有細緻的理解。 例如,縮減資源可能會在短期內降低成本,但如果這導致應用程式效能或可用性降低,則可能會對業務結果產生長期的負面影響。

    掌握Kubernetes的最後一個面向是採用自治權限調整,這代表了Kubernetes環境管理方式的重大進步。 這個階段的特點是實施設計用於持續和主動優化的自動化流程。

    這裡的主要目標是賦予Kubernetes自治和有效率地調節其資源使用的能力,以流暢地適應不同的營運需求。 這種自我調節對於在不需要持續人工幹預的情況下保持最佳表現至關重要。

    自治權調整涉及幾個戰略行動。 一個基本策略是實施自動擴縮機制,根據即時工作負載需求調整資源分配。 這可以確保應用程式在高峰時期可以存取必要的資源,而在需求較低時節省資源。 另一種尖端方法是整合AI驅動的工具。

    這些工具可以分析資源使用模式、預測未來需求並事先調整,確保Kubernetes環境始終運作在尖峰效率。

    一個自動化、高效的Kubernetes環境本質上更敏捷和響應迅速。 它可以快速適應不斷變化的需求,無論這些需求是由突發的用戶流量增加還是應用程式複雜性的逐漸增加引起的。 這種響應迅速性不僅提高了在Kubernetes環境中運行的應用程式的效能,還確保了更可靠、更一致的使用者體驗。

    遵循這種結構化的方法,組織可以將他們的Kubernetes操作從一個強大的工具轉化為一個策略資產。 這種Kubernetes的演進可以讓企業獲得深遠的利益。 所提出的方法論可以對確保資源不僅被有效利用,而且它們的利用與更廣泛的業務目標保持一致非常關鍵,從而實現成本效益。 在當今商業環境中,這種一致性至關重要,因為明智的資源管理可以顯著影響利潤。

    這種方法也提高了Kubernetes環境的彈性。 透過理解和主動管理Kubernetes的複雜性,組織可以創造不僅在正常條件下穩健,而且在面對意外挑戰或需求增加時也能維持效能和可靠性的系統。 這種彈性對於維持持續營運至關重要,這是依賴持續可用性和高效能的企業的關鍵因素。

    最後,當優化並與業務策略保持一致時,Kubernetes發揮其作為快速開發、部署和擴展應用程式基礎設施的最大潛力。 這種敏捷性使企業能夠快速回應市場變化,試驗新想法並提供增強的客戶體驗。 簡而言之,Kubernetes不僅支持現有業務,還可以驅動新計劃和擴張機會。

    透過採用策略性和結構化的Kubernetes管理方法,組織可以發揮其全部潛力,將其轉變為業務效率和創新的關鍵驅動因素,並使其成為組織的競爭優勢。 這不僅僅是技術優化,而是將Kubernetes定位為支撐組織發展的基石。

  • 為什麼思科願意高價收購雲端網路新創公司

    ■ 作者:Anissa Gardizy
    ■ 編輯:B Impact小章

    思科系統(Cisco Systems)宣布收購由Google和微軟支持的雲端網路和安全創業公司Isovalent的舉動表明,企業軟體股票的回升也推動了該行業中新創公司的估值提高。

    據一位知情人士透露,思科以現金支付約6.5億美元收購了這家新創公司,相當於其年度重複收入(ARR)的32倍。 根據Meritech Capital的數據,這遠高於人工智慧領域以外的企業軟體股票的平均估值倍數,後者的交易價格是重複收入的8.2倍。

    重點 • 這筆交易有助於思科繼續向雲端軟體轉型• 相對於其他最近的雲端交易,思科支付了高昂的價格• 雲端網路公司非常適合多家雲端服務供應商的客戶

    思科和Isovalent並未透露交易價格,只表示預計在接下來的六個月內完成交易。

    據一位知情人士透露,Isovalent的年度重複收入最近已經超過2,000萬美元。 ARR通常反映了客戶在接下來的12個月內承諾支付的訂閱費或支出金額。 目前尚不清楚該新創公司的成長率,而成長率是估值的關鍵因素。 根據Isovalent在2022年9月的數據,其收入每年增長約200%。 如此迅速的成長率可能能夠為高估值提供正當理由。 思科先前曾對這家新創公司進行投資,該公司在15個月前的一輪融資中的估值約為2.5億美元。

    Isovalent自稱總部位於美國加州的庫比蒂諾和瑞士的蘇黎世,屬於一類被稱為雲端網路的軟體,可以幫助客戶管理多家雲端服務供應商的伺服器。 該公司還提供能夠追蹤伺服器網路和應用程式效能的「可觀察性」軟體。 開發此類服務的公司正試圖複製Splunk和Datadog等公司在雲端應用轉型中取得的股票市場成功。

    Isovalent主要透過幫助客戶使用其開發的開源軟體Cilium賺錢。 Cilium基於eBPF,這是一種將應用程式與其運行的硬體連接起來的開源工具。 Isovalent的軟體對於使用Kubernetes的公司特別有用,Kubernetes是一款用於管理運行大量機器的應用程式的熱門開源軟體。 Isovalent表示Capital One是其付費客戶之一。

    收購狂潮

    Isovalent交易是思科今年宣布的第11筆收購交易,也是對雲端網路新創公司的第二筆收購。 Isovalent和另一家網路新創公司Valtix將加入思科的安全業務群組。 思科也在九月宣布以280億美元現金購買Splunk,該公司幫助企業監控和保護應用程序,包括透過可觀察性軟體實現。 然而,該交易尚未完成。 從業人士表示,思科最近的收購顯示這類軟體正在被企業廣泛採用。

    雖然亞馬遜網路服務(Amazon Web Services)和微軟提供了自己的網路軟體,但由於公司越來越多地使用多個雲端服務供應商,對Isovalent、Aviatrix和Alkira等較小公司的工具的需求也在 上升。

    思科的股價今年上漲了5%,遠遠落後那斯達克指數,後者在同一時期上漲了45%。 該公司在11月表示,截至10月底的季度營收成長了8%,但在當季(截至1月底)營收可能下降多達8%。 在思科宣布收購Splunk後,投資人也拋售了該公司的股票。

    據PitchBook稱,Isovalent目前擁有大約150名員工,並籌集了約7000萬美元的風險投資,其中包括來自安德烈森·霍洛維茨(Andreessen Horowitz)的投資。 該投資公司的雲端伺服器專家馬丁·卡薩多(Martin Casado)是Isovalent的董事會成員。

  • 透過理想的 SASE 架構實現網路與安全的融合

    思科联天下 作者:Omri Guelfand Cisco VP, Product Management
    然而,並非所有 SASE 都一般無二。 SASE 主要以服務的形式提供,可以作為一組模組化或分散化的元件進行部署,以單獨的軟體定義廣域網路(SD-WAN)、新一代防火牆(NGFW) 和其他安全解決方案構成基於雲端的安全 服務邊緣(SSE)。 或者,SASE 也可以作為統一的預先整合軟體即服務(SaaS) 提供,讓管理員能夠透過高度簡化和統一的方式來實現SASE 環境,並管理員工對應用程式的端到端安全多雲訪問,擺脫員工辦公 位置帶來的限制。

    為什麼說網路與安全融合是一種致勝策略? 如何在分散化、模組化和統一 SASE 解決方案之間做出抉擇? 下文給了答案。

    目前狀況的由來

    長久以來,為了應對各種網路威脅,組織已經增添了許多單點安全產品。 隨著雲端技術的採用不斷增加並因此使敏捷性和彈性得到保證,組織開始將更多應用程式從傳統資料中心遷移到私有雲、公有雲和 SaaS,導致環境高度分散。 除此之外,現今分散式混合辦公員工使得傳統的邊界不復存在,在這種超分散式 IT 環境中,受攻擊面急劇擴大。 顯然,基於邊界的傳統解決方案已不敷使用。

    此外,根據《2023 年全球網路趨勢報告》的數據,51% 的受訪者認為技能差距是所在組織在使用雲端原生技術時面臨的主要挑戰。 根據 Gartner 的數據,到 2025 年,這種人才短缺加上人為錯誤,可能是造成半數以上重大網路安全事件的原因。

    網路與安全融合與統一 SASE

    將網路和安全領域融合可提供每個連接的端到端視覺性,讓這兩個領域的管理員齊心協力地優化應用體驗。 整合的工具和集中的控制面板能夠提高效率並增進協作。 每次使用者體驗的流量資料都能輕鬆獲取,可以消除可視性差距並縮短平均修復時間 (MTTR)。

    SASE 能夠提供這樣的融合環境以及集中的統一管理,是一種從根本上簡化安全性和網路運維的方式(圖 1)。 Gartner 將其定義為提供整合網路與安全即服務的多層面解決方案。 其功能包括 SD-WAN、安全性 Web 閘道 (SWG)、雲端存取安全代理程式 (CASB)、NGFW 和零信任網路存取 (ZTNA)。 SASE 支援分公司、遠端員工和本地安全存取使用案例。

    圖 1. SASE 協助實現網路和安全運維的融合(點擊放大)

    SASE 提供了組織急需的框架,讓使用者能夠在複雜的高度分散式環境中安全且順暢地存取應用程式。 SASE 由Gartner 在2019 年首次提出,其後迅速從一系列分散化的單點解決方案(市場上有許多供應商解決方案)迅速發展為更全面的解決方案,由一個或多個供應商以模組 化組件的形式提供(圖2)。

    在單一供應商解決方案中,統一的 SASE 方法逐漸成形。 這種方法將所有組件作為一個可針對 SASE 進行最佳化的單一平台進行全面設計、整合和支持,將網路和安全結構融入雲端交付模式中。 在思科,我們的 SASE 座右銘是端到端 「實現萬物互聯,提供無所不在的安全」。

    圖 2. SASE 架構的各種技術和供應商方法(點擊放大)

    統一 SASE 讓 IT 人員的工作變得輕鬆簡單。 這種平台方法注重的是成果而非架構,可能對 IT 人員較少的小型組織吸引力特別大。

    上述每種 SASE 方法所吸引的組織不盡相同,而思科支援所有模式,無論我們的客戶處於技術發展之旅的哪個階段,都能滿足他們的獨特需求。

    SASE 的實際應用案例

    George Sink, P.A. Injury Lawyers 擁有38 名律師,為數以千計的南卡羅來納州和喬治亞州客戶提供人身傷害案件的服務,他們希望利用雲端的效率優勢,更輕鬆、更安全地為員工和支援人員提供 無所不在的連接。 於是,他們將本地 VPN 遷移到雲端中的虛擬終端和統一 SASE。 這樣,無論員工位於何處,無需任何本地實體設備也能安全順暢地存取所需應用程式。 由於他們使用統一的一站式解決方案遷移到雲端,部署時間只需數小時而不是數天,因此降低了 IT 複雜性。 最終,他們為使用者和 IT 團隊提供了卓越的體驗。

    Milwaukee Electronics 是一家電子製造服務 (EMS) 供應商,總部位於美國並在墨西哥、印度和新加坡設有工廠。 他們遇到供應鏈問題,使其難以獲得新的技術基礎設施為遍布全球的員工提供支援。 該公司提供一站式客製化電子設計、印刷電路板 (PCB) 原型製作、組裝和專案管理。 他們的客戶有著嚴格的網路安全監管要求,而統一 SASE 能夠改善公司的安全狀況,提供每個網路連線的可視性。 作為一項服務,單一供應商統一 SASE 為該公司提供了極其全面和高度自動化的網路和安全解決方案,讓他們有限的 IT 資源得到最大利用。

    SASE 能夠簡化和改善使用者和 IT 團隊的體驗,是應當今需求而生的架構。 當所有功能都由來自單一供應商的統一 SASE 提供時,輕鬆的部署和簡單的使用能夠加快受益速度並縮短實現投資回報的時間。

  • 解讀軟體定義網路(SDN)的架構特性、應用場景與發展趨勢

    原创 twt社区
    【摘要】SDN 是一種相對開放、相對較新的網路技術,本文主要介紹 SDN 的發展歷史、特徵及發展趨勢等 , 重點對 SDN 的體系結構、關鍵技術及應用場景進行介紹。 透過本文的閱讀與學習,可以協助網路人員初步了解什麼是軟體定義網路( SDN ),它的架構有哪些特點,本身俱備哪些優勢。 在日後的工作和規劃中,可以初步了解哪些場景可以利用 SDN 的特點,哪些場景不適用。
    【作者】張志強,多年的雲端運算、虛擬化架構設計、企業資訊化建置、自動化運維經驗。 熟練X86、Power、儲存、虛擬化等硬體設備調優與配置。 擁有豐富的混合雲架構及管理經驗,資訊安全及網路架構的設計與維運。

    概述
    隨著因特網的出現讓萬物實現了互聯,加速網路聯通,為人們的生活與溝通帶來了極大的方便。 每年全球互聯網技術都呈現指數級的發展,同時為迎合業務的多變性,網路的架構發生了翻天覆地的變化。

    工業互聯網、工業 4.0 和中國製造 2025 的提出,各種新技術湧現,如大數據、雲端運算、人工智慧、物聯網等。 對網路的複雜性和要求提出了更高的要求,傳統的因特網結構不僅複雜而且難以管理 , 更不能預先定義好策略來對網路進行配置。 新型的基於控制與轉送分離的軟體定義網路能夠有效地改變這種狀況。 此新型網路能夠使網路管理變得容易且還能更好地促進網路的演進。

    本文主要介紹 SDN 的發展歷史、特徵及發展趨勢等 , 重點介紹 SDN 的體系結構、關鍵技術及應用場景。

    什麼是軟體定義網路?
    軟體定義網路全稱為 Software Defined Network ,下文簡稱為 SDN 。 在 2006 年,由美國史丹佛大學提出的一種新型網路架構,可以透過軟體程式設計的形式定義和控制網絡,實現控制和資料流量的分離,同時也是網路虛擬化的技術實現方式。

    SDN 是利用Open Flow 技術,將網路設備的控制面與資料面分離開來,從而實現網路流量的靈活控制,使網路作為管道變得更加智能,化繁為簡,為核心網路及應用的創新提供 支撐,為下一代互聯網的發展奠定了基礎。

    俗話說“不為業務負責的技術,都是耍流氓”,軟體定義網路也是為了滿足業務的實際需求而誕生的。 旨在為公司提供穩定且適應性強的網路架構,架構具備處理由雲端化及傳統IT 基礎設施組成的複雜系統的能力,具備操縱底層網路基礎結構的能力,使網路控制可編程,且可使用 軟體進行控制,實現更大的敏捷性,管理員可以根據需要動態調整網路中的流量。

    因此, SDN 技術能夠有效降低網路設備負載,協助網路營運商更好地智慧化的管控基礎設施,降低整體網路營運成本。

    軟體定義網路的架構
    SDN 作為新一代的網路技術,已經開始在營運商、企業中進行試點應用,其整體架構由下到上(由南到北)可分為三個層次,資料平面、控制平面和應用平面,具體 如圖1-1 所示。

    數據平面:

    主要由各個網路設備廠商的通用交換設備組成,透過標準的 OpenFlow 介面與控制器進行通信,確保不同設備之間的配置和通訊相容性以及互通性。 資料平面對封包的處理,主要透過查詢由控制平面所產生的轉送資訊表來完成,達到解析封包頭和轉送封包到某些連接埠的目的。

    控制平面:

    是控制平面的核心元件,包含了邏輯上為中心的 SDN 控制器,掌握著全域網路訊息,負責各種轉送規則的控制,建立流量表和資料處理策略。 控制器的架構又可分為單控制器和多控制器,主要是看網路規模而定。

    應用平面:

    包含各種基於 SDN 的網路應用,如負載平衡、流量控制、入侵偵測 / 防禦以及 QoS

    等。 透過北向影響程序設計接口,向 SDN 控制平面分發策略。 使用者無需關心底層細節即可編程、部署新應用程式。

    SDN 中的介面具有天然的開放性,以控制器組件為中心,南向介面負責與資料平面進行通信,北向介面負責與應用平面進行通信,東西向介面負責多控制器之間的通信,採用主流 的OpenFlow 協定進行通訊。

    OpenFlow 協定最基本的特點是基於流( Flow )的概念來匹配轉發規則,每個交換器都維護一個流表( Flow Table ),依據流表中的轉發規則進行轉發,而流表的建立、維護和 下發都是由控制器完成的。 針對北向接口,應用程式透過北向接口編程來呼叫所需的各種網路資源,實現對網路的快速配置和部署。 東西向介面使控制器具有可擴展性,為負載平衡和效能提升提供了技術保障。 SDN 作為目前網路領域最炙手可熱且最具發展前景的技術之一,主要有以下優勢:

    解耦控制與轉發

    由於傳統網路設備,如交換器、路由器的韌體一般都是由設備製造商鎖定和控制,透過SDN 的控制與轉送分離機制,可以輕鬆的分離開網路控制與實體網絡,從而擺脫硬體廠商對網路架構的 限制。 同時管理員可以像升級、安裝軟體一樣對網路架構進行修改,滿足企業對整個網路架構進行調整、擴充或升級的需求。 至於底層的交換器、路由器等硬體則不需替換,提升了整體網路的相容性。

    安全加固

    利用 SDN ,可以獲得快速限制以及從中心視角查看網路內部的能力,網路管理人員可以根據網路中的安全事件快速有效的做出變更。 例如,分公司的網路中由於某個伺服器中毒,產生大量的惡意流量。 那麼網路人員可以透過 SDN 和 OpenFlow 迅速從集中控制平面尋找、定位和阻止惡意流量,來限制擴散,而不需要存取多個路由器或交換器進行排查。

    智慧調整

    網路管理員可以根據網路目前的實際營運情況進行智慧化的流量轉送與整合,實現流量的自動化、智慧化調整。 例如,針對集團級的視訊會議,利用預先制定的智慧策略,可以對頻寬進行智慧保障,確保視訊會議流暢。

    圖 1-SDN 體系架構圖

    軟體定義網路場景應用
    了解了軟體定義網路的概念和特點,不難看出 SDN 未來的應用物件將主要集中在電信級營運商、企業客戶、資料中心供應商、網路公司及政府單位。 應用場景主要集中在資料中心網路、資料中心的互聯、政企網路、電信營運商網路以及網路公司業務部署,以下逐一的介紹不同場景的應用。

    場景化解決方案
    資料中心網路的構建

    資料中心網路部署 SDN 的需求主要表現在大量的租戶、多路徑轉送、 VM( 虛擬機器 ) 的智慧部署和遷移、網路集中自動化管理、綠色節能、資料中心能力開放等幾個面向。

    SDN 控制邏輯集中的特性可充分滿足網路集中自動化管理、多路徑轉送、綠色節能等方面的要求。 同時, SDN 網路能力開放化和虛擬化也可充分滿足資料中心能力開放、 VM 的智慧部署和遷移、大量虛擬租戶的需求。 資料中心的建置和維護一般統一由資料中心營運商或 ICP/ISP 維護,具有相對的封閉性,可統一規劃、部署和升級改造, SDN 在其中部署的可行性高。 資料中心網路是 SDN 目前最明確的應用場景之一,也是最有前景的應用場景之一。

    資料中心互聯網構建

    資料中心之間互聯的網路具有流量大、突發性強、週期性強等特點,需要網路具備多路徑轉送與負載平衡、網路頻寬按需提供、綠色節能、集中管理和控制的能力。 引入 SDN 的網路可透過部署統一的控制器來收集各資料中心之間的流量需求,進而進行統一的運算和調度、實施頻寬的靈活按需分配、最大程度優化網路、提升資源利用率。

    政企網路建構

    政府及企業網路的業務類型豐富,網路設備功能複雜、類型多,對網路的安全性要求高,需要集中的管理控制,需要網路的彈性高,且能滿足客製化需求。 SDN 轉送與控制分離的架構,可使得網路設備通用化、簡化。 SDN 將複雜的業務功能剝離,由上層應用伺服器實現,不僅可以降低設備硬體成本,更可使得企業網路更加簡化,層次更加清晰。 同時, SDN 控制的邏輯集中,可實現企業網路的集中管理與控制,企業的安全策略集中部署與管理,更能在控制器或上層應用靈活客製化網路功能,更能滿足企業網路的需求。

    由於企業網路一般由企業自己的資訊化部門負責建置、管理和維護,具有封閉性,可統一規劃、部署和升級改造, SDN 部署的可行性較高。

    電信營運商網路建構

    電信業者網路包括了寬頻存取層、城域層、骨幹層等層面。 特定的網絡也可分為有線網絡和無線網絡,網絡存在多種方式,如傳輸網、數據網、交換網等。 總的來說,電信業者網路具有覆蓋範圍大、網路複雜、網路安全可靠性要求高、涉及的網路製式多、多廠商共存等特性。

    SDN 的轉送與控制分離特性可有效實現設備的逐步融合,降低設備硬體成本。 SDN 的控制邏輯集中特徵可逐步實現網路的集中化管理和全局最佳化,有效提升營運效率,提供端到端的網路服務;SDN 的網路能力虛擬化和開放化,也有利於電信業者網路向智慧化 ,開放化發展,發展更豐富的網路服務,增加收入。

    據報道, NTT 和德國電信都開始試驗部署SDN ,其中NTT 搭建了橫跨日本和美國的試驗環境,實現網絡虛擬化,並建立跨數據中心的WAN 網絡,而德國電信已在雲端資料中心、無線 、固定等接取環境使用SDN 。

    互聯網公司業務部署中的應用

    網路的終極意義在於為上層應用提供網路服務,承載上層應用。 網際網路公司業務基於 SDN 架構部署,將是 SDN 的重要應用場景。

    SDN 具有網路能力開放的特點,透過 SDN 控制器的北向接口,向上層應用提供標準化、規範化的網路能力接口,為上層應用提供網路能力服務。 ICP/ISP 可依需求取得對應的網路服務,有效提升最終用戶的業務體驗。

    國內企業如騰訊、百度等都在加快 SDN 的實驗室部署,例如,騰訊正利用 SDN 實現差異化的路徑運算、流量控制和服務,為使用者提供更好體驗。

    面臨的挑戰
    SDN 技術目前尚不夠成熟,標準化程度也不夠高。 大範圍、大量網路設備的管理問題,超大規模 SDN 控制器的安全性和穩定性問題,多廠商的協同和互通問題,不同網路層次 / 制式的協同和對接問題等均需要盡快解決。 目前 SDN 技術在電信業者網路大規模應用上仍難以實現,但可在局部網路或特定應用場景逐步使用,如行動回傳網路場景、分組與光網路的協同場景等。

    軟體定義網路發展趨勢
    軟體定義網路自問世那天,就一直被業界所關注,功能也在不斷的完善,為當前網路領域帶來了一場巨大的變革,其先進的思想有效的幫助企業擺脫了由於業務擴展、轉型所 帶來的網路結構複雜冗餘的架構限制。 透過控制與轉送分離,將網路中交換設備的控制邏輯集中到一個或多個運算設備上,為提升網路管理配置能力帶來新的思路。

    SDN 的本質特徵是控制平面和資料平面的分離以及開放可程式性。 透過分離控制平面和資料平面以及開放的通訊協議,打破傳統網路設備的封閉性。 此外,南北向和東西向的開放介面及可程式性,也使得網路管理變得更加扁平化、動態和靈活。

    隨著各種新技術的迸發,對於網路架構的要求也越來越高,現如今,軟體定義網路在IP 網路、無線網路、資料中心網等方面都取得了不錯的應用效果,有效的支撐了 大平台、大應用程式的部署。 如雲端運算內的網路虛擬化的支撐,實現東西向流量管控,資料中心利用二層網路性質完成流量監控,提升虛擬機間的資料傳輸速度。 雖然, SDN 已經能夠彌補傳統網路技術的不足,但是其在實際應用的過程中仍存在一定的問題,例如控制器介面不規範、運算任務相對繁重、安全性得不到保障、整體穩定性較差 等等。 要在日後發展中獲得良好的口碑,應盡快解決以上問題,拓展其發展空間,減少市場的阻礙空間。 隨著工業 4.0 帶動企業的數位轉型, SDN 的發展道路會越寬廣,企業對其的依賴程度會逐漸提升。

    結束語
    透過本文的閱讀與學習,可以協助網路人員初步了解什麼是軟體定義網路( SDN ),它的架構有哪些特點,本身俱備哪些優勢。 在日後的工作和規劃中,可以初步了解哪些場景可以利用 SDN 的特點,哪些場景不適用。 還是那句話, SDN 是一種相對開放、相對較新的網路技術,因此,對於一家要採用這些技術的公司,首先必須具備這種技能和經驗的專業人員,記得,記得。

  • 影響Linux系統效能的因素一般有哪些?

    @zhaoxiaoyong081 平安科技 資深工程師:

    Linux系統的效能受多個因素的影響。 以下是一些常見的影響Linux系統效能的因素:

    CPU負載:CPU的使用率和負載水準對系統效能有直接影響。 高CPU負載可能導致進程響應變慢、延遲增加和系統變得不穩定。

    記憶體使用:記憶體是系統運作的關鍵資源。 當系統記憶體不足時,可能會導致進程被終止、交換分區使用過多以及系統效能下降。

    磁碟I/O:磁碟I/O效能是影響系統回應時間和吞吐量的重要因素。 高磁碟I/O負載可能導致延遲增加、回應變慢和系統效能下降。

    網路負載:網路流量的增加和網路延遲會對系統效能產生影響。 高網路負載可能導致網路延遲增加、回應變慢和系統資源競爭。

    進程調度:Linux系統使用進程調度器來管理和分配CPU資源。 調度演算法的選擇和配置會影響進程的優先權和執行順序,進而影響系統的回應能力和負載平衡。

    檔案系統效能:檔案系統的選擇和配置對磁碟I/O效能有影響。 不同的檔案系統可能在效能方面有所差異,適當的檔案系統選項和調整可以改善系統效能。

    核心參數:Linux核心有許多可調整的參數,可以影響系統的效能和行為。 例如,TCP/IP參數、記憶體管理參數、檔案系統快取等。 適當的核心參數調整可以改善系統的效能和資源利用率。

    資源限制與配額:在多重使用者環境中,資源限制和配額的設定可以控制每個使用者或流程可使用的資源量。 適當的資源管理可以避免某些流程耗盡系統資源而導致效能問題。

    這些因素之間相互關聯,對系統性能產生綜合影響。 為了優化Linux系統效能,需要綜合考量並適當調整這些因素,以滿足特定的需求和使用。
    工作上有沒有快速排除故障的辦法?
    @zhaoxiaoyong081 平安科技 資深工程師:

    1.CPU 效能分析

    利用 top、vmstat、pidstat、strace 以及 perf 等幾個最常見的工具,取得 CPU 效能指標後,再結合進程與 CPU 的工作原理,就可以快速定位出 CPU 效能瓶頸的來源。

    比方說,當你收到系統的用戶CPU 使用率過高告警時,從監控系統中直接查詢到,導致CPU 使用率過高的進程;然後再登入到進程所在的Linux 伺服器中,分析該進程的 行為。 你可以使用 strace,查看進程的系統呼叫匯總;也可以使用 perf 等工具,找出進程的熱點函數;甚至還可以使用動態追蹤的方法,來觀察進程的當前執行過程,直到確定瓶頸的根源。

    2.記憶體效能分析

    可以透過 free 和 vmstat 輸出的效能指標,確認記憶體瓶頸;然後,再根據記憶體問題的類型,進一步分析記憶體的使用、分配、洩漏以及快取等,最後找出問題的來源。

    比如說,當你收到記憶體不足的告警時,首先可以從監控系統中。 找出佔用記憶體最多的幾個進程。 然後,再根據這些進程的記憶體佔用歷史,觀察是否有記憶體洩漏問題。 確定出最可疑的進程後,再登入進程所在的 Linux 伺服器中,分析該進程的記憶體空間或記憶體分配,最後弄清楚進程為何會佔用大量記憶體。

    3.磁碟與檔案系統 I/O 效能分析

    當你使用iostat ,發現磁碟I/O 存在效能瓶頸(例如I/O 使用率過高、回應時間過長或等待佇列長度突然增大等)後,可以再透過pidstat、 vmstat 等,確認I/O 的來源。 接著,再根據來源的不同,進一步分析檔案系統和磁碟的使用率、快取以及進程的 I/O 等,從而揪出 I/O 問題的真兇。

    比方說,當你發現某塊磁碟的 I/O 使用率為 100% 時,首先可以從監控系統中,找出 I/O 最多的進程。 然後,再登入到進程所在的 Linux 伺服器中,借助 strace、lsof、perf 等工具,分析該進程的 I/O 行為。 最後,再結合應用程式的原理,找出大量 I/O 的原因。

    4.網路效能分析

    而要分析網路的效能,要從這幾個協定層入手,透過使用率、飽和度以及錯誤數這幾類效能指標,觀察是否有效能問題。 比如 :

    在鏈路層,可以從網路介面的吞吐量、丟包、錯誤以及軟中斷和網路功能卸載等角度分析;

    在網路層,可以從路由、分片、疊加網路等角度進行分析;

    在傳輸層,可以從 TCP、UDP 的協定原理出發,從連線數、吞吐量、延遲、重傳等角度進行分析;

    例如,當你收到網路不通的告警時,就可以從監控系統中,找出各個協定層的丟包指標,確認丟包所在的協定層。 然後,從監控系統的數據中,確認網路頻寬、緩衝區、連接追蹤數等軟硬件,是否存在效能瓶頸。 最後,再登入發生問題的 Linux 伺服器中,借助 netstat、tcpdump、bcc 等工具,分析網路的收發數據,並且結合內核中的網路選項以及 TCP 等網路協定的原理,找出問題的來源。
    Linux環境下,怎麼排查os中系統負載過高的原因瓶頸?
    @zhaoxiaoyong081 平安科技 資深工程師:

    在Linux環境下檢查系統負載過高的原因和瓶頸,可以採取以下步驟:

    使用top或htop指令觀察系統整體負載狀況。 查看load average的值,分別表示系統在1分鐘、5分鐘和15分鐘內的平均負載。 如果負載值超過CPU核心數量的70-80%,表示系統負載過高。

    使用top或htop指令查看CPU佔用率。 觀察哪些進程佔用了大量的CPU資源。 如果有某個行程持續高CPU佔用,可能是造成負載過高的原因之一。

    使用free指令查看系統記憶體使用量。 觀察記憶體的使用量和剩餘量。 如果記憶體使用量接近或超過實體記憶體容量,可能導致系統開始使用交換空間(swap),進而影響系統效能。

    使用iotop指令查看磁碟I/O使用情況。 觀察磁碟讀寫速率和占用率。 如果磁碟I/O負載過高,可能導致系統回應變慢。

    使用netstat指令或類似工具查看網路連線情況。 觀察是否有大量的網路連線或網路流量。 如果網路連線過多或網路流量過大,可能影響系統的效能。

    檢查日誌檔。 查看系統日誌檔案(如/var/log/messages、/var/log/syslog)以及應用程式日誌,尋找任何異常或錯誤訊息,可能有助於確定導致負載過高的問題。

    使用perf或strace等工具進行進程層級的效能分析。 這些工具可以幫助你追蹤進程的系統呼叫、函數呼叫和效能瓶頸,進一步確定導致負載過高的具體原因。

    檢查系統的配置和參數設定。 審查相關的設定檔(如/etc/sysctl.conf、/etc/security/limits.conf)和參數設置,確保系統的設定與實際需求相匹配,並進行適當的調整。

    綜合上述步驟,可以幫助你定位系統負載過高的原因和瓶頸,並進一步採取相應的措施來優化系統效能。