由于混合云和container（容器）技術的出現(xiàn)，數(shù)據(jù)中心網(wǎng)絡架構比以往任何時候都更加難以被攻破。

當然，這個技術再好，還是有法可循，如果我們遵循一種簡單的方法，還是可以破解的。

在不太遠的過去，數(shù)據(jù)中心內(nèi)的流量轉發(fā)很簡單。 一個IP地址與另一個IP地址通話。 這些地址屬于端點 - 裸機主機或虛擬機與其他裸機主機或虛擬機通話。 這些IP地址之間的路徑是數(shù)據(jù)中心交換機已知的路由和橋接表中的條目。

如果工程師需要排除兩個IP端點之間性能不佳或奇怪的行為，一個好的起點就是通過查看這些表來構建兩者之間的路徑。 同等成本的多路徑和多機架鏈路聚合增加了此過程的復雜性，但總的來說，運營商可以確定任何給定的數(shù)據(jù)中心會話遍歷的路徑。

在端點之間的通信流并沒有什么太復雜的。網(wǎng)絡地址轉換、加密或隧道傳播中很少出現(xiàn)。這些功能往往位于數(shù)據(jù)中心邊緣，與受信任外圍設備進行通信。

現(xiàn)代數(shù)據(jù)中心

隨著業(yè)務需求的變化，現(xiàn)代數(shù)據(jù)中心的網(wǎng)絡架構已經(jīng)和以前的完全不一樣啦。曾經(jīng)相對簡單的數(shù)據(jù)中心，通訊簡單，現(xiàn)在的數(shù)據(jù)中心可以看做是一個統(tǒng)一基礎設施的平臺，在這個平臺上運行各種應用程序。數(shù)據(jù)中心作為一個整體運行；它是應用程序交付的引擎。

越來越多的基礎設施對開發(fā)人員和他們的應用程序是透明的。一個徹底的現(xiàn)代基礎設施是開發(fā)人員應用程序的抽象。資源池是按需分配的，而開發(fā)人員不必擔心基礎設施。相反，基礎設施是有效的。

現(xiàn)代數(shù)據(jù)中心還以一種分布式的方式處理安全問題，它與動態(tài)站立和拆除工作負載相協(xié)調。不再需要通過一個中央的物理防火墻來強制執(zhí)行安全策略。相反，構建一個中央安全策略，一個安全管理器將該策略的相關部分安裝到受影響的主機、vm或container中。沒有基礎設施的選擇，也沒有晦澀的路由需求來強制執(zhí)行這樣的政策。

在更高的級別，我們在構建私有云架構。同錯采用這種抽象物理基礎結構的方式，可以與公有云進行更簡單的協(xié)作。因此，混合云架構越來越受歡迎，人們期望公共云工作負載與私有云工作負載具有相同的安全性和連接性。

層

隨著混合云架構成為新的標準，重要的是要注意這些趨勢對網(wǎng)絡的影響。數(shù)據(jù)中心不再像一個IP地址那樣簡單地與另一個IP地址交談，在遇到麻煩時，需要通過路由和橋的聯(lián)絡，進行協(xié)商。

提供現(xiàn)代數(shù)據(jù)中心靈活性的基礎設施機制依賴于復雜的網(wǎng)絡。推動這種復雜性的是工作負載隔離、服務策略實施和安全性的需要。因此，與其說數(shù)據(jù)中心是IP地址的海洋，倒不如更像是一塊有層次的蛋糕。

在這塊“有層次的蛋糕”底部是底層網(wǎng)絡。這個網(wǎng)絡是所有其他網(wǎng)絡服務的基礎。這也是網(wǎng)絡工程師最熟悉的網(wǎng)絡。當他們查看他們的路由和橋接表時，他們看到的是底層網(wǎng)絡——數(shù)據(jù)中心的基礎。

然而，底層本身并不能提供混合云所需的一切。一個日益增長的需求是隔離，被稱為多租戶。租戶可以是應用程序、業(yè)務單元或客戶。

租戶的流量通過虛擬可擴展LAN（VXLAN）封裝技術與其他流量隔離。來自一個段的流量被封裝在一個VXLAN包中，它通過這個包裝器在網(wǎng)絡中傳輸，并在另一端被斬首。VXLAN是另一層——覆蓋層——在我們的基礎底層之上。

它不僅提供了流量隔離，而且VXLAN還可以通過網(wǎng)絡中的特定路徑來路由流量。假設數(shù)據(jù)中心需要通過特定的防火墻和負載平衡器來進行傳輸。在現(xiàn)代網(wǎng)絡中，防火墻和負載平衡器很可能作為虛擬網(wǎng)絡功能存在，駐留在數(shù)據(jù)中心的任何位置。為了將流量送到它需要去的設備，VXLAN封裝可以用于隧道從設備到設備的通信流，直到它們遍歷所有需要的設備。

防火墻規(guī)則在我們的覆蓋層和底層蛋糕中形成另一層。一個中央策略管理器會在主機上插入防火墻規(guī)則。每個主機最終都有自己的一套規(guī)則，這些規(guī)則控制著設備的進出。這是一種用于確保可伸縮數(shù)據(jù)中心安全性的實用方法。

一個添加了更多網(wǎng)絡復雜性的通配符是container（容器技術）。container網(wǎng)絡是一種新興的技術，由名稱空間、代理服務器和網(wǎng)絡地址轉換管理，使container能夠相互通信，以及與外部工作連接——這是另一層。

在去年，Docker是最火爆的技術之一（不相信的人可以查一下google trends的引用量），Docker是什么呢？白話點說，就是一個Container的管理工具。那Container是什么呢，華沙機房主機 荷蘭主機，白話點說，就是一個更輕量級的虛擬機，但是這個虛擬機沒有操作系統(tǒng)和設備（操作系統(tǒng)可以共享的）。