为阻止网络攻击在云数据中心网络的扩散,将可能受到的攻击的影响最小化,需要对网络进行安全区域划分和隔离。参考ITU E.408通信安全区域的划分原则,根据安全目标将公有云网络分割成DMZ、公共服务区、运维区、POD 区、UDS 区五个安全区域。安全区域内部的节点具有相同的安全等级和相互的信任关系。承载网可使用不同物理网络、VLAN和路由区将不同的安全区域的业务流进行安全隔离。
为保证租户业务不影响管理操作,确保设备不会脱管,我们将公有云的网络通信平面划分租户业务平面、业务控制平面、运维平面、BMC管理面。BMC平面与其他网络平面物理隔离,其他平面间通过VLAN逻辑隔离。在每个安全域内,根据所承载业务的隔离要求划分不同网络平面,如POD区有租户平面、运维平面、业务控制平面、BMC平面,而运维区只有运维平面和BMC平面。