Everoute 软件定义网络与安全组件

为虚拟化和容器化应用提供软件定义的网络与安全服务能力。

Everoute 为榫卯®企业云平台提供了软件定义的网络和安全系列功能。Everoute 可提供分布式防火墙、负载均衡、虚拟专有云网络、容器网络等功能，同时支撑虚拟化和容器化应用，从而形成与虚拟机和容器一体化管理的网络和安全解决方案。

分布式防火墙

Everoute 分布式防火墙（Distributed Firewall, DFW），基于 SmartX 原生虚拟化 ELF，结合虚拟分布式交换机实现了符合“零信任”要求的微分段网络模型，可为虚拟机和容器配置统一的东西向安全策略，并支持虚拟机隔离。

Everoute 分布式防火墙解决了数据中心虚拟网络安全面临的挑战，为业务提供更加灵活精细的网络安全保障。

为什么选择 Everoute 分布式防火墙

全面控制东西向流量。 对虚拟机及容器之间的东西向流量进行全面控制，带来无盲区的零信任安全，满足安全合规要求。

简化安全策略管理。 实现业务感知的安全策略，减少基于 IP 地址的策略数量，极大简化安全策略管理。

快速响应安全事件。 快速响应虚拟机安全事件，通过“一键隔离”抑制安全威胁的横向扩散。

分布式架构消除性能瓶颈。 采用分布式架构，具有横向扩展能力，不存在性能瓶颈。

功能特性

混合安全策略

支持同时配置“放行策略”和“拒绝策略”，提高策略灵活性，确保东西向访问符合“最小权限”原则。

统一管理虚拟机和容器安全

支持通过统一的管理界面为虚拟机和 SKS Pod 配置安全策略，实现对虚拟机与 Pod 之间，及它们与其他 IP 之间访问规则的统一配置、集中管理。

策略粘性

安全策略能够跟随虚拟机和 SKS Pod 自动在不同主机、不同集群之间迁移，无需重新设置。安全策略的执行与虚拟机和容器所在的物理主机、网段和 IP 地址无关。

安全组

以“安全组”对虚拟机和 SKS Pod 进行业务标识，安全策略一目了然。
虚拟机及 SKS Pod 可以基于标签/标签组合被动态划分到“安全组”，实现对不连续 IP 地址的安全策略简化。也可以基于 IP 地址或地址范围划分到安全组，实现以地址段区分不同业务用途、组织范围所需的安全策略。

可疑虚拟机“一键式”隔离

可疑、被感染虚拟机可以被“一键隔离”，并为“隔离”状态的虚拟机设置专用访问策略，以便进行查杀、恢复等运维操作。

基于 API 的自动化安全管理

支持基于 API 的自动化，安全管理中心可以快速下发/更新安全策略。

分布式架构

安全策略配置后，下发到每个集群的主机中，通过本地代理执行。支持按需扩展，增加节点数量，提升处理性能。

应用场景

博客

一文了解微分段应用场景与实现机制

轻松排除虛拟化环境安全隐患。

阅读文章

视频

09:59

Everoute 场景演示：分布式防火墙策略、勒索病毒的流量监控与隔离

结合场景演示了解 Everoute 的分布式防火墙功能。

观看视频

负载均衡

Everoute 负载均衡（Load Balancer，LB），作为 Everoute 网络与安全产品的功能，部署在榫卯企业云平台中，可为基于虚拟机、容器或物理服务器的应用提供负载均衡服务。

为什么选择 Everoute 负载均衡

软件定义。 纯软件实现的网络功能虚拟化，无需购买、部署、维护专用硬件设备，无需调整物理网络配置。

简化运维。 在榫卯企业云平台上集成负载均衡功能的管理和配置，适合云管理员使用。

高可用&高效率。 通过多活与主备相结合的机制实现负载均衡功能的高可用和高效率，避免单点故障，提高服务质量。

灵活配置。 可为运行在不同位置、不同形态的业务提供负载均衡服务。

功能特性

丰富的负载均衡调度策略

支持轮询、加权轮询、最少连接、加权最少连接、源地址哈希、目标地址哈希等多种调度策略，能够灵活地适应不同场景的应用负载均衡需求。

复合条件的主动健康检查

支持 TCP、HTTP、UDP、ICMP 等主动健康检查方式，可周期性检查后端服务器的健康状况。支持为同一组后端服务器配置多个健康检查器，提供不同方式下的复合健康检查。

多种地址转换方式

支持 FullNAT（源地址转换 + 目标地址转换）和 DNAT（仅目标地址转换）两种地址转换方式，可根据需要灵活选择；同一个集群内，可支持不同的虚拟服务使用不同的地址转换方式。

业务流量控制及并发连接数控制

支持设置虚拟服务的出入峰值流量限制，支持设置同一时间客户端与虚拟服务建立的连接数量限制，避免单个虚拟服务或单个客户端占用过多资源，实现合理的资源分配，减轻“拒绝服务（DoS）”攻击对系统的影响。

基于白名单或黑名单的访问限制

支持通过白名单或黑名单设定允许访问或禁止访问的客户端 IP 地址，有效保护虚拟服务资源，避免恶意请求的破坏，提高系统的安全性和健壮性。

应用场景

网络负载均衡功能可以应用于基于 TCP/UDP 的各种协议，包括但不限于 FTP、iSCSI、NFS、MySQL、Oracle Net8、SMB、SMTP、LDAP 、Syslog 等，适合需要高性能、低延迟、高并发、高可用性和长连接的应用。这些应用可以位于不同环境中：

虚拟化环境

使用基于虚拟化的负载均衡功能可以支持虚拟化平台中的多种业务，并可灵活关联不同虚拟网络，从而简化流量转发路径。

视频

05:05

Everoute 场景演示：Web 应用服务虚拟机的负载均衡

结合场景演示了解 Everoute 的负载均衡功能。

观看视频

虚拟专有云网络

Everoute 虚拟专有云网络（Virtual Private Cloud, VPC）是 SmartX 的虚拟化网络产品，可以在榫卯企业云平台中为虚拟机提供安全隔离的网络空间，并通过虚拟化网络功能（VNF）实现虚拟网络内部和外部的安全互联互通，使用户可以更加快速灵活地在多个数据中心部署统一的企业云网络。

为什么选择 Everoute 虚拟专有云网络

广泛硬件兼容。 用户可以在各种标准服务器和网络硬件基础上实现虚拟化网络。不同集群可使用不同架构的 CPU。

快速网络就绪。 快速创建多样的虚拟网络拓扑及网络服务，加快网络就绪速度，更加符合应用对敏捷性的要求。

跨站点高可用。 云主机可以被复制、迁移到其他数据中心或站点运行，在灾备场景下实现更小的 RTO。

云网统一管理。 在直观的图形化界面上完成云主机与云网络统一的管理、配置、监控和运维，提高管理效率。

功能特性

自定义的逻辑隔离空间

支持自定义构建多个逻辑隔离的 VPC。用户可以在其中创建专属 VPC 资源、管理自己的子网结构、按需分配 IP 地址、以及通过网关与安全服务等功能实现对流量的自主控制。

丰富的网关功能

支持配置浮动 IP、NAT、L3 路由、L2 桥接等网关，使 VPC 内的虚拟机能够灵活与外部互联，满足各类业务主体的网络通信需要。

清晰的流量规划

支持为 VPC 子网配置路由表，将通向目标地址的流量路由至指定的下一跳网关服务，通过路由表及路由规则清晰、便捷地管理 VPC 的流量模型。

可靠的网络安全防护

支持为 VPC 设置分布式防火墙，基于安全组实现业务感知的安全策略，使用白名单机制保障虚拟机之间的东西向访问安全，也支持一键隔离被感染的虚拟机。

开放的云网协作模式

通过开放的 API 与各种云平台无缝对接，为企业提供自动化和灵活的网络配置选项，以更好地支持敏态云应用。

应用场景

业务安全保障
面向业务的云网络
业务高可用

业务安全保障

在灵活、敏捷、高效、综合成本低的前提下，既保障业务访问流程的通畅，又能实现云/虚拟化环境中不同业务主体或租户之间的隔离，从而减少潜在的安全威胁和数据泄露的风险。

进一步了解