【通信产业网讯】小王是某大型企业的网络负责人。最近由于公司各项业务迅猛发展,公司迫切需要新建一个数据中心,小王被授命全权负责该数据中心的构建工作。小王根据多年的实际工作经验,总结了公司当前的业务需求并附带筹划了公司今后十余年可能的业务发展需求:
n 集中式的控制管理,大幅简化管理、运营、工作。
n 灵活快速部署业务,达成业务快速上线和盈利的目的。
n 消除物理网络,方便业务随时随地随心灵活接入。
n 支持多种虚拟平台,支持虚拟化、非虚拟化混合组网。
n 原有设备充分利旧,最大程度地公司的原有投资。
n 可以容纳海量租户,方便今后的网络扩容、网络升级。
n 不同租户安全隔离,各租户安全、互不影响。
n 网络资源统一池化,网络资源可按需分配、随需而动。
n 虚机灵活自动迁移,网络策略自跟随、无需人工配置。
n 网络安全可靠可调,可支持租户级的差异化安全防护。
但是对于如何满足这些种类纷繁的需求,小王却茫然不知所措。
1. VPC多租户虚拟化网络解决方案技术介绍
大多数网络负责人,在新建或数据中心的时候都会遇到这些需求和问题,小王仅仅只是他们的一个缩影。传统技术已然无法满足他们当下的部分需求,更遑论满足公司今后十余年的业务发展需求。
VPC多租户虚拟化解决方案以SDN、Overlay、NFV三大最新技术为支撑,呈现品形态软件化、网络功能虚拟化、网络控制集中化等技术特征,具备网络自定义、网络自动化、网络弹性化、运维简单化等技术优势,在技术层面上可以充分满足小王们的各种网络需求。
1.1 SDN
SDN(Software Defined Network,软件定义网络)是一种创新型的网络架构。它以控制和转发分离思想为基础,以各种南北向接口为手段,从整网全局角度对异构网络设备进行逻辑抽象形成统一的资源池,再进行灵活化、集中化、细粒度地控制调度,从而使网络更加灵活智能,弹性扩展,随需而动。
SDN是实现网络灵活定义和集中控制的技术基础,通过控制转发分离、接口高度、精细化集中控制这三板大斧,才能鬼斧神工地开劈解出灵活、自定义的弹性网络,满足小王们集中控制、快速部署、灵活弹性的需求。
1.2 Overlay
STP、TRILL等传统大二层技术自身存在的缺陷注定了它们无法适应小王们大规模的多租户网络部署:STP不支持最短径转发需要全径VLAN打通,带宽利用率过低,新业务部署响应慢、可靠性低,管理运维难度随着规模增加而剧增,而且容易引发风暴;TRILL对OAM的支持很差,运维管理比较复杂,需要整网替换支持因而成本很高,而且必须部署在二层网络内,同时租户规格受限于VLAN数目,最多只能支持4K租户。
Overlay作为一种新型的网络技术,在对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且Overlay以基于IP的基础网络技术为主因而彻底摆脱了二层网络的。通过Overlay技术,用户原始数据可以通过由方式在网络中分发,具备良性大规模扩展能力。同时由于Overlay技术使用24bit来区分租户,史无前例地将租户规格提升到了16M,可以充分满足多租户网络的部署需求。当前VXLAN技术是广受业界认可的Overlay技术,已成为市场上最主流的Overlay技术。
Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化可以摆脱物理网络的重重,是实现云网融合的关键。Overlay有网络Overlay、主机Overlay和混合Overlay三种网络部署模型。网络Overlay的隧道封装在物理交换机完成,转发性能比较高,可以支持非虚拟化的物理服务器之间的组网互通, 但是需要大批量更换设备;主机Overlay隧道封装由虚拟设备完成,它纯粹由服务器实现Overlay功能,对现有网络改动不大,但是可能存在转发瓶颈;混合Overlay融合了两种Overlay方案的优点,既可以发挥硬件GW的转发性能,又尽可能的减少对于现有网络的改动。
通过SDN架构实现Overlay网络的控制平面,容易与计算功能整合,能够更好地使网络与业务目标保持一致,实现Overlay业务全流程的动态部署,充分满足小王们海量租户、安全隔离、集中控制、灵活迁移等需求。
1.3 NFV
NFV(Network Functions Virtualization,网络功能虚拟化)通过广泛采用的硬件承载各种各样的网络软件功能,实现软件的灵活加载,在数据中心、网络节点和用户端等各个灵活的配置,加快网络部署和调整的速度,降低业务部署的复杂度及总体投资成本,提高网络设备的统一化、通用化、适配性。
NFV与SDN有很强的互补性,NFV增加了功能部署的灵活性,SDN可进一步推动NFV功能部署的灵活性和方便性,如利用SDN将控制平面和数据平面分离,软件控制平面被转移到了更优化的,数据平面的控制被从专有设备上提取出来并且标准化,使得网络和应用的革新无需网络设备硬件升级,使现有的部署进一步简化,减轻运营和的负担。同时,NFV能为SDN的运行提供新基础架构的支持,如将控制平面和数据平面的功能直接运行在标准服务器上,昂贵的专业设备被通用硬件和高级软件替代,简化SDN的部署。
通过SDN和NFV两种技术的融合,使得资源池化以及随需而动成为现实,可以充分满足小王们的资源统一池化、网络安全可靠可调等需求。
SDN、Overlay、NFV是VPC多租户虚拟化解决方案的技术支撑,三种最新技术的有效融合是满足小王们众多需求的技术前提和。
适应性方面,可以把虚拟交换机的运行按照控制方式的“轻”、“重”分为两种,一种是在高度智能、可靠的SDN控制器控制下的“重”控制网络;一种是在云计算系统中或第三方云系统中,仅通过VSM(Virtual Supervisor Module)响应少量的关键事件即可完成对虚拟交换机的信息下发的“轻”控制网络。“重”控制方式下,虚拟交换机侧重于对控制器的响应,“轻”控制方式下,则侧重于自身的功能和灵活性,和与第三方系统的融合程度,表面上看更“轻”了,其实要求更“重”了,这种适应性往往也是衡量虚拟交换机是否具有弹性和扩展性的重要标志。
2. VPC多租户虚拟化网络解决方案整体架构
如图所示,VPC多租户解决方案以SDN控制器、vSwitch、NFV为骨架,辅以传统网络设备以及安全设备,完美构建了以Overlay和服务链为具体特征的数据中心解决方案。
2.1 SDN控制器
SDN控制器可以控制Overlay网络中的各种资源,并为应用提供接口,应用通过调用控制器提供的接口来实现自己的网络转发需求。
如图所示,SDN控制器是一个的软件平台,提供可编程的用户接口,使用标准接口协议作为网络控制协议实现对物理网络和Overlay网络的管理。控制器北向RESTful API和JAVA API,用户可以基于接口开发并快速部署业务所需的应用,同时通过北向提供标准接口SDN控制器可以与多种云平台对接;它南向接口支持通过OpenFlow、OVSDB、NETCONF协议,控制传统网络设备和虚拟网络设备。
SDN控制器通过集群机制可以实现控制器数量的弹性扩展,进而实现网络规模的动态伸缩,达到对超大规模网络进行集中化控制的目的;集群由Leader控制器在北向提供统一的IP地址与所有上层软件进行交互,所有控制器位于同一二层网络,每个控制器拥有唯一的南向IP;集群南向通过划分Region管理网络设备,Region内部的控制器互为备份和负载分担,实现控制层面的超高可靠性。
2.2 vSwitch
vSwitch是面向企业和行业数据中心虚拟化的一款智能软件分布式虚拟交换机产品,作为第一个Openflow交换机,它以软件包的形式安装到计算节点上,可以对计算节点上的各虚拟机之间以及虚拟机与外部网络之间的流量进行转发,它将可控的网络边缘延伸到服务器中,除了在服务器内高效地转发,还可将统一的控制策略和安全策略无缝地从物理网络过度到虚拟网络。
vSwitch支持VXLAN、DVR、状态防火墙、QOS、NAT、端口镜像等丰富功能特性;同时具备高度性,北向支持Openflow、OVS-DB等标准协议,从而可以和SDN控制器配合提供数据中心网络虚拟化以及VPC等解决方案。
2.3 NFV
NFV行在服务器/虚拟机上,提供和物理设备相同的功能和体验,它涵盖VSR、VFW、VLB、VBRAS、VAC、VIPS等多款产品,可以构建一个的NFV生态系统,从基础架构层、虚拟化平台、到VNF (Virtualized Network Function)以及NFV基础资源管理系统/VNF管理系统/业务编排系统/OSS。NFV不仅具备软件硬件分离、网络功能虚拟化、业务随需部署等典型特征,而且具备高度性,可以集成第三方的产品,为用户提供完整的NFV解决方案。
2.4 传统网络设备和安全设备
传统网络设备可以承担Underlay转发角色,实现充分的利旧,以最大限度地节约成本,而高可靠的VXLAN传统硬件网关组,支持业务负载分担、弹性扩展和设备无缝升级,可以提供Overlay与传统网络互通的通道;传统安全设备即可以采用旁挂地方式为网络提供安全,也可以与SDN控制器配合,为租户提供差异化的服务链功能。
2.5 Overlay
VPC多租户虚拟化网络解决方案通过Overlay网络和SDN控制器的相互配合,可以使得逻辑网络与物理网络解耦、控制平面和转发平面分离,进而实现消除网络、虚机任意迁移、IP地址灵活分配的目的,从而充分满足用户随时随地接入、业务快速上线、虚机迁移及策略自动跟随的需求。
2.6 服务链
数据报文在网络中传递时,需要经过各种安全服务节点,提供给用户安全、自定义的网络服务,即是所谓的服务链。常见的服务节点(Service Node):防火墙(FW)、负载均衡(LB)、入侵检测(IPS)、VPN等。可见服务链并不是一个全新的概念,而是随着SDN以及NFV的不断推进,才逐渐变得更加重要。
但是传统网络的服务链和网络拓扑有紧密的耦合,部署较为复杂,在服务链变更、扩容时,都需要改动网络拓扑以及重新修订网络设备的配置,无法满足云计算、服务器虚拟化技术以及下一代数据中心的需求。
而VPC多租户虚拟化网络解决方案则通过SDN控制器于Overlay网络、NFV设备、vSwitch的统一控制和逻辑抽象,并根据业务需要灵活地对NFV设备、硬件资源进行细粒度、自定义的编排,可以使得业务流量按照控制器的编排顺序经过一组抽象业务功能节点,完成对应业务功能的处理,从而为客户提供可靠、可调、差异化的网络安全。
3. VPC多租户虚拟化网络解决方案整体部署
VPC多租户虚拟化网络解决方案整体部署如图所示。
通过控制器可以实现网络的集中化控制管理,控制器支持集群机制,通过控制器集群不仅可以管理层面的高可靠性,还可以通过标准化的北向接口实现大规模网络的集中控制管理。另外,控制器REST API、JAVA API等多种形式的北向标准化接口,可以实现与多种上层平台的对接。有了接口,用户也可以根据自己实际需要迅速开发、部署最新业务,迅速地开发、部署应用,进而实现快速盈利的目的。
vSwitch、VSR或传统设备扮演VXLAN GW的角色,实现将虚拟机、服务器等各种终端接入到VXLAN网络中的目的;VSR和传统设备可以充当VXLAN L3 GW,实现VXLAN网络和传统网络之间的互通,从而可以最大程度地利旧和节约成本。
服务节点包括VSR、VFW、VLB等NFV池化资源,也可以包括传统硬件安全设备,然后通过控制器、vSwitch的配合,实现灵活、可定义的东西向和南北向服务链功能,实现资源利用的充分化和成本最低化。
结束语
VPC多租户虚拟化网络解决方案充分融合SDN、Overlay、NFV三大最新技术优势,以SDN、vSwitch、NFV三大为支撑,辅以传统网络、安全设备,构建了以Overlay、服务链为主要特征的VPC网络解决方案,可以充分满足小王们集中式的控制管理、灵活快速部署业务、消除物理网络、支持多种虚拟平台、原有设备充分利旧、可以容纳海量租户、不同租户安全隔离、网络资源统一池化、虚机灵活自动迁移、网络安全可靠可调等诸多需求。