基于SDN技術(shù)構(gòu)建業(yè)務(wù)支撐互聯(lián)網(wǎng)域的雙活數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)

楊敬巍 張立成 李佳記

一、SDN技術(shù)的發(fā)展

（一）數(shù)據(jù)中心的發(fā)展

云計(jì)算技術(shù)能將網(wǎng)絡(luò)上分布的計(jì)算、存儲(chǔ)、服務(wù)構(gòu)建、網(wǎng)絡(luò)軟件等各種網(wǎng)絡(luò)資源和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施統(tǒng)籌起來(lái)，基于資源虛擬化的方式，為用戶提供通過(guò)網(wǎng)絡(luò)訪問(wèn)定制IT資源共享池能力（IT資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用、服務(wù)），實(shí)現(xiàn)資源按需提供服務(wù)，并通過(guò)規(guī)模運(yùn)營(yíng)降低消耗。在這種計(jì)算模式下，計(jì)算開始向網(wǎng)絡(luò)的中心遷移，傳統(tǒng)的計(jì)算、存儲(chǔ)一體的方式轉(zhuǎn)變成計(jì)算、存儲(chǔ)功能分離的集群系統(tǒng)。

網(wǎng)絡(luò)的發(fā)展與計(jì)算系統(tǒng)的發(fā)展彼此影響并相互聯(lián)系，計(jì)算系統(tǒng)主要在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)功能和網(wǎng)絡(luò)體系3個(gè)方面影響著網(wǎng)絡(luò)的發(fā)展。適應(yīng)計(jì)算系統(tǒng)虛擬化進(jìn)程的網(wǎng)絡(luò)體系結(jié)構(gòu)的新設(shè)計(jì)和新想法不斷提出，網(wǎng)絡(luò)虛擬化是一個(gè)重要方向，在方案選優(yōu)的過(guò)程中有很多因素都將影響其發(fā)展，這其中有兩個(gè)關(guān)鍵問(wèn)題必須回答：為什么網(wǎng)絡(luò)虛擬化是必須的；為什么傳統(tǒng)網(wǎng)絡(luò)方法不能很好的支持虛擬化。

（二）傳統(tǒng)網(wǎng)絡(luò)技術(shù)在云計(jì)算數(shù)據(jù)中心的局限性

由于數(shù)據(jù)中心在傳統(tǒng)物理網(wǎng)絡(luò)與操作系統(tǒng)之間的緊耦合關(guān)系，構(gòu)建多租戶云數(shù)據(jù)中心時(shí)，受限于多種網(wǎng)絡(luò)技術(shù)之間復(fù)雜的相互影響和作用，使用傳統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)達(dá)到完全虛擬化的數(shù)據(jù)中心是非常困難的，經(jīng)常有一些網(wǎng)絡(luò)限制能采用局部方案處理，但同時(shí)會(huì)在架構(gòu)的其他地方產(chǎn)生不利影響。如在某些場(chǎng)景下，移動(dòng)性管理可以通過(guò)在虛擬機(jī)VM上運(yùn)行路由器來(lái)處理，單這會(huì)減少單個(gè)虛擬機(jī)的吞吐量，在很多場(chǎng)景下這是不切實(shí)際的。在使用傳統(tǒng)方法構(gòu)建虛擬化數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時(shí)，公認(rèn)的障礙及實(shí)施難點(diǎn)包括以下幾點(diǎn)：不支持地址空間虛擬化。一般情況下，虛擬機(jī)使用與物理網(wǎng)絡(luò)相同的地址空間。如虛擬機(jī)VM的第一跳網(wǎng)關(guān)被配置為網(wǎng)絡(luò)上的一個(gè)物理路由器，同一L2網(wǎng)絡(luò)中，負(fù)荷分擔(dān)的虛擬機(jī)VM被限制在該物理子網(wǎng)中，限制了移動(dòng)性和VM部署點(diǎn)。在很多大型虛擬數(shù)據(jù)中心，由于無(wú)法在數(shù)據(jù)中心內(nèi)部或者數(shù)據(jù)中心之間任意部署虛擬機(jī)VM，因此很難接納日益增長(zhǎng)的多租戶。難以支持同一租戶所有的VM在相同IP子網(wǎng)以及對(duì)同一租戶擴(kuò)展性的限制，所有虛擬機(jī)VM必須在同一子網(wǎng)空間內(nèi)移動(dòng)限制，都會(huì)引起計(jì)算資源的中斷運(yùn)行和碎片化。

（三）數(shù)據(jù)中心規(guī)模

虛擬化對(duì)傳統(tǒng)網(wǎng)絡(luò)的處理規(guī)模提出了更高要求，這方面的權(quán)威例子是VLAN。傳統(tǒng)VLAN被限制在4096個(gè)獨(dú)立段內(nèi)。很多大型云計(jì)算中心遠(yuǎn)超過(guò)4096個(gè)，要求采用多個(gè)、支持自有VLAN空間的非疊加網(wǎng)絡(luò)來(lái)進(jìn)行隔離。除VLAN外，傳統(tǒng)網(wǎng)絡(luò)技術(shù)還有其他限制不能滿足現(xiàn)代數(shù)據(jù)中心的規(guī)模需求。

（四）整合網(wǎng)絡(luò)層業(yè)務(wù)

負(fù)載均衡、防火墻等是網(wǎng)絡(luò)層的主要業(yè)務(wù)，虛擬數(shù)據(jù)中心中，此類業(yè)務(wù)也是主要的網(wǎng)絡(luò)負(fù)載。在虛擬數(shù)據(jù)中心集成這些虛擬業(yè)務(wù)時(shí)，要確保流量路由到合適的業(yè)務(wù)。虛擬化數(shù)據(jù)中心運(yùn)營(yíng)商通過(guò)虛擬機(jī)遷移來(lái)有效的使用服務(wù)器。由于虛擬機(jī)的移動(dòng)，負(fù)載均衡器需要追蹤它們的位置并請(qǐng)求發(fā)送到它們新的正確位置。通常用VLAN來(lái)處理，要求虛擬機(jī)VM和中間節(jié)點(diǎn)之間的二層鄰接提供這種業(yè)務(wù)。虛擬網(wǎng)絡(luò)需要匹配網(wǎng)絡(luò)帶寬和業(yè)務(wù)容量。由虛擬應(yīng)用負(fù)責(zé)負(fù)載均衡時(shí)，如果虛擬網(wǎng)絡(luò)流量路由到某個(gè)瓶頸點(diǎn)，可能出現(xiàn)帶寬需求超過(guò)了該處容量的情況，在這種情況下就要求網(wǎng)絡(luò)層業(yè)務(wù)本身必須虛擬化，實(shí)現(xiàn)網(wǎng)絡(luò)與虛擬機(jī)間的快速協(xié)同。但現(xiàn)有網(wǎng)絡(luò)無(wú)法支持虛擬私有云的客戶定制化網(wǎng)絡(luò)配置實(shí)時(shí)生效，不能實(shí)現(xiàn)多層網(wǎng)絡(luò)間的協(xié)同，難以按需調(diào)整帶寬。

（五）服務(wù)開通依賴硬件

隨著計(jì)算虛擬化的發(fā)展，任何虛擬機(jī)VM可以運(yùn)行在標(biāo)準(zhǔn)服務(wù)器上，也可以完全自動(dòng)的實(shí)現(xiàn)服務(wù)開通和虛擬機(jī)管理。然后，為虛擬機(jī)VM創(chuàng)造一個(gè)獨(dú)立網(wǎng)絡(luò)（及它們關(guān)聯(lián)的網(wǎng)絡(luò)策略）需要手動(dòng)實(shí)現(xiàn)硬件配置。這種方式面臨幾個(gè)問(wèn)題：數(shù)據(jù)中心運(yùn)營(yíng)主體與特定硬件供應(yīng)商綁定，如果是手動(dòng)配置，容易出錯(cuò)；另外，如果部署某種網(wǎng)絡(luò)策略，不引起混亂而實(shí)現(xiàn)升級(jí)或者替換網(wǎng)絡(luò)設(shè)備是很困難的。

（六）網(wǎng)絡(luò)業(yè)務(wù)的提供能力與硬件設(shè)計(jì)周期相關(guān)聯(lián)

增加新業(yè)務(wù)的能力受限于新硬件的提供時(shí)間和部署周期。由于部署周期過(guò)長(zhǎng)，大型虛擬數(shù)據(jù)中心運(yùn)營(yíng)實(shí)體不依賴物理硬件來(lái)開通虛擬網(wǎng)絡(luò)業(yè)務(wù)或者提供虛擬網(wǎng)絡(luò)服務(wù)。為了能夠快速通過(guò)軟件開發(fā)來(lái)提供新業(yè)務(wù)，多數(shù)大型數(shù)據(jù)中心會(huì)在網(wǎng)絡(luò)邊緣提供基于軟件的服務(wù)。

（七）網(wǎng)絡(luò)虛擬化的特點(diǎn)

通過(guò)把操作系統(tǒng)與底層硬件相耦合，為計(jì)算虛擬化提供了極其靈活的虛擬機(jī)運(yùn)作模式，讓IT把一系列服務(wù)器看成是通用資源池，計(jì)算虛擬化已經(jīng)改變了IT業(yè)界關(guān)于成本、效率、新應(yīng)用和服務(wù)的推出速度等方面的預(yù)期設(shè)想。與此同時(shí)，計(jì)算虛擬化為如何更寬泛地考慮IT基礎(chǔ)架構(gòu)提供了一個(gè)樣板。也就是說(shuō)，所有的數(shù)據(jù)中心基礎(chǔ)架構(gòu)，包括基礎(chǔ)網(wǎng)絡(luò)在內(nèi)，應(yīng)該供一個(gè)與計(jì)算虛擬化類似的屬性。計(jì)算系統(tǒng)經(jīng)歷了從大型機(jī)封閉系統(tǒng)到客戶端——服務(wù)器水平擴(kuò)展的演化過(guò)程，一旦基礎(chǔ)架構(gòu)完全虛擬化，應(yīng)用軟件不再受限于物理設(shè)備，任何應(yīng)用軟件將可以運(yùn)行在任何物理設(shè)備上；通過(guò)自動(dòng)化部署統(tǒng)一和幾種控制以節(jié)約資本。

網(wǎng)絡(luò)虛擬化可以在邏輯上把一個(gè)物理的網(wǎng)絡(luò)劃分成多個(gè)邏輯網(wǎng)絡(luò)，同時(shí)提供一種強(qiáng)有力的方式使多個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)同時(shí)運(yùn)行（可以是不通的網(wǎng)絡(luò)體系結(jié)構(gòu)）在一共享物理設(shè)施上。最常見(jiàn)的虛擬化技術(shù)有VLAN、VPN等。

目前，實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)的共存仍然需要考慮多方面的因素，如系統(tǒng)的穩(wěn)定性、安全性、資源管理（資源計(jì)算、資源隔離）等。同時(shí)，應(yīng)注意一下幾個(gè)主要問(wèn)題：支持多種體系結(jié)構(gòu)并存；支持非IP體系結(jié)構(gòu)；異質(zhì)體系結(jié)構(gòu)間的數(shù)據(jù)通信、交互。

二、業(yè)務(wù)支撐互聯(lián)網(wǎng)接口域現(xiàn)狀

當(dāng)前電子渠道部署在A中心，業(yè)務(wù)連續(xù)性存在較高風(fēng)險(xiǎn)，主要問(wèn)題包括：該接口區(qū)域內(nèi)不同類型業(yè)務(wù)間不具備安全隔離能力，無(wú)法滿足集團(tuán)云計(jì)算網(wǎng)絡(luò)安全域-互聯(lián)網(wǎng)接口安全規(guī)范規(guī)定；傳統(tǒng)方式每個(gè)業(yè)務(wù)系統(tǒng)需一對(duì)獨(dú)立物理防火墻隔離，資源復(fù)用度不高，增加投資成本；域內(nèi)各業(yè)務(wù)主機(jī)間無(wú)法控制跳轉(zhuǎn)登錄訪問(wèn)，出現(xiàn)病毒或攻擊時(shí)在域內(nèi)各主機(jī)間無(wú)法進(jìn)行有效隔離。

三、 SDN技術(shù)構(gòu)建業(yè)務(wù)支撐互聯(lián)網(wǎng)域數(shù)據(jù)中心虛擬網(wǎng)絡(luò)

（一）部署方案

在A局址與B局址互聯(lián)網(wǎng)接口部署SDN網(wǎng)絡(luò)系統(tǒng)，通過(guò)統(tǒng)一的物理資源建設(shè)，承載多套不同安全等級(jí)的業(yè)務(wù)系統(tǒng)綜合接入，實(shí)現(xiàn)域內(nèi)各業(yè)務(wù)系統(tǒng)間邏輯安全防護(hù)，節(jié)省硬件設(shè)備投資成本。

通過(guò)SDN對(duì)雙數(shù)據(jù)中心互聯(lián)網(wǎng)接口域的邏輯統(tǒng)一組網(wǎng)與資源池融合，實(shí)現(xiàn)業(yè)務(wù)間主機(jī)、網(wǎng)絡(luò)及負(fù)載等資源靈活分配。

實(shí)現(xiàn)業(yè)務(wù)的安全保障，對(duì)門戶網(wǎng)站、手機(jī)旗艦店及自有業(yè)務(wù)平臺(tái)等業(yè)務(wù)進(jìn)行安全隔離，業(yè)務(wù)系統(tǒng)間故障互不干擾。

（二）技術(shù)方案

軟件定義網(wǎng)絡(luò)（SDN）采用OpenFlow協(xié)議構(gòu)成一個(gè)控制/轉(zhuǎn)發(fā)分離的網(wǎng)絡(luò)，開發(fā)者/用戶可以很容易的在控制器上編程控制網(wǎng)絡(luò)的轉(zhuǎn)發(fā)行為，而轉(zhuǎn)發(fā)面是一個(gè)完全按照Flowtable流表規(guī)則進(jìn)行轉(zhuǎn)發(fā)的簡(jiǎn)單硬件設(shè)備。

轉(zhuǎn)發(fā)面和控制面分開承載，數(shù)據(jù)轉(zhuǎn)發(fā)和控制信息可共用物理網(wǎng)，但邏輯上可以使用不同的路由協(xié)議分開承載；

集中控制，集中控制是簡(jiǎn)化網(wǎng)絡(luò)管理的關(guān)鍵，是實(shí)現(xiàn)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)可編程的基礎(chǔ)；

控制和轉(zhuǎn)發(fā)的開發(fā)接口OpenFlow是網(wǎng)絡(luò)邁向開放的“橋頭堡”。

1、業(yè)務(wù)即軟件，實(shí)現(xiàn)完全虛擬化地址

控制面、轉(zhuǎn)發(fā)面分別演進(jìn)，轉(zhuǎn)發(fā)面不感知任何業(yè)務(wù)邏輯，只是機(jī)械地按照流表中的指令集進(jìn)行轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)數(shù)通設(shè)備轉(zhuǎn)發(fā)面與控制面的解耦，使數(shù)據(jù)中心網(wǎng)絡(luò)擺脫網(wǎng)絡(luò)硬件的束縛，只關(guān)注對(duì)網(wǎng)絡(luò)的功能需求，徹底解放了軟件的創(chuàng)造力，無(wú)需手動(dòng)配置或者重新布線基礎(chǔ)設(shè)置，業(yè)務(wù)實(shí)施可以動(dòng)態(tài)添加、擴(kuò)展和配置。

2、集中控制面，易管理

與數(shù)據(jù)中心分散的管理數(shù)十臺(tái)乃至數(shù)百臺(tái)交換機(jī)相比，一個(gè)集中的管理點(diǎn)無(wú)疑大大的降低了管理的復(fù)雜度。

Openflow的集中控制能力使得全局、動(dòng)態(tài)轉(zhuǎn)發(fā)策略非常容易維護(hù)，實(shí)現(xiàn)一次配置、處處生效。如基于MAC的VLAN，只要在控制器中配置后，無(wú)論該主機(jī)接入哪個(gè)交換機(jī)，對(duì)應(yīng)的VLAN均會(huì)生效。

新的轉(zhuǎn)發(fā)規(guī)則、拓?fù)渌惴o(wú)需改動(dòng)交換機(jī)硬件，只要在控制器中實(shí)現(xiàn)一個(gè)軟件模塊或編寫一段腳本即可?？刂破鞅旧砘谏嫌梅?wù)器、操作系統(tǒng)，安裝、開發(fā)、部署網(wǎng)絡(luò)應(yīng)用模塊非常容易。

可以對(duì)數(shù)據(jù)中心計(jì)算系統(tǒng)提供接口，實(shí)現(xiàn)計(jì)算和網(wǎng)絡(luò)的聯(lián)動(dòng)調(diào)度。如在虛擬機(jī)VM集中管理器創(chuàng)建VM時(shí)，可以通知OpenFlow控制器創(chuàng)建網(wǎng)絡(luò)VLAN資源以及負(fù)載均衡、安全等策略。

通過(guò)網(wǎng)絡(luò)設(shè)備虛擬化，實(shí)現(xiàn)獨(dú)立的安全策略管理；獨(dú)立的硬件資源享用；獨(dú)立的日志報(bào)表呈現(xiàn)；安全特性的獨(dú)享。支持大量相互隔離的租戶網(wǎng)絡(luò)。租戶通過(guò)自服務(wù)門戶分配虛擬數(shù)據(jù)中心，資源按需分配。

數(shù)據(jù)中心采用網(wǎng)絡(luò)虛擬化，通過(guò)SDN的集中控制模式完全控制整個(gè)數(shù)據(jù)中心，可以最大化地發(fā)揮軟件定義網(wǎng)絡(luò)優(yōu)勢(shì)。從運(yùn)營(yíng)管理角度來(lái)說(shuō)，SDN的集中管控架構(gòu)恰好與IaaS的需求是一致的。通過(guò)SDN控制器與虛擬機(jī)管理器的聯(lián)動(dòng)，不僅可以降低管理的復(fù)雜度，也使得Iaas的運(yùn)營(yíng)、業(yè)務(wù)開通更高效、快捷。

虛擬化時(shí)代的數(shù)據(jù)中心網(wǎng)絡(luò)，引入SDN技術(shù)賦予了數(shù)據(jù)中心網(wǎng)絡(luò)更靈活的能力，以降低網(wǎng)絡(luò)開發(fā)維護(hù)成本，有利于推動(dòng)設(shè)備側(cè)/網(wǎng)絡(luò)層新協(xié)議、新功能、新業(yè)務(wù)在網(wǎng)絡(luò)上快速實(shí)現(xiàn)和部署。