基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心建設(shè)方案研究

郭文靜，劉彥廷

（西安黃河機(jī)電有限公司信息中心，陜西 西安 710043）

0 引 言

隨著云科技與大數(shù)據(jù)技術(shù)的飛速發(fā)展，構(gòu)建企業(yè)級(jí)云數(shù)據(jù)中心成為大型公司或國企單位的信息化發(fā)展目標(biāo)[1]。新型企業(yè)級(jí)云數(shù)據(jù)中心往往集合了幾千臺(tái)服務(wù)器，并在數(shù)據(jù)中心基礎(chǔ)設(shè)置層針對(duì)網(wǎng)絡(luò)的架構(gòu)、安全效能、智能化管理及網(wǎng)絡(luò)帶寬等方面提出了全新要求，以不斷推進(jìn)云數(shù)據(jù)中心的結(jié)構(gòu)化轉(zhuǎn)型。

1 基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的整體建設(shè)方案

1.1 建設(shè)目標(biāo)

1.1.1 構(gòu)建業(yè)務(wù)聯(lián)合型共享云

構(gòu)建業(yè)務(wù)聯(lián)合型共享云，即把計(jì)算操作、保存及信息通信等功能板塊集成在一套以太網(wǎng)環(huán)境中，使其能有效面對(duì)企業(yè)級(jí)云數(shù)據(jù)中心內(nèi)部流量特征復(fù)雜、難以預(yù)控以及突發(fā)狀況多等難題。

1.1.2 設(shè)置高密度萬兆型端口

各臺(tái)服務(wù)裝置均采用10GE以上的局域網(wǎng)信號(hào)端口連入網(wǎng)絡(luò)，能夠有效地對(duì)上千臺(tái)裝置進(jìn)行服務(wù)，并且實(shí)時(shí)調(diào)控網(wǎng)絡(luò)中的廣播與組網(wǎng)型風(fēng)暴。

1.1.3 無阻塞型轉(zhuǎn)換網(wǎng)絡(luò)

無阻塞型轉(zhuǎn)換網(wǎng)絡(luò)可實(shí)現(xiàn)集群環(huán)境中全部服務(wù)裝置的對(duì)等數(shù)據(jù)通信需求，并在任意節(jié)點(diǎn)之間構(gòu)成相應(yīng)的帶寬。平臺(tái)層的分布式應(yīng)用代碼則并不需要關(guān)注服務(wù)裝置的節(jié)點(diǎn)數(shù)據(jù)能否連入相同的物理轉(zhuǎn)換裝置。

1.1.4 智能化監(jiān)管功能

智能化監(jiān)管可支持網(wǎng)絡(luò)配置與監(jiān)管，完成網(wǎng)絡(luò)資源的智能化調(diào)整與新型設(shè)備的納管與擴(kuò)容功能。

1.2 整體設(shè)計(jì)方案

基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的整體設(shè)計(jì)由Fabric形式下的Leaf+Spine的雙層構(gòu)造完成。其中，Spine交換裝置承擔(dān)路由反射功能，Leaf交換裝置則包含服務(wù)裝置接入、出口及安全型資源設(shè)置的功能。

1.2.1 基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的整體設(shè)計(jì)模式

基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的設(shè)計(jì)特征包括：頂層數(shù)據(jù)體系選用擴(kuò)展型虛擬專網(wǎng)；下層網(wǎng)絡(luò)體系選取Leaf交換裝置互相交疊，并在Leaf和Spine間構(gòu)成通信協(xié)議；Service Leaf轉(zhuǎn)換裝置的安全互享池是邏輯域間形成安全與負(fù)載的平衡；VxLan的交換裝置可增強(qiáng)服務(wù)裝置的接入性；Fabric控制裝置能完成網(wǎng)絡(luò)維護(hù)。

1.2.2 Leaf和Spine型物理組網(wǎng)結(jié)構(gòu)

選用POD集中布置網(wǎng)絡(luò)裝備的模式[2]，以構(gòu)成對(duì)面安裝的Spine交換裝置、邊界Leaf交換裝置、服務(wù)Leaf交換裝置、核心層的網(wǎng)絡(luò)周邊配置、防火墻與均衡負(fù)載等。

1.2.3 矩形布局

基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的機(jī)房布局為矩形架構(gòu)，為保障制冷功能，可把多個(gè)機(jī)柜構(gòu)成排列組，在各對(duì)機(jī)柜間設(shè)置空調(diào)，形成制冷環(huán)境。

1.2.4 TOR型布線方式

服務(wù)機(jī)組柜的布線方式是在各個(gè)服務(wù)裝置配置多臺(tái)10GE以上的局域網(wǎng)信號(hào)端口，并選取多對(duì)光纖跳線連入服務(wù)Leaf交換裝置，以簡(jiǎn)化布線模式。

1.2.5 帶外管理

在各列服務(wù)裝置的首尾分別安置管理交換裝置，并采用服務(wù)裝置的IPMI接口、服務(wù)Leaf交換裝置完成以太網(wǎng)的連接。交換裝置選取雙對(duì)上行端口連入網(wǎng)絡(luò)機(jī)組中，完成帶外監(jiān)管。

2 基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的關(guān)鍵技術(shù)

擴(kuò)展型虛擬專網(wǎng)策略可在現(xiàn)有的數(shù)據(jù)中心物理網(wǎng)絡(luò)架構(gòu)上接入雙層網(wǎng)絡(luò)[3]。虛擬專網(wǎng)策略是一類雙層的虛擬網(wǎng)絡(luò)，其控制層面選用MP-IBGP報(bào)告雙層虛擬網(wǎng)絡(luò)的路由數(shù)據(jù)，并選取擴(kuò)展虛擬專網(wǎng)封裝模式完成報(bào)文的轉(zhuǎn)發(fā)。

2.1 擴(kuò)展虛擬專網(wǎng)的分工型網(wǎng)關(guān)模式

擴(kuò)展虛擬專網(wǎng)的控制層面主要由Leaf交換裝置與Spine交換裝置搭建以太虛擬專網(wǎng)完成。Leaf與Spine交換裝置的分工策略具體如下。

2.1.1 Leaf交換裝置構(gòu)成分布式網(wǎng)關(guān)

Leaf交換裝置可完成擴(kuò)展虛擬專網(wǎng)網(wǎng)關(guān)與隧道端點(diǎn)的功能，并構(gòu)建虛擬專網(wǎng)的鄰居關(guān)聯(lián)，選用MP-iBGP協(xié)議完成擴(kuò)展。

2.1.2 Spine交換裝置的底層設(shè)備

Spine交換裝置的底層設(shè)備并不參與頂層的虛擬專網(wǎng)轉(zhuǎn)發(fā)，但能夠承擔(dān)雙層網(wǎng)絡(luò)中的BGP RR模式，能夠?qū)腖eaf交換裝置獲得的數(shù)據(jù)反射到周邊Leaf交換裝置，從而提高虛擬專網(wǎng)的交互率。

2.2 擴(kuò)展虛擬專網(wǎng)的MAC地址與路由共享機(jī)理

2.2.1 擴(kuò)展虛擬專網(wǎng)的隧道智能化搭建

本文采用擴(kuò)展虛擬專網(wǎng)的BGP RR模式完成鄰居發(fā)現(xiàn)，并在設(shè)備之間互通擴(kuò)展虛擬專網(wǎng)數(shù)據(jù)，使全部VTEP裝備均保存全網(wǎng)的擴(kuò)展虛擬專網(wǎng)數(shù)據(jù)且擴(kuò)展虛擬專網(wǎng)數(shù)據(jù)與下一跳裝備關(guān)聯(lián)。

2.2.2 擴(kuò)展虛擬專網(wǎng)的智能化關(guān)聯(lián)

在各個(gè)裝備和具備同等擴(kuò)展虛擬專網(wǎng)的下一跳裝備構(gòu)建通道，并把擴(kuò)展虛擬專網(wǎng)通道與等價(jià)的擴(kuò)展虛擬專網(wǎng)構(gòu)建關(guān)聯(lián)。

2.2.3 MAC地址的自學(xué)習(xí)

MAC與ARP地址的自學(xué)習(xí)主要由Leaf形成，在本地得到MAC與ARP地址后，與其他Leaf裝置進(jìn)行通信。

2.2.4 外部路由裝置的自學(xué)習(xí)與同步

邊界Leaf和外部防火墻或者路由裝置進(jìn)行互聯(lián)，并構(gòu)建靜態(tài)或者動(dòng)態(tài)的路由協(xié)議，以完成外部路由的學(xué)習(xí)，將消息通報(bào)給整個(gè)虛擬網(wǎng)絡(luò)。

3 基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的網(wǎng)絡(luò)智能化與安全防護(hù)體系

3.1 基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的網(wǎng)絡(luò)智能化配置

基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心具有大量的網(wǎng)絡(luò)裝置，若使用人工完成各臺(tái)設(shè)備的配置，需要編碼大量的配置腳本，投入的物力與人力資本較高，且很難避免人為失誤。選用網(wǎng)絡(luò)智能化配置可提升設(shè)置準(zhǔn)確度，完成操作標(biāo)準(zhǔn)化、可視化，從而減弱了技術(shù)難度。

3.1.1 頂層網(wǎng)絡(luò)布局

頂層網(wǎng)絡(luò)布局需要對(duì)IP地址、LOOPBACK的IP地址、網(wǎng)絡(luò)的路由、虛擬局域網(wǎng)的地址進(jìn)行規(guī)劃。

3.1.2 Fabric Director服務(wù)裝置智能化設(shè)置

利用Fabric Director實(shí)現(xiàn)底層的智能化設(shè)置。在Fabric Director中進(jìn)行DHCP與TFTP的參數(shù)設(shè)定。按照預(yù)定的次序?qū)崿F(xiàn)Leaf交換裝置與Spine交換裝置的供電，并智能化設(shè)定OSPF路由協(xié)定。

3.1.3 頂層設(shè)置

頂層設(shè)置主要包含VPN設(shè)置、虛擬轉(zhuǎn)換接口設(shè)置、擴(kuò)展虛擬專網(wǎng)設(shè)置及Leaf交換裝置的端口局域網(wǎng)的屬性設(shè)定。

3.2 基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的安全防護(hù)體系

3.2.1 設(shè)置防火墻服務(wù)鏈的前提條件

將防火墻與服務(wù)Leaf交換裝置構(gòu)建三角互聯(lián)，并設(shè)立擴(kuò)展虛擬專網(wǎng)通道。構(gòu)建防火墻服務(wù)鏈時(shí)，主要構(gòu)建四類鏈路：第一類鏈路選用SDN控制管理裝置保障其他三層可達(dá)，并在鏈路的防火墻上構(gòu)建虛擬防火墻；第二類鏈路構(gòu)建服務(wù)型管理鏈路；第三類鏈路和第四類鏈路構(gòu)建互聯(lián)通信鏈路。

3.2.2 構(gòu)建防火墻服務(wù)鏈的進(jìn)程

設(shè)定與虛擬防火墻相連的虛擬專網(wǎng)與局域網(wǎng)資源，并設(shè)置虛擬防火墻服務(wù)鏈路相互聯(lián)的出口與入口，構(gòu)建防火墻實(shí)例及服務(wù)鏈。

4 結(jié) 論

隨著科技的迅速發(fā)展和各類數(shù)據(jù)量的不斷增加，企業(yè)數(shù)據(jù)中心的建設(shè)標(biāo)準(zhǔn)逐步提高?，F(xiàn)有的數(shù)據(jù)處理水平很難滿足企業(yè)和各單位的需求，因此采用虛擬專網(wǎng)技術(shù)完成企業(yè)級(jí)云數(shù)據(jù)中心的建設(shè)具有重要研究意義。

本文首先給出了基于虛擬專網(wǎng)技術(shù)的企業(yè)級(jí)云數(shù)據(jù)中心的整體建設(shè)方案，分析了建設(shè)目標(biāo)和整體設(shè)計(jì)方案，具體方案包括Leaf和Spine型物理組網(wǎng)結(jié)構(gòu)、矩形布局、TOR型布線方式及帶外管理；其次分析了關(guān)鍵技術(shù)，簡(jiǎn)述了Leaf交換裝置構(gòu)成分布式網(wǎng)關(guān)和Spine交換裝置的底層設(shè)備，研究了擴(kuò)展虛擬專網(wǎng)的MAC地址與路由共享機(jī)理、隧道智能化搭建和關(guān)聯(lián)及MAC地址和外部路由裝置的自學(xué)習(xí)與同步；最后給出了網(wǎng)絡(luò)智能化與安全防護(hù)體系，給出了構(gòu)建防火墻服務(wù)鏈的進(jìn)程。