關于機場數(shù)據(jù)中心部署NSX虛擬化網(wǎng)絡的探討

摘? 要：軟件定義網(wǎng)絡（SDN）是解決傳統(tǒng)網(wǎng)絡技術對云計算平臺支持不力問題的有效手段。結合浦東機場數(shù)據(jù)中心云平臺的實際問題，分析軟件定義網(wǎng)絡的技術選型、方案設計及部署要點，以此構建與物理網(wǎng)絡解耦的虛擬化網(wǎng)絡資源池，配合vSphere、VSAN技術一道建成軟件定義數(shù)據(jù)中心，從而提升IT基礎設施的靈活性、可靠性，為機場航班運營提供有力的支撐。

關鍵詞：數(shù)據(jù)中心;虛擬化網(wǎng)絡;軟件定義數(shù)據(jù)中心

中圖分類號：TP393.03? ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）06-0110-03

Abstract：Software Defined Network （SDN） is an effective way to solve the problem that traditional network technology can not support cloud computing platform effectively. Based on the actual problems of cloud platform of Pudong Airport data center，analyze the key points of technical selection，scheme design and deployment of software defined network，so as to build a virtual network resource pool decoupled from physical network，and build a software defined data center together with vSphere and VSAN technology，in order to improve the flexibility and reliability of IT infrastructure and provide powerful support for airport flight operation.

Keywords：data center;virtual network;software defined datacenter

0? 引? 言

隨著云計算技術的普及，各類機場信息系統(tǒng)逐步由物理服務器遷移至虛擬云平臺。然而，類似虛擬機在物理機房之間遷移的網(wǎng)絡需求、不同系統(tǒng)虛擬機互訪的安全控制等問題在傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡環(huán)境下卻未能得到有效解決。上海機場集團建設指揮部在浦東機場衛(wèi)星廳數(shù)據(jù)中心建設項目中嘗試引入NSX軟件定義網(wǎng)絡技術，破解上述云平臺的運行難題。本文對浦東機場數(shù)據(jù)中心軟件定義網(wǎng)絡技術選型、實施方案設計及部署要點進行了詳細的介紹。

1? 項目背景

浦東機場自2015年開始物理服務器向云平臺遷移，建設了VMware vSphere云平臺。經過幾年的逐步發(fā)展，現(xiàn)已基本形成穩(wěn)定、可靠的云計算平臺資源池。目前云平臺承載各類航班生產系統(tǒng)的上百個應用。隨著云平臺規(guī)模不斷擴大、應用系統(tǒng)的增多以及業(yè)務需求不斷疊加，數(shù)據(jù)中心網(wǎng)絡穩(wěn)定性、安全性逐漸成為云平臺發(fā)展的制約因素，數(shù)據(jù)中心內部二層網(wǎng)絡潛在的廣播風暴風險、數(shù)據(jù)中心內部應用系統(tǒng)互訪的安全控制問題日益突出。究其原因，主要存在以下兩點：

（1）數(shù)據(jù)中心網(wǎng)絡仍采用傳統(tǒng)的二層網(wǎng)絡技術，由IP網(wǎng)絡設備組成，沒有采用SDN或其他硬件大二層技術滿足云計算資源在兩個不同物理中心機房之間遷移的需求（出于災備考慮）;

（2）數(shù)據(jù)中心內部應用系統(tǒng)互訪的安全控制采用在數(shù)據(jù)中心核心網(wǎng)絡設備上部署Vlan ACL實現(xiàn)，在原應用發(fā)生變化或新應用上線時，維護人員需要在核心網(wǎng)絡設備上手工更改ACL。隨著云計算平臺承載應用的不斷增多，網(wǎng)絡配置日益復雜，運維工作量大且容易出錯。

作為浦東機場衛(wèi)星廳項目建設單位，上海機場集團建設指揮部嘗試在衛(wèi)星廳數(shù)據(jù)中心建設中引入NSX軟件定義網(wǎng)絡技術，組成軟件定義數(shù)據(jù)中心，以解決上述問題。

2? 軟件定義網(wǎng)絡（SDN）

2.1? SDN的定義

軟件定義網(wǎng)絡（Software-Defined-Network，SDN）技術是解決云化的計算資源池與傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡之間需求不匹配問題的理想方案。SDN是一種設計理念或框架，主要包括以下特征：

（1）網(wǎng)絡系統(tǒng)中的控制平面和轉發(fā)平面分離;

（2）開放的可編程接口;

（3）集中化的網(wǎng)絡控制。

2.2? 實現(xiàn)方案

SDN的具體實現(xiàn)方案包括以下3種：

（1）基于硬件網(wǎng)絡設備專用接口的方案：其思路是升級現(xiàn)有網(wǎng)絡設備的操作系統(tǒng)，使之支持專用的可編程接口，供網(wǎng)絡管理系統(tǒng)調用，實現(xiàn)統(tǒng)一的網(wǎng)絡配置/策略下發(fā)，避免逐臺設備的手工配置。例如思科的onePK（Open Network Environment Platform Kit）;

（2）基于疊加網(wǎng)絡（Overlay Network）的方案：在底層物理網(wǎng)絡之上建立邏輯的疊加網(wǎng)絡，用以屏蔽底層硬件網(wǎng)絡的差異，實現(xiàn)網(wǎng)絡資源的虛擬化，在同一硬件網(wǎng)絡之上構建多個異構虛擬網(wǎng)絡。例如VMware的NSX等;

（3）基于開放協(xié)議的方案：使用開放網(wǎng)絡協(xié)議實現(xiàn)控制平面與轉發(fā)平面分離，支持南向網(wǎng)絡設備的集中控制，并提供豐富的北向接口，支持網(wǎng)絡資源的靈活調配。例如ONF提出的基于Openflow的SDN方案。

從機場的現(xiàn)狀及需求出發(fā)，最終采用VMware NSX方案，相對其他兩種方案，其優(yōu)勢包括：NSX技術成熟度及商業(yè)化程度較高;弱化數(shù)據(jù)中心網(wǎng)絡設備品牌差異，有利于提高硬件設備采購靈活性;作為疊加網(wǎng)絡，NSX部署對現(xiàn)有網(wǎng)絡改動最小，有利于減少項目風險。

3? NSX實施設計方案

3.1? 整體設計思路

NSX是在物理網(wǎng)絡之上建立一種抽象的虛擬網(wǎng)絡，從而將下層物理網(wǎng)絡的復雜結構與虛擬網(wǎng)絡進行解耦。其基本功能組件如圖1所示。

邏輯架構分為管理平面、控制平面、數(shù)據(jù)平面三層。NSX Manager位于管理平面，提供單一配置點和REST API入口點;控制平面在NSX Controller中運行，NSX Controller管理邏輯網(wǎng)絡并提供控制平面和數(shù)據(jù)平面的分離;數(shù)據(jù)平面分為分布式服務（包括邏輯交換機、分布式邏輯路由器、分布式防火墻）以及NSX Edge服務。

通過這些組件完成網(wǎng)絡抽象化并提供分布式服務，邏輯網(wǎng)絡與物理網(wǎng)絡實現(xiàn)了完全的解耦。分功能域：計算（Computering）、管理（Management）、邊緣（Edge），如圖2所示。

3.2? 物理網(wǎng)絡設計

為成功部署NSX，物理網(wǎng)絡必須能夠提供高可靠的IP傳輸，并具備下列特性。

（1）高帶寬及高容錯性;

（2）支持Jumbo MTU，最小為1600字節(jié);

（3）支持Qos。

本次項目整體物理網(wǎng)絡架構如圖3所示。

物理網(wǎng)絡架構設計的主要內容如下：

（1）衛(wèi)星廳以及TOC兩個數(shù)據(jù)中心節(jié)點的云平臺NSX系統(tǒng)以及網(wǎng)絡系統(tǒng)作為雙中心，互作災備設計。衛(wèi)星廳以及TOC網(wǎng)絡中，各部署一組Server Farm匯聚交換機;

（2）衛(wèi)星廳/TOC Server Farm匯聚交換機分別上聯(lián)衛(wèi)星廳/TOC主網(wǎng)、離港、安防、無線網(wǎng)核心交換機;

（3）網(wǎng)絡功能層面上，云平臺在邏輯上劃分為主網(wǎng)Server Farm、離港Server Farm、安防網(wǎng)Server Farm、無線網(wǎng)Server Farm、NSX管理網(wǎng)絡以及VSAN網(wǎng)絡;

（4）為保證每個Server Farm區(qū)域之間在邏輯上完全獨立，衛(wèi)星廳以及AOC Server Farm匯聚交換機上將通過為每一套網(wǎng)絡配置獨立VRF（虛擬路由轉發(fā)）的方式來實現(xiàn)。

3.3? 虛擬網(wǎng)絡設計

此次項目為單個vCenter NSX環(huán)境，以下分三個物理功能域介紹虛擬網(wǎng)絡的主要配置情況（物理網(wǎng)絡架構參見圖3）。

3.3.1? 計算集群

計算物理資源池上劃分邏輯區(qū)域：主網(wǎng)、離港、安防和無線，可以在多個區(qū)域內統(tǒng)一管理NSX網(wǎng)絡;啟用分布式虛擬防火墻（微分段）功能，以對東西向流量進行安全控制。

3.3.2? 邊緣集群

Edge都采用ECMP方式部署，先采用2～4臺Edge做ECMP方式，以后根據(jù)邏輯區(qū)南北流量擴充Edge;路由上Edge與區(qū)域匯聚交換機之間采用動態(tài)OSPF路由，Edge和內部DLR也采用OSPF動態(tài)路由。

3.3.3? 管理集群

衛(wèi)星廳的多個邏輯區(qū)域對應單個vCenter Server，有統(tǒng)一的管理集群，上面部署vCenter和NSX-Manager。vCetner必須與其NSX Manager進行配對，NSX Manager用于部署控制器群集。

4? 結? 論

在衛(wèi)星廳數(shù)據(jù)中心網(wǎng)絡中部署NSX，有效實現(xiàn)了網(wǎng)絡資源的云計算池化，消除了傳統(tǒng)二層鏈路的廣播風暴問題，體現(xiàn)在以下3個方面：

（1）通過NSX實現(xiàn)對云平臺資源內部虛擬化網(wǎng)絡更大程度的管理和控制，改變了傳統(tǒng)物理網(wǎng)絡架構下云平臺內部網(wǎng)絡管控力度較弱的現(xiàn)狀;

（2）無需借助硬件大二層技術便可實現(xiàn)虛機在兩個物理數(shù)據(jù)中心節(jié)點之間的無縫遷移，對機場來說是必不可少的災備手段;

（3）對于數(shù)據(jù)中心內部的“東西向”以及物理網(wǎng)絡與虛擬網(wǎng)絡之間“南北向”流量安全控制，通過NSX的虛擬化防火墻（微分段）技術得到較好的解決，避免傳統(tǒng)網(wǎng)絡部署ACL帶來的繁重工作負擔以及隨之而來的技術風險。

總之，NSX以對網(wǎng)絡較小改動代價實現(xiàn)了網(wǎng)絡資源的池化，對諸如浦東機場的國有企業(yè)數(shù)據(jù)中心網(wǎng)絡建設是較好的選擇。

參考文獻：

[1] 范恂毅，張曉和.新一代SDN VMware NSX網(wǎng)絡原理與實踐 [M].北京：人民郵電出版社，2016：48-56.

[2] larryvmw.VMware NSX網(wǎng)絡虛擬化設計指南 [EB/OL].（2013-12-26）.https：//wenku.baidu.com/view/0a8a2a1ccfc7 89eb172dc8c4.html.

[3] 顧炯炯.云計算架構技術與實踐（第2版） [M].北京：清華大學出版社，2016：153-185.

作者簡介：鐘敦遠（1977-），男，漢族，廣東揭陽人，項目經理，工程師，本科，研究方向：網(wǎng)絡技術、信息安全、云計算。