基于VXLAN 技術(shù)的遠(yuǎn)距離政務(wù)數(shù)據(jù)中心的設(shè)計(jì)與研究

龍君，陳文軍

（1.湖南衡陽(yáng)鋼管（集團(tuán)）有限公司；2.湖南衡陽(yáng)石鼓區(qū)國(guó)有土地上房屋征收管理中心，湖南 衡陽(yáng) 421000）

隨著信息技術(shù)的發(fā)展，在區(qū)塊鏈和大數(shù)據(jù)時(shí)代，數(shù)據(jù)量越來(lái)越大，數(shù)據(jù)價(jià)值越來(lái)越高。為了提高數(shù)據(jù)的安全性，能更有效地保障機(jī)房在受到災(zāi)害時(shí)數(shù)據(jù)得以保存，把數(shù)據(jù)或應(yīng)用存放于不同機(jī)房，甚至不同城市已成為很多企業(yè)的選擇。

當(dāng)下很多大型企業(yè)在如何使它們的信息資源更有效率，數(shù)據(jù)和服務(wù)更為安全，并減少業(yè)務(wù)中斷時(shí)間，正是第四次產(chǎn)業(yè)革命的發(fā)展方向。因此，各企業(yè)加大了對(duì)信息和數(shù)據(jù)安全的投入，雙數(shù)據(jù)中心、多數(shù)據(jù)中心、雙活數(shù)據(jù)中心正得以快速發(fā)展。

但是，異地?cái)?shù)據(jù)中心建設(shè)也面臨眾多挑戰(zhàn)，導(dǎo)致成本較高，其中異地?cái)?shù)據(jù)中心網(wǎng)絡(luò)建設(shè)更是異地?cái)?shù)據(jù)中心建設(shè)的重點(diǎn)。當(dāng)數(shù)據(jù)中心之間相距上百公里，一般的企業(yè)無(wú)法建立直接通信通道，只能租用網(wǎng)絡(luò)運(yùn)營(yíng)商的線路，并且租用的網(wǎng)絡(luò)一般是無(wú)法在一個(gè)二層網(wǎng)絡(luò)。這時(shí)兩個(gè)數(shù)據(jù)中心將面臨跨三層的網(wǎng)絡(luò)，而為保持業(yè)務(wù)不中斷通常采用虛擬機(jī)技術(shù)，但虛擬化服務(wù)器和存儲(chǔ)只能在二層網(wǎng)絡(luò)里在線遷移。所以，需要一個(gè)網(wǎng)絡(luò)協(xié)議在三層網(wǎng)絡(luò)里建立一個(gè)二層網(wǎng)絡(luò)通道，因此，VXLAN 技術(shù)被提出，并得到大量應(yīng)用。

在政務(wù)數(shù)據(jù)中心領(lǐng)域，往往一個(gè)縣區(qū)級(jí)政府只有一個(gè)數(shù)據(jù)中心，為保障業(yè)務(wù)的可靠性和數(shù)據(jù)的安全性，我們可以和_另一個(gè)縣區(qū)的數(shù)據(jù)中心進(jìn)行合作，通過(guò)VXLAN 技術(shù)建立起互為備數(shù)據(jù)中心，這樣不僅節(jié)約重復(fù)建立的費(fèi)用，又可以實(shí)現(xiàn)雙數(shù)據(jù)中心。

1 VXLAN 技術(shù)

VXLAN 是一種網(wǎng)絡(luò)虛擬化技術(shù)，是虛擬可擴(kuò)展局域網(wǎng)，并且是VLAN 的擴(kuò)展，它已成為業(yè)界主流的虛擬網(wǎng)絡(luò)技術(shù)之一。VXLAN 技術(shù)解決了現(xiàn)有VLAN 技術(shù)不能滿足大型二層網(wǎng)絡(luò)需求的問(wèn)題。VXLAN 技術(shù)是大型的第2 層虛擬網(wǎng)絡(luò)技術(shù)。主要原理是引入U(xiǎn)DP 格式的外部隧道作為數(shù)據(jù)鏈路層，原始數(shù)據(jù)包內(nèi)容作為隧道數(shù)據(jù)傳輸。

由于外層使用UDP 作為傳輸方式，封裝流量并將其擴(kuò)展到第3 層網(wǎng)關(guān)，它可以基于第3 層網(wǎng)絡(luò)建立第2 層以太網(wǎng)隧道，從而實(shí)現(xiàn)跨區(qū)域的第2 層互連，因此可以輕松地在第2 層和第3 層網(wǎng)絡(luò)上傳輸數(shù)據(jù)包。現(xiàn)在，IETF提出了多種覆蓋網(wǎng)絡(luò)技術(shù)解決方案，如VXLAN，NVGRE 和STT。其中，VXLAN 贏得了大多數(shù)制造商的支持，并且具有很高的成熟度。

如圖1，VXLAN 可在原始的第2 層以太網(wǎng)幀上執(zhí)行UDP封裝，封裝中添加了8 字節(jié)的VXLAN 報(bào)頭、8 字節(jié)UDP 報(bào)頭、20 字節(jié)IP 報(bào)頭和14 字節(jié)以太網(wǎng)報(bào)頭，總共占用50 字節(jié)。

圖1 VXLAN 封裝結(jié)構(gòu)

VXLAN 報(bào)頭：報(bào)頭8 個(gè)字節(jié)共64 個(gè)位，其中包含24 位VNI 字段，VNI 字段用于定義不同的VXLAN 網(wǎng)絡(luò)，因?yàn)槠渚哂?4 位，因此它可以同時(shí)支持1600 萬(wàn)個(gè)VXLAN，遠(yuǎn)遠(yuǎn)超過(guò)4094 個(gè)VLAN，因此適合用于大規(guī)模數(shù)據(jù)中心部署。還有VXLAN 的標(biāo)志位8 占位，VXLAN 標(biāo)識(shí)符使只有在同一VXLAN上的虛擬機(jī)才能進(jìn)行通信。剩余的bit 位為保留字段。

UDP 報(bào)頭：VXLAN 報(bào)頭與原始以太網(wǎng)幀一起用作UDP 數(shù)據(jù)，UDP 報(bào)頭包含UDP 源端口、VXLAN 端口、UDP 長(zhǎng)度和校驗(yàn)。其中VXLAN 目標(biāo)端口號(hào)固定為4789，而UDP 源端口是通過(guò)原始以太網(wǎng)幀的哈希算法計(jì)算得出的值。

IP 報(bào)頭：封裝外部IP 報(bào)頭，其占20 個(gè)字節(jié)。在虛擬機(jī)之間通信時(shí)，源IP 地址是源VM 所屬的VTEP 的IP 地址，目的IP 地址是目的VM 所屬的VTEP 的IP 地址。

MAC 頭：占用14 個(gè)字節(jié)，其中包含通信發(fā)起方的源MAC地址、通信接收方的目的MAC 地址、網(wǎng)絡(luò)類型、VLAN 類型和VLAN 號(hào)。

VXLAN 主要用于解決大型云計(jì)算數(shù)據(jù)中心虛擬網(wǎng)絡(luò)不足的問(wèn)題。VMware、H3C、CISCO、華為和其他供應(yīng)商已經(jīng)支持VXLAN。它已經(jīng)引起了業(yè)界的廣泛關(guān)注，并且有可能在未來(lái)成為網(wǎng)絡(luò)虛擬化技術(shù)中的主流技術(shù)之一。

2 VXLAN 網(wǎng)絡(luò)的易維護(hù)和擴(kuò)展性

數(shù)據(jù)中心SDN 已是現(xiàn)在的發(fā)展趨勢(shì)，異地?cái)?shù)據(jù)中心的SDN 引入利用VXLAN 技術(shù)實(shí)現(xiàn)了自動(dòng)專用網(wǎng)絡(luò)隔離，同時(shí)通過(guò)VXLAN 技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)層兩個(gè)中心之間跨三層的兩層通信，這為跨區(qū)域的應(yīng)用和數(shù)據(jù)遷移服務(wù)提供了網(wǎng)絡(luò)的基礎(chǔ)條件。遠(yuǎn)端數(shù)據(jù)中心可以通過(guò)云計(jì)算技術(shù)，極大地提高了服務(wù)器資源的利用率，實(shí)現(xiàn)對(duì)計(jì)算資源的有效利用。同時(shí)，可以通過(guò)虛擬機(jī)在兩層互通的兩個(gè)數(shù)據(jù)中心中實(shí)施虛擬化漂移技術(shù)，以提供高性能、高安全的解決方案。

在圖2 中，通過(guò)在區(qū)域1 和區(qū)域2 的路由器、交換機(jī)與核心設(shè)備之間使用VXLAN 技術(shù)，構(gòu)建了大型的第2 層覆蓋網(wǎng)絡(luò)。由于構(gòu)建了大型的第2 層網(wǎng)絡(luò)，因此，多個(gè)區(qū)域之間的第2 層互通變得簡(jiǎn)單，這有利于業(yè)務(wù)規(guī)劃和控制。

圖2 雙區(qū)域網(wǎng)絡(luò)連接

這種網(wǎng)絡(luò)架構(gòu)也非常易維護(hù)和擴(kuò)展，如果以后要再構(gòu)建新的數(shù)據(jù)中心，只需將相應(yīng)的聚合設(shè)備添加到VXLAN 網(wǎng)絡(luò)，這非常方便，并且具有良好的可伸縮性。

3 雙數(shù)據(jù)中心設(shè)計(jì)

數(shù)據(jù)中心的VXLAN 網(wǎng)絡(luò)主要有三個(gè)構(gòu)成，包括VTEP、VXLAN 網(wǎng)關(guān)和VXLAN IP 網(wǎng)關(guān)。VTEP、VXLAN 網(wǎng)關(guān)和VXLAN IP 網(wǎng)關(guān)可以是軟件定義的虛擬交換機(jī)，也可以是支持VXLAN協(xié)議的物理交換機(jī)。VXLAN 網(wǎng)關(guān)和VXLAN IP 網(wǎng)關(guān)由一般是物理交換機(jī)，專用的硬件交換機(jī)穩(wěn)定性更好，并發(fā)速度更高，特別在數(shù)據(jù)通信量較大時(shí)，可防止流量轉(zhuǎn)發(fā)速度成為系統(tǒng)瓶頸。VTEP、VXLAN 網(wǎng)關(guān)和VXLAN IP 網(wǎng)關(guān)構(gòu)成了軟件的網(wǎng)絡(luò)通道，當(dāng)軟件應(yīng)用相互通信時(shí)，由它們構(gòu)建封包的流通協(xié)議，這樣應(yīng)用軟件就不用關(guān)注傳統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)第3 層導(dǎo)致的路由。

數(shù)據(jù)中心主要應(yīng)用容器為VM，它擁有可遷移、可克隆、可動(dòng)態(tài)調(diào)整資源等眾多功能。VM 的可遷移功能使虛擬服務(wù)器跨硬件資源在線移動(dòng)，如當(dāng)前的服務(wù)器資源擁擠或故障時(shí)，控制中心會(huì)自動(dòng)為其分配其他的服務(wù)器資源，并在不中斷業(yè)務(wù)的情況下完成熱遷移?？煽寺⌒灾竀M 在升級(jí)或故障修時(shí)，可進(jìn)行一次克隆，克隆后的服務(wù)器配置、應(yīng)用和數(shù)據(jù)都與原服務(wù)器一致，并且也可在線熱克隆，一旦原VM 服務(wù)器發(fā)生了故障，可啟用克隆服務(wù)器?？蓜?dòng)態(tài)調(diào)整資源是VM 指服務(wù)器在運(yùn)行時(shí)可對(duì)CPU、內(nèi)存、硬盤資源進(jìn)行改變，如進(jìn)行大并發(fā)業(yè)務(wù)時(shí)，增加CPU 和內(nèi)存，業(yè)務(wù)停止后縮小CPU 和內(nèi)存，將其分配給其他VM 服務(wù)器。因?yàn)槠鋼碛羞@些優(yōu)勢(shì)，所以VM服務(wù)器現(xiàn)已成為數(shù)據(jù)機(jī)房應(yīng)用和軟件的主要承載體。

圖3 為雙數(shù)據(jù)中心設(shè)計(jì)的拓?fù)鋱D，它是跨互聯(lián)網(wǎng)的兩個(gè)數(shù)據(jù)中心的連接，其中包括服務(wù)器、交換設(shè)備、路由設(shè)備、安全設(shè)備等。

圖3 雙數(shù)據(jù)中心拓?fù)?/p>

VM 服務(wù)器連接至接入交換機(jī)，接入交換機(jī)一般接口多，價(jià)格相對(duì)較低，不具備路由功能。

接入交換機(jī)和核心交換機(jī)相連，核心交換機(jī)具備路由功能，可以把二層網(wǎng)絡(luò)經(jīng)路由接入三層網(wǎng)絡(luò)里，并且核心交換機(jī)上下行并發(fā)速度快，下面可承接多臺(tái)接入交換機(jī)。為了保障網(wǎng)絡(luò)信息安全，在網(wǎng)絡(luò)出口處增加安全設(shè)備十分重要，典型的有防火墻，但I(xiàn)PS、WAF 等也可提升網(wǎng)絡(luò)信息安全。

設(shè)計(jì)采用雙鏈路結(jié)構(gòu)可以增加網(wǎng)絡(luò)的可靠性，添加負(fù)載均衡設(shè)備后優(yōu)勢(shì)更為突出。

當(dāng)鏈路接入互聯(lián)網(wǎng)后，通過(guò)互聯(lián)網(wǎng)與另端的數(shù)據(jù)中心機(jī)房進(jìn)行連接，其實(shí)兩方數(shù)據(jù)中心無(wú)須相同的硬件配置，可根據(jù)資源數(shù)據(jù)需求和資金預(yù)算進(jìn)行調(diào)整，但需要三層網(wǎng)絡(luò)到達(dá)，并且設(shè)備支持VXLAN 協(xié)議。

VTEP 通常安裝在VM 主機(jī)上來(lái)實(shí)現(xiàn)，目前很多虛擬化軟件對(duì)其有支持，如VMware NSX 將傳統(tǒng)網(wǎng)絡(luò)里的設(shè)備在軟件里進(jìn)行實(shí)現(xiàn)，形成一張?zhí)摂M邏輯的通信網(wǎng)絡(luò)，并通過(guò)VXLAN技術(shù)使傳統(tǒng)網(wǎng)絡(luò)中新的虛擬隧道網(wǎng)貫通。使用服務(wù)器主機(jī)作為VXLAN 網(wǎng)絡(luò)中的VTEP，用來(lái)負(fù)責(zé)網(wǎng)絡(luò)中VXLAN 數(shù)據(jù)包的封裝與解封裝。在接入交換機(jī)和核心交換機(jī)上啟用了VXLAN 協(xié)議。盡管兩個(gè)數(shù)據(jù)中心經(jīng)過(guò)互聯(lián)網(wǎng)后，其網(wǎng)絡(luò)結(jié)構(gòu)已不在同一個(gè)2 層網(wǎng)絡(luò)中，但是，通過(guò)VXLAN 技術(shù)建立二層的網(wǎng)絡(luò)隧道后，數(shù)據(jù)中心A 中的虛擬機(jī)就可以在線遷移到數(shù)據(jù)中心B。

4 結(jié)語(yǔ)

4.1 VXLAN 的優(yōu)點(diǎn)

（1）VXLAN 技術(shù)協(xié)議中擁有24 位標(biāo)識(shí)符，它可提供1600 萬(wàn)個(gè)VXLAN 網(wǎng)絡(luò)號(hào)段，遠(yuǎn)遠(yuǎn)超過(guò)了傳統(tǒng)網(wǎng)絡(luò)中VLAN，VLAN 只有12 位。VXLAN 擁有更多的網(wǎng)段，可以更好地滿足數(shù)據(jù)中心網(wǎng)段分離的需求。

（2）原始虛擬機(jī)的遷移只能在同一網(wǎng)段的第2 層網(wǎng)絡(luò)上執(zhí)行，這受到地理位置的嚴(yán)格限制。VXLAN 使用隧道技術(shù)來(lái)構(gòu)建跨多個(gè)第3 層網(wǎng)絡(luò)的虛擬第2 層網(wǎng)絡(luò)。可以在物理上分散的數(shù)據(jù)中心之間遷移虛擬機(jī)，從而使虛擬機(jī)部署更加靈活和便捷。

（3）VXLAN 在標(biāo)準(zhǔn)的第3 層IP 網(wǎng)絡(luò)上運(yùn)行，從而無(wú)須構(gòu)建和管理大型的第2 層基本傳輸層。接入交換機(jī)需要學(xué)習(xí)的MAC 地址數(shù)量也大大減少，這樣通過(guò)網(wǎng)絡(luò)設(shè)備的MAC 地址條目規(guī)范減弱了對(duì)虛擬機(jī)大小的限制。

（4）傳統(tǒng)的以太網(wǎng)使用STP 來(lái)防止環(huán)路。STP 導(dǎo)致網(wǎng)絡(luò)冗余路徑被阻止。VXLAN 數(shù)據(jù)包基于第3 層IP 標(biāo)頭進(jìn)行傳輸，可以有效利用網(wǎng)絡(luò)路徑并支持ECMP 和鏈路聚合。

4.2 VXLAN 的弱點(diǎn)

（1）與提供網(wǎng)絡(luò)服務(wù)的傳統(tǒng)物理設(shè)備進(jìn)行通信還存在問(wèn)題。VXLAN 是一種隧道技術(shù)，通信直接建立在隧道的兩端之間，所以它無(wú)法直接與不支持VXLAN 的傳統(tǒng)物理設(shè)備進(jìn)行通信。

（2）與傳統(tǒng)的網(wǎng)絡(luò)相比，VXLAN 需要對(duì)每個(gè)分組進(jìn)行封裝和解封裝，這降低了通信的轉(zhuǎn)發(fā)效率。

雖然VXLAN 技術(shù)也有一些不足，如兼容性和計(jì)算資源消耗，但眾多的優(yōu)點(diǎn)使得它在遠(yuǎn)距離政務(wù)數(shù)據(jù)中心將大有發(fā)展，隨著設(shè)備升級(jí)兼容性增強(qiáng)和CPU 計(jì)算能力的提升，XVLAN 的不足正在弱化，并且穩(wěn)定性和安全性是政務(wù)系統(tǒng)的重要考量。